公安行业中，视频网业务快速发展，安全隐患也逐步增多，业务暴露面风险增大，导致现有视频网安全基础薄弱，公安视频专网的安全防御能力亟待加强。

安全风险：

• 在各行各业中，IoT都有着具体而广泛的应用，比如在公安、交警、运输、教育能源等行业中，多种IP摄像头、抓拍设备已经大规模的部署在各个角落，如天网工程、雪亮工程，已经有海量摄像头部署到城市、乡村的各个角落。
• 视频网业务快速发展，重应用轻安全，业务暴露面风险增大，导致现有视频网安全基础薄弱，IPC与网络核心、业务平台直接连通，网络中缺少有效的安全管控手段，攻击者可利用分散在各处的前端设备接入到整个网络中，攻击核心业务系统，窃取保密信息。
• 近年来HVV和专项安全检查中，暴露出大量漏洞/私接/替换等安全隐患，部分省出现视频图像业务敏感数据泄露，网络对抗攻击频繁，如2020境外匿名者事件、2016年海康事件等、军演泄密事件等。

政策合规：

• 《中华人民共和国网络安全法》总则第五条要求监测、防御、处置网络安全风险和威胁，保护关键信息基础设施免受攻击、侵入、干扰和破坏。
• 《安全防范视频监控联网系统信息传输、交换、控制技术要求》中规定了公共视频监控联网系统的互联结构，传输、交换、控制的基本要求和安全性要求。 （GB/T 28181）
• 《公共安全视频监控联网信息安全技术要求》、 《公安视频图像信息系统安全要求》制定和重视，每年例行安全检查、全国视频网攻防演练，并纳入全国科信年度工作考核。

各级公共安全视频监控网络内部安全域划分为：纵向边界区、横向边界区、系统应用区和前端接入区四部分；

（1）前端接入区安全防护主要实现对各类前端接入设备的有效识别和安全管理。前端接入区主要包括前端接入的摄像机及其他设备。应建立前端安全防护机制，实现对前端接入资源的有效识别和安全管理。

流量分区接入，IoT视频准入识别感知合法厂家、终端设备及合法视频流量应用，对准入设备通过大屏展示等方式实现统一管理；将可视化运维管理IoT作为运维管理的有效手段，形成一套集接入控制、流量精准识别控制、非法入侵发现异常行为处理、可视化运维管理为一体的防护措施。

IoT视频准入将分区域接入控制作为第一道闸门，将识别感知合法厂家、终端设备及合法视频流量应用作为第二道安防门槛，将有效检测和发现异常行为、发现未知威胁作为第三道防线。

（2）横向边界区安全防护主要实现公共安全视频传输网与同级其他网络间的安全连接以及资源的安全共享。公共安全视频监控网络横向边界主要涉及公共安全视频传输网络与公安信息网、其他专网和互联网等公共网络的边界，不同网络边界之间应部署横向边界安全交互设施，主要包括：公安信息网视频边界接入平台、其他专网边界交互平台和互联网边界交互平台。

（3）纵向边界区主要实现本级公共安全视频传输网与上级或下级公共安全视频传输网的安全连接和访问控制。为了防止来自上下级公共安全视频传输网间的非法访问，应在纵向边界区配备相应安全设备或采用相关安全技术手段，并制定详细的访问控制策略，实现端口级、细颗粒度的访问控制。

（4）系统应用区安全防护主要实现对本级网络内应用系统、设备及视频信息的安全保障和安全管理。系统应用区内的系统及设备主要包括：公共安全视频传输网内相关网络设备、终端、各类通用和专用服务器、存储设备、相关应用系统等设备。为遵循满足业务发展、适度防护的原则，采用漏洞扫描、系统加固、防病毒、资源探测、入侵检测、web应用安全防护、网络审计、身份认证、日志审计、安全运维、安全态势感知等安全技术措施进行安全防护，提升系统应用区的整体安全水平。

为满足整网的安全运维需求，应对视频传输网中安全设备的状态、资源使用情况、审计日志、告警等信息进行集中管控、分析处理，完善安全事件管理制度、处置流程和应急预案。可通过数据安全审计、综合日志审计、堡垒机和终端防护等产品对现有资产进行运维分析，通过对基线的检查、资产的梳理以及云端情报共享，分析现有资产存在风险并实现对未知威胁防护。

• 通过RAS对全生命周期设备进行漏洞扫描，排查出系统存在的问题；
• 通过视频防火墙对设备做视频准入，并将信息同步到HSM做精确分析，同时进行大屏展示。
• 利用防火墙和IPS、WAF做边界过滤，保护内网及应用安全。
• 通过数据安全设备进行资产盘点，保护数据安全。
• 利用态势感知设备进行全局网络分析，调度全网安全设备，实现安全运营。