基于混合策略和违规阻断的视频专网准入控制系统的研究与实现

内容目录：

1　研究现状

2　准入控制系统架构与流程设计

2.1　系统总体架构

2.2　准入流程设计

3　系统功能设计

3.1　资产自动发现

3.2　资产指纹特征

3.3　资产指纹库

3.4　网络资源管理

3.5　前端接入管理

3.6　终端接入管理

4　安全策略管理

4.1　弱口令检测

4.2　高危端口检测

4.3　木马病毒检查

4.4　国标识别准入

4.5　设备白名单准入

4.6　数据白名单准入

4.7　基于访问控制列表的访问控制

4.8　安全状态评估

5　违规外联检测与阻断

5.1　违规外联检测

5.2　违规外联告警

5.3　违规外联阻断

6　系统实现

7　与零信任安全体系的比较

8　结　语

随着智慧城市和雪亮工程的建设，逐渐形成了覆盖整个城市的视频专网，实现了治安重点区域实时监控，全面提升了对突发事件的响应能力。视频专网作为视频监控系统的主要承载网络，具有网络安全级别高、网络规模庞大、网络分支较多、接入位置分散、人为监管困难等特点，前端设备、系统应用、存储系统等存在较大的安全风险。

网络准入控制（Network Access Control，NAC）是一项由思科公司发起、多家厂商参加的计划，其宗旨是防止病毒等新兴黑客技术对企业安全造成危害。借助 NAC，用户可以只允许合法的、值得信任的终端设备接入网络。结合视频专网现状和面临的突出问题，本文旨在通过部署基于混合策略和违规阻断的网络准入控制系统，针对视频专网进行统一的资产管理和准入管控，保障视频专网运行效能和网络安全。

随着视频专网前端设备数量日益增长，前端设备品类繁多、品牌复杂、维护单位众多，包含大量的网络摄像机、NVR/DVR 设备、电子警察应用设备等，视频专网的全网资产识别和分类统计变得尤为困难。同时视频专网规模庞大，存在设备众多、分支较多、地理位置分散、人为监管困难等问题，导致大量设备无故离线和未知设备的违规外联，视频专网数据库系统内视频、图像、车辆轨迹等敏感信息存在泄露风险。因此，需要设计一套准入控制解决方案，对视频专网所有接入设备进行安检，允许可信合规的设备入网，并阻断未经安检或者不符合策略的设备，提升整体网络安全。

2.1　系统总体架构

专网是指除互联网或者其他公共网络外使用私有 IP 地址空间，不连接互联网或者通过安全隔离设备连接互联网的政府部门或社会企事业单位的专用网络。视频专网也称视频传输网，它是公安机关采用专线方式或虚拟专用网络方式，建设在公安信息网之外的用于传输公安业务所涉视频图像、汇聚来自各层级视频图像的信息系统，并支撑公安视频图像业务等各项功能的非涉密网络。

市级视频专网为市—县—派出所 3 级网络，网络拓扑包括接入层、汇聚层、核心层，是典型的 3 层结构，前端由摄像机、卡口、无人机、单兵设备、车载图传、执法记录仪、物联网传感器等智能采集设备组成，终端由计算机、智能设备、哑终端等组成，其网络拓扑图如图 1 所示。

图 1　市级视频专网网络拓扑图

本系统采用 B/S+C/S 架构，使用模块化开发模式，物理层支持多种主流网络设备；网络层提供多种多样的主流网络准入技术，完美兼容适配各类网络结构；准入层划分为管理网络骨架的承载网络、管理网络区域的业务网络和管理网络安全的准入策略 3 个核心部分；安全检测层用于实现安全评估、流量监测、终端控件核查和多样性身份鉴别；应用层提供直观、明了、清晰的可视化窗口和业务应用。系统架构如图 2所示。

图 2　系统架构

2.2　准入流程设计

在旁路模式下，主要利用简单网络管理协议（Simple Network Management Protocol，SNMP）实时发现在线的 IT 设备在网情况和在网位置，同时对比策略库中的策略，例如对比在线 IT 设备的 MAC 地址和指纹信息是否与资产库（白名单）中的可信 IT 设备一致，如信息一致，则保持网络现状；如信息对比异常，则启用自动化阻断程序，丢弃异常违规设备的所有网络数据包。总体管理流程如图 3 所示。

