CN108600236B - 视频监控网络智能信息安全综合管理系统 - Google Patents

视频监控网络智能信息安全综合管理系统 Download PDF

Info

Publication number
CN108600236B
CN108600236B CN201810397591.9A CN201810397591A CN108600236B CN 108600236 B CN108600236 B CN 108600236B CN 201810397591 A CN201810397591 A CN 201810397591A CN 108600236 B CN108600236 B CN 108600236B
Authority
CN
China
Prior art keywords
equipment
network
module
unit
video
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201810397591.9A
Other languages
English (en)
Other versions
CN108600236A (zh
Inventor
张红彬
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Individual
Original Assignee
Individual
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Individual filed Critical Individual
Priority to CN201810397591.9A priority Critical patent/CN108600236B/zh
Publication of CN108600236A publication Critical patent/CN108600236A/zh
Application granted granted Critical
Publication of CN108600236B publication Critical patent/CN108600236B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0209Architectural arrangements, e.g. perimeter networks or demilitarized zones
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04NPICTORIAL COMMUNICATION, e.g. TELEVISION
    • H04N7/00Television systems
    • H04N7/18Closed-circuit television [CCTV] systems, i.e. systems in which the video signal is not broadcast

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Multimedia (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

一种视频监控网络智能信息安全综合管理系统,通过对原有视频监控系统增加:SVAC标准芯片模块、设备认证管理模块、安全检测管理模块、安全网关模块、加解密模块,实现对视频监控网络的资产识别与统计、设备脆弱性安全检测、视频网络边界安全检测、设备接入及通讯合法性认证、视频网络设备准入控制、网络攻击检测与防护、视频信息加密压缩传输及存储。本发明的优点是:针对目前视频监控网络的建设现状和安全管理问题,依据我国最新国家标准量身打造,全面解决视频监控网络的设备接入安全、全网设备资产掌控、网络攻击检测防护、设备安全状态检查与整改、数据传输安全、数据存储安全、数据访问安全、网络边界防护等方面的问题。

