项目方案：社会视频资源整合接入汇聚系统解决方案(九)-视频监控汇聚应用案例

VPN（Virtual Private Network，虚拟专用网）是一种基于公共数据网的报文封装技术，在公共网络中建立虚拟局域网，实现基于广域网的虚拟局域网。VPN采用了隧道技术、加解密技术、密钥管理技术和使用者与设备身份认证技术。它通过对数据进行加密和隧道传输，确保数据传输过程的安全性和私密性。VPN广泛应用于各种网络环境中，以满足企业与个人对安全、便捷网络连接的需求。

通过在终端与监控服务器之间建立一条应用层通道，通道建立后，客户端和服务器之间发送的监控业务报文，包括SIP报文、媒体流报文或者其他使用到的协议报文，都通过应用层通道进行转发，保证网络资源不被非法使用和访问。应用通道在建立完成之后，各设备都会得到一个新的虚拟IP地址。后续各设备之间在进行监控业务交互时，都使用虚拟地址进行交互。

除VPN虚拟通道功能外，安全接入网关同时具备网络防火墙功能，满足互联网网络边界防护和安全隔离需要。

注意：安全接入网关主要配合安全接入盒子打通安全传输通道，社会资源接入终端则是先穿透安全接入网关，然后与社会视频接入平台中部署的视频接入网关来配合打通安全传输通道，因此上图中安全接入网关一方面用于配合安全接入盒子实现VPN隧道传输，另一方面可用于互联网边界处的逻辑隔离和安全防护，当然如果项目预算充裕，可考虑在安全接入网关前再配置一台高性能的下一代防火墙，以增强整体方案的安全性。

4.7.2.2行业专网边界安全设计

社会资源网与各社会单位行业专网之间应通过防火墙进行逻辑隔离和访问控制限制，开放必须的应用服务端口，其他所有端口和服务，均利用访问控制列表进行过滤。并对流经的数据进行包过滤，实现社会资源网的边界安全，保证视频资源接入以及用户访问的安全性。

社会视频接入平台需要与前端视频终端进行双向控制信令交互，通过防火墙双向透传，码流要求只允许从行业专网进入社会视频接入平台，不允许由社会视频接入平台流出，通过配置防火墙的安全策略实现单向透传。

防火墙主要功能：

状态安全过滤：支持基础、扩展和基于接口的状态检测包过滤技术；支持应用层报文过滤协议，支持对每一个连接状态信息的维护监测并动态地过滤数据包，支持对应用层协议的状态监控。
完善的访问控制特性：支持基于源IP、目的IP、源端口、目的端口、时间、服务、用户、文件、网址、关键字、邮件地址、脚本、MAC地址等多种方式进行访问控制；支持流量管理、连接数控制、IP+MAC绑定、用户认证等。可以阻止或允许特定类型的网络流量，例如基于IP地址、端口号或协议类型。可以提高安全性，防止数据泄露和减少网络滥用。
应用层内容过滤：可以有效的识别网络中各种P2P模式的应用，并且对这些应用采取限流的控制措施，有效保护网络带宽；支持邮件过滤，提供SMTP邮件地址、标题、附件和内容过滤；支持网页过滤，提供HTTP URL和内容过滤。
NAT应用支持：提供多对一、多对多、静态网段、双向转换、IP和DNS映射等NAT应用方式；支持多种应用协议正确穿越NAT功能。
入侵检测和防御：防火墙可集成入侵检测系统(IPS)和入侵防御系统(IPS)，能够主动识别和阻止攻击尝试。
网络隔离：防火墙可以在不同的网络区域之间建立边界，例如DMZ（非军事区）或内部网络和外部网络之间，以限制攻击范围。
认证服务：支持本地用户、RADIUS、TACACS等认证方式；支持基于用户身份的管理，实现不同身份的用户拥有不同的命令执行权限，并且支持用户视图分级，对于不同级别的用户赋予不同的管理配置权限。

4.7.2.3公安视频专网边界安全设计

在社会资源网与公安视频专网边界处部署视频安全网闸，进行控制信令与码流的传输交换。这样即可以保证公安视频专网的保密性、安全性，又可以实现公安对外部社会单位监控资源的管理和监控。

视频安全网闸主要指传输视频信息的专用隔离网闸，其安全功能如下：

1）网络隔离：实现社会资源网与公安视频专网的网络隔离，切断所有基于网络协议的连接，确保视频专网的安全。

通过视频安全网闸，传输的是裸数据，而非是路由器或者交换机可识别接收的数据包或者数据帧。从OSI模型的链路层到应用层均不通，有效的隔离了基于从网络层到应用层的攻击行为，确保了网络平台互联系统的高安全性。

