HiSec视频大数据安全解决方案.docx
《HiSec视频大数据安全解决方案.docx》由会员分享,可在线阅读,更多相关《HiSec视频大数据安全解决方案.docx(14页珍藏版)》请在冰点文库上搜索。
HiSec视频大数据安全解决方案
HiSec@视频大数据安全解决方案技术白皮书
1方案背景
1.1风险分析
1.2解决思路
1.3方案价值
1.1风险分析
摄像头部署位置的特殊性以及视频全网互联趋势的推动,都给视频网络带来了极大的安全挑战。
以下几类典型的安全风险亟需网络建设者关注:
风险1:
非法私接
IPC大量使用,网络末端延伸到户外,传统网络安全边界失效。
IPC存在被仿冒,被劫持,敏感信息泄露等问题。
风险2:
劫持摄像头
黑客入侵网络后,利用摄像头漏洞劫持网络内大量摄像头,为DDos攻击等进一步破坏制造条件。
风险3:
劫持视频管理平台
黑客入侵网络后,通过暴力破解或者横向扩散,画出内部网络拓扑结构,破坏承载关键数据的主机,可导致视频管理平台异常。
风险4:
数据窃取
黑客入侵网络后,通过前端接入设备将关键数据外发,完成数据的窃取。
应对这些风险,亟需一套适用于视频监控网络的安全解决方案。
1.2解决思路
华为视频大数据安全解决方案通过端到端的方案设计,集合精准访问控制、场景化IPS防御、智能流量分析、集中可视化管理、高效协同联动等能力,建立统一的视频网络安全保障体系,提供更安全可靠的视频监控网络。
1.3方案价值
HiSec视频大数据安全解决方案可以带来如下价值:
●多重接入控制
集合了设备、流量、行为多重身份过滤,在视频网络海量前端接入的情况下大大减小攻击面。
●感知全网安全态势
图形化界面帮助客户直观理解全网安全态势,并可以根据区域、关键资产去查看对应的风险,并给出处理建议。
运维人员可以快速找到自己负责的区域和资产,并根据安全状态和处理建议对这些设备进行安全加固工作。
●快速发现高级威胁
基于强大的流量、日志采集和大数据分析检测技术,发现现网中的高级威胁攻击,帮助客户实时快速发现网络中的安全威胁事件。
●秒级安全联动响应
通过和安全设备的快速联动,实现秒级响应,大大提高安全响应速度和效率。
并可以进行手动或自动的安全策略联动,对安全威胁进行处置,防止和降低其对网络和业务的影响。
2方案概述
2.1方案架构
2.1方案架构
为解决视频监控网络的关键风险,方案从前端接入控制、安全态势感知、安全联动处置三部分构建主动防御体系。
视频安全解决方案的架构如图所示:
方案关键组件:
防火墙(视频安全网关):
对入网终端做接入控制,防止非视频应用、非授权厂商IPC接入;通过IPS签名拦截摄像头将威胁带入视频网络;接收CIS下发的联动策略,阻断受感染终端。
广目系统:
视频安全网关前端接入控制可对接广目系统,通过广目系统做配置下发,并在广目系统做前端接入控制效果呈现。
SecoManager:
安全控制器,作为方案的“中枢神经”,该组件定位于网络安全策略管理、业务编排。
在视频网络中主要用于对后端防火墙进行统一安全业务纳管,并接收CIS下发的处置任务,编排成为安全设备可执行的策略,实现自动威胁响应、安全策略仿真和策略调优,提高运维效率。
CIS:
采集防火墙及其他安全设备上送的流量及日志做关联分析,呈现网络安全态势,并联动SecoManager编排并下发安全策略,联动防火墙阻断威胁,实现联动闭环。
关键流程步骤:
●前端接入控制
1.从视频前端安全入手,对于接入视频网络的流量,通过视频安全网关安全策略控制放行的协议、终端设备厂商等,降低终端仿冒、威胁流量入侵监控中心的风险;
2.通过视频安全网关流量学习,可向广目系统上报资产信息,广目系统可做资产信息处理、下发准入配置给视频安全网关,并呈现视频安全网关的接入控制效果;
●视频数据中心安全联动闭环
1.SecoManager实现对视频数据中心防火墙的统一管理。
2.CIS综合安全设备流量及日志做关联分析、安全态势呈现,并联动SecoManager
