前言

随着技术的不断进步，特别是相关协议的完善和高清视频会议系统技术的成熟，由于具有高效率、低成本、快捷方便等特点，视频会议系统已经应用到越来越多的领域，甚至在与互联网等公共信息网络隔离的重要信息系统中也开始大量使用。与视频会议系统有关的安全问题也随之而来，非授权用户恶意监听、拒绝服务攻击造成会议中断等事件不断曝光。斯诺登事件披露，NSA(美国国家安全局)于2012年夏天对纽约联合国总部内部视频会议系统进行了破解，NSA称破解“大幅提高了从视频电话会议中获取的数据，显著提高了解码数据流量的能力””。视频会议系统的安全保密性面临着严重的威胁，因此全面细致分析重要信息系统中视频会议系统存在的安全保密风险，采取技术和管理措施增强视频会议系统的安全保密性已经迫在眉睫。

1、视频会议系统的体系结构和部署方式

（1）视频会议系统的体系结构

ITU-T(国际电信联盟远程通信标准化组织)于1996年提出了针对分组网络(如IP网络)的多媒体通信系统协议体系H.323，并于此后的十余年不断的更新，使该协议体系得到了广泛的应用。一个典型的H.323视频会议系统包含终端(Terminal) 、关守(Gatekeeper) 、网关(Gateway) 多点控制单元(Multipoint Control Units， MCU) 等逻辑部件。终端是分组网络中能提供实时、双向通信的节点设备，主要功能是采集视频/音频信号， 经处理后发送给MCU或其他终端，同时接收视频/音频信号，处理后发送到相应的输出设备；关守是一个域的管理者，域内的所有H.323节点必须在其上登记注册，主要功能有认证计费、地址解析、域管理和带宽管理等；网关的作用是进行H.323协议和其他非H.323协议的转换，使H.323终端和其他类型网络(如N-ISDN、B-ISDN和GSTN等) 终端能进行互通； MCU是视频会议系统特有的设备，由两部分组成：一部分是MC，主要负责处理会议中的控制信息；另一部分是MP，主要用来处理音频、视频和数据信息。

（2）视频会议系统的部署方式

在具体的物理实现中，H.323定义的各逻辑组件可能被集成到一个物理设备中，另外还会增加其它辅助功能设备和外部设备。视频会议系统通常作为一个应用系统部署在广域/城域网中，对于重要信息系统来说，在跨不可控区域时还会采取密码保护措施。视频会议系统可大致分为服务器部分和用户终端部分，服务器部分一般由视频会议管理服务器、录播服务器、MCU、存储服务器组成； 用户终端部分一般由会议管理客户端、视频终端以及摄像头、显示器、音响、麦克等设备组成。有的视频会议系统还配备IP电话系统，辅助视频会议系统在开会前进行前期的沟通工作。

第一章视频会议系统安全风险分析

根据视频会议系统的组成，综合考虑安全风险点的分布、层次和影响范围，本文抽象出重要信息系统中视频会议系统的安全风险模型，如图3所示。安全风险模型主要分为视频服务器和视频终端风险、相关设备风险、协议风险、软件风险、物理环境和电磁泄漏风险以及访问控制风险六部分。将风险分成模块有助于我们更好的专注和化解各个风险点，以提高视频会议系统的安全性，

同时，视频会议系统的安全性是一个整体，要提高视频会议系统的安全性需多管齐下。风险模型的各个部分详细介绍如下：

安全风险模型图

1.1视频服务器和视频终端的风险

(1)录播/存储服务器的管理风险：部分视频会议系统带有录像功能，并将录像文件集中存储在录播服务器上，有的还会定期备份到存储服务器中。然而对录播/存储服务器的管理措施往往不够严格录像文件一般为通用视频格式明文存储，经常只设置一个管理员全权管理，该管理员有权限查看和复制所有录像文件，且缺乏有效的审计和控制机制，稍有不慎，容易造成中国的“斯诺登事件”。

(2)视频终端的管理风险：视频终端是用于接收与发送视频数据的终端设备，通过网络接口直接与重要信息系统连接，是信息系统的重要接人节点，但在管理上往往得不到足够的重视，主要体现在视频终端未按重要信息系统中其它设备的要求进行管理和标识，未设置专门的责任人，特别是部分带有录像存储功能的视频终端安全保密风险更大。此外，部分视频会议系统，为在视频终端出现故障时能够有备份措施，往往在普通PC上安装软视频终端，通过专用视频软件，配合视频/音频输人输出设备即能连接上视频会议系统。这种软视频终端由于运行于普通计算机，存在更大的安全保密隐患，比如用户可以随意进行录像、计算机本身的软件漏洞很容易被利用等，但目前对软视频终端的使用管理还不够严格。

