解决方案
雪亮工程,即公共安全视频监控建设联网应用,以“全域覆盖、全网共享、全时可用、全程可控”为总目标,以公安机关视频图像共享平台为核心,以既有的政府信息管理系统为基础,以城乡网格化建设为抓手,分级有效整合各类视频图像资源,最大限度实现公共区域视频图像资源的联网共享,为反恐维稳、治安防控、应急处理、企业/个体服务、群众服务、城市文明提供强有力的可视化信息支撑。
在雪亮工程建设中,不但面临网络安全等级保护监管合规的要求,同时也面临着视频终端设备违规入网,视频终端设备存在安全脆弱性被非法控制,数据中心遭遇恶意入侵攻击,恶意代码传播以及视频数据泄露等安全风险。
针对雪亮工程建设中,前端资产管理难,违规入网发现难,专网终端、数据安全管控难,内网安全运维难等网络安全问题,参考公安部对视频专网的安全防护策略,按照公安部“严控边界、纵深防御、主动监测、全面审计”的要求,提出了以全程可控为目标的防护理念,构建全程覆盖的安全管理机制、全网防控的安全保障技术体系。
在安全方案设计中,按照信息安全等级保护建设的经典方法,从安全域规划、前端资产管理、安全区域边界、安全内网建设、安全管理平台等方面分别进行设计,形成兼顾传统、面向未来,实现信息安全等级保护与新技术安全有机结合的雪亮工程安全体系架构。
1. 前端接入区
前端接入区安全防护主要实现对各类前端接入设备的有效识别和安全管理。
前端接入区主要包括前端接入的摄像机及其他设备。应建立前端安全防护机制,实现对前端接入资源的有效识别和安全管理。
2. 横向边界安全
公共安全视频监控网络横向边界主要涉及视频专网络与公安信息网、其他专网和互联网等公共网络的边界,不同网络边界之间应部署横向边界安全交互设施,主要包括:公安信息网视频边界接入平台、其他专网边界交互平台和互联网边界交互平台。
3. 纵向边界安全
纵向边界区主要实现本级视频专网与上级或下级视频专网的安全连接和访问控制。为了防止来自上下级视频专网间的非法访问,应在纵向边界区配备相应安全设备或采用相关安全技术手段,并制定详细的访问控制策略,实现端口级、细颗粒度的访问控制。
4. 视频专网安全
视频专网安全防护主要实现对本级网络内应用系统、设备及视频信息的安全保障和安全管理。
视频专网内的系统及设备主要包括:视频专网内相关网络设备、终端、各类通用和专用服务器、存储设备、相关应用系统等设备。
遵循满足业务发展、适度防护的原则,应采用漏洞扫描、系统加固、防病毒、资源探测、入侵检测、web应用安全防护、网络审计、身份认证、日志审计、安全运维、安全态势感知等安全技术措施进行安全防护,提升系统应用区的整体安全水平。
