目录
一、概述
1.1 应用背景
1.2 总体目标
1.3 设计原则
1.4 设计依据
1.5 术语解释
二、需求分析
2.1 政策分析
2.2 业务分析
2.3 系统需求
三、系统总体设计
3.1设计思路
3.2总体架构
3.3联网技术要求
四、视频整合及汇聚接入
4.1设计概述
4.2社会视频资源分类
4.3网络传输链路整合
4.4社会视频资源接入
4.5视频存储备份设计
4.6社会视频接入平台设计
4.6.1平台架构
4.6.2平台技术路线
4.6.3平台模块组成
4.6.4平台业务功能
4.6.4.1视频预览
4.6.4.2录像回放
4.6.4.3抓拍抓录
4.6.4.4视频轮巡预案
4.6.4.5电视墙
4.6.4.6告警管理
4.6.4.7日志管理
4.6.4.8 服务器时间校正
4.6.5平台管理功能
4.6.6平台运维功能
4.6.7平台部署
4.7整合接入安全性设计
4.7.1前端设备安全
4.7.2网络边界安全
4.7.2.1互联网边界安全设计
4.7.2.2行业专网边界安全设计
4.7.2.3公安视频专网边界安全设计
4.7.3网络入侵防护
4.7.3.1入侵防御系统
4.7.3.2网络防病毒
4.7.3.3漏洞扫描系统
4.7.3.4 WEB应用防护
4.7.3.5数据库审计系统
4.7.4系统应用安全
4.7.4.1访问身份安全认证
4.7.4.2数字摘要加密认证
4.7.4.3系统冗余及安全备份
一、概述
1.1 应用背景
本节略,若有兴趣, 可以参考前面的文章:
《项目方案:社会视频资源整合接入汇聚系统解决方案(一)》
1.2 总体目标
本节略,若有兴趣, 可以参考前面的文章:
《项目方案:社会视频资源整合接入汇聚系统解决方案(一)》
1.3 设计原则
本节略,若有兴趣, 可以参考前面的文章:
《项目方案:社会视频资源整合接入汇聚系统解决方案(一)》
1.4 设计依据
本节略,若有兴趣, 可以参考前面的文章:
《项目方案:社会视频资源整合接入汇聚系统解决方案(一)》
1.5 术语解释
本节略,若有兴趣, 可以参考前面的文章:
《项目方案:社会视频资源整合接入汇聚系统解决方案(一)》
二、需求分析
2.1 政策分析
本节略,若有兴趣, 可以参考前面的文章:
《项目方案:社会视频资源整合接入汇聚系统解决方案(一)》
2.2 业务分析
本节略,若有兴趣, 可以参考前面的文章:
《项目方案:社会视频资源整合接入汇聚系统解决方案(一)》
2.3 系统需求
本节略,若有兴趣, 可以参考前面的文章:
《项目方案:社会视频资源整合接入汇聚系统解决方案(一)》
三、系统总体设计
3.1设计思路
本节略,若有兴趣, 可以参考前面的文章:
《项目方案:社会视频资源整合接入汇聚系统解决方案(二)》
3.2总体架构
本节略,若有兴趣, 可以参考前面的文章:
《项目方案:社会视频资源整合接入汇聚系统解决方案(二)》
3.3联网技术要求
本节略,若有兴趣, 可以参考前面的文章:
《项目方案:社会视频资源整合接入汇聚系统解决方案(二)》
四、视频整合及汇聚接入
4.1设计概述
本节略,若有兴趣, 可以参考前面的文章:
《项目方案:社会视频资源整合接入汇聚系统解决方案(三)》
4.2社会视频资源分类
本节略,若有兴趣, 可以参考前面的文章:
《项目方案:社会视频资源整合接入汇聚系统解决方案(三)》
4.3网络传输链路整合
本节略,若有兴趣, 可以参考前面的文章:
《项目方案:社会视频资源整合接入汇聚系统解决方案(三)》
4.4社会视频资源接入
本节略,若有兴趣, 可以参考前面的文章:
《项目方案:社会视频资源整合接入汇聚系统解决方案(四)》
4.5视频存储备份设计
本节略,若有兴趣, 可以参考前面的文章:
《项目方案:社会视频资源整合接入汇聚系统解决方案(四)》
4.6社会视频接入平台设计
4.6.1平台架构
本节略,若有兴趣, 可以参考前面的文章:
《项目方案:社会视频资源整合接入汇聚系统解决方案(五)》
