一种物联网视频监控安全管理系统

技术领域

本发明涉及物联网视频监控安全管理技术领域，具体为一种物联网视频监控安全管理系统。

背景技术

物联网视频监控是一种防范能力较强的综合系统，主要由前端采集设备、传输网络、监控运营平台三块组成。依赖视频、声音监控采集和及时的数据分析和提取，实现物与物、物与人之间互联。目前物联网视频监控主要用于大型场馆和人流密集区域、重要设备和设施的安防监控，常部署于内网环境中；但是为了方便远程管理和使用，也有相当一部分与公网有接口或者直接部署于公网，由于系统直接或间接与公网对接，很容易受到来自外部的攻击和破坏，攻击者可以破坏甚至篡改服务器上的数据，进而引发严重的安全问题。

发明内容

(一)解决的技术问题

针对现有技术的不足，本发明提供一种物联网视频监控安全管理系统，以解决物联网视频监控系统直接或间接与公网对接，容易受到来自外部的攻击和破坏的技术问题。

(二)技术方案

为实现上述目的，本发明提供如下技术方案：

一种物联网视频监控安全管理系统，包括：部署在物联网监控运营平台与物联网远程管理或使用终端之间的物联网虚拟专用网络，物联网虚拟专用网络实现对物联网监控运营平台与物联网远程管理或使用终端之间的数据通信进行加密，建立物联网监控运营平台与物联网远程管理或使用终端之间的物联网专用网络通道；

物联网虚拟专用网络在物联网的内网中架设一台VPN服务器，物联网远程管理或使用终端连上互联网后，通过互联网连接VPN服务器，然后通过VPN服务器进入物联网的内网。

进一步的，所述物联网视频监控安全管理系统还包括：在物联网视频监控系统的网络进出端口处部署有物联网安全态势与管控系统，在物联网视频监控系统的数据中心区域部署有Web应用防火墙设备。

进一步的，所述物联网安全态势与管控系统对物联网视频监控系统的前端设备进行状态监控、行为审计、异常分析和安全管控，并且感知海量物联网视频监控系统中前端设备的安全状态、漏洞弱点、异常威胁及非法接入。

进一步的，所述Web应用防火墙设备对物联网视频监控平台的Web应用服务器进行保护，对物联网视频监控系统的网站的访问进行7x24小时实时监控。

(三)有益的技术效果

与现有技术相比，本发明具备以下有益的技术效果：

本发明通过在物联网监控运营平台与物联网远程管理或使用终端之间部署物联网虚拟专用网络，物联网虚拟专用网络实现对物联网监控运营平台与物联网远程管理或使用终端之间的数据通信进行加密，建立物联网监控运营平台与物联网远程管理或使用终端之间的物联网专用网络通道；

物联网虚拟专用网络提供一种成本效率高并且安全性能好的远程管理和使用物联网视频监控数据的方法；并且部署在物联网视频监控系统的网络进出端口处的物联网安全态势与管控系统实现整个物联网视频监控系统资产威胁可视化，达到整网资产安全可管可控；部署在物联网视频监控系统的数据中心区域的Web应用防火墙设备对网站的访问进行7x24小时实时监控；

从而解决了物联网视频监控系统直接或间接与公网对接，容易受到来自外部的攻击和破坏的技术问题。

具体实施方式

下面将结合本发明实施例，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

一种物联网视频监控安全管理系统，包括：部署在物联网监控运营平台与物联网远程管理或使用终端之间的物联网虚拟专用网络，物联网虚拟专用网络实现对物联网监控运营平台与物联网远程管理或使用终端之间的数据通信进行加密，建立物联网监控运营平台与物联网远程管理或使用终端之间的物联网专用网络通道；

物联网虚拟专用网络在物联网的内网中架设一台VPN服务器，物联网远程管理或使用终端连上互联网后，通过互联网连接VPN服务器，然后通过VPN服务器进入物联网的内网；

其中，VPN为虚拟专用网络；

为了保证物联网视频监控数据的安全，VPN服务器和物联网远程管理或使用终端之间的通讯数据都进行了加密处理；

物联网虚拟专用网络的工作过程为：

①物联网虚拟专用网络的VPN网关采取双网卡结构，外网卡使用公网IP接入互联网；

②互联网的物联网远程管理或使用终端访问物联网的物联网监控运营平台，其发出的访问数据包的目标地址为物联网监控运营平台的内部IP地址；

③互联网的VPN网关在接收到物联网远程管理或使用终端发出的访问数据包时对其目标地址进行检查，如果目标地址属于物联网的地址，则将该数据包进行封装，并将封装后的原数据包作为VPN数据包的负载，VPN数据包的目标地址为物联网的VPN网关的外部地址；

④互联网的VPN网关将VPN数据包发送到互联网，由于VPN数据包的目标地址是物联网的VPN网关的外部地址，所以该数据包将被互联网中的路由正确地发送到物联网的VPN网关；

⑤物联网的VPN网关对接收到的数据包进行检查，如果发现该数据包是从互联网的VPN网关发出的，即可判定该数据包为VPN数据包，并对该数据包进行解包处理，解包的过程主要是先将VPN数据包的包头剥离，再将数据包反向处理还原成原始的数据包；

⑥物联网的VPN网关将还原后的原始数据包发送至物联网监控运营平台，由于原始数据包的目标地址是物联网监控运营平台的IP，所以该数据包能够被正确地发送到物联网监控运营平台，在物联网监控运营平台看来，它收到的数据包就和从物联网远程管理或使用终端直接发过来的一样；

从物联网监控运营平台返回物联网远程管理或使用终端的数据包处理过程和上述过程一样，这样两个网络内的终端就可以相互通讯了；

进一步的，在物联网视频监控系统的网络进出端口处部署有物联网安全态势与管控系统，该物联网安全态势与管控系统对物联网视频监控系统的前端设备进行状态监控、行为审计、异常分析和安全管控，并且感知海量物联网视频监控系统中前端设备的安全状态、漏洞弱点、异常威胁及非法接入等安全情况；

其中，针对物联网视频监控系统的前端设备进行的安全态势的预测、防护、监控和响应，从端点安全、边界安全、数据安全和管理安全多个层面提高整体的安全能力，从而实现整个物联网视频监控系统资产威胁可视化，达到整网资产安全可管可控；

进一步的，在物联网视频监控系统的数据中心区域部署有Web应用防火墙设备，该Web应用防火墙设备对物联网视频监控平台的Web应用服务器进行保护，即对网站的访问进行7x24小时实时监控，通过Web应用防火墙的部署，可以解决Web应用服务器所面临的各类网站安全问题，如SQL注入攻击、跨站攻击、恶意编码、缓冲区溢出、应用层DDoS攻击等，防止网页篡改、被挂木马等严重影响形象的安全事件发生；

Web应用防火墙设备采用HA双机热备部署方式直接连接在链路中，部署在物联网视频监控平台的Web服务器之前保护Web的对外应用。

尽管已经示出和描述了本发明的实施例，对于本领域的普通技术人员而言，可以理解在不脱离本发明的原理和精神的情况下可以对这些实施例进行多种变化、修改、替换和变型，本发明的范围由所附权利要求及其等同物限定。