视频监控系统的信息安全设计方案.docx-淘文阁

资源描述

《视频监控系统的信息安全设计方案.docx》由会员分享，可在线阅读，更多相关《视频监控系统的信息安全设计方案.docx（34页珍藏版）》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。

1、视频监控系统的信息安全设计方案.整体安全方案设计1. 1.安全方案设计理念32. 2.整体安全方案设计4.前端接入区安全方案设计61. 1.摄像机认证准入方案设计62. 2.摄像机接入安全防护方案设计9.边界区安全方案设计123. 1.互联网和视频专网边界安全124. 2.数据边界125. 3.视频安全边界14.视频专网与公安信息网边界安全164. 1.数据边界165. 2.视频安全边界19.应用系统区安全方案设计215. 1.平台安全211. 1.物理环境安全225. 1.2.平台访问控制221.3.平台边界安全防护226. 1.4.平台内安全防护231.5.平台主机安全237. 1.6.虚

2、拟化安全24容灾备份245. 2.数据安全242.1.视频文件防泄漏241.1.1. 2. 2.视频应用审计25视频数据加密271.1.2. 数据备份恢复28剩余数据销毁295. 3.应用安全305. 3. 1.应用访问控制305. 3. 2.应用内容防护305. 3. 3.应用脆弱性防护305. 3. 4.应用攻击防护30非法终匐日厮非法终匐日厮*境期安全网关非改权业务相断头安全理系版L J(帆 281919)Mlt0皿(ip. UAOF)摄像机安全接入方案拓扑图功能介绍视频业务识别与控制功能支持识别国标SIP协议及主流安防厂家的私有协议，只允许授信的视频业务相关流量放行，其它流量全部阻断

3、;协议白名单功能支持基于协议特征白名单的接入数据管控功能，协议在白名单中的数据流能够通过设备，协议不在白名单中的数据流会被阻断；支持实时对非法接入的设备和数据进行识别、阻断和告警，并在控制平台上对阻断的非法流量进行告警，告警内容包含源IP地址、目的IP地址、源端口、目的端口、入接口、协议等;摄像机入侵防御功能支持有效防御蠕虫、木马、僵尸网络、跨站攻击等常见攻击；支持自定义签名，灵活快速应对突发威胁,；支持对主流摄像头厂家的私有视频协议的漏洞检测及防护;设备准入对于普通的计算机设备接入公安视频传输专网，视频准入控制系统能自动判断计算机是否符合入网要求，符合入网要求则允许通过认证，不符

4、合要求的直接通过阻断及跳转方式进行阻断其接入网络，禁止其访问内部资源;主动扫描视频安全网关支持主动扫描摄像机的设备指纹，并自动添加到设备指纹库;诱捕/流探针视频安全网关支持充当态势感知系统的诱捕/流探针，采集网络流量，上送态势感知系统，构建主动防御的诱捕体系；摄像机安全状态可视化管理摄像机安全管理平台支持资产主动扫描、准入控制、风险监控、信息告警、多级可视化管理和运维。方案部署视频安全网关支持直路与旁路两种部署方式，必须旁路部署。根据客户的网络现状，有如下部署方案：1 .派出所部署方案摄像机接入的网络如果是公安自建的网络，可以在派出所部署视频安全网关及摄像机安全管理系统。2 .市县部

5、署方案摄像机接入的网络如果是运营商承建的网络，需要在市县部署视频安全网关及摄像机安全管理系统。视频专网摄偏头安全管21系毓汇 2接入交蚓固电接入交蚓固电摄像机接入安全方案部署图方案价值更安全：前端设备是具有AI能力的视频安全网关，除了准入能力，还具备IPS、DDoS等高级防护能力;更智能：既支持静态的准入控制，也支持视频流量的动态感知，基于厂家白名单的精准控制，杜绝仿冒；易运维：支持多级摄像机安全状态可视化管理，满足客户垂直管理的述求；支持摄像机主动扫描，自动入库，降低90%运维成本。3.边界区安全方案设计安全边界主要包含纵向边界防护及横向边界防护，其中横向边界防护涉及公安视频专网与

6、互联网之间的数据交换边界及视频交换边界、公安信息网与公安视频专网之间的视频交换边界及数据交换边界、公安视频专网与其他网络之间的视频交换边界及数据交换边界。3. 1.互联网和视频专网边界安全2.数据边界在互联网与公安信息网之间，建设数据资源交互链路。该链路在安全隔离情况下将视频传输网数据资源（如：数据库、文件等）的同步至公安视频网数据资源（如：数据库、文件等）。在安全防护的基础上，满足视频专网与互联网的视频传输网之间数据资源共享与安全交换的需求。实现视频专网与互联网之间的结构化和非结构化数据的同步，以及授权访问数据的交换。（1）边界保护区边界保护区主要设备包括：防火墙、入侵防御系统。