4.6.2平台技术路线
本节略,若有兴趣, 可以参考前面的文章:
《项目方案:社会视频资源整合接入汇聚系统解决方案(五)》
4.6.3平台模块组成
本节略,若有兴趣, 可以参考前面的文章:
《项目方案:社会视频资源整合接入汇聚系统解决方案(五)》
4.6.4平台业务功能
4.6.4.1视频预览
本节略,若有兴趣, 可以参考前面的文章:
《项目方案:社会视频资源整合接入汇聚系统解决方案(六)》
4.6.4.2录像回放
本节略,若有兴趣, 可以参考前面的文章:
《项目方案:社会视频资源整合接入汇聚系统解决方案(六)》
4.6.4.3抓拍抓录
本节略,若有兴趣, 可以参考前面的文章:
《项目方案:社会视频资源整合接入汇聚系统解决方案(六)》
4.6.4.4视频轮巡预案
本节略,若有兴趣, 可以参考前面的文章:
《项目方案:社会视频资源整合接入汇聚系统解决方案(六)》
4.6.4.5电视墙
本节略,若有兴趣, 可以参考前面的文章:
《项目方案:社会视频资源整合接入汇聚系统解决方案(七)》
4.6.4.6告警管理
本节略,若有兴趣, 可以参考前面的文章:
《项目方案:社会视频资源整合接入汇聚系统解决方案(七)》
4.6.4.7日志管理
本节略,若有兴趣, 可以参考前面的文章:
《项目方案:社会视频资源整合接入汇聚系统解决方案(七)》
4.6.4.8 服务器时间校正
本节略,若有兴趣, 可以参考前面的文章:
《项目方案:社会视频资源整合接入汇聚系统解决方案(七)》
4.6.5平台管理功能
本节略,若有兴趣, 可以参考前面的文章:
《项目方案:社会视频资源整合接入汇聚系统解决方案(八)》
4.6.6平台运维功能
本节略,若有兴趣, 可以参考前面的文章:
《项目方案:社会视频资源整合接入汇聚系统解决方案(八)》
4.6.7平台部署
本节略,若有兴趣, 可以参考前面的文章:
《项目方案:社会视频资源整合接入汇聚系统解决方案(八)》
4.7整合接入安全性设计
按照“不安全,不建设”的原则,在社会视频接入平台建设过程中,需始终把信息安全放在第一位,从加强前端设备安全、网络边界安全、网络传输与接入安全防护、提升应用安全管理策略、加强用户日志审计等措施确保图像信息数据的安全性。
4.7.1前端设备安全
前端设备要提高密码安全级别。首次使用设备应修改密码。建议定期修改密码, 且前端设备的口令必须采用大小写字母、数字和特殊字符组成,口令长度不少于8位,关闭不使用的服务端口。
同时需进一步规范社会面监控资源建设,确保源头信息的形式统一、更新及时、流程规范、安全可靠。
4.7.2网络边界安全
社会资源网与互联网、行业专网、公安视频专网之间形成了多个网络边界区域,要采用相应的安全措施,从而实现各网络与社会资源网之间的通信与网络安全。
4.7.2.1互联网边界安全设计
在社会单位互联网侧部署安全接入盒子或社会资源接入终端,社会视频接入平台互联网侧部署安全接入网关,可配合前置安全接入盒子提供加密的VPN通信隧道,轻松的穿越各种复杂私网,进行控制信令与码流的传输,防止数据在互联网传输过程中被篡改或窃取,又能够有效地保证被接入单位的信息安全。
VPN(Virtual Private Network,虚拟专用网)是一种基于公共数据网的报文封装技术,在公共网络中建立虚拟局域网,实现基于广域网的虚拟局域网。VPN采用了隧道技术、加解密技术、密钥管理技术和使用者与设备身份认证技术。它通过对数据进行加密和隧道传输,确保数据传输过程的安全性和私密性。VPN广泛应用于各种网络环境中,以满足企业与个人对安全、便捷网络连接的需求。
通过在终端与监控服务器之间建立一条应用层通道,通道建立后,客户端和服务器之间发送的监控业务报文,包括SIP报文、媒体流报文或者其他使用到的协议报文,都通过应用层通道进行转发,保证网络资源不被非法使用和访问。应用通道在建立完成之后,各设备都会得到一个新的虚拟IP地址。后续各设备之间在进行监控业务交互时,都使用虚拟地址进行交互。