图 3　总体管理流程

具体流程包括：

（1）准入控制系统通过 SNMP 协议实时发现全网在线设备，系统自动检查在线设备是否与资产库一致；

（2）系统发现新增设备后，检查是否匹配入网预案；

（3）若新增设备能够匹配入网预案的可信条件，则系统直接放行不做任何阻断处理，维持网络现状；

（4）系统发现新增设备后，检查到不匹配任何入网条件，则会产生违规接入告警事件；

（5）系统通过远程控制协议调用自动化程序，对违规设备直连的网络端口下发指令，实现接入层的阻断处理。

3.1　资产自动发现

目前准入控制系统主要有 5 种资产识别技术，能够精准识别视频专网的资产信息。

（1）SNMP 探 测：SNMP 探 知 所 有 连 接 交换网络的在线资产或私网资产。

（2）地址解析协议（Address Resolution Protocol，ARP）监听：ARP 监听所有二层网络的广播数据包，有效发现隐藏网络。

（3）端口镜像：通过端口镜像技术对传输数据进行应用级监听分析，有效判别服务流量和用户流量。

（4）指纹识别：通过视频专网专用指纹识别库，实现对全网在线资产的指纹特征、运行服务、操作系统、软件型号、摄像机型号、摄像机功能的识别。

（5）文字识别：通过应用网站专用文字识别技术，实现针对 Web 应用站点业务系统的精准识别，在服务器资产类别的基础上重新归类出公安业务专用的资产库。

通过以上多重技术的结合，把资产 IP、资产 MAC、品牌厂商、操作系统、运行服务、入网端口、应用业务等入网信息有机结合，实现IT 资产的多元素自定义绑定的效果。

3.2　资产指纹特征

视频专网指纹特征识别库采用的是主动探测和被动监听两种模式结合的方式。其中，主动探测是主动采集在线资产的品牌厂商、资产型号、操作系统、运行服务等；被动监听是实时采样整个网络接入设备的传输流量，并进行拆包解析数据行为。

3.3　资产指纹库

系统生成视频专网指纹识别库，其中主要包括网络设备、终端设备、哑终端等，如表 1所示。

表 1　资产指纹库

3.4　网络资源管理

3.4.1　流量管理

系 统 在 整 个 网 络 中 实 时 学 习 网 络 拓 扑，自动识别网络设备厂商、型号，并实现网络设备面板视图管理、端口列表管理，直观地展示网络设备的工作状态，同时能够实现网络设备CPU、内存实时监视、端口流量实时统计，支持SNMP 模板，实现自动配置网络。

3.4.2　VLAN 管理

系统自动同步交换机的虚拟局域网（VirtualLocal Area Network，VLAN）数据库，集中展示所有交换机的 VLAN 分布情况。根据 VLAN 职能可以将其分为终端 VLAN、业务 VLAN、安全VLAN、 候 审 VLAN 和 隔 离 VLAN 等。各 职 能VLAN 具备不同的安全策略，例如，终端 VLAN主要分配内网终端的基础访问权限；业务 VLAN主要分配内网服务器的业务权限；安全 VLAN主要管理安全设备。

3.4.3　IP 管理

支持对全网的 IP 地址进行发现和管理，可以发现各网段正在使用、长期离线、非法入侵和未使用的 IP，并且可以添加有效备注信息，也可以通过自身动态主机配置协议（Dynamic Host Configuration Protocol，DHCP）功能进行 IP地址的分配，从而有效管理内部 IP 地址。同时，支持以图表的形式展现IP资源的实际使用情况，协助管理员对视频专网 IP 资源的使用进行整体规划，快速完成 IP 资源分配、回收登记管理。IP 信息展示方式分为两个维度，支持基于组织架构查询，也支持基于 IP 网段查询。

3.5　前端接入管理

以“接入设备可信、接入数据可控”为原则，通过主动扫描、被动监听和手工设置等手段，建立弱口令扫描、高危端口扫描、白名单准入等策略，实现对网络中非法恶意行为的识别、告警和实时阻断，避免非法访问、入侵攻击等非法数据接入视频专网 。该过程采用无客户端技术，无须对所有视频摄像头物联网设备进行大量的客户端安装。前端设备入网流程如下：

（1）前端设备首次入网时，自动阻断其所有网络通信能力；

（2）匹配入网策略，包括弱口令检查、高危端口检查、自定义策略检查等；

（3）根据策略匹配情况进行审核，包括直接放行、限时放行、人工放行等多种审核模式。

3.6　终端接入管理

对于计算机终端接入，准入控制系统首先要判断终端是否为首次入网，自动阻断其所有网络通信能力，进行终端注册和认证，确认终端合法性；其次安装准入 Agent，基于准入客户端实现合规检查和安全检查，对存在安全风险的终端进行隔离并引导其修复，直至完全合规后允许其进入网络 。

终端计算机入网流程如下：

（1）当终端计算机首次入网时，自动阻断其所有网络通信能力，仅可访问准入产品的入网申请界面；

（2）入网申请时，包括终端身份认证、策略匹配、安全审核；

（3）终端完全符合管理策略后，放行入网。对于哑终端接入，不适合通过认证客户端或者 Portal 方式进行认证，可以建立一套终端安全管理基线，能够对所有管理终端的外设如光驱、打印机、蓝牙无线网卡等进行管控。

4.1　弱口令检测

系统具备针对摄像机和 NVR/DVR 的 onvif弱口令探测能力，实现对全网在线的摄像机和NVR/DVR 实现高危弱口令探知，然后通过字典库进行弱口令比对分析。

4.2　高危端口检测

系统具备针对摄像机和 NVR/DVR 的高危端口探测能力，实现对全网在线的摄像机和 NVR/DVR实现高危端口探知（如默认不开启的 TELNET 和SSH 协议），通过高危端口列表进行比对分析。

4.3　木马病毒检查

与各类防毒墙联动，一旦匹配木马病毒特征库，将立刻对入网终端进行隔离处理，防止木马病毒传播。

4.4　国标识别准入

检测前端摄像头是否符合 GB 35114 系列标准，包括检测摄像头具备的安全能力是 A 级、B级还是 C 级，对于符合 GB 35114 系列标准的前端，允许其接入视频专网；对于不符合 GB 35114标准的前端，予以实时告警，并通过日志的形式展示，便于对摄像头的合规性进行检测和排查。

4.5　设备白名单准入

建立合法接入设备的资产白名单。自动化提取接入网络摄像机等前端的设备 IP、MAC、编码、厂商、行政区域、安装地址、经纬度、位置类型、联网等属性，并以此为基线，生成资产库和设备白名单。当接入设备入网时，通过主动扫描与被动监听相结合的方式，将设备的信息与既有资产库进行比对，比对成功则将设备放行，比对失败则进行实时阻断及告警。

4.6　数据白名单准入

基于接入数据协议特征建立业务白名单。内置 GB/T 28181 和 GB 35114 系列国标协议特征库及主流安防厂家的私有协议特征库，实现基于协议特征库白名单的数据管控。当数据接入到视频专网时，对数据进行逐包协议特征解析，并与协议特征白名单进行匹配，如果匹配成功则将数据放行，匹配失败则将数据实时阻断并告警，以防止病毒、木马、分布式拒绝服务攻击、非法扫描等入侵行为接入视频专网。

4.7　基于访问控制列表的访问控制

根据 VLAN 职能、交换机虚拟接口、访问对象、访问目标、标签分别或组合下发入网策略，实现区别化入网管理，可对不同的 VLAN 定义不同的认证、安检策略，支持时间控制策略，检查是否在规定的时间入网，以充分保证网络安全。

4.8　安全状态评估

对接入设备主要是计算机终端进行安全状态评估。例如，可以检测是否安装 Agent 并运行、是否符合终端安全评估要求、主机环境是否可信等。

5.1　违规外联检测

内部网络的数据保密极为重要，但在实际环境中，管理员难以对每个终端设备进行管理，因疏忽而产生的内外网互联的情况，容易造成数据泄露、黑客入侵等各种网络安全事件。准入控制系统提供无客户端的终端违规外联检查，可及时发现网内出现的违规连接互联网行为的终端，并提供违规设备的内网 IP、设备 MAC、外网 IP、设备位置、外联时间等相关信息。将网内在线终端资产发送外网检测数据报文，若设备存在外联情况，则该外联终端将触发诱导，发送响应报文到互联网违规外联监控服务器，服务器会第一时间发现并定位。违规外联检测如图 4 所示。

图 4　违规外联检测

5.2　违规外联告警

准入控制系统提供无客户端的终端违规外联检查，并支持实时短信、邮件告警，提供Web 管理页面，管理人员可随时随地查看并掌握网络安全动态和阻断情况，包括内网 IP 地址、内网 MAC 地址、内网连接位置（交换机端口）、外网 IP 地址、违规时长等信息。

5.3　违规外联阻断

违规外联数据通过部署在互联网违规外联的监控服务器单向导入内网的准入控制系统，对出现违规外联的设备进行自动阻断，防止违规终端设备持续在网状态。具体流程如图 5所示。

图 5　违规外联阻断

具体流程包括：

（1）发送诱导数据，监测终端外联情况；

（2）内网终端违规外联互联网，访问互联网各类应用；

（3）违规外联监控服务器接收到终端外联数据；

（4）违规外联监控服务器通过边界设备单向传送违规外联数据，将违规外联数据推送至视频专网的准入设备；

（5）推送外联数据（包括违规外联事件涉及的时间戳、资产 IP、资产 MAC）；

（6）准入系统接收到外联数据后实施阻断。

采用面向对象和面向过程的软件设计思想和方法，使用 Linux 下的 C 和 PHP 编程技术，形成设计先进、界面友好的管理平台。系统主要包括 5 大功能模块：资产管理、前端接入管理、终端设备管理、安全策略管理、违规外联检测及阻断。系统涉及大数据并发存取、混合准入技术、网络可视化等关键技术。

准入控制系统部署在内部网络环境，部署方式为旁路模式，部署方案包括自动运维部署和流量管控部署。

自动运维部署采用 Telnet/SSH 方式来管理交换机，系统内置交换机的 VLAN 切换和动态访问控制列表控制策略的自动化运维脚本。利用SNMP 协议在接入层交换机上获知是否有新设备接入或者未做安全检查的终端接入，如果不允许设备接入或者没有通过安全检查，则通过映射 VLAN 切换技术和动态 ACL 技术，将设备进行隔离，数据流量重定向，对终端做 Web 重定向、安全检查与修复、访问权限控制等操作。

流量管控部署通过在核心或者汇聚设备上配置端口镜像或 PBR 路由策略的方式，将流量复制到准入控制系统，准入控制系统对入网流量的合规来源和合规特征进行分析，从而进行流量引导和违规阻断。

针对视频专网大流量的网络环境，可以采用自动运维部署和流量管控部署两种技术的有机结合。通过流量镜像的方式在线采样分析入网数据包，同时利用 IP ACL 和 SVI ACL 技术对穿越网络的数据包进行 L2 ～ L7 层的应用级防护。

零信任安全防护体系作为新一代网络安全防护理念和技术，近年来逐渐在视频专网中得到应用。零信任以动态授权和持续认证为核心，在构建持续认证和动态资源访问控制能力方面具备特别的优势，但同时也存在以下缺点：零信任很大程度上会改变已有网络拓扑和用户访问方式，同时需要对现有业务做较大改造；建设成本高、部署周期长，需要持续投入；体系架构复杂，涉及内部组件较多，管理难度增加；过度强调中心化和权限收敛，极易造成单点故障和集中化管理失控。

相比于零信任体系，本方案具有以下优点：

（1）简单可靠，无须改变现有拓扑结构，就可以通过明确策略实现访问控制；

（2）业务不需做太多改造就可以实现对接，准入策略和系统可以透明部署；

（3）阻断过滤彻底，可以基于数据链路层和网络层彻底阻断请求数据进入保护区域；

（4）技术较为成熟，投资成本较低，短时间内即可落地，同时降低了管理和维护的复杂度。

本文依据视频专网的现状和拓扑制定了一套全新的准入控制流程，基于混合安全管理策略和违规外联阻断技术，设计了一种视频专网准入控制系统。系统对于目标网络环境具有极强的适应性，无须改变现有拓扑结构，支持网络环境自动发现和基础配置自动下发，为视频专网的安全防护提供一种新的方法。但该系统在实现原理上未考虑 802.x 准入方式，本身不够完善，无法解决无线局域网终端的接入认证问题。随着移动互联网、物联网的发展，越来越多的无线感知设备将接入专网，如何通过标准的 802.x 协议，在网络接入层进行前端和终端的身份认证、合规检查和违规阻断，将是下一阶段研究的课题。