编排并下发安全策略,联动防火墙阻断威胁,实现联动闭环。
3方案介绍
3.1前端接入控制
3.2视频数据中心安全联动闭环
3.1前端接入控制
针对摄像头易被仿冒、易被利用的特点,华为防火墙通过设备指纹认证、流量指纹过滤、协议漏洞检测等手段,层层阻断非法入侵,达到摄像头安全接入的目的。
通过与前端设备管理平台配合,提高配置管理易用性,并可直观展现资产安全状态及接入控制效果。
3.1.1设备指纹认证
设备指纹是指可以用于区分不同摄像头的固有信息,包括MAC、IP、厂商、序列号、固件版本号等信息。
防火墙可以通过IP、MAC信息对设备进行认证过滤:
●将授权IP加入安全策略列表,非授权IP流量不允许通过
●将授权MAC加入安全策略列表,非授权MAC流量不允许通过
●对IP、MAC进行绑定,IP、MAC关系绑定错误的流量不允许通过
设备指纹的获取方式包括:
基于流量的被动应用识别及基于接入设备的主动扫描。
设备指纹主动扫描,即采用主动探测方式获得前端摄像头设备准确指纹信息,通过主动探测,获取设备指纹,包括厂商、MAC、型号、IP,多个维度对终端IPC进行识别,提升摄像头识别准确率。
主动扫描能在设备接入网络之前获取到资产清单,可根据需要添加到安全策略的配置中,与应用识别一起对接入设备做准入控制。
与广目系统对接,可将主动扫描到的资产清单上报给广目平台,用户通过广目平台确认需要放行及拦截的资产,达到准入控制效果。
3.1.2安防业务识别及过滤
黑客可以通过修改设备的固有信息欺骗防火墙,从而达到绕过防火墙指纹认证的目的,为此防火墙提供了流量指纹过滤功能。
防火墙对经过的每条流量进行深度识别,确认流量的协议、厂商信息等,同时和策略中配置的协议/厂商信息进行匹配,只对授权流量进行放行。
防火墙可以识别国内主流摄像头厂商(大华、海康、宇视、华为)的各种流量(ONVIF、GB-T28181、私有SDK)。
流量识别基于特征库,特征库可以在线更新或本地更新,从而及时响应摄像头流量的特征变更。
特征库提供自定义功能,可以在特殊情况下灵活配置达到阻断特性流量的功能。
3.1.3IPS入侵检测及防护
黑客可以控制摄像头,利用摄像头漏洞进行网络入侵。
由于恶意流量是通过正常的视频流量进行承载,因此无法通过指纹认证或流量过滤进行拦截。
为此防火墙提供了基于漏洞的入侵检测功能。
防火墙对经过的每条流量进行深度协议解析和特征匹配,确认是否为恶意流量,同时根据策略配置对流量进行阻断或告警。
防火墙可以检测国内主流摄像头厂商(大华、海康、宇视、华为)的漏洞。
入侵检测基于特征库,特征库可以在线更新或本地更新,从而及时响应摄像头漏洞。
同时特征库提供自定义功能,可以在紧急情况下通过自定义特征配置达到快速阻断特定流量的目的。
3.1.4广目系统
广目系统是与华为视频安全网关相结合的软件产品,具备前端资产发现及识别、准入控制、态势感知、风险监控、级联监管、安全态势展示等功能;系统可以对接入资产的运行状况进行动态分析和展示,让用户从全局的角度去了解和掌控资产状况,直观展现每个资产运行轨迹及完整的资产生命周期;系统强化资产发现、准入、安全保障,做到“资产可知、入网可信、边界可控、行为可查”。
系统主要由资产管理、攻击防范管理、业务统计、配置管理、日志管理及大屏监控组成。
广目系统与视频安全网关功能对接如图所示:
3.1.4.1资产管理
系统通过组织区域管理及IP划分、网关注册、资产学习、资产准入、态势感知及资产退出的管理,可以对接入资产的运行状况进行动态分析和展示,让用户从全局的角度去了解和掌控资产状况,直观展现每个资产运行轨迹及完整的资产生命周期。
可通过由视频安全网关学习经过当前网络设备中的视频流量,将资产信息上报给广目系统,或由网络管理员按照当前的资产信息格式将资产信息录入或导入到广目系统。
在广目系统形成一个初步的资产信息库,前端设备管理人员在明确合法资产后,选择相关资产下发准入命令将该资产定义为合法资产并同步到视频安全网关侧。