Description

视频监控网络智能信息安全综合管理系统
技术领域
本发明涉及一种视频监控网络智能信息安全综合管理系统,属于信息综合管理领域。
背景技术
目前全国安装的视频监控摄像机数量已超过3300万台,初步覆盖了公共区域、重点单位和要害部位,已经成为国家重要的关键信息基础设施。但由于历史原因,视频监控网络普遍存在重建设、重实用、轻安全的问题,视频监控网络在建设和应用过程中存在一定的安全风险,导致视频监控网络安全攻击事件层出不穷。
目前大多数视频监控网络在建设过程中,一般是由视频监控系统由视频采集模块1、网络设备模块(H.264/H.265标准)2、视频存储模块3、视频管理模块4、显示模块5、管理终端模块6、服务器设备模块7、其他辅助设备模块8构成(参考图1)。前端设备(摄像头)部署后,能够连通网络,并纳入视频管理系统中正常监控,即认为建设完成,而设备的合法性认证、视频信息的安全性问题基本没有考虑,同时由于大量使用弱口令、设备存在漏洞等管理及客观原因,视频监控网络中视频信息非法访问、信息泄密、视频信息篡改、设备违规替换以及设备随意接入等问题非常严重。
发明内容
本发明的目的就是提供一种视频监控网络智能信息安全综合管理系统,以提高视频网络信息传播的安全性、可控性。
为实现上述目的,本发明所采取的技术方案是:一种视频监控网络智能信息安全综合管理系统,包括分别与网络设备模块连接的视频采集模块、视频管理模块和显示模块,其特征在于,在所述的视频采集模块连接SVAC标准芯片模块;在所述的网络设备模块上连接有设备认证管理模块、安全检测与管理模块、安全网关模块;在所述的视频管理模块和显示模块连接加解密模块;所述的安全检测与管理模块部署在视频监控网络中的服务器中,对整个视频监控网络进行扫描,进行设备资产类型智能识别与分类统计并建立设备资产库,对各类设备进行脆弱性安全检测,对网络边界进行安全检测,并可与设备认证管理模块联动获取精确的已认证的合法设备列表,与安全网关模块联动实现设备准入控制管理,并对网络攻击行为进行统一报警展示;所述的设备认证管理模块采用CA数字证书方式对视频监控网络中的各类设备签发数字证书,并进行设备间通讯的双向身份验证;所述的安全网关模块对视频监控网络的设备接入行为进行控制,只允许合法设备接入网络,同时对网络中的各种攻击行为、病毒木马传播行为进行监测和控制;所述的SVAC标准芯片模块符合GB/T25724-2010、GB/T25724-2017国家标准。
所述的安全检测与管理模块包括CA设备认证交互管理单元、设备扫描单元、设备统计单元、设备漏洞检测单元、系统非法设备接入检测单元、数据存储单元、数据异常记录单元和数据输出单元;所述的设备扫描单元基于网络的远程扫描方式,对目标网络进行快速扫描,快速掌握网络中的资产组成与分布情况,建立整个网络的设备资产库;所述的设备漏洞检测单元基于设备资产类型,对设备和应用系统的脆弱性进行检查,从而直观的了解网络的安全状态,以便进行有的放矢的整改;所述的系统非法设备接入检测单元通过远程扫描方式快速发现网络中违规接入的设备或非法外联行为并进行网络定位和应急处理,从而保障网络的边界安全;所述的数据输出单元对扫描到的资产统计信息、报警信息通过多条件组合查询、统计分析、统计报表、图形化展示形式进行输出展示。
所述的设备认证管理模块包括数字证书管理单元、身份认证单元、数字证书签名服务单元;所述的数字证书管理单元用于包括数字证书的申请、审核、签发、注销、更新、查询的管理工作;所述的身份认证单元采用串接方式接入网络中,对设备或系统间通讯时进行身份合法性认证的系统,只有通过认证的设备或应用方可进行通讯;所述的数字证书签名服务单元是基于开放的公钥密码标准(PKCS)的,提供数字签名、数字信封等服务的专用设备:所述的数字签名是指采用PKI技术,先对原文信息进行摘要(Hash),再通过私钥进行签名生成签名信息的过程,签名过程不可逆,可以保证明文数据的完整性和不可抵赖性;所述的数字信封是指结合加密技术和数字签名技术,把明文信息进行加密打包,可以在开放的网络环境中进行数据的安全存储,既保证数据的安全性,又保证数据的完整性和准确性;
所述的安全网关模块包括设备准入控制单元、攻击检测单元、病毒木马检测单元;所述的设备准入控制单元对设备的网络接入行为进行控制管理,经设备认证管理模块认证通过的设备以及人工指定的合法设备允许接入,非合法设备或存在攻击行为的设备禁止接入;所述的攻击检测单元对网络中的各类攻击行为进行监测,发现攻击行为时进行报警并限制其网络通讯和存在安全漏洞的设备利用其漏洞进行攻击行为的监测,发现有利用设备安全漏洞进行攻击行为时进行报警,并限制攻击源的网络通讯;所述的病毒木马检测单元通过流引擎查毒技术监测网络中是否存在病毒或木马,发现病毒或木马时进行报警,并限制其网络通讯。