2）单向传输：严格区分视频数据流和控制信令流，并严格控制视频流传输的方向，视频数据流必须采用单向传输方式，确保没有反向的视频流从视频专网流出。

视频安全网闸是一种使用带有多种控制功能的固态开关读写介质，连接两个独立主机系统（通常是内部网络和外部网络）的信息安全设备。它通过物理隔离和数据摆渡的方式，确保内部网络的安全，同时允许必要的数据交换。视频安全网闸通过物理隔离和数据摆渡的方式，有效保障了内部网络的安全性和数据的完整性。同时，随着技术的不断进步，其性能和功能也在不断提升和完善。其基本原理如下图所示：

由上图可以看出，安全隔离系统（安全网闸）可以隔离内部网络和外部网络，起到物理隔离的作用。

4.7.3网络入侵防护

在社会资源网与外部网络之间需要部署入侵防御设备，实现对外部网络实时监测网络数据流、监视和记录内外部网络的用户出入网络的相关操作，防护外部网络对社会资源网进行的木马植入、拒绝服务、黑客攻击、蠕虫、后门等攻击行为。同时通过部署网络防病毒、漏洞扫描、WEB应用防护、数据库审计等系统提高系统整体安全性及抗风险能力。

4.7.3.1入侵防御系统

防火墙的边界保护是安全域边界的基本保护措施，通过防火墙的控制列表可以把非法的用户和访问行为杜绝与安全域外，但防火墙无法实现对合法用户或者合法的访问行为中所包含的入侵攻击行为进行控制，通过部署入侵防御系统，很大的可以弥补防火墙的不足之处。入侵防御系统与防火墙互补，构建七层防御体系。

在社会资源网边界部署入侵防御设备，采用动态和静态相结合的方式，通过攻击特征库匹配、漏洞机理分析、应用还原重组、网络异常分析等主要技术，实现社会视频接入平台精确抵御黑客攻击、蠕虫、木马、后门、间谍软件、灰色软件、网络钓鱼，全面防御轻量级的DDOS攻击，可以有效的保护社会视频接入平台服务资源。

入侵防御主要功能：

坚固的入侵防御体系：具有完善的攻击特征库；具漏洞机理分析技术，精确抵御黑客攻击、蠕虫、木马、后门；具应用还原重组技术，抑制间谍软件、灰色软件、网络钓鱼的泛滥；具网络异常分析技术，全面防止拒绝服务攻击。
动、静态检测功能：动态检测与静态检测融合，基于原理的检测方法与基于特征的检测方法并存。
入侵防御设备对事件过滤系统支持采用攻击发生时间范围、事件名称、事件类别、所属服务、源网络范围、目的网络范围、触发探测器、攻击结果、事件动作等多种粒度过滤探测器所产生的告警日志。
入侵防御设备在一定周期内产生报表系统提供了详细的综合报表、自定义多个类别的报表模板，支持生成：日、周、月、季度、年度综合报表。报表支持MS Word、Html、JPG格式导出。同时支持定时通过电子邮件发送报表至系统管理员。

4.7.3.2网络防病毒

计算机病毒是系统安全中需要防范的风险，病毒可以导致中心平台服务拒绝、破坏数据，甚至使平台服务器系统完全瘫痪。因此需在平台服务器、终端上安装网络版杀毒客户端软件，对病毒行为进行深度分析，智能实时检测、监控、拦截各种病毒行为，对恶意代码进行有效防护，满足病毒防护的需求。

网络防病毒主要功能：

1）病毒防范和查杀能力：开启实时监控后能完全预防已知病毒的危害；可防范、检测并清除隐藏于电子邮件、公共文件夹及数据库中的计算机病毒、恶性程序、病毒邮件；能有效预防、查杀映像劫持类型的病毒；可以防范网页中的恶意代码；压缩文件、打包文件查杀毒（在不加密的情况下，不限层数）；内存查杀毒、运行文件查杀毒、引导区查杀毒；支持图片、视频等多媒体文件的查杀毒；邮件接收、发送检测；邮件文件静态检测、杀毒；同时支持Foxmail、Outlook、OutlookExpress、Notes和Mozilla等常见客户端邮件系统的防（杀）病毒；能够有效查杀各类Office文档中的宏病毒支持共享文件的病毒查杀；具有未知病毒检测、清除能力；