7、防火墙可根据数据包的源/目标地址、协议类型、源/目标端口以及网络协议等对数据包进行访问控制,可实现基于策略的协议透明代理和深度过滤，能确保终端用户合法有效地使用各种网络资源。利用NAT地址转换功能，防火墙还可保证边界接入平台应用服务区内的主机地址不被外部终端获得，以及通过基于IP地址、服务类型、时间段等定义的带宽分配策略，保障平台前置应用服务器的带宽使用，保护用户带宽投资。入侵检测系统是对防火墙有益的补充，入侵检测系统被认为是防火墙之后的第二道安全闸门，对网络进行检测，提供对内部攻击、外部攻击和误操作的实时监控，提供动态保护大大提高了网络的安全性。入侵检测系统主要有以下特点：事前

8、警告：入侵检测系统能够在入侵攻击对网络系统造成危害前，及时检测到入侵攻击的发生，并进行报警；事中防御：入侵攻击发生时，入侵检测系统可以通过与防火墙联动、TCP Killer等方式进行报警及动态防御；事后取证：被入侵攻击后，入侵检测系统可以提供详细的攻击信息，便于取证分析。另外，对于网站敏感内容监测，可通过云安全扩展能力具备网站敏感内容监测能力。综上所述，通过防火墙、入侵防御系统、安全即服务扩展能力等措施结合，能够给视频边界安全带来全面的防入侵保障。(2)安全隔离区该区域实现视频专网与互联网的数据安全隔离与信息交换。该区域主要安全功能为：实现视频专网与互联网的数据安全网络隔离；根据

9、安全策略，对出入互联的数据分别进行协议剥离。格式检查和内容过滤，实现视频专网与互联网之间的安全数据交换。安全隔离区主要设备包括：数据网闸、数据安全交换系统(非信任端和信任端)。数据网闸设备提供多种主流数据库的单、双向数据交换；基于专用客户端与网闸安全连接方式，发送、接收应用数据;支持多种增量方式；可分别定义增加、删除、修改的数据传输；支持不同类型数据库之间的异构数据安全传输；数据传输可选SSL 加密，链路安全；数据传输高度可靠，采用缓存确认机制进行保证；文件传输采用KFM技术，监控文件服务器系统内核、捕获文件变化；支持实时或定时文件摆渡；文件传输支持断点续传；支持文件类型过滤。A数

10、据安全交换系统数据安全交换系统包含了非信任端服务器和信任端服务器。支持ORACLE. SQLSERVER. DB2、SYBASE、MYSQL等主流数据库的同步，可实现异构数据库同步。数据库支持多种同步方式：触发器方式，全表采集方式，同表双向的数据同步，删除源数据方式；数据交换系统支持数据库、文件之间的模糊格式同步交换，可根据用户配置将文件内容识别并写入数据库，或按照用户指定格式将数据库数据导出为文件;支持断点续传功能,在出现断电或传输中断等情况下，能够保证系统恢复时, 交换的数据能重传或续传且不出数据丢失现象。数据交换系统提供高级任务调度功能，包括：任务带宽调度，任务执行周期 /频率调度

11、，任务优先级调度等，为重要业务应用的可靠执行提供技术手段支持。数据交换系统可根据统计间隔、统计类型、时间段及任务名称等信息对任务数据进行分析，并可生成可视化的柱状图、趋势图、对比图，便于系统操作人员进行管理。3. 3.视频安全边界在互联网与视频专网之间，通过建设视频资源接入链路，实现视频资源向视频专网的安全接入该链路，在安全隔离情况下将视频传输网数据资源（如：数据库、文件等）的同步至视频专网内的数据资源（如：数据库、文件等）。在安全防护的基础上，满足互联网与视频专网的视频传输网之间数据资源共享与安全交换的需求。实现互联网与视频专网之间的结构化和非结构化数据的同步，以及授权访问数据

12、的交换。（1）边界保护区边界保护区主要设备包括：防火墙、入侵防御系统。对边界两侧重要节点和网段进行安全保护，对所有流经防火墙的数据包按照严格的安全规则进行过滤，将所有不安全的或不符合安全规则的数据包屏蔽，杜绝越权访问，防止各类非法攻击行为。防火墙可根据数据包的源/目标地址、协议类型、源/目标端口以及网络协议等对数据包进行访问控制,可实现基于策略的协议透明代理和深度过滤，能确保终端用户合法有效地使用各种网络资源。利用NAT地址转换功能，防火墙还可保证边界接入平台应用服务区内的主机地址不被外部终端获得，以及通过基于IP地址、服务类型、时间段等定义的带宽分配策略，保障平台前置应用服务器的

13、带宽使用，保护用户带宽投资。入侵检测系统是对防火墙有益的补充，入侵检测系统被认为是防火墙之后的第二道安全闸门，对网络进行检测，提供对内部攻击、外部攻击和误操作的实时监控，提供动态保护大大提高了网络的安全性。入侵检测系统主要有以下特点：事前警告：入侵检测系统能够在入侵攻击对网络系统造成危害前，及时检测到入侵攻击的发生，并进行报警；事中防御：入侵攻击发生时，入侵检测系统可以通过与防火墙联动、TCP Killer等方式进行报警及动态防御；事后取证：被入侵攻击后，入侵检测系统可以提供详细的攻击信息，便于取证分析。另外，对于网站敏感内容监测，可通过云安全扩展能力具备网站敏感内容监测能力。

14、综上所述，通过防火墙、入侵防御系统、安全即服务扩展能力等措施结合，能够给视频边界安全带来全面的防入侵保障。(2)安全隔离区安全隔离区设备包括视频网闸、视频安全交换系统。视频网闸设备视频网闸设备采用2+1架构和硬件隔离技术；拥有自主知识产权的专用隔离硬件。采用安全定制的操作系统，采用专用通信协议进行数据摆渡。保证对所有过往的流量都剥离了通信协议，所有协议剥离和再生过程都接受安全审计，并且具有防范各种网络协议攻击的能力，能实现确保视频专网安全前提下的数据安全交换，满足信息采集要求。对视频传输的协议包括组播、SIP、H.323、H. 264等协议（族），在数据交换系统层面进行识别和处理，

15、保证特殊协议数据的正常传输，同时可进行管理和控制；支持H. 323协议族，涵盖所有主流视频流媒体数据通信协议；支持基于MAC地址的端到端视频通信控制及用户认证；兼容支持其他普通TCP/IP业务应用通信，实现一台设备、两种业务同步支持;如HTTP、FTP、TNS等协议；支持组播，通过IGMP和二层组播协议，在网闸设备和交换机中建立起网段内的组成员关系信息，使组播数据能在域间进行转发；结合现有网闸提供的带宽、流量控制技术可对视频数据流量进行管理；结合现有网闸提供的连接管理功能，可对视频数据流连接数进行管理。视频安全交换系统设备视频安全交换系统包含视频接入认证系统和视频用户认证系统。视频数据流

16、与视频控制信令严格区分，分别处理后进行传输；支持视频流数据单向传输、视频控制信令双向传输；提供基于用户身份、IP/MAC地址等黑白名单访问控制；可支持第三方身份认证平台进行用户认证，如PKI/PMI系统；提供视频目标的访问控制；提供基于视频平台控制信令的黑白名单访问控制；支持控制信令内容的审核、过滤；支持图像内容的安全过滤技术，包括插帧、丢帧；视频传输通道动态开放，在用户请求图像时打开，用户请求结束时关闭，提高系统安全性；网络无关性，可适应各种复杂网络情况，包括网络地址重叠亦不影响系统工作。4.视频专网与公安信息网边界安全1.数据边界在视频专网与公安信息网之间，建设数据资源交互链

17、路。该链路在安全隔离情况下将视频传输网数据资源（如：数据库、文件等）的同步至公安信息网数据资源(如：数据库、文件等)。在安全防护的基础上，满足视频专网与公安信息网的视频传输网之间数据资源共享与安全交换的需求。实现视频专网与公安信息网之间的结构化和非结构化数据的同步，以及授权访问数据的交换。(1)边界保护区边界保护区主要设备包括：防火墙、入侵防御系统。防火墙可根据数据包的源/目标地址、协议类型、源/目标端口以及网络协议等对数据包进行访问控制,可实现基于策略的协议透明代理和深度过滤，能确保终端用户合法有效地使用各种网络资源。利用NAT地址转换功能，防火墙还可保证边界接入平台应用服务区内

18、的主机地址不被外部终端获得，以及通过基于IP地址、服务类型、时间段等定义的带宽分配策略，保障平台前置应用服务器的带宽使用，保护用户带宽投资。入侵检测系统是对防火墙有益的补充，入侵检测系统被认为是防火墙之后的第二道安全闸门，对网络进行检测，提供对内部攻击、外部攻击和误操作的实时监控，提供动态保护大大提高了网络的安全性。入侵检测系统主要有以下特点：事前警告：入侵检测系统能够在入侵攻击对网络系统造成危害前，及时检测到入侵攻击的发生，并进行报警；事中防御：入侵攻击发生时，入侵检测系统可以通过与防火墙联动、TCP Killer等方式进行报警及动态防御；事后取证：被入侵攻击后，入侵检测系统可

19、以提供详细的攻击信息，便于取证分析。另外，对于网站敏感内容监测，可通过云安全扩展能力具备网站敏感内容监测能力。综上所述，通过防火墙、入侵防御系统、安全即服务扩展能力等措施结合，能够给视频边界安全带来全面的防入侵保障。(2)安全隔离区该区域实现视频专网与公安信息网的数据安全隔离与信息交换。该区域主要安全功能为：实现视频专网与公安信息网的数据安全网络隔离；根据安全策略，对出入视频专网的数据分别进行协议剥离。格式检查和内容过滤, 实现视频专网与公安信息网之间的安全数据交换。安全隔离区主要设备包括：数据网闸、数据安全交换系统(非信任端和信任端)。A数据网闸设备提供多种主流数据库的单、双向数

20、据交换；基于专用客户端与网闸安全连接方式，发送、接收应用数据;支持多种增量方式；可分别定义增加、删除、修改的数据传输；支持不同类型数据库之间的异构数据安全传输；数据传输可选SSL 加密，链路安全；数据传输高度可靠，采用缓存确认机制进行保证；文件传输采用KFM技术，监控文件服务器系统内核、捕获文件变化；支持实时或定时文件摆渡；文件传输支持断点续传；支持文件类型过滤。数据安全交换系统数据安全交换系统包含了非信任端服务器和信任端服务器。支持ORACLE. SQLSERVER. DB2、SYBASE. MYSQL等主流数据库的同步，可实现异构数据库同步。数据库支持多种同步方式：触发器方式，全

21、表采集方式，同表双向的数据同步，删除源数据方式；数据交换系统支持数据库、文件之间的模糊格式同步交换，可根据用户配置将文件内容识别并写入数据库，或按照用户指定格式将数据库数据导出为文件；支持断点续传功能,在出现断电或传输中断等情况下，能够保证系统恢复时, 交换的数据能重传或续传且不出数据丢失现象。数据交换系统提供高级任务调度功能，包括：任务带宽调度，任务执行周期 /频率调度，任务优先级调度等，为重要业务应用的可靠执行提供技术手段支持。数据交换系统可根据统计间隔、统计类型、时间段及任务名称等信息对任务数据进行分析，并可生成可视化的柱状图、趋势图、对比图，便于系统操作人员进行管理。4. 2.

22、视频安全边界在公安信息网与视频专网之间，通过建设视频资源接入链路，实现视频资源向视频专网的安全接入该链路，在安全隔离情况下将视频传输网数据资源（如：数据库、文件等）的同步至视频专网内的数据资源（如：数据库、文件等）。在安全防护的基础上，满足公安信息网与视频专网的视频传输网之间数据资源共享与安全交换的需求。实现公安信息网与视频专网之间的结构化和非结构化数据的同步，以及授权访问数据的交换。（1）边界保护区边界保护区主要设备包括：防火墙、入侵防御系统。对边界两侧重要节点和网段进行安全保护，对所有流经防火墙的数据包按照严格的安全规则进行过滤，将所有不安全的或不符合安全规则的数据包屏蔽，杜

23、绝越权访问，防止各类非法攻击行为。防火墙可根据数据包的源/目标地址、协议类型、源/目标端口以及网络协议等对数据包进行访问控制,可实现基于策略的协议透明代理和深度过滤，能确保终端用户合法有效地使用各种网络资源。利用NAT地址转换功能，防火墙还可保证边界接入平台应用服务区内的主机地址不被外部终端获得，以及通过基于IP地址、服务类型、时间段等定义的带宽分配策略，保障平台前置应用服务器的带宽使用，保护用户带宽投资。入侵检测系统是对防火墙有益的补充，入侵检测系统被认为是防火墙之后的第二道安全闸门，对网络进行检测，提供对内部攻击、外部攻击和误操作的实时监控，提供动态保护大大提高了网络的安全性。

24、5.4.安全管理区方案设计315.4. 1.堡垒机315. 4. 2.日志审计315. 4. 3.漏洞扫描325. 4. 4.补丁管理325.4. 5.密钥管理325. 4. 6.安全运行管理32入侵检测系统主要有以下特点：事前警告：入侵检测系统能够在入侵攻击对网络系统造成危害前，及时检测到入侵攻击的发生，并进行报警；事中防御：入侵攻击发生时，入侵检测系统可以通过与防火墙联动、TCP Killer等方式进行报警及动态防御；事后取证：被入侵攻击后，入侵检测系统可以提供详细的攻击信息，便于取证分析。另外，对于网站敏感内容监测，可通过云安全扩展能力具备网站敏感内容监测能力。综上所述，通过

25、防火墙、入侵防御系统、安全即服务扩展能力等措施结合，能够给视频边界安全带来全面的防入侵保障。(2)安全隔离区安全隔离区设备包括视频网闸、视频安全交换系统。A视频网闸设备视频网闸设备采用2+1架构和硬件隔离技术；拥有自主知识产权的专用隔离硬件。采用安全定制的操作系统，采用专用通信协议进行数据摆渡。保证对所有过往的流量都剥离了通信协议，所有协议剥离和再生过程都接受安全审计，并且具有防范各种网络协议攻击的能力，能实现确保视频专网安全前提下的数据安全交换，满足信息采集要求。对视频传输的协议包括组播、SIP、H. 323、H. 264等协议(族)，在数据交换系统层面进行识别和处理，保证特殊协

26、议数据的正常传输，同时可进行管理和控制；支持H. 323协议族，涵盖所有主流视频流媒体数据通信协议；支持基于MAC地址的端到端视频通信控制及用户认证；兼容支持其他普通TCP/IP业务应用通信，实现一台设备、两种业务同步支持;如HTTP、FTP、TNS等协议;支持组播，通过IGMP和二层组播协议，在网闸设备和交换机中建立起网段内的组成员关系信息，使组播数据能在域间进行转发；结合现有网闸提供的带宽、流量控制技术可对视频数据流量进行管理；结合现有网闸提供的连接管理功能，可对视频数据流连接数进行管理。视频安全交换系统设备视频安全交换系统包含视频接入认证系统和视频用户认证系统。视频数据流与视频控

27、制信令严格区分，分别处理后进行传输；支持视频流数据单向传输、视频控制信令双向传输；提供基于用户身份、IP/MAC地址等黑白名单访问控制；可支持第三方身份认证平台进行用户认证，如PKI/PMI系统；提供视频目标的访问控制；提供基于视频平台控制信令的黑白名单访问控制；支持控制信令内容的审核、过滤；支持图像内容的安全过滤技术，包括插帧、丢帧；视频传输通道动态开放，在用户请求图像时打开，用户请求结束时关闭，提高系统安全性；网络无关性，可适应各种复杂网络情况，包括网络地址重叠亦不影响系统工作。5.应用系统区安全方案设计平台安全平台安全的保护对象是与公安视频图像业务智能化应用相关的平台。平台具

28、有承载业务应用众多、数据量大、实时性要求高、容错性高、计算资源丰富等特点。其保护措施包括物理环境安全、平台访问控制、平台主机安全、虚拟化安全、容灾备份等。平台安全设备部署图5. 1. 1. 物理环境安全具备对公安视频图像智能化应用相关系统和设备的物理环境安全防护的能力，主要是指对公安视频传输网数据中心物理设备及平台基础设施提供安全防护，具体如防盗窃、防破坏能力、防雷击、防火、防水、防潮、防静电、防电磁干扰等。5. 1. 2. 平台访问控制具备对平台及虚拟机资源的访问控制能力，在平台边界区部署防火墙设备对来访IP地址、访问端口、访问协议、访问权限等进行授权，并具有对异常访问行为阻

29、断的能力。5. 1. 3.平台边界安全防护第一道防御系统主要是针对网络层的保护，属于边界安全防护，对于应用层的攻击，边界防火墙无法满足要求，要求提供入侵检测方案，针对应用流量做深度分析与检测能力，同时配合以精心研究的攻击，特征知识库和用户规则，即可以有效检测并实时阻断隐藏在海量网络流量中的病毒、攻击与滥用行为。也可以对分布在网络中的各种流量进行有效管理，从而达到对网络应用层的保护。在核心交换机上旁路部署两台防火墙做安全隔离和安全防护，两台防火墙双机热备部署；同时，部署两台入侵防御设备提供应用层的安全防护，保证外网应用区服务器的安全；另外，需要部署Web防火墙，保证视频应用服务器的安

30、全。5. 1. 4. 平台内安全防护部署平台内的安全资源池，安全资源池具备策略准入控制、入侵检测及防御、病毒防护、应用攻击检测防护等功能，将来之平台外的流量牵引到安全资源池进行安全检测、防护、清洗，防止来之外部的网络攻击进入平台存储区及应用区。在服务器域内部署流探针,采集流量，并上送到管理区域中的态势感知系统, 进行高级威胁分析，并能联动安全控制器实现威胁闭环。孤,05. XWA 阚瓶行黑0225大数据安全分析流程图5. 1. 5.平台主机安全提供对公安视频图像智能化应用相关平台主机安全防护的能力，主要是通过主机安全管理系统对主机实现统一的基线管理、性能监控、进程守护、漏洞管理、补

31、丁管理、恶意代码防护、入侵防护。支持身份鉴别、主机访问控制、主机安全加固、防病毒、资源访问控制、外设管理等。5. 1. 6.虚拟化安全具备虚拟化安全防护的能力，通过网络隔离、存储隔离、计算隔离等虚拟化技术保护虚拟化资源安全，定期对虚拟机进行漏洞扫描、病毒查杀和安全加固。5. 1. 7.容灾备份具备对重要应用和数据的容灾备份能力，通过主备或多活形式保障重要应用高可用，定期在本地和异地对重要应用和数据进行备份，并定时进行恢复演练，确保重要应用和数据遭到破坏时可快速恢复。5. 2.数据安全数据安全的保护对象包括视频、图片、音频等数据，视频图像智能化该类数据具有数据种类多、数据体量大、数据敏

32、感性高等特点。其保护措施包括：视频文件防泄漏、视频应用审计、视频数据加密、数据备份恢复等。5. 2. 1.视频文件防泄漏通过对用户屏幕、文件、浏览器、应用软件等数据载体加载明文和密文水印, 实现防止用户拍照以及拍照后信息可追踪的目标。通过对用户屏幕、文件、浏览器、应用软件等数据载体加载明文和密文水印, 实现防止用户拍照以及拍照后信息可追踪的目标。桌面水印显示于用户计算机桌面上，不会遮挡应用程序窗口，只有在显示桌面的时候显示水印内容，用于显示保密原则、工作注意事项，宣传标语等。支持管理员自定义显示内容，支持和内网安全管理系统结合显示用户特征信息，例如用户姓名、主机名称、IP地址。支持管理员

33、定义水印字体、水印文字大小、水印文字颜色、水印文字透明度, 水印文字位置。屏幕水印显示于用户屏幕上，置于所有程序最前边，不管打开什么程序均不影响水印的显示，水印遮挡所有程序，用于需要显示常驻水印的用户场景。支持管理员定义水印显示条件，启动触发和违规触发。支持矢量水印、文字水印、二维码水印、图片水印。支持管理员自定义显示内容，支持和内网安全管理系统结合显示用户特征信息，例如用户姓名、主机名称、IP地址。支持管理员定义水印字体、水印文字大小、水印颜色、水印间距。打印水印显示于打印机输出的结果文件上，用于对于打印文件需要加载水印的用户场景。在编辑文档电子版的时候不受影响。支持配置敏感字检查，当

34、打印输出文件的时候检测到配置敏感字的时候触发水印条件，在纸质文件上显示水印信息。支持管理员自定义显示内容，支持和内网安全管理系统结合显示用户特征信息，例如用户姓名、主机名称、IP地址。支持管理员定义水印类型、水印大小、水印颜色。应用软件水印水印只显示于应用软件区域，可随应用软件界面大小变化而变化，不影响其他应用程序显示。用于用户只想保护特定数据的场景，例如只保护word里边的数据，效果为打开word的时候，只在word区域显示水印，防止word内容被拍照。支持管理员定义要显示水印的应用程序。支持水印透明度配置。5. 2. 2. 视频应用审计系统采用旁路镜像部署的方式，对视频数据流进行

35、协议还原。配制视频数据汇聚节点交换机，将视频数据流量镜像一份给采集设备模块，采集设备模块将视频数据流量中的视频数据丢弃，将视频数据流量中的视频信令数据记录并发送至分析设备模块，分析设备模块将视频信令数据按各视频厂商信令格式还原成视频操作信令语言并存入数据库，管理设备模块对入库的视频信令按预制规则进行报警、统计、展示。审计功能视频边界接入点审计部署于公安网与视频边界连接交换机处，对经过视频边界的访问行为进行审计，弥补现有视频边界只有准入无法审计、存储日志行为的问题，真正做到可控、可管、可溯源。对经过视频边界的审计行为进行归并分析，可以发现从内对外、从外对内对边界节点基于视频协议

36、的探测，可以发现仿冒视频协议的设备终端，提升视频边界的安全级别。视频专网网内审计部署于本级的视频专网交换机节点，对经过本级交换节点的视频数据进行审计。公安信息网网内审计部署于本级的公安信息网视频交换机节点，对经过本级交换节点的视频数据进行审计。审计数据分析访问失败根据视频信令返回结果记录访问失败日志，对管理员告警，通知运维部门，按辖区、时间、终端、应用、用户统计访问失败次数。访问异常根据视频信令返回结果记录访问异常日志，对管理员告警，通知运维部门，排查访问行为引起原因，是否有仿冒、攻击、探测行为。响应时间异常设定视频响应时间阀值，对视频响应时间超长的行为向管理员告警，通知运