所述的SVAC标准芯片模块包括CA证书认证交互单元、视频数据摘录单元、人脸、车牌等智能识别单元、视频数据加密、解密单元、视频数据压缩单元;所述的SVAC标准芯片模块符合GB/T25724-2010、GB/T25724-2017国家标准并支持SM2/SM3/SM4国密算法;所述的人脸、车牌等智能识别单元,支持人脸识别、车牌识别等智能分析算法。
所述的加解密模块安装在视频管理模块或显示模块上进行视频信息解码的扩展卡。
本发明的优点是:本方案针对目前视频监控网络的建设现状和安全管理问题,依据我国最新国家标准量身打造,全面解决视频监控网络的设备接入安全、全网设备资产掌控、网络攻击检测防护、设备安全状态检查与整改、数据传输安全、数据存储安全、数据访问安全、网络边界防护等方面的问题,从而大大提升我国视频监控网络的整体安全性和管理水平,实现“全网覆盖、全网共享、全时可用,全程可控”的建设目标。
附图说明
图1是本发明的整体构成框图;
图2是图1中的SVAC标准芯片模块的构成框图;
图3是图1中的设备认证管理模块的构成框图;
图4是图1中的安全检测管理模块的构成框图;
图5是图1中的安全网关模块的构成框图。
具体实施方式
参见图1,目前的视频监控网络系统主要构成为:视频采集模块1、网络设备模块(H.264/H.265标准)2、视频存储模块3、视频管理模块4、显示模块5、管理终端模块6、服务器设备模块7、其他辅助设备模块8。本发明是在原有视频监控网络系统基础上进行改进:在视频采集模块1上增加符合SVAC标准芯片模块9;在网络设备模块2上增加安全检测管理模块11、设备认证管理模块10和安全网关模块12,在所述的视频管理模块4和显示模块5增加加解密模块13(符合SVAC标准)。
其中,SVAC标准芯片模块9可以内置到视频采集模块1中,也可进行外置连接到视频采集模块1外。
参见图2,SVAC标准芯片模块9由:CA证书认证交互单元21、视频数据摘录单元22、人脸、车牌等智能识别单元23、视频数据加密解密单元24、视频数据压缩单元25组成。
SVAC标准芯片模块9是可支持SVAC2.0标准芯片,基于全定制硬件电路方案,相比SVAC1.0阶段下的芯片产品,压缩率可提高1倍,功耗降低5~10倍,成本也会随之降低。
A.支持1920x1080@30fps的SVAC2.0视频压缩;
B.支持深度学习硬件加速,可实时运行人脸、车牌检测等智能分析算法;
C.支持SM2国密非对称加密算法;
D.支持SM3国密摘要算法;
E.支持SM4国密对称加密算法;
智能芯片可根据需要向各摄像头厂商提供,也可提供标准摄像头主板。
支持SVAC2.0视频压缩与加密,同时向下兼容非加密的H.264/H.265国外标准;
A.支持CA数字证书;
B.支持视频流加密,防止泄密;
C.支持视频摘要,防止篡改。
参见图3,设备认证管理模块10由:数字证书管理单元31、身份认证单元32,数字证书签名服务单元33组成。
本模块是基于非对称密码算法的数字证书体系实现用户身份认证、前端设备认证、服务器设备认证、管理平台间认证等安全功能。为前端设备、服务器设备以及管理平台签发数字证书。”具有基于数字证书与管理平台双向身份认证的能力、视频数据签名能力和视频数据加密能力,达到身份真实和视频来源于真实设备,能够校验视频内容是否遭到篡改,能够达到对视频内容加密保护目标。”
相比传统的通过MAC地址进行准入管理的方案,国密算法生成的CA证书难以伪造,具备唯一性,而MAC地址是很容易伪造和修改的。杜绝了非法接入,可以确保系统不受黑客攻击病毒感染,充分考虑抵御来自非法访问者的侵入和攻击,解决危及企业国家安全的问题。
参见图4,安全检测、管理模块11由:CA设备认证交互管理单元41、设备扫描单元42、设备统计单元43、设备漏洞扫描检测单元44、系统非法设备接入检测单元45,、数据存储单元46、数据异常记录单元47、数据输出单元48组成。
本模块可以快速掌握网络中的资产组成与分布情况,建立整个网络的设备资产库,在此基础上,对设备的脆弱性(包括弱口令及安全漏洞)进行检查,从而直观的了解网络的安全状态,进行有的放矢的整改。同时,系统能够快速发现网络中违规接入的设备或非法外联行为并进行定位和处理,从而保障网络的边界安全。
模块主要功能描述:
1)系统内所有设备的扫描智能识别与分类统计:
对系统内各设备资产进行高效率智能识别并形成全网资产库,实现对全网资产的快速识别与分类统计,从而全面掌握网络建设情况和设备分部情况,同时对系统内所有设备违规替换进行安全检查。
安全检测管理模块11可以外接通过CA认证的设备可以有:
网络视频监控设备,如前端摄像机、NVR\DVR、DVS等;
终端设备,主要为PC终端等;
网络设备:主要包括路由器、交换机等;
安全设备:主要包括防火墙、入侵检测等安全应用系统;
网络打印机设备;
应用服务设备:主要包括提供业务应用的服务器类设备,如Web服务器、数据库服务器、应用系统服务器等;
其他设备:未包含在上述资产类别中的设备。
该模块对整个系统以及外接的设备都进行严格的自动化的安全管理,管理人员无需逐个对已安装摄像头更改密码,减少管理工作难度。
2)视频监控网络设备漏洞检测:
对系统中设备的安全状态进行快速检测,实时对设备弱口令检测及系统漏洞检测,全面掌握网络的安全状态并提供整改建议,以便对发现的各类安全问题及时整改,从而全面提升视频监控网络的整体安全性。
3)网络边界完整性检测:
对系统中的各种违规接入、非法外联行为进行检测,及时发现各种违规接入行为并及时报警处理,从而避免信息泄露及对视频监控网络的攻击行为,保证视频监控网络的安全、稳定的运行。
对系统内部私设的网中网或违规路由进行检测;
对市场主流随身Wifi设备和免费Wifi接入进行检测;
对以桥接方式(AP)或普通NAT方式私接的无线AP设备进行检测;
对双网卡之间的网络共享行为进行检测;
对通过智能手机以USB共享网络方式进行非法外联的行为进行检测;
对通过WIFI连接智能手机个人热点方式进行非法外联的行为进行检测;
参见图5,安全网关模块12由:设备准入控制单元51、攻击检测单元52、病毒、木马检测单元53组成。
安全网关是在传统网络安全网关的基础上,针对视频监控网络的特点进行完善,融合了设备准入控制技术、攻击检测与漏洞防护、Web安全防护等多种安全技术,实施对视频监控网络的安全防护。
A.视频监控安全网关可以根据应用的行为和特征实现对应用进行识别
和控制,能够识别网络中各种设备的特征,只有合法的设备方可正常通讯,从而实现对设备的准入控制能力。
B.视频监控安全网关具备漏洞特征库、木马插件等恶意内容特征库、
Web应用威胁特征库,可以全面识别各种应用层和内容级别的各种安全威胁。
C.视频监控安全网关提供文件过滤、ActiveX过滤、脚本过滤等多种
WEB安全防护手段,通过对应用流中的数据报文内容进行探测,从而确定数据报文的真正应用。
D.WEB应用防护通过主动防御已知和未知攻击,实时阻断各种黑客攻
击,如SQL注入、XSS攻击、网站扫描、WEB SHELL、会话劫持攻击等。
E.视频监控安全网关支持多种流量异常特征库,包括敏感信息泄露
/DOS攻击/尝试获取用户特权的攻击/尝试获取管理员特权的攻击/网络流量中发现可执行文件的注入/远程过程调用告警/客户端使用可疑端口通信/可疑的网络扫描/尝试用默认账号窃取信息等。
F.视频监控安全网关基于流引擎查毒技术,针对HTTP、FTP等协议进
行查杀。有效防止在摄像头等终端设备被攻破的情况下,对网络中其他设备植入病毒的行为,从而避免病毒在网络内部传播,防止造成更大的危害。
加解密模块13(符合SVAC标准),采用标准接口接入硬盘录像机和视频监控管理平台中,即可实现加密信息的查看,以保障视频信息的安全性与完整性。
实施过程说明:
1.首先,将设备认证管理模块10、安全检测管理模块11的各个单元模块接入到视频监控网络的网络设备模块2,并配置各模块的初始运行参数,使各单元模块功能能够正常运行。安全网关模块12采用串接方式接入网络设备模块2,来实现对网络攻击行为或者病毒木马传播情况的监控和报警以及实现设备准入控制单元51的控制能力。
2.通过设备认证管理模块10的数字证书管理单元31为视频监控网络中的所有需认证的设备,包含视频管理模块4、显示模块5、管理终端模块6、服务器设备7、安全检测管理模块11、其他模块8制作、分发数字证书,并根据需要设定认证策略和规则。
3. 通过已颁发证书的设备的相互访问,验证并确认设备认证管理模块10的数字证书签名服务单元33能够正确提供为各设备通讯数据进行数字签名和数字信封服务。
4.通过已颁发证书的设备的相互访问,验证并确认设备认证管理模块10的身份认证单元32能够按照访问权限规则正确进行设备身份认证,保证允许通讯的设备或系统之间能够正常通讯,不允许通讯的设备或系统之间通讯被限制。
5. 将加解密模块(SVAC标准)13接入视频监控网络的显示模块5,并确认显示模块5能够正常查看现有视频图像信息,验证加解密模块(SVAC标准)13对既有H.264/H.265编码标准的支持情况。
6.将至少1台内置或外置SVAC标准芯片模块9的视频采集模块1接入视频监控网络的网络设备模块2,通过设备认证管理模块10的数字证书管理单元31为其生成并分发数字证书,设置该设备允许通讯到视频管理模块4的设备,确认设备的CA证书认证交互单元21能够正确加载数字证书。内置或外置SVAC标准芯片模块9的视频采集模块1和视频管理模块4只使用身份认证策略,不采用加密传输,视频管理模块4设备添加内置或外置SVAC标准芯片模块9的视频采集模块1,SVAC标准芯片模块9的视频数据摘录单元22与CA证书认证交互单元21按照国密SM3、SM2算法完成数据摘要及签名,完成内置或外置SVAC标准芯片模块9的视频采集模块1与视频管理模块4的双向身份认证。SVAC标准芯片模块9的视频数据压缩单元25按照SVAC标准对视频数据进行编码,传输至视频存储模块3进行保存,通过显示模块5查看内置或外置SVAC标准芯片模块9的视频采集模块1实时影像或回放视频,确认加解密模块(SVAC标准)13支持SVAC编码标准。
