如何从4个层面实现安全的安防解决方案

　　整个安防系统中有4个层面的风险。分别是感知层、传输层、管理层和应用层。

　　感知层主要的问题是感知设备有可能被劫持;传输层会受到网络的攻击，比如“私接”网络、DDOS攻击;管理层或者说平台服务层，可能会受到非法入侵，然后被窃取;应用层，可能会受到黑客对PC机或者应用设备的攻击，同时还可能会有一些用户有意无意的信息泄露，比如手机录屏截屏。

　　

 

　　感知层安全防护

　　感知层中，摄像机在前端的部署是非常广泛的，数量非常多，而且大部分都在室外，这就要求我们考虑得更多。

　　在物理接入方面，首先要考虑到设备的防拆设计，因为有些设备可能会被别人替换或窃取。

　　其次传统的设备一般都有一些调试接口，建议把这些接口屏蔽或隐藏，或者直接去除，不要在物理层面提供这样的调试接口，给非法人员可乘之机。

　　另外在接入到网络中，除了传统的以太网接入方式之外，我们应用了PON口接入，它是一种光纤接入，主要通过光来进行接入和传输，就很好地防止了电口私接、侦听。

　　在物理层防护之外，还要考虑整个终端设备的安全。摄像机其实是功能比较弱的一个系统，在这个系统中，我们通过检查它是否存在弱口令、端口信息、协议信息、CPU占用情况等，时时记录并上传到中心服务器，通过和中心运维管控平台的相互配合，及时发现终端设备的安全状态，比如有没有异常流量或者异常端口，然后及时进行联动或者报警来保证终端的正常运行。

　　在终端还有一个关键的部分，就是视频数据的安全。

　　很多安防系统或者摄像机系统里的标准协议，国标也好，还是一些厂家自己的协议也好，对视频的保护规定是不足的，完全是以明文状态在网络中传输，这种就很容易被别人截取数据，然后通过一些常用的播放软件播放出来。

　　

 

　　我们在这方面提供了视频数据安全保护方案。

　　一般来讲有两种手段，一种是对数据全部进行加密，不管是信令、还是数据、还是传输协议，经过加解密设备直接进行加密。这个方式有一个弊端，就是必须要成对地配置加解密设备，另外它导致数据很难识别，比如说信令相关的处理其实是很难的，成本也相对比较高。

　　还有一种方式就是通道加密，其实也还是需要进行成对地配置，因为数据都封装在通道内，导致通用的网络流量分析工具很难做到安全的分析，无法准确的判断实际网络中的真实状态。

　　宇视采用的是视频加密的方案，好处是可以正常的信令交互，在交互的情况下不影响系统的兼容性，即使视频数据被非法获取，仍然可以保证它是安全的，只有在合法的解码端才可以正常进行观看的。

　　我们的方案在很多的地方应用了，比如一些高校和企业的园区中都有比较重要的应用，也获得了大家的认可。

　　传输层安全防护

　　传输层主要给大家分享的是两个方案。

　　一个是准入方案，信息系统相对比较成熟，但是应用在物联网或安防系统当中，有一个不同的地方，因为终端设备或摄像机设备，其实类似于哑终端，它不像PC机之类的终端设备，可以进行主动地连接，主动地配置密码，所以传统的方式不太合适。

　　相对于传统的方式，也有一些其他的方案应用到准入中来。比如扫描检测方案，需要通过人工配合，首先扫描到这些设备，然后通过人工来判定合法性与非法性。当然这是解决了一部分的问题，但是它的效率包括整体的安全性相对比较弱。

　　进一步有一些基于防火墙的方案，可以基于设备的黑白名单来进行防护，也可以配置一定的过滤规则，比如像IP、MAC特征库的检测，这样也可以做到一些安全的防护。

　　物联网的安全准入方案除了做到了防火墙方案中对IP、MAC及端口绑定之外，还做到应用的感知，可以识别安防的接入协议，可以感知设备的状态，可以跟前面讲的检测异常等信息相配合，这样就可以实时防控。同时支持旁挂、串接，防护的手段更加丰富。在网络接入情况下，我们采用的这种准入方案是比较适合安防系统的一种方案。

