等保2.0安全区域边界之物联网扩展要求测评(视频监控系统) – 作者:tc01680

1.前言

在实际测评项目中,以视频监控系统的物联网扩展部分测评已经越来越常见了,本文将从一个典型的视频监控系统为例(本文仅讨论网络视频监控,模拟视频监控不在探讨范畴,因为模拟监控还涉及编解码器等),探讨城市视频监控系统安全区域边界层面的测评实施。若有不正确,欢迎指正。

2.系统描述

常见的视频监控系统主要由前端的摄像机、接入网关和后端的NVR、存储、流媒体服务器或业务应用软件组成。下图是一个典型的视频监控系统架构图:

图片[1]-等保2.0安全区域边界之物联网扩展要求测评(视频监控系统) – 作者:tc01680-安全小百科现场感知层:主要由摄像机和接入网关组成,有些场景,可能没有接入网关,直接接入交换机。接入网关其实就是一个小型的安全网关,包含访问控制、入侵检测、终端准入等功能。

网络传输层:将摄像机采集的数据通过网络传输至处理应用层,网络类型包括无线网络、移动通信网络、互联网等。

处理应用层:负责将传输过来的数据进行存储、分析,比如NVR或存储服务器;集中管理感知层的接入网关和摄像机,比如管理客户端、视频监控安全管理平台;还负责为业务应用系统提供API接口方便调用视频流,比如流媒体服务、道路交通事件自动取证系统、客流统计系统、智能视频分析系统等。

3.测评实施

3.1接入控制

a)应保证只有授权的感知节点可以接入。

指标解读:目的是避免外来摄像机或非摄像机设备可以不经认证直接接入网络中,可以把摄像机当作普通终端电脑来理解,一般都是准入控制来实现。

测评对象:网络全局中的接入网关、防火墙、视频监控安全管理平台等设备

测评方法:核查摄像机是否能够需要数字证书认证、MAC地址认证、共享密钥认证等认证方式接入网络中,若在接入网关实现,需要核查接入网关的相关策略,比如有的接入网关需要MAC地址认证,如果摄像机的MAC地址在白名单中,摄像机可以接入,否则无法接入。有的接入控制在网络中的准入控制设备实现的,认证策略也是MAC地址免认证,那么也是可以符合的。还有的可能是接入网关需要验证摄像机的数字证书或ID,验证通过后才能接入,实现的方式都大同小异。

3.2入侵防范

a)应能够限制与感知节点通信的目标地址,以避免对陌生地址的攻击行为;

指标解读:主要为了避免摄像机对特定IP地址发起DDOS攻击。

测评对象:网络传输层的防火墙、安全接入网关等、路由表

测评方法:核查摄像机是否单独划分VLAN或子网,VLAN或子网或是否存在相关访问控制策略,比如摄像机的网段是192.168.1.0/24,在网关(防火墙)限制源地址192.168.1.0/24的any端口仅能访问目的地址的any的any端口,这样避免三层VLAN默认互通导致摄像机的网段和其它网段可以相互访问。如果视频监控系统是独立物理组网,那么也是符合的。还有一种场景,比如摄像机未划分单独的网段,但是每个摄像机上未配置默认网关,仅配置了指向安全接入网关、防火墙等设备的静态路由,个人认为,也是符合要求的。

b)应能够限制与网关节点通信的目标地址,以避免对陌生地址的攻击行为。

指标解读:主要为了避免接入网关对特定IP发起DDOS攻击。

测评对象:网络传输层的防火墙、安全接入网关等、路由表

测评方法:核查接入网关是否单独划分VLAN或子网,VLAN或子网或是否存在相关访问控制策略,如果视频监控系统是独立物理组网,那么也是符合的。核查静态路由,是否限制网关的通信地址。

4.尾语

物联网测评的难点在于,如何判断感知节点和网关节点,这点如果弄清楚了,测评起来相对顺利。视频监控系统仅仅只是物联网的其中一种典型系统,和RFID、 家庭物联网等场景还是有一些不同的,建议实际测评中要多了解多想想,不要犯教条主义,不要完全照搬测评要求,原则上只要能实现基本要求的措施,都应该可以,但是这对测评人员的能力 要求比较高。

来源:freebuf.com 2021-01-20 14:38:46 by: tc01680

© 版权声明
THE END
喜欢就支持一下吧
点赞0
分享
评论 抢沙发

请登录后发表评论