北京高速公路视频上云网络安全防护解决方案-凯源恒润北京监控安装工程公司

发布日期：2025-08-21      访问量：23

北京高速公路视频上云网络安全防护解决方案-凯源恒润北京监控安装工程公司

目前，省部两级视频云平台已全面建成并实现联网运行，全国高速公路视频资源实现100%实时在线共享，“全联网、全共享、全覆盖”和“数字化、高清化、智能化”的视频联网目标全面达成。构建完整、有效、可信的视频云平台安全保障体系至关重要。

一、网络安全防护要求

依据交通运输部相关要求，路段视频汇聚点应参照网络安全等级保护二级标准实施安全防护，其中安全通信网络、安全计算环境、安全区域边界三项指标不低于网络安全等级保护二级要求。

在维持路段原有网络架构的前提下，新建视频上云DMZ区域，与既有分中心监控专网区域实现逻辑隔离。该视频上云DMZ区域部署于监控专网与Internet网络边界之间，作为内网与网络边界的缓冲区域，并在DMZ区域外侧部署防火墙进行安全隔离，避免重要网络区域与网络边界发生直接数据交换。同时设置日志审计系统，对关键用户行为及重要安全事件进行审计。

DMZ区构成图

二、分域保护策略

1、安全域划分

基于访问对象和安全等级要求，可划分为三个安全区域：内网区域、DMZ区域和外网区域。

（1）内网区域：由通信专网内部署的所有应用系统构成的安全区域。

（2）DMZ区域：为解决防火墙部署后专网与外网数据交互需求而设立的缓冲区，位于内部网络与外部网络之间。该区域部署需与外部通信的服务器设施，通过增设安全关卡有效提升内部网络的防护能力。

（3）外网区域：因该区域与DMZ区域仅通过防火墙及VPN专用通道进行点对点单向通信，安全重点在于保障其与DMZ区域的边界安全。

2、域间控制措施

在安全域间部署防火墙实现逻辑隔离，通过应用控制策略限制域间非必要访问，最大限度保障系统安全。

在监控专网区域与DMZ区域间部署防火墙进行逻辑隔离，应用策略严格控制区域间数据交互。

通信控制原则为：必须严格遵循既定方向、IP及端口进行通信。

（1）DMZ区域与外网区域之间控制措施

在DMZ区域与外网区域间部署集成VPN功能模块的防火墙，通过VPN加密边界传输数据，确保数据完整性与保密性；

通过防病毒网关模块实现边界逻辑隔离，保障数据安全；通过IPS入侵检测防御模块，有效阻断外部攻击（如DoS、DDoS、暴力破解(Brute-Force)、端口扫描、嗅探、病毒、蠕虫、木马等）。

（2）专网区域与外网区域之间控制措施：两区域不直接连通，仅能通过DMZ区域中转实现数据交互。

3、VLAN划分

为强化用户资源保护，特别是保障重要用户的网络可靠性与可用性，在网络管理中实施VLAN划分策略。具体规划如下：在内网核心交换机与三层交换机划分VLAN，核心交换机负责VLAN间路由及策略；三层交换机执行VLAN路由与策略，并为DMZ区域设立独立VLAN。该架构使DMZ区域与内网核心交换机物理隔离，有效提升DMZ与内网区域的隔离强度，增强整体网络安全性。

三、网络访问控制

(1)网络访问控制设备部署

实现网络安全等级保护对网络访问控制要求的最有效方法，是在网络关键位置部署防火墙类网关设备。

部署位置：

其中一台部署于DMZ区域与外网及监控系统内网区域的边界处，配置了以下功能模块：IPSEC VPN、AV网关杀毒、IPS入侵检测防御、流量控制、应用控制、数据防泄密、僵尸网络防护、实时漏洞分析。

另一台则部署在监控系统内网区域与各站点的内部边界处，其配置的功能模块主要包括：网关杀毒、IPS入侵检测防御、Web应用防护、流量控制、应用控制、数据防泄密。

部署说明：

① DMZ区域的防火墙采用路由网关模式，为DMZ区域与外网区域的数据交互提供VPN加密通道、边界防护及访问控制。

② 监控内网区域的防火墙采用路由网关模式，为DMZ区域与内网区域的数据交互提供边界防护和访问控制。

(2)防火墙系统策略设计

外部边界防火墙策略设计通过防火墙实现隔离与访问控制，依据数据包的源地址、目的地址、传输层协议、端口（对应请求的服务类型）、时间、用户名等信息执行访问控制规则。

四、网络入侵防护

在网络边界部署入侵防护系统，可提供主动、实时的安全防护。该系统配合及时更新的攻击特征库，能有效检测并实时阻断隐匿在海量流量中的病毒、攻击及滥用行为，同时对全网各类流量实施精细化管理，从而实现对网络架构、网络性能及核心应用的全面防护。

五、恶意代码防范

在边界防火墙部署防病毒网关模块，可过滤各类网络病毒，全面拦截蠕虫、混合攻击、端口扫描、间谍软件、P2P带宽滥用等广义病毒。该部署能阻断病毒通过网络扩散的路径，将经网络传播的病毒隔离在外，防止病毒跨安全域传播至内部区域，有效净化网络流量。

六、数据安全

 采用消息摘要机制来确保完整性校验，其方法是：发送方使用散列函数（如 SHA、MD5 等）对要发送的信息进行摘要计算，得到信息的鉴别码，连同信息一起发送给接收方，将信息与信息摘要进行打包后插入身份鉴别标识，发送给接收方。接收方对接收到的信息后，首先确认发送方的身份信息，解包后，重新计算，将得到的鉴别码与收到的鉴别码进行比较，若二者相同，则可以判定信息未被篡改，信息完整性没有受到破坏。通过上述方法，可以满足应用系统对于信息完整性校验的需求。而对于用户数据特别是身份鉴别信息的数据保密，采用密码技术进行数据加密实现鉴别信息的存储保密性。在传输过程中主要依靠 VPN 系统可以来保障数据 包的数据完整性、保密性、可用性。为实现上云网关的业务通信的专属安全防护，除了具备防火墙合规性要求外，还包括审计、权限管控和访问控制。要求对主流的上云网关的流转发协议进行细粒度防护，同时对视频流路径进行分析和相应的安全防护。因此，在每个汇聚点上云网关与省平台之间部署上云安全防护系统。实现 VPN 国密、防火墙、视频资产管理、视频接入管控、视频行为防护功能。