视频专网系统安全技术方案.docxVIP

视频专网系统安全 技术方案 第 第 I 页 第 第 II 页 正文目录 第 一 章 视频专网系统安全 1 1.1 视频专网安全形势 1 1.2 视频专网安全体系 1 第 二 章 视频专网安全建设 2 2.1 前端安全 2 前端摄像机系统安全 2 前端摄像机接入安全 2 2.2 终端安全 6 终端系统安全 7 终端使用安全 7 2.3 网络安全 8 行业业务网接入安全 9 行业专网和社会资源接入安全 10 互联网接入安全 11 视频专网数据中心安全 12 物理传输安全 14 2.4 主机安全 15 主机物理安全 15 主机系统安全 16 2.5 应用安全 16 第 第 PAGE \* ROMAN IV 页 应用系统账号管理 16 应用系统攻击风险 18 2.6 数据安全 18 数据传输安全 18 数据存储安全 19 2.7 管理制度建设 20 管理制度建设 20 人员技术提升 20 第 三 章 视频专网安全等级 21 3.1 视频专网等级保护一级要求 21 3.2 视频专网等级保护二级要求 22 3.3 视频专网等级保护三级要求 24 表格目录 表 1 相关接入技术 3 表 2 接入方案 3 表 3 互联网接入方案 12 表 4 视频专网一级 21 表 5 视频专网二级 22 表 6 视频专网三级 24 图片目录 图 1. 视频专网安全体系图 1 图 2. IP/Mac 绑定技术 4 图 3. 802.1x 接入技术 . 5 图 4. PPPOE接入技术 5 图 5. IPOE 接入技术 6 图 6. 准入流程 8 图 7. 行业业务网接入 10 图 8. 行业专网和社会汇聚网接入 11 图 9. 互联网接入 11 图 10. 数据中心安全 14 图 11. 链路设备冗余 15 图 12. 部署运维审计系统 17 第 第 PAGE 10 页 第 一 章 视频专网系统安全 视频专网安全形势 视频专网安全建设的目的是以视频数据为中心， 以数据的机密性、 可用性和完整性为准则，对视频数据采集、编码、传输、存储、查看过程中可能产生的安 全问题进行预判， 视频专网安全存在外部安全风险和内部安全风险， 外部安全风险主要表现为前端非法接入、数据监听泄露、病毒入侵、 DDOS 攻击等；内部安全风险主要表现为管理不当引起的内部攻击、 病毒传播、敏感数据泄露和非授权访问等，视频专网安全建设需要结合技术手段和制度管理两方面来共同实现。 视频专网安全体系 视频专网安全体系主要由前端安全、终端安全、网络安全、主机安全、应用安全、数据安全和管理安全七个层面共同组成，如下图显示： 图1. 视频专网安全体系图 第 二 章 视频专网安全建设 前端安全 前端摄像机工作在视频专网边缘且数量众多， 在摄像机出现异常时管理员可能无法做出及时有效的处理， 因此，前端安全可分为摄像机系统安全和摄像机接入安全。 前端摄像机系统安全 问题描述： 前端摄像机系统管理过程中存在密码被破解、非授权 IP 地址访问、应用交互数据被窃取和缺少对人员行为审计的问题。 解决方案： 可以通过以下措施加强前端摄像机安全性： 1、 强密码功能，在终端初次登陆系统时，更改密码复杂度； 2、 账号锁定功能，在密码多次错误时锁定账号，防止暴力破解； 3、 IP 地址过滤功能，任意终端与摄像机网络可达时，只有特定 IP 地址才可以访问摄像机； 4、 应用层安全访问功能，在对应用平台进行管理时，采用 Https 协议实现加密访问； 5、 人员操作日志保存，在管理人员对摄像机进行操作时，对操作行为进行审计； 前端摄像机接入安全 问题描述： 前端摄像机接入安全需要考虑如何对前端接入设备身份进行识别， 前端摄像机一般通过以太网口接入视频专网当中， 那么除了前端摄像机可接入到以太网接入节点之外， 非法终端也可以通过此以太网接口接入到专网中， 对视频专网造成 安全威胁。 安全威胁。 解决方案： 前端摄像机接入安全可通过以下五种技术实现： 表1 相关接入技术 技术 技术实现 IP/Mac 绑定技术 通过对接入交换机配置 IP/Mac 绑定关系实现 802.1x 接入技术 通过强制终端进行认证实现接入安全 PPPOE 接入技术 通过强制终端进行认证实现接入安全 IPOE 接入技术 通过强制终端进行认证实现接入安全 访问控制技术 通过对接入交换机中配置访问控制策略实现 上述五种接入安全技术可以单一使用， 也可以组合实现， 多种技术组合可提 升终端接入安全级别，方案如下： 表2 接入方案 接入技术选择 安全性 802.1x （ PPPOE ， IPOE