视频安全网关侧将此资产列表作为合法设备的基线列表。
3.1.4.2攻击防范管理
针对视频流量,视频安全网关将探测的资产信息与后台合法资产数据进行综合验证及指纹识别,及时发现非法私接;且视频安全网关提取了摄像头资产相关的攻击防御签名库,对于网络中的攻击行为进行细分并上报相应告警日志。
在广目平台上对攻击行为进行告警展示。
攻击防范告警包括:
●针对非合法资产产生非法私接告警;
●针对合法资产的非法应用流量产生告警;
●针对资产受到攻击或主动发起攻击进行告警,如入侵检测、蠕虫检测、僵尸网络、木马检测等;
●可配置资产离线进行告警。
3.1.4.3业务统计
系统从不同的业务视角、通过丰富的统计图表方便业务人员对全网资产全面掌控。
包括:
●使用情况统计:
从资产状态、厂商、区域、在线率、时间等多维度统计资产情况;
●攻击威胁统计:
从总体趋势、区域、攻击威胁类型、厂商等角度展现;
●告警情况统计:
从区域、厂商、趋势角度展现整体告警情况;
●非法四姐统计:
从总体趋势、区域等角度展现。
3.1.4.4配置管理
在同一网络中的视频安全网关配置,有一定的相似性。
网络管理人员可以针对视频安全网关配置统一的安全配置模板。
系统可对注册的全网网关进行统一安全策略配置及下发,主要包括:
日志配置、安全接入配置、应用配置、非法流量处理、内容安全检测及免认证白名单。
同时,提供告警配置、分级服务器配置等。
3.1.4.5日志管理
详尽记录资产变化、用户操作行为、网关配置管理等内容,主要包括资产接入日志、网关操作日志、资产行为日志、用户行为日志、资产变更日志等。
3.1.4.6大屏监控
通过可视化方式展示健康指数、资产数量、资产运行状态、资产厂家统计、资产区域统计、非法私接、异常流量以及告警信息等,方便网络管理人员第一时间掌握和评估当前IPC及网络安全情况。
3.2视频数据中心安全联动闭环
3.2.1安全业务统一管理
大企业客户网络中部署大量防火墙设备(例如某集团仅华北区就部署几百台防火墙),目前对于这些防火墙的运维管理,主要有以下痛点:
●防火墙的管理手段分散,无有效集中管理工具;
●管理员重复需要充分了解防火墙与网络拓扑的关系,需要管理大量维护IP地址,对管理员要求高;
●管理员无法统一查看安全策略情况,存在策略配置错误、策略冗余情况。
针对上述痛点和问题,提出了安全业务集中管理方案(如下图所示),通过SecoManager,可以自动发现设备,进行配置一致性检查,配置差异结果可视,安全策略自动实施和部署。
关键组件说明:
1.SecoManager配置界面,面向用户提供安全策略配置portal;统一收集防火墙告警日志,提供统一运维;
2.防火墙开放北向API,SecoManager将安全策略通过NETCONF通道下发到防火墙。
3.2.1.1设备管理
设备管理包含防火墙设备的基本管理能力:
设备自动发现、设备的增删改查、双机热备组的增删改查、设备配置的一致性对比功能、设备单点登录等。
在SecoManager中,为了方便用户管理,会将双机热备的两台设备自动识别为一台逻辑设备来进行统一的管理,同时做双机热备日常管理。
设备配置一致性对比:
将SecoManager最后一次部署配置和设备当前的配置进行对比。
如果配置不一致,可以查看相应的对比结果。
可以将配置同步到控制器上,也可以选择放弃设备的变更。
双机热备自动识别:
SecoManager在设备发现之后,会自动尝试识别设备的双机热备配置,将具体双机热备关系的两台物理设备识别为一台逻辑设备来进行管理。
这样在策略配置的过程中,就可以只关注这一台设备。
双机热备自动识别需要一个过程(几分钟),如果双机热备识别失败,用户也可以选择手工识别。
双机热备日常管理:
可以针对双机热备的两台设备进行配置一致性检查、主备一致性检查、版本一致性检查,如果发现配置不一致的情况下,支持手工调整修复。
同时也可以进行手工主动切换。