1.2相关设备的风险

(1)对外联接口缺少技术控制措施的风险：部分视频终端或视频会议室里采用的大屏幕电视或其它高清视频显示设备配有USB接口、网口和有线电视接口等多种接口，无法采取传统的技术管控措施，若使用不当，很容易就会破坏重要信息系统的物理隔离，比如将视频会议系统的显示设备连接有线电视网络。

(2)智能设备的管控风险：部分视频终端或其它设备(如智能电视)为智能设备，基本上就是一台定制的电脑终端， 比如具有裁减的Linux或windows系列操作系统， 具有多种连接外部设备和网络的接口、能够提供有线和无线网络访问，能够提供视频和音频解码功能，具备存储部件、能够预装和甚至安装应用程序。对于这类智能设备，目前缺少有效的技术手段进行管控，通过它们容易造成重要信息系统与外部网络或设备有意无意的连接，如果被利用会造成巨大的风险。

(3)使用无线外部设备的风险：部分视频会议系统使用无线音响、麦克风等无线设备，会破坏重要信息系统的物理隔离，也使会议内容易被截获。

1.3协议风险

(1)网络通信协议的安全风险：在高清视频会议系统里常用的网络通讯协议包括ITU-T提出的H.323协议和IETF提出的SIP协议。H.323协议族本身的漏洞容易遭受拒绝服务攻击、非授权接入、信令流攻击和媒体流监听等攻击，尤其是协议认证机制不健全会导致很多安全问题， 虽然ITU-T后续出台了H.235协议来专门解决安全性问题，但H.235协议只为安全的视频会议系统提出了一个概念性框架，并未指出如何与现有的安全协议及H.323架构做整合， 在实现中会引人其它的安全问题。SIP核心协议规范建议采用一些已有的知名互联网安全机制，如HTTP摘要认证、IPSec、TLS、S/MIME， 来提供逐跳(hop-by-hop) 和端到端(end-to-end) 的SIP信令安全，但是没有提出新的专门安全机制，这些机制运用在视频会议系统里存在多种安全问题。

(2)媒体传输安全风险：在网络实时多媒体通讯中，H.323协议族和SIP协议都使用实时传输协议(RTP) 和实时传输控制协议(RTCP)用来进行多媒体传输， 但RTP协议本身也有被窃听、非授权接人、篡改数据和被拒绝服务攻击的风险’。另外，对于视频数据加密来说，不同的系统会采用不同的视频加密算法，其中有的算法更加注重加密效率，而安全性不足。

(3)用户终端相关协议的安全风险：部分视频终端支持SNMP协议， 虽然采用SNMP能为管理上带来方便， 但SNMP本身就有很多漏洞， 会将风险引入到视频会议系统中；部分视频终端为进行固件升级会支持ftp服务， ftp本身采用明文进行口令传输， 而且ftp服务本身有很多漏洞， 如缓冲区溢出等，容易被攻击利用；部分视频终端设置可远程配置， 并允许采用telnet等不安全的方法登陆视频终端，存在用户名和口令被通过抓包方式截获的风险。

1.4管理软件的风险

视频会议系统的管理软件系统一般为针对通用需求设计的专业软件系统，大多数并没有针对重要信息系统进行二次开发，因此在各个方面往往不符合安全保密要求，主要存在没有进行合理的“三员”权限划分、口令长度复杂度达不到要求、安全审计日志内容不全记录不详细等问题。一方面导致管理软件账号容易被破解，而且难以事后追查；另一方面导致视频会议系统管理人员的行为得不到有效的监管，为别有用心的人提供了便利条件。

1.5物理环境风险

视频会议系统通常部署在广域网或城域网中，物理地点数量通常不止一个，一般为几十到上百个，物理环境的控制措施和程度参差不齐，容易出现木桶效应，即物理环境最差的接人点的安全保密风险决定了整个视频会议系统的安全保密风险。在实际中经常出现个别接人点的视频会议室未安装符合要求的门控措施、平时以及视频会议召开时，人员出人不能进行严格控制等情况，比如物业、服务人员或其它闲杂人员能够自由出人等。

