魏 斌 王景蘭

中國電信股份有限公司鎮(zhèn)江分公司

0 引言

某運(yùn)營商目前的安保視頻監(jiān)控大部分采用的是全球眼業(yè)務(wù)產(chǎn)品，此業(yè)務(wù)產(chǎn)品是面向公眾的業(yè)務(wù)，架構(gòu)在Internet公網(wǎng)之上，存在較大的安全風(fēng)險(xiǎn)。業(yè)界安全形勢嚴(yán)峻，弱口令、信息漏洞問題大量存在，且缺乏有效的管理。安保監(jiān)控作為重要的電信安全設(shè)施，雖然全球眼平臺(tái)和前端PU持續(xù)進(jìn)行漏洞修補(bǔ)、安全升級等工作，但自有的全球眼設(shè)備使用互聯(lián)網(wǎng)IP資產(chǎn)數(shù)量多且增長快，防護(hù)手段少、軟件更新困難、漏洞被發(fā)現(xiàn)通報(bào)等問題仍然存在。歷年的安全工作實(shí)踐證明，提高網(wǎng)絡(luò)安全防護(hù)水平，提升自有系統(tǒng)和平臺(tái)的安全性，降低IP資產(chǎn)在互聯(lián)網(wǎng)的暴露面數(shù)量是關(guān)鍵。

如何實(shí)現(xiàn)安保監(jiān)控暴露面的驟縮并達(dá)到最終消除的目的，如何充分利舊現(xiàn)有的平臺(tái)和網(wǎng)絡(luò)設(shè)備資源保護(hù)投資，如何實(shí)現(xiàn)安保監(jiān)控既要滿足安全監(jiān)控主要職能，又要提供手機(jī)端查詢業(yè)務(wù)的能力，本研究提出采用網(wǎng)絡(luò)改造、專有平臺(tái)與監(jiān)控平臺(tái)雙活方案，隔斷視頻監(jiān)控前端遭受來自互聯(lián)網(wǎng)攻擊的路徑，消除網(wǎng)絡(luò)安全風(fēng)險(xiǎn)，可被各行業(yè)監(jiān)控平臺(tái)復(fù)制推廣。

1 問題分析

安保監(jiān)控需要降低暴露面，解決問題痛點(diǎn)，關(guān)鍵是要隔斷視頻監(jiān)控前端遭受來自互聯(lián)網(wǎng)攻擊的路徑。

1.1 安保監(jiān)控前端組網(wǎng)的兩種形式

（1）安保監(jiān)控前端NVR通過公網(wǎng)接入平臺(tái)POP點(diǎn)。

（2）NVR一般具備兩張網(wǎng)卡與PU視頻頭進(jìn)行通信，一是通過公網(wǎng)遠(yuǎn)拉方式，另一種是就近局域內(nèi)網(wǎng)連接，其中就近接入方式是常用方式。

圖1 NVR與PU的連接方式

NVR和遠(yuǎn)拉PU都是需要進(jìn)行暴露面壓縮改造的設(shè)備設(shè)施。

1.2 監(jiān)控平臺(tái)設(shè)備及視頻前端布署在公網(wǎng)

大屏監(jiān)控，為安保監(jiān)控的主要設(shè)施，解碼器通過公網(wǎng)直接調(diào)取NVR視頻流。

全球眼終端查詢，通過公網(wǎng)由全球眼管理平臺(tái)調(diào)取視頻流，存儲(chǔ)能力1個(gè)月。

為解決全球眼存儲(chǔ)時(shí)間短的問題，NVR配置了本地存儲(chǔ)，滿足半年至一年的存儲(chǔ)需求。

圖2 安保監(jiān)控方式

監(jiān)控平臺(tái)設(shè)備存在安全隱患，在廠商維保過期后，安全問題將尤為突出，需進(jìn)行暴露面壓縮改造。

1.3 在暴露面改造前請求統(tǒng)一的解決方案

（1）方案一：全球眼本地節(jié)點(diǎn)的所有服務(wù)器需要新增2塊網(wǎng)卡用于VPN地址的配置；或者新建一個(gè)節(jié)點(diǎn)，專門用于局內(nèi)業(yè)務(wù)。

（2）方案二 ：在城域網(wǎng)配置ACL，對NVR進(jìn)行安全防護(hù)。

統(tǒng)一方案優(yōu)缺點(diǎn)對比見表1所示。比較認(rèn)為采用虛擬專網(wǎng)的方式，在維護(hù)延續(xù)性、數(shù)據(jù)操作方便性、網(wǎng)絡(luò)安全性、暴露面壓縮上都能得到保證。

表1 統(tǒng)一方案對比

1.4 采用成熟MPLS VPN技術(shù)建立安全專用虛擬網(wǎng)絡(luò)