3.2.1.2对象管理
支持安全域、地址集、服务等对象的集中规划管理。
支持反病毒、入侵防御安全配置文件。
安全配置文件是一种专门用于安全策略的特殊对象,它是一组内容安全检测与防护规则的集合。
通过安全配置文件可以定义在内容安全功能中,需要识别的威胁以及对其采取的措施。
3.2.1.3策略管理
安全策略管理功能主要用于访问控制以及内容安全检查。
用户通过设置对应的匹配条件包括源/目的安全区域、源/目的地址、服务、时间段来进行控制,在执行动作上可以设置允许或禁止。
同时也可以配置上对应的安全配置文件做内容安全防护。
策略组视图和设备视图进行策略快速管理:
可以查看单一策略组或单一设备,可以快速过滤策略组和设备相关的策略。
选择了某一个策略组或设备后,再新增策略时,默认也会选中该策略组或设备;可以查看策略变更统计、配置一致性统计、部署状态统计。
策略变更统计:
当SecoManager的配置进行变更之后,将识别这个策略为变更状态。
变更的策略需要考虑部署到对应的设备上。
变更统计状态包含:
已变更、未变更。
用户可以通过点击变更统计状态的内容进行快速筛选该状态下的策略。
配置一致性统计:
以策略的视角来检查该策略与关联的设备上的策略是否都一致。
如果有任意一台设备是不一致的,则提示不一致。
该功能只会检查最后一次部署的配置与设备是否一致。
配置一致性状态:
一致、不一致、未知(未检查)。
用户可以通过点击配置一致性状态的内容进行快速筛选该状态下的策略。
部署状态统计:
以策略的视角来统计该策略的部署状态:
未部署、已部署、部署中、部分部署、部署失败。
这样可以比较直观的看到策略部署的进展。
用户可以通过点击部署状态的内容进行快速筛选该状态下的策略。
3.2.2安全联动处置
CIS系统提供丰富的威胁检测模型,管理员可以结合现网威胁类型,针对各类威胁类型进行联动规则配置,规则配置生效后,一旦检测到的威胁事件命中联动规则后,CIS按照联动规则中的阻断配置下发联动策略。
整个交互流程如下:
1.管理员配置交换机,将待检测的流量通过交换机端口镜像给CIS流探针;管理员根据当前网络中的威胁情况,在CIS界面上针对现网中的主要威胁类型进行联动规则配置,配置阻断类型,自动/手动触发方式,策略回收周期等;
2.流量镜像到CIS流探针后,流探针进行报文解析,协议特性提取;
3.CIS流探针将提取的流量元数据Metadata上报给CIS大数据平台;
4.防火墙安全日志如IPS/AV日志上报CIS采集器;
5.CIS系统采集了网络中的流量信息,文件,安全日志信息后,根据威胁检测模型进行威胁检测;
6.联动规则生效后,当CIS检测的威胁事件匹配联动规则时,CIS按照联动规则下发联动策略给SecoManager;
7.SecoManager接收CIS的联动策略,根据五元组信息确定具体安全执行设备,下发阻断策略给对应防火墙;
8.防火墙按照策略执行阻断;
9.CIS查看联动策略的命中次数;
10.SecoManager调用防火墙的北向接口,查询每个阻断策略的命中统计,并返回给
CIS;
11.管理员可通过CIS查看联动结果。
4典型应用场景/典型组网
典型部署场景如下:
关键部署要点:
1.队所部署视频安全网关,做接入控制。
2.区县汇聚交换机上旁挂两台防火墙热备组网,用于边界隔离。
3.广目系统用于网络中摄像头资产安全状况呈现,与被管理的视频安全网关路由可达。
如上图所示,队所的视频安全网络流量通过区县汇聚到区县视频数据中心,则可在区县汇聚后旁挂广目系统。
4.市级运维管理区部署CIS(包括CIS采集器),用于全网安全综合分析。
5.市级运维管理区部署SecoManager,用于对全网安全设备的统一管理,并与CIS、FW形成联动闭环。
6.在市级核心交换机旁部署流探针,汇聚流量上送给CIS分析。
方案中主要体现视频接入安全及态势呈现,视频云场景整体的安全部署可根据需要在此基础上叠加。
升级会员 