7.将内置或外置SVAC标准芯片模块9的视频采集模块1和其对应的视频管理模块4启用加密模式,SVAC标准芯片模块9的视频数据加密、解密单元24按照国密SM4算法进行视频数据加密,并与视频数据摘录单元22与CA证书认证交互单元21完成数据签名及身份验证后进行数据加密传输,视频存储模块3中保存的为加密后数据,视频管理模块4与显示模块5只能通过加解密模块(SVAC标准)13进行数据解密后查看视频数据。
8.通过视频管理模块4开启内置或外置SVAC标准芯片模块9的人脸、车牌等智能识别单元23启动,可进行人脸、车牌、移动监测等智能识别功能,并根据相关策略进行记录或报警(视频管理模块4与显示模块5需具有相关信息接收及显示功能)。
9.将视频采集模块(H.265/H.264)1通过内置或外置方式接入SVAC标准芯片模块9,可将现有的摄像头实现SVAC标准的接入转换,使其实现对SVAC标准的支持能力。视频数据压缩单元25可将普通摄像头的H.265/H.264编码数据进行解码,并按照SVAC编码标准进行重新编码,同时配合视频数据摘录单元22、CA证书认证交互单元21、视频数据加密、解密单元24完成设备的身份认证及数据加密传输工作。
10.使用已通过数字证书管理单元31颁发证书的管理终端模块6登录安全检测管理模块11,配置安全检测管理模块11的基本运行参数并启动系统,设备扫描单元42对整个网络进行扫描,发现网络中的所有设备,并对设备的类别进行智能识别与分类,数据存储单元46将扫描的数据结果写入数据库;设备统计单元43对扫描结果数据进行数据分类统计,通过数据存储单元46将统计结果写入数据库;CA设备认证交互管理单元41与数字证书管理单元31进行交互通讯,获取已分发数字证书设备的列表信息,系统内设备扫描单元42将列表信息与现有扫描结果进行比对,修正和补充信息后存入数据库;设备漏洞监测单元44根据扫描到的设备信息,按照设备类别进行针对性的漏洞检测,包含弱口令检测和设备安全漏洞等方面,并经检测结果通过数据存储单元46写入数据库;系统非法设备接入监测单元45根据设备信息,对设备进行进一步检测,确认可能的违规设备(包括违规接入的无线设备,含无线路由器、随身WIFI等,BYOD设备,含手机、平板等智能设备,通过手机进行的非法外联设备,如手机USB共享网络或WIFI共享连接互联网行为等),通过数据存储单元46写入数据库;设备异常记录单元47根据数据库中的记录,针对不同的设备类别和违规信息产生相应的报警信息,并根据规则通过声、光、邮件等方式进行通知管理人员,同时根据既定的规则通过数据接口通知安全网关模块12,设备准入控制单元51则可限制指定设备的网络接入;数据输出单元48可根据管理人员的需要,随时提供系统所有数据的查询、统计操作,查询统计结果可根据需要生成各种统计报表。
11.使用已通过数字证书管理单元31颁发证书的管理终端模块6登录安全网关模块12,配置安全网关模块12的运行参数,并启用系统相关功能。安全网关模块12可以接收到所有流经(旁路接入)或流入(串接接入)的通讯数据包,设备准入控制单元51、攻击检测单元52、病毒木马检测单元53对获取到的数据包进行分析,攻击检测单元52检测数据通讯中是否有网络攻击行为,当发现攻击行为时,可通知设备准入控制单元51对攻击源进行阻断控制并进行报警;病毒木马检测单元53采用流媒体病毒检测技术对数据包进行分析是否存在病毒或木马特征,当发现存在病毒或木马时,通知设备准入控制单元51对数据进行拦截并进行报警;设备准入控制单元51根据攻击检测单元52、病毒木马检测单元53通知,以及安全检测管理模块11的设备异常记录单元47的接口数据,根据规则对违规数据进行控制。设备准入控制单元51也可将安全网关模块12各模块产生的报警信息和准入控制结果反馈给安全检测管理模块11进行统一报警或数据输出。
该发明针对目前视频监控网络的建设现状和安全管理问题,依据我国最新国家标准量身打造,全面解决视频监控网络的设备接入安全、全网设备资产掌控、网络攻击检测防护、设备安全状态检查与整改、数据传输安全、数据存储安全、数据访问安全、网络边界防护等方面的问题,从而大大提升我国视频监控网络的整体安全性和管理水平,实现“全网覆盖、全网共享、全时可用,全程可控”的建设目标。
本发明具有使用基于非对称密码算法的数字证书体系实现用户身份认证、前端设备认证、服务器设备认证、管理平台间认证等安全功能。为用户、前端设备、服务器设备以及管理平台签发数字证书。“具有基于数字证书与管理平台双向身份认证的能力、视频数据签名能力和视频数据加密能力,达到身份真实和视频来源于真实设备,能够校验视频内容是否遭到篡改,能够达到对视频内容加密保护目标。”。
本系统可以快速掌握网络中的资产组成与分布情况,建立整个网络的设备资产库,在此基础上,对设备的脆弱性(包括弱口令及安全漏洞)进行检查,从而直观的了解网络的安全状态,进行有的放矢的整改。同时,系统能够快速发现网络中违规接入的设备或非法外联行为并进行定位和处理,从而保障网络的边界安全。

