2020年3月,中央政治局常委会提出“加快新型基础设施建设进度”,作为对冲疫情影响、促进经济稳增长的重要手段。“新基建”可以对高速公路等传统基础设施进行数字化改造升级,实现基础设施规划、设计、建造、养护、运行等全要素、全周期数字化管理,全方位感知,提升智能联网、精准管控、协同服务能力,是实施交通强国战略的重要手段。
为落实“新基建”和交通强国建设要求,各地交通运输主管部门积极推进“可观、可测、可控、可服务”的高速公路视频云联网监测体系建设,提升高速公路信息化、智能化水平。
高速公路视频云联网监测体系不仅要实现沿线视频系统(包括桥隧、服务区、收费广场、超限检测站点、ETC门架、移动视频等)上云接入、安全传输、汇聚共享,而且要对交通安全风险、事故高发区、灾害集中区、易拥堵路段等重点位置实现视频监测全覆盖。随着高速公路视频网的覆盖越来越广,其安全建设亟待考虑。
为此,深信服基于国家标准GB/T28181-2011、GB 35114-2017等国家视频网安全相关规范、《全国高速公路视频联网监测工作实施方案》和《全国高速公路视频云联网技术要求》,开发了高速公路视频联网配套安全解决方案。
利用AI、大数据等技术,结合高速公路视频网的特点,从视频云平台安全建设、视频汇聚点安全建设、视频网络及前端安全建设、视频数据安全建设四个方面提出解决手段,有效确保整体视频监控网络符合等级保护相关要求,构建完整、有效、可靠的视频云平台安全保障体系,确保全国高速公路视频联网安全。
01 高速公路视频云联网监测体系
面临四大挑战
承载高速公路信息化、智能化发展重任的高速公路视频云联网监测体系,在进行信息传输时,面临许多安全问题,包括大量前端IPC设备资产难管理、接入难管控、视频网中的安全风险不可视、视频数据安全性差等问题。总结为以下四个方面:
1.视频准入安全风险
视频准入安全风险是高速公路视频网的专有风险。首先,高速公路视频网相对规模较为庞大,视频监控摄像头分布区域广泛,对于大量视频监控前端摄像头目前尚缺少统一的管理手段。其次,视频监控系统已经进入了IPC时代,一旦前端摄像头被破坏,只需要设置一个IP地址就可以直接连接到高速公路视频网中,此时,如果非法入侵者擅自更换高速公路视频网内的监控设备,就可以实现各级视频平台网络入侵和非法数据访问。
2.IPC资产不可视
按照《全国高速公路视频联网工作实施方案》的要求,新增、扩建高速公路的视频监测设施按每2公里1对的标准一次性建设并联网运行。高速公路前端IPC资产信息不可视,各级交通运输部门面对众多的IPC资产,管理难度大,存在较大的安全隐患。同时,大量IPC设备分散部署在各高速公路路段处,分布极为广泛,当高速公路发生安全事故时,由于IPC资产的不可视,交通运输部门无法在第一时间直接定位摄像头的具体位置,应急响应不及时,导致安全风险扩大。
3.安全事件难发现、难处置
由于高速公路特殊的建设体制,涉及高速集团下属的多个路段分公司以及众多BOT路段,高速公路网络相对复杂,一旦发生安全事件,传统安全检测机制难以追溯到真实源头并及时告警,直接威胁到路段视频上云网关数据及省级视频云平台安全。
4.视频数据泄密溯源难
高速公路视频网不是“信息孤岛”,在特定场景下(如配合抓逃),高速公路视频网络与政府部门视频监控网等不同信息系统之间存在着信息交换与共享需求。视频数据互通在网络基础建设和数据可用性方面提供了很大的便利,但也正因为这种便利,带来了视频数据泄露的安全隐患。单个平台、单个网络的视频防泄密有很多手段,但跨平台、跨网络的访问则难以防护,数据泄密后难以追溯。
02 深信服高速公路视频联网配套安全解决方案