除VPN虚拟通道功能外,安全接入网关同时具备网络防火墙功能,满足互联网网络边界防护和安全隔离需要。
注意:安全接入网关主要配合安全接入盒子打通安全传输通道,社会资源接入终端则是先穿透安全接入网关,然后与社会视频接入平台中部署的视频接入网关来配合打通安全传输通道,因此上图中安全接入网关一方面用于配合安全接入盒子实现VPN隧道传输,另一方面可用于互联网边界处的逻辑隔离和安全防护,当然如果项目预算充裕,可考虑在安全接入网关前再配置一台高性能的下一代防火墙,以增强整体方案的安全性。
4.7.2.2行业专网边界安全设计
社会资源网与各社会单位行业专网之间应通过防火墙进行逻辑隔离和访问控制限制,开放必须的应用服务端口,其他所有端口和服务,均利用访问控制列表进行过滤。并对流经的数据进行包过滤,实现社会资源网的边界安全,保证视频资源接入以及用户访问的安全性。
社会视频接入平台需要与前端视频终端进行双向控制信令交互,通过防火墙双向透传,码流要求只允许从行业专网进入社会视频接入平台,不允许由社会视频接入平台流出,通过配置防火墙的安全策略实现单向透传。
防火墙主要功能:
- 状态安全过滤:支持基础、扩展和基于接口的状态检测包过滤技术;支持应用层报文过滤协议,支持对每一个连接状态信息的维护监测并动态地过滤数据包,支持对应用层协议的状态监控。
- 完善的访问控制特性:支持基于源IP、目的IP、源端口、目的端口、时间、服务、用户、文件、网址、关键字、邮件地址、脚本、MAC地址等多种方式进行访问控制;支持流量管理、连接数控制、IP+MAC绑定、用户认证等。可以阻止或允许特定类型的网络流量,例如基于IP地址、端口号或协议类型。可以提高安全性,防止数据泄露和减少网络滥用。
- 应用层内容过滤:可以有效的识别网络中各种P2P模式的应用,并且对这些应用采取限流的控制措施,有效保护网络带宽;支持邮件过滤,提供SMTP邮件地址、标题、附件和内容过滤;支持网页过滤,提供HTTP URL和内容过滤。
- NAT应用支持:提供多对一、多对多、静态网段、双向转换 、IP和DNS映射等NAT应用方式;支持多种应用协议正确穿越NAT功能。
- 入侵检测和防御:防火墙可集成入侵检测系统(IPS)和入侵防御系统(IPS),能够主动识别和阻止攻击尝试。
- 网络隔离:防火墙可以在不同的网络区域之间建立边界,例如DMZ(非军事区)或内部网络和外部网络之间,以限制攻击范围。
- 认证服务:支持本地用户、RADIUS、TACACS等认证方式;支持基于用户身份的管理,实现不同身份的用户拥有不同的命令执行权限,并且支持用户视图分级,对于不同级别的用户赋予不同的管理配置权限。
4.7.2.3公安视频专网边界安全设计
在社会资源网与公安视频专网边界处部署视频安全网闸,进行控制信令与码流的传输交换。这样即可以保证公安视频专网的保密性、安全性,又可以实现公安对外部社会单位监控资源的管理和监控。
视频安全网闸主要指传输视频信息的专用隔离网闸,其安全功能如下:
1)网络隔离:实现社会资源网与公安视频专网的网络隔离,切断所有基于网络协议的连接,确保视频专网的安全。
通过视频安全网闸,传输的是裸数据,而非是路由器或者交换机可识别接收的数据包或者数据帧。从OSI模型的链路层到应用层均不通,有效的隔离了基于从网络层到应用层的攻击行为,确保了网络平台互联系统的高安全性。
2)单向传输:严格区分视频数据流和控制信令流,并严格控制视频流传输的方向,视频数据流必须采用单向传输方式,确保没有反向的视频流从视频专网流出。
视频安全网闸是一种使用带有多种控制功能的固态开关读写介质,连接两个独立主机系统(通常是内部网络和外部网络)的信息安全设备。它通过物理隔离和数据摆渡的方式,确保内部网络的安全,同时允许必要的数据交换。视频安全网闸通过物理隔离和数据摆渡的方式,有效保障了内部网络的安全性和数据的完整性。同时,随着技术的不断进步,其性能和功能也在不断提升和完善。其基本原理如下图所示:
由上图可以看出,安全隔离系统(安全网闸)可以隔离内部网络和外部网络,起到物理隔离的作用。
4.7.3网络入侵防护
在社会资源网与外部网络之间需要部署入侵防御设备,实现对外部网络实时监测网络数据流、监视和记录内外部网络的用户出入网络的相关操作,防护外部网络对社会资源网进行的木马植入、拒绝服务、黑客攻击、蠕虫、后门等攻击行为。同时通过部署网络防病毒、漏洞扫描、WEB应用防护、数据库审计等系统提高系统整体安全性及抗风险能力。
4.7.3.1入侵防御系统
防火墙的边界保护是安全域边界的基本保护措施,通过防火墙的控制列表可以把非法的用户和访问行为杜绝与安全域外,但防火墙无法实现对合法用户或者合法的访问行为中所包含的入侵攻击行为进行控制,通过部署入侵防御系统,很大的可以弥补防火墙的不足之处。入侵防御系统与防火墙互补,构建七层防御体系。
在社会资源网边界部署入侵防御设备,采用动态和静态相结合的方式,通过攻击特征库匹配、漏洞机理分析、应用还原重组、网络异常分析等主要技术,实现社会视频接入平台精确抵御黑客攻击、蠕虫、木马、后门、间谍软件、灰色软件、网络钓鱼,全面防御轻量级的DDOS攻击,可以有效的保护社会视频接入平台服务资源。
入侵防御主要功能:
- 坚固的入侵防御体系:具有完善的攻击特征库;具漏洞机理分析技术,精确抵御黑客攻击、蠕虫、木马、后门;具应用还原重组技术,抑制间谍软件、灰色软件、网络钓鱼的泛滥;具网络异常分析技术,全面防止拒绝服务攻击。
- 动、静态检测功能:动态检测与静态检测融合,基于原理的检测方法与基于特征的检测方法并存。
- 入侵防御设备对事件过滤系统支持采用攻击发生时间范围、事件名称、事件类别、所属服务、源网络范围、目的网络范围、触发探测器、攻击结果、事件动作等多种粒度过滤探测器所产生的告警日志。
- 入侵防御设备在一定周期内产生报表系统提供了详细的综合报表、自定义多个类别的报表模板,支持生成:日、周、月、季度、年度综合报表。报表支持MS Word、Html、JPG格式导出。同时支持定时通过电子邮件发送报表至系统管理员。
4.7.3.2网络防病毒
计算机病毒是系统安全中需要防范的风险,病毒可以导致中心平台服务拒绝、破坏数据,甚至使平台服务器系统完全瘫痪。因此需在平台服务器、终端上安装网络版杀毒客户端软件,对病毒行为进行深度分析,智能实时检测、监控、拦截各种病毒行为,对恶意代码进行有效防护,满足病毒防护的需求。
网络防病毒主要功能:
1)病毒防范和查杀能力:开启实时监控后能完全预防已知病毒的危害;可防范、检测并清除隐藏于电子邮件、公共文件夹及数据库中的计算机病毒、恶性程序、病毒邮件;能有效预防、查杀映像劫持类型的病毒;可以防范网页中的恶意代码;压缩文件、打包文件查杀毒(在不加密的情况下,不限层数);内存查杀毒、运行文件查杀毒、引导区查杀毒;支持图片、视频等多媒体文件的查杀毒;邮件接收、发送检测;邮件文件静态检测、杀毒;同时支持Foxmail、Outlook、OutlookExpress、Notes和Mozilla等常见客户端邮件系统的防(杀)病毒;能够有效查杀各类Office文档中的宏病毒 支持共享文件的病毒查杀;具有未知病毒检测、清除能力;
2)升级管理:
- 依据策略,全网统一自动升级,不需要人为干涉;
- 增量升级(包括系统中心从网站升级,客户端从系统中心升级,下级中心;从上级中心升级),以减少升级时带来的网络流量;可设置升级周期和升;级时间范围,实现及时升级并避免升级时占用网络带宽影响用户正常业务的通讯;
- 在与Internet隔离的内部网络中,提供多种升级方式,包括:自动在线升级、手动升级、下载离线升级包升级等。
4.7.3.3漏洞扫描系统
漏洞扫描系统是基于网络的脆弱性分析、评估和综合管理系统,漏洞扫描系统能够快速发现网络资产,准确识别资产属性、全面扫描安全漏洞,清晰定性安全风险,给出修复建议和预防措施,并对风险控制策略进行有效审核,从而在弱点全面评估的基础上实现安全自主掌控。