Claims (6)

1.一种视频监控网络智能信息安全综合管理系统,包括分别与网络设备模块(2)连接的视频采集模块(1)、视频管理模块(4)和显示模块(5),其特征在于,在所述的视频采集模块(1)连接SVAC标准芯片模块(9);在所述的网络设备模块(2)上连接有设备认证管理模块(10)、安全检测与管理模块(11)、安全网关模块(12);在所述的视频管理模块(4)和显示模块(5)连接加解密模块(13);所述的安全检测与管理模块(11)部署在视频监控网络中的服务器中,对整个视频监控网络进行扫描,进行设备资产类型智能识别与分类统计并建立设备资产库,对各类设备进行脆弱性安全检测,对网络边界进行安全检测,并可与设备认证管理模块(10)联动获取精确的已认证的合法设备列表,与安全网关模块(12)联动实现设备准入控制管理,并对网络攻击行为进行统一报警展示;所述的设备认证管理模块(10)采用CA数字证书方式对视频监控网络中的各类设备签发数字证书,并进行设备间通讯的双向身份验证;所述的安全网关模块(12)对视频监控网络的设备接入行为进行控制,只允许合法设备接入网络,同时对网络中的各种攻击行为、病毒木马传播行为进行监测和控制;所述的SVAC标准芯片模块(9)符合GB/T25724-2010、GB/T25724-2017国家标准。
2.如权利要求1所述的视频监控网络智能信息安全综合管理系统,其特征在于,所述的安全检测与管理模块(11)包括CA设备认证交互管理单元(41)、设备扫描单元(42)、设备统计单元(43)、设备漏洞检测单元(44)、系统非法设备接入检测单元(45)、数据存储单元(46)、数据异常记录单元(47)和数据输出单元(48);所述的设备扫描单元(42)基于网络的远程扫描方式,对目标网络进行快速扫描,快速掌握网络中的资产组成与分布情况,建立整个网络的设备资产库;所述的设备漏洞检测单元(44)基于设备资产类型,对设备和应用系统的脆弱性进行检查,从而直观的了解网络的安全状态,以便进行有的放矢的整改;所述的系统非法设备接入检测单元(45)通过远程扫描方式快速发现网络中违规接入的设备或非法外联行为并进行网络定位和应急处理,从而保障网络的边界安全;所述的数据输出单元(48)对扫描到的资产统计信息、报警信息通过多条件组合查询、统计分析、统计报表、图形化展示形式进行输出展示。
3.如权利要求1所述的视频监控网络智能信息安全综合管理系统,其特征在于,所述的设备认证管理模块(10)包括数字证书管理单元(31)、身份认证单元(32)、数字证书签名服务单元(33);所述的数字证书管理单元(31)用于包括数字证书的申请、审核、签发、注销、更新、查询的管理工作;所述的身份认证单元(32)采用串接方式接入网络中,对设备或系统间通讯时进行身份合法性认证的系统,只有通过认证的设备或应用方可进行通讯;所述的数字证书签名服务单元(33)是基于开放的公钥密码标准(PKCS)的,提供数字签名、数字信封等服务的专用设备:所述的数字签名是指采用PKI技术,先对原文信息进行摘要(Hash),再通过私钥进行签名生成签名信息的过程,签名过程不可逆,可以保证明文数据的完整性和不可抵赖性;所述的数字信封是指结合加密技术和数字签名技术,把明文信息进行加密打包,可以在开放的网络环境中进行数据的安全存储,既保证数据的安全性,又保证数据的完整性和准确性。
4.如权利要求1所述的视频监控网络智能信息安全综合管理系统,其特征在于,所述的安全网关模块(12)包括设备准入控制单元(51)、攻击检测单元(52)、病毒木马检测单元(53);所述的设备准入控制单元(51)对设备的网络接入行为进行控制管理,经设备认证管理模块(10)认证通过的设备以及人工指定的合法设备允许接入,非合法设备或存在攻击行为的设备禁止接入;所述的攻击检测单元(52)对网络中的各类攻击行为进行监测,发现攻击行为时进行报警并限制其网络通讯和存在安全漏洞的设备利用其漏洞进行攻击行为的监测,发现有利用设备安全漏洞进行攻击行为时进行报警,并限制攻击源的网络通讯;所述的病毒木马检测单元(53)通过流引擎查毒技术监测网络中是否存在病毒或木马,发现病毒或木马时进行报警,并限制其网络通讯。
5.如权利要求1所述的视频监控网络智能信息安全综合管理系统,其特征在于,所述的SVAC标准芯片模块(9)包括CA证书认证交互单元(21)、视频数据摘录单元(22)、人脸、车牌等智能识别单元(23)、视频数据加密、解密单元(24)、视频数据压缩单元(25);所述的SVAC标准芯片模块(9)符合GB/T25724-2010、GB/T25724-2017国家标准并支持SM2/SM3/SM4国密算法;所述的人脸、车牌等智能识别单元(23),支持人脸识别、车牌识别等智能分析算法。
6.如权利要求1所述的视频监控网络智能信息安全综合管理系统,其特征在于,所述的加解密模块(13)安装在视频管理模块(4)或显示模块(5)上进行视频信息解码的扩展卡。
CN201810397591.9A 2018-04-28 2018-04-28 视频监控网络智能信息安全综合管理系统 Active CN108600236B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201810397591.9A CN108600236B (zh) 2018-04-28 2018-04-28 视频监控网络智能信息安全综合管理系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201810397591.9A CN108600236B (zh) 2018-04-28 2018-04-28 视频监控网络智能信息安全综合管理系统

