论文部分内容阅读
[摘 要]目前供电行业的视频监视系统主要是变电站安保系统、变电站生产视频、供电所营销视频稽查、会议视频系统等。业务上主要是实现生产安保、生产运维、营销稽查、会议信息共享等。影响视频监控信息安全的原因管理上主要是安全意识不足。如由于管理不当,造成的口令过于简单或无口令,密钥丢失或存在高危漏洞、开放服务及端口;缺少安全管理制度,责任不明确到人,操作流程不清晰;技术上主要安全防护策略不完善,程序上存在安全漏洞、防护上存在疏漏等。本篇论文针对以上问题,本文从行政管理即数据信息本身安全、存储安全二个方面,技术措施上即技术屏蔽方式达到安全防护的目标。
[关键词]供电 视频 监控 安全 防护 方案
中图分类号:TM 文献标识码:A 文章编号:1009-914X(2018)47-0015-01
0引言
视频网络监控安全是指为了防止数据信息被他人盗取,在监控数据信息的传输,存储过程中采取保密性的措施,防止数据信息的外泄。具体措施如视频监控系統中的系统日志文件和视频录像文件需要做到防止外泄,在传输,存储监控数据信息过程中,确保数据信息不被未授权的篡改或在篡改后能够被迅速发现。在前端视频流通过IP传输网络传输到视频存储系统,以及视频存储网络的各个环节都必须考虑相应的防护措施,从而确保数据信息的完整性。本文重点从安全防护技术上阐述防止非授权侵入、恶意篡改、盗取信息技术,以期达到视频监控安全的目标。
1.安全管理
1.1视频监控数据信息本身的安全
主要措施是采用数据加密技术和软件对监控数据信息进行主动保护,如数据加密,数据完整性,双向身份认证等。
1.2视频监控数据存储安全
主要技术措施是在数据存储过程中采用安全的数据信息存储手段对数据的保护,如通过磁盘阵列,数据备份,异地容灾等手段保证数据保存的安全。
1.3账号管理 主要措施是口令管理,严格要求口令强度及有效期设置。口令长度不得小于8位,且为数字、字母和特殊字符组合;口令中不得包含常见的有规律的数字或字母组合和键盘上有规律的字符组合避免暴力猜测。其次的措施是清理测试账号,确保账号权限最小化,对所有监控视频在用的账号进行登记。
1.4端口限制关闭开放的服务,如FTP、Telnet、Tftp、远程服务等,关闭病毒木马端口如135-139、445、3389等。
1.5上下线管理对于出现严重的漏洞或高危漏洞,无法整改的,并且继续运行可能影响到视频监控系统正常运行及危害信息安全的,对系统下线进行风险评估,以确认系统下线后是否对其它系统造成影响。系统通过下线风险评估,无误后,进行下线处理。
2技术方案
2.1实现视频监控业务的正常授权访问,防止危险网段对监控进行非授权访问。避免有意避开开系统访问控制,对网络资源进行非正常使用,或擅自扩大权限,越权访问信息。措施是利用发送源数据包及目的地址,推测可能遭到攻击的目的主机IP地址作为保护对象,以实现TCP协议的单向访问策略,保护目的主机无法被危险网段主动建立TCP连接。增强用户名和密码的强度,并保证各项业务正常使用。。
2.2在核心交换机联至级联交换接口做ACL策略,在汇聚交换机上进行ACL策略,以达到拒绝非授权访问的目标。有路由器的单位也可在主、备核心路由器上分别启用ACL策略,达到防护的目的。
2.3 ACL策略从TCP、UDP、ICMP个层面进行配置(以下public为视频监控的VPN)。
2.3.1在ICMP层面,阻断危险网段进行ping测试,防止暴力猜测设备的用户及密码。
rule 1 permit icmp vpn-instance public source 192.168.0.0 0.0.255.255
rule 2 permit icmp vpn-instance public source 192.168.0.0 0.0.255.255
rule 3 deny icmp vpn-instance public
2.3.2在协议udp层面,阻断危险网段获取SNMP相关信息,阻止非法用户获得设备团体名,最终获得读写权限,达到修改设备信息和控制设备的目的。
rule 1 permit udp vpn-instance public source 192.168.0.0 0.0.255.255 destination-port eq snmp
rule 2 permit udp vpn-instance public source 192.168.0.0 0.0.255.255 destination-port eq snmp
rule 3 deny udp vpn-instance public destination-port eq snmp