2）升级管理：

依据策略，全网统一自动升级，不需要人为干涉；
增量升级（包括系统中心从网站升级，客户端从系统中心升级，下级中心；从上级中心升级)，以减少升级时带来的网络流量；可设置升级周期和升；级时间范围，实现及时升级并避免升级时占用网络带宽影响用户正常业务的通讯；
在与Internet隔离的内部网络中，提供多种升级方式，包括：自动在线升级、手动升级、下载离线升级包升级等。

4.7.3.3漏洞扫描系统

漏洞扫描系统是基于网络的脆弱性分析、评估和综合管理系统，漏洞扫描系统能够快速发现网络资产，准确识别资产属性、全面扫描安全漏洞，清晰定性安全风险，给出修复建议和预防措施，并对风险控制策略进行有效审核，从而在弱点全面评估的基础上实现安全自主掌控。

在服务器区域部署漏洞扫描系统，根据制定的扫描策略任务，对社会资源网的终端以及应用服务器、数据库等进行脆弱性扫描及管理。

出于成本考虑，选择购买第三方厂家的漏洞扫描服务，每半年为终端、服务器、路由/交换设备、操作系统（Windows/Linux/Unix）、应用服务等全系统进行一次细致深入的漏洞检测、分析，主动诊断安全漏洞并提供专业防护建议和预防措施。实现对网络中各种资产进行全方位、高效的漏洞管理，提高系统整体安全性。

漏洞扫描主要功能：

能够对网络（安全）设备、主机系统和应用服务的漏洞进行扫描，指出有关网络的安全漏洞及被测系统的薄弱环节，给出详细的检测报告，并针对检测到的网络安全隐患给出相应的修补措施和安全建议。

4.7.3.4 WEB应用防护

社会视频接入平台提供WEB应用服务，WAF作为应用级别的防火墙，能够防止平台网页篡改，防止sql注入等应用层的网络攻击，当主页被篡改时，WAF可以自动检测并且自动恢复。WAF防火墙与软件主页防篡改相比，系统具备嵌入式特有的安全性外，通过主页注册的用户不易被窃取等特点。

WEB应用防护主要功能：

有效缓解来自Internet的各类安全威胁，如SQL注入、跨站脚本、Cookie篡改等，降低网页篡改及网页挂马等安全事件发生概率，保障WEB应用高可用性和业务连续性。

4.7.3.5数据库审计系统

数据库审计系统是针对业务环境下的网络、数据库及访问操作行为进行细粒度审计的合规性管理系统。它通过对被授权人员和系统的网络行为进行解析、分析、记录、汇报，以帮助用户事前规划预防、事中实时监控、违规行为响应、事后合规报告、事故追踪回放，加强内部网络行为监管、避免核心资产（数据库、服务器、网络设备等）损失、保障业务系统的正常运营。

网络安全审计部署位置为服务器区，可以做到：

保证重要/关键服务器的安全；
保证重要/关键数据的安全；
有效地控制操作风险；
进行事后追查。

数据库审计主要功能：

通过部署基于业务应用和数据库的审计系统，满足对如Web服务以及数据库的操作，如增加、修改、删除等数据库操作进行审计，防止对重要数据的非法操作所造成的数据丢失和破坏等。

文章正下方可以看到我的联系方式：鼠标“点击” 下面的 “威迪斯特-就是video system 微信名片”字样，就会出现我的二维码，欢迎沟通探讨。

威迪斯特

关注

28
点赞
踩
16

收藏

觉得还不错? 一键收藏
2
评论
项目方案：社会视频资源整合接入汇聚系统解决方案(九)-视频监控汇聚应用案例

视频汇聚平台(视频监控接入)，即视频汇聚和融合平台，含编码设备、存储设备等的接入。接入方式支持国标28181，设备接入是指接入DVR、DVS和IPC、DVR/NVR、CVR等设备；包括主流品牌海康、大华、宇视、华为等。本篇讲视频汇聚视频接入的安全设计，包括前端设备安全、网络边界安全（公网边界安全、行业专网边界安全、公安视频专网边界安全），以及网络入侵防火，包括入侵防御系统、网络防病毒、漏洞扫描、web应用防护、数据库设计系统；系统应用安全，包括访问身份安全认证、数字摘要加密认证、系统冗余及安全备份。
复制链接

扫一扫