Publications (2)

Publication Number Publication Date
CN108600236A CN108600236A (zh) 2018-09-28
CN108600236B true CN108600236B (zh) 2020-10-23

Family

ID=63610982

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201810397591.9A Active CN108600236B (zh) 2018-04-28 2018-04-28 视频监控网络智能信息安全综合管理系统

Country Status (1)

Country Link
CN (1) CN108600236B (zh)

Families Citing this family (16)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111274578B (zh) * 2018-11-20 2023-08-29 慧盾信息安全科技(苏州)股份有限公司 一种视频监控系统的数据安全防护系统和方法
CN109584625A (zh) * 2019-01-25 2019-04-05 上海亦源智能科技有限公司 智能停车管理设备的接入控制方法及系统
CN110149497A (zh) * 2019-04-09 2019-08-20 视联动力信息技术股份有限公司 一种视联网数据传输方法、装置、系统及可读存储介质
CN110035085A (zh) * 2019-04-19 2019-07-19 无锡京和信息技术有限公司 一种基于混合架构的安全系统
CN110113576A (zh) * 2019-05-14 2019-08-09 广西科飞科技发展有限公司 一种司法部指挥中心的监控管理系统
CN110233848B (zh) * 2019-06-18 2021-11-09 浙江齐治科技股份有限公司 一种资产态势分析方法及装置
CN110365709B (zh) * 2019-08-09 2021-07-20 深圳永安在线科技有限公司 一种基于上游探针感知未知网络攻击行为的装置
CN110636077A (zh) * 2019-10-12 2019-12-31 广元市公安局 一种基于统一平台的网络安全防护系统及方法
CN110677435A (zh) * 2019-10-28 2020-01-10 上海云赛智联信息科技有限公司 监控信息安全控制系统及监控管理系统
CN111464778B (zh) * 2020-02-25 2022-03-04 小卖科技有限公司 带私有协议的数据处理取证的方法及装置
CN111541693B (zh) * 2020-04-23 2022-04-15 北京凌云信安科技有限公司 面向多类系统的自动化渗透测试与数据取证系统
CN112383531B (zh) * 2020-11-09 2022-10-18 温州大学大数据与信息技术研究院 一种监控系统及监控系统配置方法
CN112565202A (zh) * 2020-11-18 2021-03-26 国网江西省电力有限公司信息通信分公司 一种用于视频网系统的物联网准入网关
CN112995608B (zh) * 2021-03-23 2023-04-28 杭州迪普科技股份有限公司 一种技术标准的转换方法及装置
CN113691783A (zh) * 2021-10-27 2021-11-23 中国南方电网有限责任公司超高压输电公司广州局 换流站视频监控方法、系统、装置和计算机设备
CN115086035A (zh) * 2022-06-15 2022-09-20 北京融讯智晖技术有限公司 一种视频云指挥系统用信息识别系统