37、维部门排查原因，按辖区、时间、终端、应用、用户统计超时次数。超时长访问设定视频查看时长阀值，对视频查看超时的行为向管理员告警，查看是否属于类似指挥中心大屏等访问终端，如果是加入白名单不再报警，如果不是排杳使用终端，是否有工作必要，可以节约视频网跨区带宽资源。跨管辖区访问根据摄像头编码规则、组织机构代码，划分各辖区和辖区所属摄像头、用户,对于跨管辖区访问行为告警，对于日常工作需要的加入白名单不再报警。非工作时间访问设定工作时间，对非工作时间访问行为告警，对于类似指挥中心大屏终端加入白名单不再报警。高频访问对于同一设备一分钟内请求（可以设置阀值）视频资源或一日、一月内请求多个不同

38、视频视频资源行为进行告警，排查是否有网络探测、攻击行为或存在网中网代理网关，对于类似指挥中心大屏终端加入白名单不再报警。未上报位置信息对于视频信令中未上传地理位置信息进行告警、记录，根据辖区进行比例排名考核，促进数据质量变好。新设备入网发现对新设备发现并告警，由管理员判断是否新入网设备，排查是否有新设备使用已有IP接入，是否存在私接路由器、AP现像。累计访问异常设定基于终端、用户的按日、按月访问次数阀值，对于累计访问超出阀值的用户向管理员进行提示，排查是否存在一用户、一终端多人共用现象。 . 2. 3. 视频数据加密具备使用密码技术保证重要数据在传输过程中、存储过程中的能力，包括

39、但不限于鉴别数据、视频数据、设备认证数据和信息等等重要数据在传输存储过程中安全的能力。视频加密保护系统采用数据加密的方式对视频文件形式的数据进行保护，加密以后的文件在系统内部可以正常使用，离开系统无法使用。从根本上保证视频文件的内容安全，防止内部人员有意或无意将总要视频文件泄露；防止离职人员将企业重要视频文件带离到外部；防止设备丢失造成重要视频文件的泄露。管理员可以通过配置文件安全策略并将其下发到客户端计算机上，对客户端的视频文件进行统一的管理和保护。在策略中管理员可以设置客户端的加密方式：用户主动方式或者系统强制方式。当设置为系统强制方式时，安装了视频文件安全管理系统的客户端

40、用户，在使用可信任应用程序下载视频文件时，系统将自动加密文档；当设置为用户主动方式时，安装了视频文件管理系统的客户端用户可以自主选择对所需的视频文件进行加密。无论使用哪种加密方式，都不会影响视频文件的正常使用，不会改变用户正常使用视频文件行为方式。视频文件安全流转视频文件安全流转，系统提供了文件授权的功能；向外视频文件安全流出，系统提供了视频文件外发的功能。加密视频文件外发是内网中的视频文件，需要在不泄密前提下，正常在视频专网以外网使用，同时还要控制对方使用文档的权限的时候使用的功能。获取文档的用户需要进行身份认证通过后才能具有对文档的浏览权限。外发的加密视频文件的创建不破坏原视

41、频文件。本系统的文档外发功能，具有以下的特点：1）支持批量外发文件，不受文件类型的限制2）使用文件加密技术和虚拟卷加密技术保证外发文档安全3）支持对文件使用权限控制和外发文件内容安全防护4）提供外发文件归档和提取源文件的功能5）支持口令和授权码两种外发文件打开时的认证方式视频文件操作审计与追溯功能本系统提供对终端计算机上视频加密文件的分布状况的展示和文件内容来源的追溯功能；提供对终端操作视频文件行为操作的详细审计功能；提供对终端用户使用本系统功能的行为的详细审计，包括文档审批日志、用户登陆日志、外发文档日志、通道防护日志、制作授权文件日志、授权文件使用日志、文档备份日志、还原备份文档日

42、志等日志审计信息。通过以上的所有审计信息提供全方位的操作审计平台。5. 2. 4.数据备份恢复具备重要数据的本地数据备份与恢复能力。对于重要关键数据提供及时备份功能，具备重要数据处理系统的系统冗余，保证高可用性。数据备份主要作用是为数据库提供一个数据保护的方法，当事故发生时，能够快速有效地恢复数据，达到“业务不停止，数据不丢失”的目的。数据备份应能提供定时的自动备份的能力。在自动备份过程中，还要有日志记录功能，并在出现异常情况时自动报警。随着用户业务的不断发展，产生的数据越来越多，数据更新越来越快，在预定的时间窗口里可能来不及备份如此多的内容，而在业务繁忙的时间段里,备份又会影响系