安保監(jiān)控NVR等搭載在城域網(wǎng)上，在本地網(wǎng)專線產(chǎn)品中，一類是互聯(lián)網(wǎng)專線產(chǎn)品，另一類是VPN組網(wǎng)專線類產(chǎn)品，前者即是安保監(jiān)控采用的接入方式，隨著VPN虛擬產(chǎn)品的開發(fā)成功，從互聯(lián)網(wǎng)專線產(chǎn)品轉(zhuǎn)入VPN組網(wǎng)專線產(chǎn)品的遷移方案已成熟，壓縮暴露面在業(yè)務(wù)層面較容易實(shí)施。

安保監(jiān)控網(wǎng)絡(luò)在結(jié)構(gòu)上利用城域網(wǎng)進(jìn)行VPN改造、本地網(wǎng)自有平臺(tái)利舊結(jié)合全球眼虛擬專網(wǎng)改造，實(shí)現(xiàn)平臺(tái)雙活業(yè)務(wù)平滑遷移，先驟縮后復(fù)活多樣化監(jiān)控需求，可迅速進(jìn)行安保監(jiān)控全球眼暴露面消除工作的開展和部署。

2 解決措施

安保監(jiān)控暴露面整治將采用網(wǎng)絡(luò)改造、專有平臺(tái)與全球眼平臺(tái)雙活方案。具體實(shí)施步驟主要經(jīng)歷三個(gè)階段：

（1）遷改準(zhǔn)備，區(qū)縣電路梳理、地址規(guī)劃、VPN組網(wǎng)、確定調(diào)整方案及計(jì)劃；

（2）暴露面驟縮，一次性暴露面遷改，業(yè)務(wù)平滑遷移，維持基本監(jiān)控功能；

（3）平臺(tái)雙活，在自有?？颠\(yùn)營平臺(tái)加載穩(wěn)定后，全球眼VPN化并復(fù)活啟用。

2.1 遷改準(zhǔn)備階段

安保監(jiān)控?cái)z像頭分屬兩個(gè)廠家的產(chǎn)品，分別為?？蹬c大華，NVR使用互聯(lián)網(wǎng)專線電路161條，配置的IPv4合法地址完全暴露在公網(wǎng)之上。

（1）全球眼平臺(tái)為市區(qū)和三縣提供1個(gè)月左右的回放能力，可以通過在公網(wǎng)的PC使用全球眼帳號對視頻進(jìn)行監(jiān)控管理。

（2）大屏電視墻為主要營業(yè)廳、大樓提供多畫面實(shí)時(shí)監(jiān)控。

（3）NVR配置了大容量本地存儲(chǔ)，滿足半年乃至一年的監(jiān)控錄像調(diào)取還原需求。

（4）?？颠\(yùn)營平臺(tái)啟用門禁道閘識(shí)別功能，具備自有視頻監(jiān)控運(yùn)營能力。

遷改順序：

（1）通過BSS系統(tǒng)受理新安保監(jiān)控VPN組網(wǎng)虛擬銷售品。

（2）為161條互聯(lián)網(wǎng)專線規(guī)劃VPN私有IP地址，NVR按/29掩碼分配地址，結(jié)合平臺(tái)使用及其它特殊需求，一共配備了6個(gè)C的地址段。

（3）在城域網(wǎng)配置VPN域，預(yù)備VPN私有IP地址新數(shù)據(jù)腳本。

（4）在BSS系統(tǒng)中對相關(guān)NVR及監(jiān)控終端互聯(lián)網(wǎng)專線進(jìn)行變更，加入VPN組網(wǎng)產(chǎn)品。

（5）在遷改時(shí)，由于NVR配置了本地存儲(chǔ)，因此視頻流的存儲(chǔ)一直存在，NVR遷改到VPN不會(huì)丟失數(shù)據(jù)。大屏電視墻在遷改過程中會(huì)影響實(shí)時(shí)監(jiān)控，應(yīng)控制在最短時(shí)間遷改到位，因此大屏應(yīng)該與市區(qū)NVR同一批次遷入VPN，此時(shí)IP地址并未變。

（6）啟用?？颠\(yùn)營平臺(tái)，通過遠(yuǎn)程修改NVR新規(guī)劃地址（IP地址改變），對NVR（VPN）進(jìn)行管理，此時(shí)達(dá)到全球眼平臺(tái)管理NVR（公網(wǎng)）、?？颠\(yùn)營平臺(tái)管理NVR（VPN）分治狀態(tài)。

（7）待遷入VPN完成后，全球眼平臺(tái)增加網(wǎng)卡，配置VPN專網(wǎng)通道，逐個(gè)遠(yuǎn)程對NVR刷新平臺(tái)IP地址，復(fù)活全球眼平臺(tái)對全區(qū)NVR（VPN）的通信。

（8）最后在OSS系統(tǒng)中進(jìn)行常規(guī)維護(hù)，將IP地址資源按規(guī)劃VPN私網(wǎng)地址修改到位，同時(shí)將原電路使用的公網(wǎng)IP地址備案信息釋放。