2.3.3在协议TCP层面,通过访问控制列表,实现公司内部网段全部实现单向访问控制。即允许内部网段可以主动访问内部范围地址,不允许非授权地址访问内部网段。从技术屏蔽内部网段,达到保护内部网络安全目的。
rule 1 permit tcp vpn-instance spi source 192.168.1.0 0.0.255.255 destination 192.168.0.0 0.0.255.255
rule 2 deny tcp vpn-instance spi source 192.168.2.0 0.0.255.255
2.4限制登录的用户,在网络设备可配置性、强壮性等方面进行优化设计和完善。限制授权登录的用户、IP,清理账户、降低非关键用户的Level值、限制telnet远程远程登录,保证内部网络的安全。
[Router]acl 2001
[Router-acl-101]rule permit tcp source 192.168.1.0 0.0.0.0 destination 192.168.1.0 0.0.0.0 eq telnet
[Router-acl-101]rule deny tcp source any destination 192.168.2.0 0.0.0.0 eq telnet
[Router]interface Ethernet0
[Router-Ethernet0]firewall packet-filter 2001 inbound
3.结束语
在网络与信息安全的大背景下,如何保障关键基础设施和重要领域信息系统及数据的安全可控,防范、制止和依法惩治网络攻击、网络入侵、网络窃密等网络违法犯罪行为,是供电行业今后网络与信息安全的重点。供电企业的视频监控系统已广泛运用于运检、调度、营销、运监、应急管理业务,尤其在应急抢修业务过程中,发挥了支撑专业协同的基础作用,提供视频需求全面共享和多业务融合的作用。本文通过安全配置检测和优化、账号口令安全检测和增强、系统后门检测封堵、强访问控制策略、增强远程维护的安全性等方式,确保了视频数据的完整性、安全性、可靠性,实现了视频高效智能的监控、判断、分析功能,减轻了人工管理的难度,提高了电力视频监控系统的整体安全防御能力。
参考文献
[1]华为技术有限公司.HCNP路由交换实验指南[M].北京:《人民邮电出版社》.
[2]唐作莉.信息系统安全三级标准下的视频监控网络安全防护体系构建[J].中国安防大数据发展高峰论坛特刊《贵州安防》2018(1)33-37.
[关键词]供电 视频 监控 安全 防护 方案
中图分类号:TM 文献标识码:A 文章编号:1009-914X(2018)47-0015-01
0引言
视频网络监控安全是指为了防止数据信息被他人盗取,在监控数据信息的传输,存储过程中采取保密性的措施,防止数据信息的外泄。具体措施如视频监控系統中的系统日志文件和视频录像文件需要做到防止外泄,在传输,存储监控数据信息过程中,确保数据信息不被未授权的篡改或在篡改后能够被迅速发现。在前端视频流通过IP传输网络传输到视频存储系统,以及视频存储网络的各个环节都必须考虑相应的防护措施,从而确保数据信息的完整性。本文重点从安全防护技术上阐述防止非授权侵入、恶意篡改、盗取信息技术,以期达到视频监控安全的目标。
1.安全管理
1.1视频监控数据信息本身的安全
主要措施是采用数据加密技术和软件对监控数据信息进行主动保护,如数据加密,数据完整性,双向身份认证等。
1.2视频监控数据存储安全
主要技术措施是在数据存储过程中采用安全的数据信息存储手段对数据的保护,如通过磁盘阵列,数据备份,异地容灾等手段保证数据保存的安全。
1.3账号管理 主要措施是口令管理,严格要求口令强度及有效期设置。口令长度不得小于8位,且为数字、字母和特殊字符组合;口令中不得包含常见的有规律的数字或字母组合和键盘上有规律的字符组合避免暴力猜测。其次的措施是清理测试账号,确保账号权限最小化,对所有监控视频在用的账号进行登记。
1.4端口限制关闭开放的服务,如FTP、Telnet、Tftp、远程服务等,关闭病毒木马端口如135-139、445、3389等。
1.5上下线管理对于出现严重的漏洞或高危漏洞,无法整改的,并且继续运行可能影响到视频监控系统正常运行及危害信息安全的,对系统下线进行风险评估,以确认系统下线后是否对其它系统造成影响。系统通过下线风险评估,无误后,进行下线处理。
2技术方案