1.6访问控制风险

(1)网络访问控制策略设置不合理带来的风险：不合理的网络访问控制策略设置会大大提高视频会议系统的安全保密风险。比如没有为视频终端单独划分VLAN， 使其与其他普通用户终端在同一个VLAN里； 仅对视频终端可以访问的资源进行限制，未限制其它用户对视频终端的访问；广域网视频会议系统的远程视频终端直接连在加密机后或者仅仅经交换机就连接到视频终端，缺少必要的边界访问控制设备(如图4所示的两种情形)。以上几种情况都存在网络内其它用户或设备非授权访问视频终端，并利用视频终端的漏洞进行窃密的隐患。

(2)会议访问控制策略设置不合理：不合理的会议访问控制策略也会增大视频会议系统的安全保密风险。比如有的单位为管理员操作方面，允许管理员在会议召开前或召开时将不在批准名单中的单位或者个人加入会议；有的视频会议系统对视频终端加入会议未做严格限制，开启自动加入策略，视频终端只需知道或尝试出视频会议管理软件中会议的房间号(随机生成或人工设置)，就可加人会议；有的视频会议系统，视频终端正常退出会议后重新加人会议并不需要认证；有的视频会议系统可以进行点对点视频通信，但视频终端未进行过专门的安全保密配置，如默认开启自动应答设置，容易造成非法用户私自连接某个视频终端。以上不合理的策略设置都会带来非授权人员或终端访问视频会议的风险。

(3)视频数据传输不加密风险：对于明文传输的视频会议数据，攻击者通过监听网络包，可以重构传输的图像和声音。其中通过捕获采用H.323协议视频会议的网络包重构视频会议声音部分的工具早已经作为开源软件出现在互联网上。对于重要信息系统而言，虽然跨不可控区域的传输会采取密码保护措施，此类风险较低，但也应注意可控的区域是否真的“可控”。

第二章视频会议系统安全需求分析

2.1前端会议终端安全加固需求

（1）前端安全加固

前端会议终端由于数量众多，个体抵挡黑客非法攻击的能力较弱，因此存在伪造终端接入、木马注入、病毒注入等风险，从而海量前端容易被当做DDOS攻击的来源。因此有必要对前端会议终端做基本的安全加固和信息安全监管，并实时监管正在运行的进程，如发现异常进程则进行下线处理。

（2）设备安全准入

视频专网网络规模庞大、网络分支较多、会议终端接入地理位置十分分散、人为监管困难等，导致会议终端、MCU以及周边设备的安全接入控制方面存在较大的安全风险，只需要设置一个IP地址就可以直接连接到视频专网中。因此，如果非法入侵者擅自更换视频专网设备，就能扫描专网内的所有设备实现网络的入侵和非法数据的访问。

视频专网要求安全设备具备与网络设备匹配的性能、组网能力、可靠性和扩展性，从而安全设备不会成为网络瓶颈，而传统安全产品的硬件及软件架构和网络差异性较大，无法较好的适配网络，因此无法满足视频传输专网的部署要求。功能上，传统的基于IP和MAC绑定的准入技术很容易被伪造，也无法达到高等级的安全要求。

加强技术手段建设，视频会议以及周边设备通过准入系统进入视频专网，只允许授信终端接入、只允许视频专网承载视频数据，其他数据一概屏蔽，保证网络前端边界安全可控，同时防范非法私接，非法私接需及时告警，做到设备入网可知、入网可信、边界可控。

2.2会议内容防止泄漏需求

在信息高速发展的今天，信息安全越来越受到重视，并且通过对外部黑客入侵威胁、内部人员泄密等事件的频频发生，对于视频会议系统来说，会议的图像、音视频的内容可能涉及到一些单位机密，当相关视频图像外发时，就有可能发生视频图像的泄露，导致单位机密泄露，严重情况下可能会影响到整个社会舆论。

• 针对视频会议室的屏需要进行拍屏和录屏的行为震慑，同时可以通过外泄的图片和视频进行追踪溯源。
• 对访问视频会议录播资源的权限需要进行管理控制，设立安全准入机制，同时访问过程进行审计。
• 在使用中的会议数据防止泄密，主要是防止是在使用过程当中，防止截屏录屏拍照等泄密方式。
• 在视频会议管理终端的本地存储数据防止泄密，主要是防止存储中的数据随便外发，造成泄密。
• 在外使用的视频会议数据防止泄密，主要是针对在外使用的视频数据要能够受控，不能随意人员打开，不能限制传播。
• 需要对视频数据的调用进行控制，不能在任意电脑上安装视频调用客户端软件就可以直接进行视频数据调用。
• 要求能够对视频泄露的事件能够追踪溯源，可以有效的震慑到企图视频泄露的人。