2.2 暴露面驟縮階段

（1）暴露面快速清除

根據(jù)安保監(jiān)控特點(diǎn)，電路割接分市區(qū)和三縣兩個(gè)批次執(zhí)行。割接前提前進(jìn)行地址規(guī)劃，預(yù)制配置腳本，在割接當(dāng)日一次性將對象NVR公網(wǎng)數(shù)據(jù)整體遷入VPN中，1小時(shí)內(nèi)當(dāng)批次NVR暴露面消失。市縣所有NVR暴露面在2小時(shí)內(nèi)清除，前后2批次相隔1日。

（2）業(yè)務(wù)平滑遷移

在遷移時(shí)確保監(jiān)控業(yè)務(wù)仍然可以正常運(yùn)行。為配合暴露面驟縮，采用NVR IP公網(wǎng)地址不變進(jìn)入VPN實(shí)例的方式，遷入后從Internet上無法再與這些NVR通信，但加入VPN的平臺(tái)仍然可以用原有參數(shù)與遷入NVR通信。

在市區(qū)，主要實(shí)時(shí)監(jiān)控使用的是大屏電視墻，首先將大屏使用的專線電路遷入VPN，大屏可以直接使用新VPN私網(wǎng)IP地址，大屏遷入VPN后由于NVR還未遷入，大屏將出現(xiàn)黑屏，此時(shí)可以啟用全球眼終端PC進(jìn)行監(jiān)視接管。其次，隨著NVR公網(wǎng)數(shù)據(jù)的整體遷入VPN，在1小時(shí)內(nèi)大屏陸續(xù)恢復(fù)影像。

（3）維持基本監(jiān)控功能

在遷移期間，由于NVR配置了本地存儲(chǔ)，因此視頻流的存儲(chǔ)一直存在，NVR遷改到VPN不會(huì)丟失數(shù)據(jù)，三個(gè)監(jiān)控平臺(tái)在各公網(wǎng)和VPN網(wǎng)兩個(gè)虛擬空間，只維持一個(gè)監(jiān)控方式，如公網(wǎng)已無大屏實(shí)時(shí)監(jiān)視，VPN中的NVR也在手機(jī)終端App中離線。

2.3 平臺(tái)雙活階段

（1）NVR一旦遷入VPN后，全球眼平臺(tái)將處于“假死”狀態(tài)，暫時(shí)失去對NVR的監(jiān)控能力，對NVR（VPN）手機(jī)終端查詢視頻的功能也一并暫停，但全球眼平臺(tái)對未遷入VPN的NVR仍具有通信體征。

（2）由于全球眼平臺(tái)處于假死狀態(tài)不能管理NVR（VPN），此時(shí)可以啟用?？颠\(yùn)營平臺(tái)，通過遠(yuǎn)程修改NVR新規(guī)劃地址（IP地址改變），對NVR（VPN）進(jìn)行管理，此時(shí)達(dá)到全球眼平臺(tái)管理NVR（公網(wǎng)）、?？颠\(yùn)營平臺(tái)管理NVR（VPN）的分治狀態(tài)。

（3）待市、縣公司全部加入VPN，并納入?？颠\(yùn)營平臺(tái)管理，成為獨(dú)治狀態(tài)后，此時(shí)全球眼平臺(tái)對于全區(qū)NVR（VPN）屬于脫管“真死”。

（4）全球眼平臺(tái)相對于安保監(jiān)控“真死”后，可以對全球眼服務(wù)器增加網(wǎng)卡，開啟VPN專網(wǎng)通道，遠(yuǎn)程逐個(gè)對NVR刷新平臺(tái)IP地址，復(fù)活全球眼平臺(tái)對全區(qū)NVR（VPN）的通信，此時(shí)全球眼平臺(tái)與海康運(yùn)營平臺(tái)實(shí)現(xiàn)對所有NVR的雙活共治狀態(tài)，安保監(jiān)控成為既滿足安全監(jiān)控主要職能，又能提供手機(jī)端查詢業(yè)務(wù)能力，還能提供個(gè)性化運(yùn)營的開發(fā)應(yīng)用。

3 結(jié)束語

采用平臺(tái)雙活加VPN網(wǎng)絡(luò)隔離的方式，在充分盤活原有資源的基礎(chǔ)上，為多年懸而未決的暴露面威脅提供了快速有效的遷改方式，其中的網(wǎng)絡(luò)改造方式與步驟、自有平臺(tái)與全球眼平臺(tái)雙活法、暴露面的驟縮方案對如何隔斷視頻監(jiān)控前端遭受互聯(lián)網(wǎng)攻擊的路徑、消除網(wǎng)絡(luò)信息及安全風(fēng)險(xiǎn)具備較強(qiáng)的參考價(jià)值。