在服务器区域部署漏洞扫描系统,根据制定的扫描策略任务,对社会资源网的终端以及应用服务器、数据库等进行脆弱性扫描及管理。
出于成本考虑,选择购买第三方厂家的漏洞扫描服务,每半年为终端、服务器、路由/交换设备、操作系统(Windows/Linux/Unix)、应用服务等全系统进行一次细致深入的漏洞检测、分析,主动诊断安全漏洞并提供专业防护建议和预防措施。实现对网络中各种资产进行全方位、高效的漏洞管理,提高系统整体安全性。
漏洞扫描主要功能:
能够对网络(安全)设备、主机系统和应用服务的漏洞进行扫描,指出有关网络的安全漏洞及被测系统的薄弱环节,给出详细的检测报告,并针对检测到的网络安全隐患给出相应的修补措施和安全建议。
4.7.3.4 WEB应用防护
社会视频接入平台提供WEB应用服务,WAF作为应用级别的防火墙,能够防止平台网页篡改,防止sql注入等应用层的网络攻击,当主页被篡改时,WAF可以自动检测并且自动恢复。WAF防火墙与软件主页防篡改相比,系统具备嵌入式特有的安全性外,通过主页注册的用户不易被窃取等特点。
WEB应用防护主要功能:
有效缓解来自Internet的各类安全威胁,如SQL注入、跨站脚本、Cookie篡改等,降低网页篡改及网页挂马等安全事件发生概率,保障WEB应用高可用性和业务连续性。
4.7.3.5数据库审计系统
数据库审计系统是针对业务环境下的网络、数据库及访问操作行为进行细粒度审计的合规性管理系统。它通过对被授权人员和系统的网络行为进行解析、分析、记录、汇报,以帮助用户事前规划预防、事中实时监控、违规行为响应、事后合规报告、事故追踪回放,加强内部网络行为监管、避免核心资产(数据库、服务器、网络设备等)损失、保障业务系统的正常运营。
网络安全审计部署位置为服务器区,可以做到:
- 保证重要/关键服务器的安全;
- 保证重要/关键数据的安全;
- 有效地控制操作风险;
- 进行事后追查。
数据库审计主要功能:
通过部署基于业务应用和数据库的审计系统,满足对如Web服务以及数据库的操作,如增加、修改、删除等数据库操作进行审计,防止对重要数据的非法操作所造成的数据丢失和破坏等。
4.7.4系统应用安全
根据最新技术设计应用层安全防护,应对全网用户进行访问身份安全认证、访问权限控制、数字摘要加密等,以防止非法登录和越权操作。同时加强系统冗余及安全备份措施建设。
4.7.4.1访问身份安全认证
用户身份的审核对系统安全来说至关重要。因此,应用客户端登录时需绑定PC机MAC地址和USBkey验证,登录用户连续三次输入密码错误,系统自动锁定该用户账户,需通过系统管理员解冻激活后,方可正常使用,有效防止私网穿透风险。对于被多次重复锁定的用户,系统能对其进行记录,宜支持进行报警,系统根据报警等级进行相应的处理。
对于重要的应用,密码长度不少于6位;对于关键的应用,密码长度不少于8位;同时应对全网用户进行视频资源访问的权限控制,对每一个用户应按照最小权限原则进行授权。
4.7.4.2数字摘要加密认证
在客户端与中心平台之间的认证采用数字摘要加密认证的方式,防止网络监听造成的信息泄密。数字摘要加密认证技术也被应用在国标GB/T 28181协议中,例如国标规定SIP协议在进行注册和注销认证时,双方通信虽然是明文传送,但是密码是采用数字摘要加密算法加密后才传送,因此是无法从中提取出原密码,可确保安全。
4.7.4.3系统冗余及安全备份
系统要保证数据库服务具备主从冗余备份能力,如果主服务器出现故障,系统会及时的切换到备机继续运行,整个社会视频接入平台能够连续提供服务。系统具备远程管理,能够通过邮件、故障报警等方式提示管理人员。
同时,系统应能够定时自动备份包括设备注册表、用户名、用户组、系统日志、操作日志、设备日志等信息。
文章正下方可以看到我的联系方式:鼠标“点击” 下面的 “威迪斯特-就是video system 微信名片”字样,就会出现我的二维码,欢迎沟通探讨。