深信服高速公路视频联网配套安全解决方案基于国家标准GB/T28181-2011 《安全防范视频监控联网系统信息传输、交换、控制技术要求》和《全国高速公路视频联网监测工作实施方案》、《全国高速公路视频云联网技术要求》等相关规范,同时依据国家网络安全等级保护政策和标准,开展组织管理、机制建设、安全规划、通报预警、应急处置、态势感知、能力建设、监督检查、技术检测、队伍建设、教育培训和经费保障等工作,为各级交通运输主管部门构建具备相应等级安全保护能力的视频网络安全综合防御体系。
1.视频云平台安全
在省级视频云平台上,通过深信服云安全资源池,满足上云业务等级保护合规要求,提供相较传统防护不同的网络安全能力;同时,通过深信服视频网安全监控中心,实现全网监控、作战指挥、实时预警、安全事件通报、闭环处置等功能,全面实现视频网的资产可视化、威胁可视化、安全态势可视化。当发生安全事件时,视频网安全监控中心可与深信服的云安全资源池、路段安全管理中心、视频上云网关等联动,将安全事件自动联动安全产品,实现检测、响应和闭环处置。
2.视频汇聚点安全
在路段监控中心上,部署深信服SIP安全感知平台,从视频接入管控、异常行为防护、视频资产管理等方面出发,解决路段视频监控业务面临的非法视频接入、异常视频行为、视频资产分散不可管等安全风险;同时满足安全区域边界、安全计算环境、安全通信网络等等保合规要求。
3.视频网络及前端设备安全
深信服通过省级视频网安全监控中心、路段安全管理中心及视频上云网关,建立视频网络传输安全和视频终端接入认证体系,对全国高速公路联网网络中的视频监测设施进行安全防护、数据加密、接入认证和态势感知。同时,视频感知终端通过部署深信服视频上云安全网关,实现识别和准入、接入设备风险识别、非法行为阻断、横向攻击防御与溯源等功能。
4.视频网数据安全
深信服通过在路段监控中心部署视频数据安全平台,保障用户视频数据安全。
- 平台内部视频数据安全防护:视频数据安全平台通过显示水印防止外发风险;并通过虚拟安全磁盘保障终端用户下载视频数据安全;在外发操作上实现权限控制等功能,提供详尽的日志记录及报表分析。
- 跨平台、跨网络视频交互安全:在高速视频上云平台的传输链路上部署视频水印网关设备,实现跨平台的数据审计。
03 方案价值
1.实现高速视频业务IPC资产可视可控
视频上云安全感知平台实现弱密码识别、资产可视化、视频专网安全态势大屏展示等功能,与防火墙/终端检测响应平台EDR联动检测、响应和闭环处置;识别接入设备指纹(IP、MAC、设备类型、品牌),建立前端设备准入指纹库。
2.基于设备指纹准入并识别设备风险
安全防护不止于合规建设,路段中心处可实现精准拦截,杜绝违规替换及非法外联;视频上云防火墙支持识别接入设备(IP、MAC、设备类型)等多种类型设备指纹保护视频流安全,降低视频前端非法准入风险;支持旁路部署,部署方式灵活。
3.视频网安全事件及时预警、联动处置
视频上云安全感知平台与准入机制联动,精准定位攻击来源,对横向流量访问识别控制,拦截横向攻击,构建全网安全运营中心;同时可实现全网IPC资产检视,及时发现风险问题;可通过行为分析识别视频网内异常流量。
4.视频网数据安全可溯源
在路段安全管理中心区部署视频上云数据安全平台。视频上云数据安全平台防止视频图像数据内部泄露,杜绝二次泄密事件发生,保障平台之间视频交互的安全。实现访问权限黑白名单、逐帧的水印添加及全流程的行为记录,泄密发生时做到快速定位和责任界定。
5.满足合规安全建设要求
提供路段中心安全保护(不低于等级保护二级):在路段安全管理中心区部署视频防火墙(支持基于国密算法的VPN功能以适用隧道加密传输建设要求)、运维审计系统、日志审计系统、终端安全软件等设备保障用户业务合规;同时支持与密钥证书中心联动,在线证书颁发、证书有效性实时查询包括密钥生成、集中分发管理,符合国家密码局相关要求,符合交通部要求。
未来,深信服将继续依托自身技术实力与专业的服务能力,为众多交通行业用户提供全方位的保障与支持,积极助力交通行业用户实现业务多元化和智能化发展,携手业内同行,共同打造智慧交通,实现“人-车-路”的高度协同,为我国交通强国战略贡献力量。