2.1实现视频监控业务的正常授权访问,防止危险网段对监控进行非授权访问。避免有意避开开系统访问控制,对网络资源进行非正常使用,或擅自扩大权限,越权访问信息。措施是利用发送源数据包及目的地址,推测可能遭到攻击的目的主机IP地址作为保护对象,以实现TCP协议的单向访问策略,保护目的主机无法被危险网段主动建立TCP连接。增强用户名和密码的强度,并保证各项业务正常使用。。
2.2在核心交换机联至级联交换接口做ACL策略,在汇聚交换机上进行ACL策略,以达到拒绝非授权访问的目标。有路由器的单位也可在主、备核心路由器上分别启用ACL策略,达到防护的目的。
2.3 ACL策略从TCP、UDP、ICMP个层面进行配置(以下public为视频监控的VPN)。
2.3.1在ICMP层面,阻断危险网段进行ping测试,防止暴力猜测设备的用户及密码。
rule 1 permit icmp vpn-instance public source 192.168.0.0 0.0.255.255
rule 2 permit icmp vpn-instance public source 192.168.0.0 0.0.255.255
rule 3 deny icmp vpn-instance public
2.3.2在协议udp层面,阻断危险网段获取SNMP相关信息,阻止非法用户获得设备团体名,最终获得读写权限,达到修改设备信息和控制设备的目的。
rule 1 permit udp vpn-instance public source 192.168.0.0 0.0.255.255 destination-port eq snmp
rule 2 permit udp vpn-instance public source 192.168.0.0 0.0.255.255 destination-port eq snmp
rule 3 deny udp vpn-instance public destination-port eq snmp
2.3.3在协议TCP层面,通过访问控制列表,实现公司内部网段全部实现单向访问控制。即允许内部网段可以主动访问内部范围地址,不允许非授权地址访问内部网段。从技术屏蔽内部网段,达到保护内部网络安全目的。
rule 1 permit tcp vpn-instance spi source 192.168.1.0 0.0.255.255 destination 192.168.0.0 0.0.255.255
rule 2 deny tcp vpn-instance spi source 192.168.2.0 0.0.255.255
2.4限制登录的用户,在网络设备可配置性、强壮性等方面进行优化设计和完善。限制授权登录的用户、IP,清理账户、降低非关键用户的Level值、限制telnet远程远程登录,保证内部网络的安全。
[Router]acl 2001
[Router-acl-101]rule permit tcp source 192.168.1.0 0.0.0.0 destination 192.168.1.0 0.0.0.0 eq telnet
[Router-acl-101]rule deny tcp source any destination 192.168.2.0 0.0.0.0 eq telnet
[Router]interface Ethernet0
[Router-Ethernet0]firewall packet-filter 2001 inbound
3.结束语
在网络与信息安全的大背景下,如何保障关键基础设施和重要领域信息系统及数据的安全可控,防范、制止和依法惩治网络攻击、网络入侵、网络窃密等网络违法犯罪行为,是供电行业今后网络与信息安全的重点。供电企业的视频监控系统已广泛运用于运检、调度、营销、运监、应急管理业务,尤其在应急抢修业务过程中,发挥了支撑专业协同的基础作用,提供视频需求全面共享和多业务融合的作用。本文通过安全配置检测和优化、账号口令安全检测和增强、系统后门检测封堵、强访问控制策略、增强远程维护的安全性等方式,确保了视频数据的完整性、安全性、可靠性,实现了视频高效智能的监控、判断、分析功能,减轻了人工管理的难度,提高了电力视频监控系统的整体安全防御能力。
参考文献
[1]华为技术有限公司.HCNP路由交换实验指南[M].北京:《人民邮电出版社》.
[2]唐作莉.信息系统安全三级标准下的视频监控网络安全防护体系构建[J].中国安防大数据发展高峰论坛特刊《贵州安防》2018(1)33-37.