机电专业学术论文--视频上云网络安全防护建设方案
发布时间:
2022-12-30
来源:
机电与信息管理部
视频数据汇聚上云给视频文件的分析、调用带来的极大的便利性使得工作与分析效率得到了极大的提高,但视频文件在使用、运维过程中也存在诸多的安全隐患,如敏感视频私自拍照、截屏留存、视频文件私自拷贝带来的泄露隐患、视频文件对外呈送时因保管不当造成二次扩散等问题,则会影响群众视角及可信度,甚至影响到社会稳定性或舆论导向。
在视频上云网关DMZ区域与网络边界处,部署防火墙并开启 VPN、DDoS 防护、防病毒等功能模块。VPN网关需满足交通运输部的CA认证,并支持国密算法。通过下一代防火墙开启IPS功能,满足入侵防范的要求,监视网络攻击行为。设置日志审计应用软件,对重要的用户行为和重要安全事件进行审计。
一、分域保护策略
一是安全域划分。按访问对象和安全等级要求的不同可划分为三个安全区域,包括内网区域、DMZ区域、外围访问区域。
二是域间控制措施。在不同的安全域之间使用防火墙进行逻辑隔离,通过应用控制策略避免不同域之间不必要的访问,从而最大限度的保障系统的安全。在监控专网区域与 DMZ 区域之间采用防火墙进行逻辑隔离,通过应用策略对两个区域之间的数据交互进行控制。
三是VLAN划分。为了能够较好的保护用户资源,尤其是重要用户在网络上的可靠、可用性,在网络整体管理中,加入VLAN划分的策略。采用VLAN规划方式如下:在内网核心交换机和三层交换机上划分VLAN,核心交换机做VLAN间路由和策略;在三层交换机上划VLAN,在三层交换机上做VLAN路由和策略,为DMZ 区域划分单独的VLAN;这样,DMZ 区域与内网核心交换机之间并不互通,能够更有效的将DMZ 区域和内网区域隔离开来,提高网络的整体安全性。
二、网络访问控制
一是网络访问控制设备部署。实现规定网络安全等级保护对网络访问控制要求的最有效方法就是在网络中的关键位置部署防火墙类网关设备。其中一台部署于DMZ区域管理与外网及监控系统内网区域的边界,另一台部署于监控系统内网区域与各站点的内部边界。部署在DMZ区域的防火墙采用路由网关模式;对DMZ区域与外网区域的数据交互提供VPN加密通道、边界防护和访问控制。部署在监控内网区域的防火墙采用路由网关模式;对DMZ区域与内网区域的数据交互提供边界防护和访问控制。
二是防火墙系统策略设计。外部边界防火墙策略设计通过防火墙来实现隔离与访问控制,根据数据包的源地址、目的地址、传输层协议、端口(对应请求的服务类型)、时间、用户名等信息执行访问控制。内部边界处的防火墙在 此防火墙上做源地址映射,将所有与DMZ区域移动支付前置机通信的车道收费计算机的IP地址隐藏起来,通过防火墙来实现隔离与访问控制,根据数据包的源地址、目的地址、传输层协议、端口(对应请求的服务类型)、时间、用户名等信息执行访问控制。
三、网络入侵防护
在网络边界处部署网路入侵防护系统,能够提供主动、实时的防护,同时配合以及时更新的攻击特征库,可以有效检测并实时阻断隐藏在海量网络中的病毒、攻击与滥用行为,也可以对分布在网络中的各种流量进行有效管理,从而达到对网络架构防护、网络性能保护和核心应用防护。
四、恶意代码防范
在边界防火墙设备上部署AV防病毒网关模块,对各类网络病毒进行过滤,对网络病毒、蠕虫、混合攻击、端口扫描、间谍软件、P2P软件带宽滥用等各种广义病毒进行全面的拦截。阻止病毒通过网络的快速扩散,将经网络传播的病毒阻挡在外,可以有效防止病毒从其他区域传播 到内部其他安全域中。AV设备的部署截断了病毒通过网络传播的途径,净化了网络流量。
五、数据安全
采用消息摘要机制来确保完整性校验,发送方使用散列函数对要发送的信息进行摘要计算,得到信息的鉴别码,连同信息一起发送给接收方,将信息与信 息摘要进行打包后插入身份鉴别标识,发送给接收方。接收方对接收到的信息后,首先确认发送方的身份信息,解包后重新计算,将得到的鉴别码与收到的鉴别码进行比较,若二者相同, 则可以判定信息未被篡改,信息完整性没有受到破坏。通过上述方法,可以满足应用系统对于信息完整性校验的需求。而对于用户数据特别是身份鉴别信息的数据保密,采用密码技术进行 数据加密实现鉴别信息的存储保密性。在传输过程中主要依靠VPN 系统可以来保障数据包的数 据完整性、保密性、可用性。
为实现上云网关的业务通信的专属安全防护,除了具备防火墙合规性要求外,还包括审计、权限管控和访问控制。要求对主流的上云网关的流转发协议进行细粒度防护,同时对视频流路径进行分析和相应的安全防护。因此,在每个汇聚点上云网关与省平台之间部署上云安全防护 系统。实现 VPN国密、防火墙、视频资产管理、视频接入管控、视频行为防护功能。