2.3 视频会议管理系统安全加固需求

（1）访问控制需求

网络访问策略是否可行，网络访问的来源和目标是否受控，网络访问行为是否有记录等问题，都会直接影响到视频传输专网的稳定与安全。如果没有进行适当的网络访问控制、没有对终端接入和网络地址的使用进行适当限制、对网络访问行为没有监管和审计措施，很容易造成网络资源滥用、信息泄露，轻则降低网络工作效率，重则导致经济损失。这就要求系统能够对网络中发生的各种访问，乃至网络中传递的数据包进行很好的监控。

由于视频专网的管理与监控机制尚不完善，无法对用户访问行为的合法性做出正确判断，缺乏对所采集的数据进行深入挖掘、详细分析和实时预警等功能，一旦发生了非法的网络访问，也很难及时发现和处理。

（2）入侵防御需求

对于视频专网来说，建立一套针对应用层安全威胁进行防御的机制是十分必要的。防范应用层安全威胁，需要对流经的报文进行深入应用层的全面解包，对报文从报文头到报文内容进行全面的分析，与事先定义的攻击特征进行匹配，以发现并阻断数据流里隐藏的攻击报文。同时，需要对协议的交互行为进行分析，发现异常的网络协议报文，实现全面的攻击行为检测。同时，对于检测到的安全威胁，系统需要能够实时的进行响应，第一时间自动进行防御，避免视频平台业务遭受攻击。

目前应用层网络攻击80%来源于内网，由于威胁的日益流行，以蠕虫、木马、隐藏式病毒、间谍软件攻击为代表的应用层攻击层出不穷，传统的防火墙防御只能基于网络层针对IP报文头进行检查和规则匹配，无法识别隐藏在正常报文中或跨越几个报文的应用层攻击；而传统的IDS等旁路应用层安全设备由于不能实时阻断安全威胁的传播，缺乏实用性。因此在考虑网络安全的时候就必须考虑全面完善和深入到应用层的安全防范，在低延迟、高性能的前提下、通过覆盖网络2-7层分析与检测，可以针对系统漏洞、协议弱点、病毒蠕虫间谍软件、恶意攻击、流量异常等威胁进行主动与实时阻断的一体化深层次安全防御和病毒过滤，实现对网络系统全面的安全防护。

视频专网需要部署入侵防御设备来针对系统漏洞、协议弱点、病毒蠕虫、间谍软件、恶意攻击等威胁进行主动与实时阻断。

（3）异常流量清洗安全需求

对于视频会议系统网络来说，主要传输的是视频会议的音视频协议流量以及会议终端的信令协议，因此需要在网络中建立异常流量清洗的机制，把不属于视频会议系统相关的流量过滤掉，这样一方面保证了带宽的充裕，另一方面可以屏蔽掉大部分攻击流量。

（4）合规访问和调用视频资源需求

非法用户可以通过网络监听、暴力破解或社会工程等手段获取合法用户登录信息从而进入系统进行有限范围内的数据访问操作，或进而利用系统漏洞提升自己的访问权限以达到完全控制系统的目的，普通合法用户也可以利用这种方式实现越权访问，这样所导致的直接后果就是系统文件和涉密信息的泄露和破坏。因此采用多种因素的手段保障访问到服务资源的合规性，是对服务器资源调用的最基本安全防护手段。

（5）网络病毒防护需求

计算机病毒：计算机病毒不仅能侵入WINDOWS文件系统，而且也有可能通过各种途径进入Linux文件系统中，即使它不会对服务器系统本身造成威胁，但是一旦服务器感染了病毒，就会对所有的访问终端构成威胁；

同时传统杀毒技术的软件一般是基于病毒库来防护和查杀的，也就是俗称的黑名单。只有当能够侦测并捕获到勒索软件疫情并将其加入黑名单后，传统杀毒软件才能有效地拦截病毒。

（6）数据完整性需求

视频会议数据目前均是采用明文进行传输，而且视频数据和其它应用数据不相同的地方在于，视频数据是采用图片逐帧传输，接收端再进行缓存合并播放的，在视频传输过程中和视频播放过程中，如果在视频帧中插入其它图片或者抽出部分视频帧均可以轻易达到混淆视听的目的，所以对于视频数据调用需要保证视频数据的完整性才能视频的真实性。

2.4视频会议应用业务审计需求

否认：只要在用户非法操作过程中或操作完成后没有留下任何有效的证据，用户完全可以否认自己的操作行为，例如发信者事后否认曾经发送过某条信息，或者接收者否认曾经受到过某条信息；

缺乏审计能力：对系统的运行情况和用户的操作行为缺乏有效的审计手段，将造成安全管理人员的“盲区”，安全管理人员无法了解到系统的安全状况和系统的访问态势，无法及时发现系统中存在的安全隐患，更谈不上采取安全措施了。

而视频会议中不能只按传统网络审计中只对源IP地址、目的IP地址、协议号、源端口、目的端口进行审计，更需要对应用协议进行深度分析，能分析出同协议号中的不同控制信令，从而能更加精准的审计到哪个IP地址对前端会议终端进行什么样的操作控制。

2.5 安全监管需求

为保障整个视频专网的安全和稳定运行，需要掌握网络的流量情况，追溯历史记录，需对整个数据采集和视频网络进行管理。主要满足如下需求：

• 建设统一安全监管平台，实现对终端、网络、安全、业务等资源的高效整合；
• 对前端接入设备、电脑等终端设备集中管控，杜绝非法私接和入侵行为；
• 对安全信息与事件进行分析，关联聚合常见的安全问题，过滤重复信息，发现隐藏的安全问题；
• 对全网流量集中监控，提供统计分析工具，提供各种形式报表，异常流量自动报警等功能。

第三章 设计方案

3.1方案设计依据

设计方案按照国家的有关标准和规范进行，参考相关标准如下：

• 《中华人民共和国网络安全法》
• 《中华人民共和国个人信息保护法》（草案）
• 《信息安全技术 网络安全等级保护安全设计技术要求》（GB/T 25070-2019）
• 《信息安全技术 网络安全等级保护基本要求》（GB/T 22239-2019）
• 《信息安全技术 个人信息安全规范》（GB/T 35273—2020）

3.2 立统科技视频会议安全防护技术详解

视频会议安全整体解决方案系列产品业务涵盖了视频采集终端设备管理、视频联网安全传输、视频业务应用统计分析、视频防泄密、视频防病毒等功能应用领域。

1、主动扫描资产定位和应用协议分析过滤

立统科技的视频会议安全防护系统采用DPI的识别方式使得应用层协议可视化可控，可以根据应用的行为和特征实现对应用进行识别和控制，而不仅仅依赖于端口或标准协议，摆脱了传统设备只能通过IP地址或者七元组控制的粗粒度，即使加密过的数据流也能进行阻断管理。

目前，立统科技视频会议安全防护系统可以识别近8000种网络应用协议，其中可识别RTSP、RTCP、RTP、HTTP流媒体等等流媒体协议，SIP、ONVIF、GB\T28181流媒体通信协议以及海康、大华、宇视等国内主流视频监控厂商私有通信协议，并可识别下载、回放、播放等视频信令。既满足网络边界应用行为分析的要求，又可以识别和控制丰富的内网应用，同时针对用户应用系统更新服务的诉求，还可以精细识别Microsoft SHAREPOINT、奇虎360、Symantec、 Sogou、Kaspersky、金山毒霸、江民杀毒等软件更新。

同时立统科技视频会议安全防护系统可根据视频协议中携带的信息对视频终端进行识别，可以识别出视频设备的品牌、型号、序列号等信息，并可自动识别出视频会议网络系统当中流量的IP地址、MAC地址等信息，并建立视频设备资产的用户分组结构。

2、视频会议系统安全准入和在线率统计

通过统计的资产信息（包括IP地址、MAC地址、设备品牌、设备型号、设备序列号、设备应用协议等）生成设备指纹，防止了视频终端的私自接入和更换。

视频专网中终端设备覆盖范围广而散，造成了视频会议终端设备异常离线难以发现的问题。立统科技的视频会议安全防护系统提供了异常离线监控及报警功能，当终端发生异常离线时第一时间为运维人员提供报警信息，及时提醒对问题终端进行维护，保障了前端视频终端的在线率。

视频专网中的终端IP地址存在着台账管理繁琐、工作量大、更新不及时的问题，从而造成IP地址冲突、台账不准确、回收不及时等弊端。立体科技的视频调阅安全网关通过IP地址和资产信息绑定，做到“一机一档”，让运维人员可轻松对IP地址实现全程管控。

3、监控大屏防止泄密

监控大屏实时播放着现场现状画面，这些画面容易被观看大屏的人有意或者无意拍录下来，从而导致泄密，而且这种泄露行为很难查询到拍摄者，我们采用在监控大屏画面上加载上文字水印、二维码水印和点阵水印，可以震慑录屏的人员，规范其行为，当发生泄露时可以追溯泄露源头。

4、录播视频数据防止泄密

（1）插件触发技术

在管理电脑安装的视频调阅安全插件在视频调阅客户端启动运行时自动触发运行，在视频监控调阅客户端关闭时触发停止运行，插件运行全程无感，在不使用视频调阅客户端时完全不影响电脑终端的其它操作。

（2）客户端水印

在管理电脑安装的视频调阅安全插件，通过在Windows系统视频播放的过程中添加钩子的技术，在客户端电脑屏幕上显示传统数字水印，用户可肉眼识别水印中包含的内容信息，也可通过二维码扫描获取到内容信息。针对通过拍摄，截屏，录屏等手段泄密的情形进行追溯。

（3）隐式水印

采用在视频水印上添加加密编码后的点阵图案的技术。在监控视频窗口覆盖一层包含计算机信息阵列图案，此水印随着监控窗口移动，监控窗口关闭水印就消失，不影响电脑的其它操作。非法人员通过对视频屏幕拍照或录像时，所得信息会包含点阵水印图案，可依据点阵图案信息在数据库中进行相应的查询，获得该视频流转的详细信息，包括用户所属部门名称、用户真实姓名、本地计算机名称、终端时间、管理员自定义水印内容、本地计算机ip地址和MAC地址等。

（4）视频文件透明加密

在电脑端安装的视频调阅安全插件，通过加密技术对视频厂家客户端保持在本地的视频文件，进行自动加密。加密后的视频文件外发后无法直接打开。而本地的视频客户端对视频文件的读取却没有影响，因为采用了透明加密的技术，达到透明加密的目的。

（5）视频文件外发控制技术

在视频数据使用过程中，用户需要将部分视频数据外发至本单位以外的人员，为防止视频数据在对外交互过程中二次泄密事件的发生，用户提供基于视频数据使用权限控制的视频数据外发解决方案。

管理员可在控制台为每位终端用户设置视频数据外发权限控制的权限，设置的使用权限控制包括：水印，是否允许截屏、使用次数、有效使用时间、使用外发视频数据时进行密码认证等。

（6）视频文件导出

在对外提供视频使用场景中并不适合使用视频数据外发功能情形下，需要将视频数据直接导出提供。这种情形极易造成二次泄密事件的发生。

本系统可对导出的视频数据进行视频水印处理，即直接将水印内容写进视频数据内。一旦对外提供的视频发生二次泄密事件，管理员可依据视频水印对该视频及当事人进行快速的溯源、定位及追责处理。

（7）审批管理

本系统针对导出及外发视频数据操作均可设置灵活的审批流程，经相关人员审批通过后方可把视频数据进行对外交互。

审批流程可支持单级审批、多级审批、会签审批和或签审批。

单级审批：仅有一个审批员，该审批员同意后方可外发或导出视频数据。

多级审批：拥有多个审批员执行多个审批级别。如申请提交后，先由一级审批通过后，系统自动将审批流程发送至二级审批，依次类推。其中任何一个审批环节未完成或被拒绝，均不进行下一级别审批。

会签审批：申请提交后，申请单会同时发送至所有的审批人处进行审批操作。当所有人审批通过后方可将视频数据进行外发或导出。

或签审批：申请提交后，申请单会同时发送至所有的审批人处进行审批操作。当任意一个人审批通过后即可将视频数据进行外发或导出。

（8）视频调用审计过滤技术

本系统针对GB28181,RTSP视频协议调用操作可审计操作日志，记录调用来源，目的，动作等参数。并可以根据动作,来源，目的或者其他参数设置行为过滤。

支持在事中进行行为过滤，阻止违规操作；事后进行日志审计，对行为进行溯源。

（9）视频调用客户端身份认证

对调用视频的客户端进行基于白名单的认证管理，限定调用视频客户端的品牌和版本，限定调用视频客户端电脑的属性，同时可以提供多种因素的客户端认证手段，加强视频调阅的管控。

5、视频终端设备的漏洞扫描和智能端口监听

由于视频会议网络系统中存在大量的哑终端，而这些哑终端的特点是长期传输的流量协议基本是固定的，同时设备上开放的端口也是固定的，不会有太多变化。

立统科技的视频会议安全防护系统支持对多达几万种漏洞进行识别，并已经加入视频专网中特有漏洞，漏洞库一直在持续维护更新。

同时由于这些前端的视频终端均是各种不同版本的类Linux系统，部署分布范围广、品牌也不统一，在扫描出漏洞后根本没有办法进行各个终端漏洞补丁修复的功能，而立统科技针对这种问题，通过视频调阅安全网关的漏洞扫描和端口扫描技术，先对各个视频终端打上端口标识，再通过流量分析功能对各个视频终端的流量协议打上流量协议标识，日常会进行各个视频终端的端口监听，一旦发现视频终端的端口和流量协议均发现异动，会主动进行阻断，避免视频终端的端口被利用后对视频会议网络系统发动攻击。

6、视频会议系统流量过滤清洗

支持一万多种流量异常特征库，并可以按优先级区分不同类型的漏洞攻击，按“高”，“中”，“低”区分；包括敏感信息泄露DOS攻击/尝试获取用户特权的攻击/尝试获取管理员特权的攻击/网络流量中发现可执行文件的注入/可疑关键字和可疑文件的注入/远程过程调用告警/网络木马程序注入/客户端使用可疑端口通信/可疑的网络扫描/篡改标准协议和非法事件的告警/潜在的web攻击/ICMP告警/异常内容告警/内网机密泄露/尝试用默认账号窃取信息等，对各种攻击流量和非法流量直接进行清洗过滤。

7、视频会议网络系统病毒防护

由于视频会议网络系统中存在大量的哑终端，而这些哑终端均是基于类Linux开发的系统，存在着分布广、版本不统一的各种问题，所以存在在这些视频终端上安装安全防护软件进行统一病毒查杀是不可能完成的任务，而在未来针对Linux的病毒攻击会越来越多，立统科技的视频调阅安全网关集成了网络病毒查杀过滤的功能，进一步保障了视频会议网络系统的安全。

目前立统科技的视频调阅安全网关病毒库数量：100,000+，定期更新，基于流引擎查毒技术，针对HTTP、FTP、SMTP、POP3、IMAP等协议进行查杀。

8、统计报表和视频调用审计

视频调阅安全网关让用户随时可以了解当前网络正在发生什么。具体体现为，可实时了解当前网络中正遭受哪些威胁攻击（包括入侵攻击、病毒、恶意站点及敏感信息），以及相应的威胁等级、攻击数目等。

同时，用户可实时了解当前网络中一段时间以来各网络接口带宽使用情况，流量排名前十的应用以及流量使用排名前十的用户，并可实时互查应用与用户流量间的使用关系。除了实时网络状况，视频综合安全网关为用户提供按日、按周、按月、按年的安全趋势分析报表以及以往所有的访问控制和安全日志。从而让用户对安全威胁、业务应用、用户流量、网络负载从时间、数量、程度上通过各种形象化图形和数据手段有了高度可视化的跟踪和了解。

通过SIP信令控制协议分析，进行视频调用行为进行审计并生成报表，记录的内容包括有视频数据调用的IP地址、调用时间、调用终端等信息。

9、完整性校验

当数据通过安全网关时，网关直接在数据报文中加载MD5值校验码，视频文件可以直接在客户端上采用校验工具校验数据报文是否存在被破坏篡改，也可以指定数据校验对端安全网关进行校验，校验未篡改过的数据报文通过网关转发，校验出现问题的数据报文可选择报警、阻断和留存多种处理方式。

10、加密传输

立统科技视频安全网关支持业界标准IPSEC、IKE 协议，同时支持SD-WAN多链路合并算法，可以为视频会议系统提供稳定性更高、多链路带宽叠加的加密通道，提供安全性和稳定性双重保障。

3.3 方案设计拓扑图

3.4 方案设计详解

1、在村组第四级视频会议终端摄像头和液晶电视之间串接大屏水印网关，实现在视频会议期间屏幕上显示安全水印，防止拍屏和录屏发生二次泄密；

2、在区县第三级视频会议汇聚交换机上旁路安装视频调阅安全网关，视频调阅安全网关实现如下功能：

①本级和下级大屏水印网关的水印信息管理和设备在线情况管理；

②本级网络资产主动扫描和被动监听检测，确定正确入网注册设备信息；

③依据入网注册信息对非法接入、仿冒/私接设备进行记录、告警和阻断等策略；

④深度报文检测，检测各种应用协议，视频会议相关协议和信令，对非法流量进行清洗；

⑤对本级的视频会议业务应用进行安全审计。

3、在地市第二级在视频会议汇聚交换机上旁路安装视频调阅安全网关，视频调阅安全网关实现如下功能

①本级大屏水印网关的水印信息管理和设备在线情况管理；

②本级网络资产主动扫描和被动监听检测，确定正确入网注册设备信息；

③依据入网注册信息对非法接入、仿冒/私接设备进行记录、告警和阻断等策略；

④深度报文检测，检测各种应用协议，视频会议相关协议和信令，对非法流量进行清洗；

⑤对本级的视频会议业务应用进行安全审计。

4、在省级第一级在视频会议汇聚交换机上旁路安装视频调阅安全网关，视频调阅安全网关实现如下功能：

①本级大屏水印网关的水印信息管理和设备在线情况管理；

②本级网络资产主动扫描和被动监听检测，确定正确入网注册设备信息；

③依据入网注册信息对非法接入、仿冒/私接设备进行记录、告警和阻断等策略；

④深度报文检测，检测各种应用协议，视频会议相关协议和信令，对非法流量进行清洗；

⑤对本级的视频会议业务应用进行安全审计。

5、第二、三、四级视频调阅安全网关，对本级视频录像的调阅进行客户端准入认证管理，同时对录播的录像下载自动加密，录像播放水印加载、本地截屏阻断、录像外发审批、录像外发防止篡改、录像外发打开权限管理和文件存活周期管理。

6、在省级第一级安装视频安全监管平台，对全网的视频调阅安全网关进行统一状态管理、配置下发、特征库更新、日志采集、统一全网审计。

3.5 技术先进性描述

1、视频防护控一体化设计

立统科技的视频安全产品集成了防火墙、防病毒、入侵防御、安全准入、漏洞扫描等功能，在部署上网络结构更加灵活简单，减少多设备串接进网络的单点故障问题，同时为用户节约设备投资。

2、高速转发引擎技术

采用自主知识产权底层高性能OS，同时在底层数据转发上采用DPDK高速转发引擎技术，在高性能转发数据包的同时，也能处理复杂的应用分析，可以发现隐藏在流量中的风险，并能及时阻断。

3、视频数据逐帧缓冲技术

由于网络是不稳定的，因此视频数据的传输也是时快时慢的，和普通数据不同的是，在播放视频流的过程中，一定要根据时间戳来决定何时显示，所以为保障视频播放质量，减少花屏、跳帧和卡顿现象，我公司采用了视频逐帧缓冲的技术，在对视频数据进行网络安全数据处理时为视频帧提供了一定数量的“帧缓冲区”，有效降低了视频播放出现花屏、跳帧和卡顿的现象。

4、防泄密联动

每一台视频安全网关均为视频防控系统中的一个管理控制节点，对未合规安装调阅安全插件的计算机直接进行阻断，禁止其访问视频平台，同时在网络的各个节点记录视频调阅行为，形成视频调阅行为的全过程记录。

5、深度检测技术

采用自主研发的DPI深度包检测技术，对视频协议、视频信令以及各种网络应用协议进行检测，实现视频信令管控、非法外联监测、非法流量清洗。

6、自研资产扫描引擎技术

采用主动扫描技术和被动监听的无客户端技术进行设备信息采集，多种维度信息综合描述资产，确保资产信息准确。

（1）采用masscan、SYN扫描和Nmap发现网络上存活的主机、主机提供的服务(应用程序名和版本)、服务运行的操作系统(包括版本信息)，以及使用什么类型的报文过滤器/防火墙（对扫描的异常结果做分析）等。

（2）采用Onvif扫描技术对视频摄像机进行扫描，采集Onvif协议中包含的设备信息和设备状态信息；

（3）采用snmp协议采集网络设备、服务器等等的基本信息，采集网络设备中IP和MAC对应信息、VLAN信息、设备运行状态信息和服务器的基本网络信息；

（4）被动监听网络流量，采用自主研发的DPI深度报文检测技术，对网络中各种设备的报文进行深度分析，采用特征库分析设备类型，并进行资产定义。

7、可以集成SD-WAN加密算法

可以实现多条链路共同接入，其中某条线路发生故障，视频会议业务能够平滑切换，同时多条窄带链路可以聚合成一条宽带，重要数据的传输采用多链路加密备份传输。

来源：freebuf.com 2021-07-28 19:07:33 by: secvision2020