　　在跨互联网或广域网接入中，宇视推出了UNP方案，主要解决跨互联网企业跨公网的安防接入要求。

　　跨互联网或广域网接入主要是保证传输的安全性，另外还要保证对整体的网络、系统和结构尽量适合，不做大的改动。

　　针对这种情况，行业里也有几种方案。VPN方案，可以做到安全传输，但是它有一个问题，就是当系统是已经建好的，就可能涉及到IP地址冲突或系统的改造，要提前做一些规划，灵活度比较低。

　　还有一种方案是ALG网关，通过转换协议，把相关的信令通过转换来进行传输。这种方案的现网兼容性差，同时因为它是简单的消息数据修改，它的信令，包括数据，大部分是明文传输，安全性也很差。

　　宇视的UNP方案同时满足了方便部署、安全性高和视频跨网设计的需求。我们针对安防系统里的协议做了适配，保证了一定的安全性。这个方案获得了中国的专利优秀奖。我们所有的方案都是经过了实践，真正能解决用户的问题。我们在某品牌汽车4S店应用已经很成熟。目前，在全国有很多的项目在应用。

　　

 

　　管理平台安全防护

　　建议在中心层也是要做到一定的安全防护。重点是防止非法侵入平台主机和云存储，防止窃取、篡改、删除其中的视频数据。

　　在传统安全防护层面，仍然推荐采用防火墙、入侵检测、漏洞扫描、大数据审计等专用防护设备组合进行外部的安全检测，这些设备也要根据防护的需求做相应的配备来对整个中心服务区做安全的防护。

　　安防系统建设中的服务主机也要做安全措施。可以采用多维防护手段，包括弱密码防护、设备可疑进程检测和预警、要有安全的登录方式，比如采取SSH和HTTPS等方式，以及恶意扫描阻止策略等都需要考虑。

　　在传统防护和主机防护之外 ，从整个方案层面也需要进行考虑。

　　在主机层我们实现了多机的备份，像双机或一对多备份的快速切换，保证了应用服务的安全。

　　在数据存储方面，使用了安全块存储，这是宇视的创新。它是基于视频流/块的存储技术，因为它的关键信息是独立存放的，即使获取到硬盘也无法直接拷贝出数据。

　　在存储方面，我们可以多级备份、多阵列存储等，另外支持流量中断的及时备份，这些都是我们给用户提供的系统级的数据存储安全方案。

　　

 

　　用户管理安全

　　在对服务防护的同时，我们看到其实很多重要的信息是在用户侧被泄露出去的。针对这种情况，我们建议对用户做一个安全管理，可以分为事前、事、中和、事后三个部分。

　　事前防御阶段，在用户终端接入防护系统之前做准入判断，比如用户是否合法、相关配置是否完成、是否存在高风险漏洞。在所有的安全合规检查与配置，账户检查、安全设置规范检查等都完成以后，判定它是一个可以介入系统的终端，才能开始应用层面。

　　事中控制阶段，我们需要定义授权范围，即对用户的一些行为或操作做授权或者管控。比如我要定义用户能做哪些方面的操作、是否存在非法外联的行为、有没有移动硬盘的接入、是否存在录屏、截屏、拍摄操作、是否有外接USB等这些操作进行集中控制，防止信息被泄露。

　　事后审计阶段，我们会对所有操作做日志审计，包括上网行为，对非授权外联、视频的存储、下载和其他操作、文件读写操作、即时通讯、邮件内容、文档操作等行为进行审计，然后进行溯源。从而在整个用户管理层做到防御、管控、溯源。

　　

 

　　总体来讲，我们对于安防系统的建设是从终端、传输到服务平台到用户，做一个全方位的安全防护措施。