43、统性能,这就要求备份系统支持多种备份技术, 能够显著地提高备份性能，适应不断变化的数据环境的扩充。数据备份的最终目的是数据恢复，对数据恢复的要求肯定是快速、准确、无误。数据备份在提供强大功能的同时，充分考虑维护人员操作习惯，对后台的操作进行了优化与整合。对于大数据平台中所使用到的传统关系型数据库，如Mysql、Oracle、MPP 数据库等，采用集中式的数据备份与恢复，利用镜像和RAID技术来保证平台数据的物理安全性。各级数据库需要采取定期备份，异地备份等措施。其中定期异地备份（采取增量传输），针对业务需求的不同，选择采取同步复制和异步复制。对重点数据库系统，采取镜像技术保障数据库的

44、安全。对于Hadoop分布式体系，由Hadoop体系架构自身的多副本机制实现数据安全，可以无需额外的数据备份机制。5. 2. 5.剩余数据销数据作为重要资产，数据的安全性问题越来越突出。数据面临着诸如数据丢失、数据被篡改、数据被盗等各种数据安全问题。特别是随着云计算技术在数据中心的广泛采用，云计算数据的处理和存储都在云平台上进行，计算、存储资源的拥有者与使用者相分离，由此而产生的用户对自己数据的安全存储和隐私性的担忧是不可避免的。数据销毁，是指用户敏感数据（系统管理数据、用户鉴权数据、重要业务数据等敏感数据）所使用存储空间在被重新分配给其他用户使用前要被彻底擦除, 以确保原用户敏感

45、信息安全性。数据销毁，应可在存储设备中得到全面实现。使用户无需担心自己的敏感数据信息会因存储资源的重分配而遭泄漏。存储设备可将存储空间划分成多个小粒度的数据块，基于数据块来构建组，使得数据均匀地分布到存储的所有硬盘上, 然后以数据块为单元来进行资源管理，大小范围是动态可调。数据删除时，系统进行资源回收时，小数据块链表将被释放。存储资源重新利用时，再重新组织小数据块，保证数据的销毁。1 .整体安全方案设计安全方案设计理念统一建设安全可控的网络安全基础设施，在满足国家网络安全等级保护标准的基础上，加强网络安全纵深防御和联动协防能力，通过建立有效应对APT攻击防御的全网协同的智能“自免疫

46、”安全防御体系，实现对全网威胁的态势感知。基于 AI+大数据”安全分析，覆盖APT攻击链全过程。覆盖全攻击链实现网络主动诱捕，布下天罗地网。通过对接入终端的准入控制、对网络流量、网络质量、网络应用协议等进行多维度流量识别和威胁检测分析，能够将威胁信息转化为防护策略下发给网络和安全设备，规避数据在传输过程中存在被窃听、篡改风险，防止威胁的内部扩散。可以按照分析器、控制器、执行器划分，实现网络安全“智能检测”、“智能处置”和“智能运维”，从被动、单点防御到主动、整网防御，从人工运维到智能运维，做到云网安一体化协同，并能对整网的威胁状态做到态势感知。通过全网监控，对网络行为数据进行深

47、度钻取，及早发现威胁，及时闭环处置。首先，传统基于签名的静态分析手段无法有效地检测新型威胁，将AI引入到安全，采用深度神经网络算法和机器学习技术，实现从被动防御向主动防御的转变。其次，面对威胁在内网的横向传播，将安全融入到网络，“网络+安全”全网防御方案，防止内部横向扩散，实现从单点防御到全网防御的转变。最后，为应对大量的安全问题，需要执行一系列的处置动作，安全策略也变得纷繁复杂，基于业务的策略自适应，完成策略的动态调整和优化，实现从人工运维到智能运维的转变。5. 3.应用安全应用安全保护对象包括各类应用系统。具有业务系统种类多、访问量大、可用性要求高等特点。其保护措施包括：应用访问控制、应用内容防护、应用脆弱性防护、应用攻击防护等。5. 3. 1. 应用访问控制针对用户访问应用的过程，进行身份认证、授权、鉴权。5. 3. 2.应用内容防护针对应用系统界面、敏感数据进行安全保护，主要涉及应用展示脱敏、应用数字水印、网页防篡改、应用数据反爬、防录屏等。5. 3. 3.应用脆弱性防护针对应用的脆弱性进行安全防护，主要包括应用代码安全审计、应用漏洞扫描、应用漏洞修复和应用安全基线核查等内容。5. 3. 4.应用攻击防护针对应用攻击行

展开阅读全文