一、方案概況

　　隨著物聯網技術和視頻監控技術的發展以及“天網工程”“平安城市”“雪亮工程”等工程的順利部署落地，各地市逐漸形成了覆蓋城市、鄉鎮、公路的視頻傳輸網完成對重點區域實時監控覆蓋，全面提升了對突發案件、群體性事件、重大保衛活動的監控力度和響應能力，為社會穩定、城市安全提供了堅實的技術基礎。與此同時，公共安全視頻網因具有設備數量多、24 小時在線、接入帶寬高和聯網攝像頭安全防護差等特點使其成為不法分子的目標，通過利用弱口令及其它系統漏洞來實施威脅國家、社會、企業和家庭安全的不法行為。

　　山東華軟金盾軟件股份有限公司的“公共安全視頻網安全 + 運維解決方案”，是按照公安部《關于加強公安視頻監控安全管理工作的通知》《公安視頻傳輸網建設指南》等政策標準要求，對公共安全視頻傳輸網進行安全及運維建設，按照“嚴控邊界、縱深防御、主動監測、全面審計”的防護原則，完善技術防護體系，構建貫穿前端攝像機、傳輸網絡、核心設備、管理平臺、使用終端等視頻網核心應用全流程的安全防護技術體系，保障公共安全視頻網安全、穩定、可靠運行。

　　二、需求描述

　　1. 網絡安全需求

　?。?）前端攝像機安全。由于攝像機等前端設備部署分布極為廣泛，在視頻傳輸網邊界極易出現設備惡意替換、惡意入侵網絡、設備被盜取等事件，更有甚者盜取視頻傳輸網涉密數據甚至控制邊界攝像機設備發起攻擊。

　?。?）視頻數據安全。由于公共安全視頻網的敏感性和特殊性，保障系統的數據安全是非常關鍵、非常必要的，專網保存有大量的敏感視頻數據，一旦泄露，會危害到社會穩定和個人隱私，嚴重地將會威脅國家安全。

　　2. 運維管理需求

　?。?）資產管理需求。視頻網涉及海量前端設備及其他配套設備，需要全面掌握資產數量、資產狀態等情況。

　?。?）閉環運維需求。及時將需要人工干預的告警推送至視頻監控系統運維平臺進行工單化處理，從而達到安全風險動態感知、閉環處理。

　?。?）圖像質量診斷需求。提高視頻圖像質量的診斷、告警及運維效率，要求圖像質量風險需緊密貼合行業標準，對視頻圖像問題進行巡檢診斷、即時告警、生成報表。

　　三、系統架構

　　系統安全分區防護、一體運維的整體架構

　　進行設計。

　　本系統在前端接入區、系統應用區對公共安全視頻網進行重點防護，針對前端接入區提供前端設備身份認證識別、準入控制、GIS 地圖定位等功能；在系統應用區，在等保 2.0 標準要求的安全建設之外，補充視頻數據安全防護功能。并對公共安全視頻網進行包含資產管理、監控管理、告警管理、運維管理、應用管理五大部分的一體化運維管理。

　　四、系統功能

　　本方案主要功能如下：

　　1. 前端接入安全管理

　?。?）設備發現識別。對視頻監控網絡內的所有前端設備進行主動探測 + 被動協議分析兩種方式進行發現與識別，將探測的前端設備信息與后臺合法設備數據進行綜合驗證，對接入設備進行標定。

　?。?）網絡拓撲管理。系統可根據網內的設備連接真實情況，繪制網絡拓撲架構圖，可顯示相關設備的 IP 地址、設備廠商等信息。

　?。?）碼流延遲管理。通過監控攝像頭的碼流延遲，不僅確定攝像頭是否正常工作，還可以確定工作狀況是否良好。

　?。?）GIS 地圖展示。系統融入了地圖離線包，抽取攝像頭地理位置信息，并將攝像頭分布情況自動關聯至矢量地圖。

　　2. 視頻數據安全管理

　?。?）本地存儲訪問安全。系統提供虛擬安全磁盤存儲空間，保障終端用戶下載至本地視頻數據的安全。

　?。?）數據對外交互安全。系統為用戶提供基于視頻數據使用權限控制的視頻數據外發解決方案。

　?。?）數據直接導出安全。對導出的視頻數據進行視頻水印處理，即直接將水印內容寫進視頻數據本身。

　?。?）數據對外展示安全。針對客戶現場投屏場景，為用戶提供大屏水印解決方案。

　?。?）流程化審批管理。系統對導出及外發視頻數據操作可設置靈活審批流程，支持單級審批、多級審批及會簽審批。

　　3. 一體化運維管理

　?。?）資產管理。對視頻網內設備資產提供發現識別、分類管理、GIS 展現、關聯關系、資產分析等管理功能。

　?。?）監控管理。對前端設備、網絡鏈路、網絡設備、后臺設備、后臺系統進行整體運行監測監控。

　?。?）告警管理。對設備告警進行告警聚合、告警定位，方便運維人員及時處理。

　?。?）運維管理。通過工單引擎、人資管理，合理配置運維工單、管控運維進度。

　?。?）應用管理。提供地理信息、IP 地址信息管理及運維考核功能。

　　五、系統特點

　　1. 海量前端安全管理。針對視頻網海量前端進行安全準入控制，避免了替換、仿冒、破壞前端對視頻網造成的安全威脅，在感知層保障視頻網安全。

　　2. 全品類資產梳理。對視頻網涉及的多種類型設備進行全面識別，掌握各資產運行狀態，避免“千里之堤，毀于蟻穴”的問題。

　　3. 全場景視頻數據安全。對視頻網中視頻數據涉及的應用場景全盤考量，確保視頻數據應用安全、可追溯。

　　4. 一體化運維管理。對視頻網的前端、網絡、系統乃至機房完成一體化運維管理，避免分散建設、分散運維對視頻網穩定運行帶來的風險。

　　六、系統優勢

　　1. 資產識別全面。對視頻網涉及的前端監控、智能設備箱、網絡設備、服務器、數據庫、中間件、安全設備全面識別發現。

　　2. 應用場景細致。對視頻數據本地訪問、下載、外發、導出、展示等應用場景均提供安全防護，同時不破壞原始視頻數據。

　　3. 貼合實戰應用。在安全及運維建設的基礎上，不影響公安政法實戰業務應用，并滿足多種角色考核需求。

　　七、創新技術

　　1. 主被動全面資產識別發現。采用主動網絡協議探測、被動數據流分析等相結合的探測方式，完整收集、全面探測網絡內設備信息、拓撲結構、空間分布等信息。通過內置豐富的特征指紋庫、規則庫和設備特征識別技術，對入網的各種設備、業務進行組合式精準識別。

　　2. 先進的網絡準入管理。采用全新一代NACP 準入控制技術，實現對視頻網終端的入網管理，阻止非法移動終端任意接入網絡。NACP 準入控制技術不依賴任何交換機等網絡設備，不會改變用戶網絡拓撲架構，可滿足各種復雜網絡、混合型部署網絡和縱級大型網絡的準入管理要求。

　　3. 多水印類型應用。顯式水印和隱式水印設計方案，更能夠滿足用戶復雜的視頻數據溯源處理環境，同時隱式水印能夠最大限度降低水印對使用者的視覺刺激。

　　4. 全方位行為檢測。實現對視頻網維護人員訪問視頻資源的行為記錄功能，能夠實現對視頻資源的查看行為、相關參數修改行為、云臺控制，歷史回放等行為的記錄與告警，從而防止不法分子非法訪問視頻資源，造成信息泄露等安全事件。