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1913461A (zh) * 2006-08-30 2007-02-14 北京天地互连信息技术有限公司 基于下一代互联网的远程视频监控系统及其实现方法
CN101420587A (zh) * 2008-11-13 2009-04-29 北京中星微电子有限公司 网络视频采集装置、网络视频监控系统和方法
CN103716581A (zh) * 2012-09-29 2014-04-09 天津市亨瑞系统控制工程有限公司 一种全数字视频监控系统
KR101522311B1 (ko) * 2015-01-12 2015-05-22 주식회사 지오멕스소프트 미리보기 기능을 갖춘 감시카메라 영상 반출 시스템
CN105978894A (zh) * 2016-06-27 2016-09-28 上海柯力士信息安全技术有限公司 基于安犬漏洞扫描云平台的网络安全监测管理系统
CN107343179A (zh) * 2017-08-14 2017-11-10 华北电力大学 一种视频信息加密与视频终端安全认证系统、认证方法及其应用

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9930297B2 (en) * 2010-04-30 2018-03-27 Becton, Dickinson And Company System and method for acquiring images of medication preparations

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1913461A (zh) * 2006-08-30 2007-02-14 北京天地互连信息技术有限公司 基于下一代互联网的远程视频监控系统及其实现方法
CN101420587A (zh) * 2008-11-13 2009-04-29 北京中星微电子有限公司 网络视频采集装置、网络视频监控系统和方法
CN103716581A (zh) * 2012-09-29 2014-04-09 天津市亨瑞系统控制工程有限公司 一种全数字视频监控系统
KR101522311B1 (ko) * 2015-01-12 2015-05-22 주식회사 지오멕스소프트 미리보기 기능을 갖춘 감시카메라 영상 반출 시스템
CN105978894A (zh) * 2016-06-27 2016-09-28 上海柯力士信息安全技术有限公司 基于安犬漏洞扫描云平台的网络安全监测管理系统
CN107343179A (zh) * 2017-08-14 2017-11-10 华北电力大学 一种视频信息加密与视频终端安全认证系统、认证方法及其应用

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
基于SVAC建设更安全的视频监控系统;陈远;《中国安防》;20171031(第10期);全文 *

Also Published As

Publication number Publication date
CN108600236A (zh) 2018-09-28

Similar Documents

Publication Publication Date Title
CN108600236B (zh) 视频监控网络智能信息安全综合管理系统
CN109729180B (zh) 全体系智慧社区平台
Rani et al. Threats and corrective measures for IoT security with observance of cybercrime: A survey
Kamble et al. Survey on Internet of Things (IoT) security issues & solutions
Alipour et al. Wireless anomaly detection based on IEEE 802.11 behavior analysis
CN111274578B (zh) 一种视频监控系统的数据安全防护系统和方法
JP2011530863A (ja) 無線デバイス監視システムおよび監視デバイスならびに関連する方法
EP3433749B1 (en) Identifying and trapping wireless based attacks on networks using deceptive network emulation
US20220103584A1 (en) Information Security Using Blockchain Technology
CN117040896A (zh) 一种物联网管理方法及物联网管理平台
CN116132989B (zh) 一种工业互联网安全态势感知系统及方法
CN117040741A (zh) 一种基于fttr组网方式数据安全传输的方法及装置
KR101847618B1 (ko) 영상 보안 시스템에서 프라이버시 객체 마스킹 및 사용자 인증을 위한 키 관리 방법 및 이러한 방법을 사용하는 영상 보안 시스템
CN117061556B (zh) 一种电力监控系统远程运维安全保护装置
Li et al. Research on security issues of military Internet of Things
KR102236235B1 (ko) 공공 다중이용시설 재난재해 동보방송 구내방송장치(PA)와 원격 협업기능 A/V(Audio/Video) 스마트 방송장치 및 폐쇄자가망 시스템
Miloslavskaya et al. Ensuring information security for internet of things
KR20130085473A (ko) 클라우드 컴퓨팅 서비스 침입 탐지 시스템의 암호화 시스템
CN113365277A (zh) 无线网络安全防护系统
CN116702188A (zh) 一种管控平台数据管理方法及系统
CN112995220A (zh) 一种用于计算机网络安全数据保密系统
Kalhoro et al. An Overview of Security Attacks in 5G Enabled Technologies: Applications and Use Case Scenarios.
Barraud et al. 5G SUCI Catcher: Attack and Detection
Guo et al. Cyber-physical authentication for metro systems
Alshamrani et al. Security Analysis of a Smart City Traffic Control System using a Threat Model-based Approach

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant