PPT-视频专网安全监管解决方案
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
从技术体制上看,公安视频专 网本质上是TCP/IP网络,需解 决设备接入及访问控制问题。
从终端类型上看,除通用计算 机终端外,还有视频专网专用 设备,需解决设备非法替换问 题。
安全监管总体考虑
5
省厅
公安网
10000M
地市
公安网
10000M
区县
公安网
远望视频专网 安全监管系统
网闸
视频专网
10000M
运 营 商 网 络
流媒体服务器
解码器 显示终端
数据
1000M
10000M
远望视频专网 安全监管系统
网闸
视频专网
10000M
10000M
远望视频专网 安全监管系统
网闸
视频专网
10000M
运 营 商 网 络
流媒体服务器
解码器 显示终端
数据
1000M
运 营 商 网 络
流媒体服务器
解码器 显示终端
数据
1000M
从产品中心接收到的信息,视频专网中暂无其他公司能达到我们的规模。
04 特色功能
安全管理技术支撑服务的领航者
设备发现与识别
19
摄像交注头换册、机客N、V户R路等端由安的器防设等设备网备络设备
一机一档
20
IP资源管理
21
接入控制
22
设备仿冒监测
23
屏幕水印
24
主机视频应用行为审计
25
审计用户通过浏览器对网络摄像机的访问,支持海康、大华、 宇视、天地伟业主流型号的登录、预览、回放、下载动作。
从部署规模及系统应用分析
17
远望视频专网安全监管系统已经在全疆部署,管控设备总量达到了70W+,接入控制 覆盖到全疆所有核心交换机,并与第三方系统实现资产管理和准入控制联动,真正实现了 全省集中式统一管控方案,而不是停留在方案层面的臆想。
远望视频专网安全监管系统在浙江、河南、广西、内蒙等多个省份的市、县两级进行 了大量部署和试用,验证了单级、多级级联、第三方联动等各种环境下的应用,是经过实 际检验的。
基于客户端的边界监测
26
主机外联加固
27
业务处理
28
数据可视化
29
05 部署方案
安全管理技术支撑服务的领航者
接入级标准型准入控制部署方案
31
接入级增强型准入控制部署方案
32
数据及应用中心防护部署方案
33
大流量分流部署方案
34
主机管控部署方案
35
省市县级联部署方案
36
06 其他说明
基于IP控制的应用:画方、远望、北信源 高水平的IP冒用问题无法解决。 将IP与设备绑定,基于设备特征的鉴别总是无法保证绝对准确,同时也面临类似协议遇到的,特征众多无 法穷举的问题
基于交换机端口控制的应用:华为、华三 一个端口下如果挂接了傻瓜交换机,或者ONU方式的接入,一旦控制,下属设备将全部无法接入。
需要对冒用设备自动进行阻断,但应规避对服务器的影响:可在自动取消保护界面配置生效 的范围,将服务器段剔除在作用范围内。
管理员临时出差,但仍希望执行强准入:需开启客户端注册密码模式、开启入网申请密码自 动审核模式,入网人员线下联系管理员获取密码后入网。
系统联动
40
系统支持与第三方系统联动,主要应用有: 1) 在新疆项目中某公司通过整合海康、大华共享平台数据开发了“一机一档”管理系统,我
接入与访问控制:
ARP、SNMP、SPAN、SSH/TELNET、HTTP跳转、TCP阻断、PING欺骗、协议控制
03 竞争分析
安全管理技术支撑服务的领航者
迪普方案分析
12
源自文库
画方方案分析
13
启明星辰方案分析
14
准入控制的技术原理分析
15
管理平台
授权设备 授权设备 非授权设备
授权应用
设
应
备
IPC IPC IPC
方案功能全景图
6
02 方案优势
安全管理技术支撑服务的领航者
从等保角度看本方案覆盖的广度
8
等级保护
数据安全:以敏感信息、移动存储介质、屏幕水印等特色功能为核心,防止数据拷贝、手
A
机拍摄、打印刻录等各类数据泄露行为。
B
应用安全:以视频应用行为审计、应用系统注册管理及状态监测、违规应用访问控 制等特色功能为核心,为判定应用的合规使用提供数据支撑。
C
主机安全:以主机监控与审计为核心,包括非授权外联监测与防护、账户安全 管理、外设管理、补丁分发等,为主机提供全面的安全防护手段。
D
网络安全:以网络接入控制网关和前端管理主机为核心,包括接入控制、 访问控制、协议过滤、设备替换监测等。
E
物理安全:以智能箱和前端管理主机为依托,包括防盗告警、温度 告警、断电告警等,对视频专网最核心的资产进行全方位的保护。
➢ TC100会议参加单位
从关键技术角度看本方案的深度
10
资产发现与识别:
发现:SNMP、Traceroute、TELNET、ARP、ICMP、SDK、私有协议、前端接入流量分 析、各网关旁路设备镜像流量获取
识别:MAC厂商、TCP端口、ONVIF/GB28181协议分析、HTTP/HTTPS/SSH/TELNET主 动探测、流量分析
视频专网准入技术应用缺陷分析
16
基于协议过滤的应用:迪普、深信服、远望 如前端接入区启用视频流协议过滤,前端维护人员接入的维修电脑将无法正常使用。 前端接入区除了大量前端设备以外,还有大量传感设备,传感设备厂家众多,协议繁杂,用户无法甄别和 有效配置。 核心应用区中的普通设备访问服务器会使用HTTP协议,服务器与服务器会使用HTTP协议,根本无法甄别。
容自动显示当前登录者的姓名。
感谢指导!
“MMS1700”未作为总控时,只能控制2000路IPC,不具备其他功能。
准入应用
39
当前视频专网管理人员紧缺,在实际应用过程中,开启准入控制后会对原有应用产生很大冲击, 根据项目实施情况,总结了几种场景下系统功能的配置思路:
系统初步上线开启准入的思路:先执行发现识别,然后保护所有安防设备,配置前端接入区 安防设备接入自动放行,计算机设备注册引导,等前端接入区梳理完成后,逐步扩展到工作区,保 护打印机、网络设备、及未知设备,对计算机设备执行注册引导,并通过引导日志分析出分布在工 作区中的服务器,手动进行保护。
安全管理技术支撑服务的领航者
性能指标说明
38
“MMS1700”设备可处理的流量为大于4Gbps,按实际项目执行情况,以 4M一路计算可同时控制2000路。
“MMS1700”作为总控时,除可控制2000路IPC外,还可支持不超过 10000台注册终端的管控和20000台未注册设备的类型识别和状态监测。
从标准体系角度看本方案的合规性
9
➢ 国标:强制标准《GB351142017 公共安全视频监控联网信 息安全技术要求》
➢ 公安部《公安视频传输网建设 指导意见》(征求意见稿)要 求对前端安全进行安全防护设 计,对非法设备、非法访问和 非法攻击进行告警和阻断。
➢ 地方标准:浙江省公安视频专 网安全管理技术规范
远望视频专网 安全监管解决方案
01 方案概况
安全管理技术支撑服务的领航者
总体思路
3
体系规划方面: 功能设计方面: 系统建设方面:
视频专网总体架构
4
从网络互联上看,公安视频专 网通过“视频安全接入系统” 和“边界安全接入平台”与其 他网络相连,需解决边界安全 问题。
从建设范围上看,公安视频专 网覆盖至所有市、县指挥中心 和派出所监控中心,需解决上 下级监管问题。
用
认
控
证
非授权应用
制
网络管道
无论是迪普、画方、北信源等准入设备厂商,还是华为、华三等交换机厂商,最终实现准入控制逃不出控制IP、 过滤协议、开关交换机物理端口三种手段。
控制IP的方案难点在于如何鉴别IP的合规性,因IP不具备特征,主流方案是去鉴别当前使用IP的设备,固提出了 如设备指纹、设备类型等概念;过滤协议的难点在于协议类型太多,无法穷举,主流方案是控制一些重要协议,其 他全放或全不放;控制交换机端口状态的问题在于一个端口下可能挂接很多设备,无法区别控制。
公司的产品与“一机一档”进行对接,实现资产管理与准入控制联动; 2) 在内蒙包头项目中某公司开发了上层的整合平台,我公司的产品为其提供资产数据,并接
受准入指令,控制设备接入; 3) 在绍兴项目中,我公司与海康、大华、网警、安邦的数据库联动,实现资产信息自动补充; 4) 在河南项目中,我公司与海康客户端联动,实现用户登录海康客户端查看视频时,水印内
从终端类型上看,除通用计算 机终端外,还有视频专网专用 设备,需解决设备非法替换问 题。
安全监管总体考虑
5
省厅
公安网
10000M
地市
公安网
10000M
区县
公安网
远望视频专网 安全监管系统
网闸
视频专网
10000M
运 营 商 网 络
流媒体服务器
解码器 显示终端
数据
1000M
10000M
远望视频专网 安全监管系统
网闸
视频专网
10000M
10000M
远望视频专网 安全监管系统
网闸
视频专网
10000M
运 营 商 网 络
流媒体服务器
解码器 显示终端
数据
1000M
运 营 商 网 络
流媒体服务器
解码器 显示终端
数据
1000M
从产品中心接收到的信息,视频专网中暂无其他公司能达到我们的规模。
04 特色功能
安全管理技术支撑服务的领航者
设备发现与识别
19
摄像交注头换册、机客N、V户R路等端由安的器防设等设备网备络设备
一机一档
20
IP资源管理
21
接入控制
22
设备仿冒监测
23
屏幕水印
24
主机视频应用行为审计
25
审计用户通过浏览器对网络摄像机的访问,支持海康、大华、 宇视、天地伟业主流型号的登录、预览、回放、下载动作。
从部署规模及系统应用分析
17
远望视频专网安全监管系统已经在全疆部署,管控设备总量达到了70W+,接入控制 覆盖到全疆所有核心交换机,并与第三方系统实现资产管理和准入控制联动,真正实现了 全省集中式统一管控方案,而不是停留在方案层面的臆想。
远望视频专网安全监管系统在浙江、河南、广西、内蒙等多个省份的市、县两级进行 了大量部署和试用,验证了单级、多级级联、第三方联动等各种环境下的应用,是经过实 际检验的。
基于客户端的边界监测
26
主机外联加固
27
业务处理
28
数据可视化
29
05 部署方案
安全管理技术支撑服务的领航者
接入级标准型准入控制部署方案
31
接入级增强型准入控制部署方案
32
数据及应用中心防护部署方案
33
大流量分流部署方案
34
主机管控部署方案
35
省市县级联部署方案
36
06 其他说明
基于IP控制的应用:画方、远望、北信源 高水平的IP冒用问题无法解决。 将IP与设备绑定,基于设备特征的鉴别总是无法保证绝对准确,同时也面临类似协议遇到的,特征众多无 法穷举的问题
基于交换机端口控制的应用:华为、华三 一个端口下如果挂接了傻瓜交换机,或者ONU方式的接入,一旦控制,下属设备将全部无法接入。
需要对冒用设备自动进行阻断,但应规避对服务器的影响:可在自动取消保护界面配置生效 的范围,将服务器段剔除在作用范围内。
管理员临时出差,但仍希望执行强准入:需开启客户端注册密码模式、开启入网申请密码自 动审核模式,入网人员线下联系管理员获取密码后入网。
系统联动
40
系统支持与第三方系统联动,主要应用有: 1) 在新疆项目中某公司通过整合海康、大华共享平台数据开发了“一机一档”管理系统,我
接入与访问控制:
ARP、SNMP、SPAN、SSH/TELNET、HTTP跳转、TCP阻断、PING欺骗、协议控制
03 竞争分析
安全管理技术支撑服务的领航者
迪普方案分析
12
源自文库
画方方案分析
13
启明星辰方案分析
14
准入控制的技术原理分析
15
管理平台
授权设备 授权设备 非授权设备
授权应用
设
应
备
IPC IPC IPC
方案功能全景图
6
02 方案优势
安全管理技术支撑服务的领航者
从等保角度看本方案覆盖的广度
8
等级保护
数据安全:以敏感信息、移动存储介质、屏幕水印等特色功能为核心,防止数据拷贝、手
A
机拍摄、打印刻录等各类数据泄露行为。
B
应用安全:以视频应用行为审计、应用系统注册管理及状态监测、违规应用访问控 制等特色功能为核心,为判定应用的合规使用提供数据支撑。
C
主机安全:以主机监控与审计为核心,包括非授权外联监测与防护、账户安全 管理、外设管理、补丁分发等,为主机提供全面的安全防护手段。
D
网络安全:以网络接入控制网关和前端管理主机为核心,包括接入控制、 访问控制、协议过滤、设备替换监测等。
E
物理安全:以智能箱和前端管理主机为依托,包括防盗告警、温度 告警、断电告警等,对视频专网最核心的资产进行全方位的保护。
➢ TC100会议参加单位
从关键技术角度看本方案的深度
10
资产发现与识别:
发现:SNMP、Traceroute、TELNET、ARP、ICMP、SDK、私有协议、前端接入流量分 析、各网关旁路设备镜像流量获取
识别:MAC厂商、TCP端口、ONVIF/GB28181协议分析、HTTP/HTTPS/SSH/TELNET主 动探测、流量分析
视频专网准入技术应用缺陷分析
16
基于协议过滤的应用:迪普、深信服、远望 如前端接入区启用视频流协议过滤,前端维护人员接入的维修电脑将无法正常使用。 前端接入区除了大量前端设备以外,还有大量传感设备,传感设备厂家众多,协议繁杂,用户无法甄别和 有效配置。 核心应用区中的普通设备访问服务器会使用HTTP协议,服务器与服务器会使用HTTP协议,根本无法甄别。
容自动显示当前登录者的姓名。
感谢指导!
“MMS1700”未作为总控时,只能控制2000路IPC,不具备其他功能。
准入应用
39
当前视频专网管理人员紧缺,在实际应用过程中,开启准入控制后会对原有应用产生很大冲击, 根据项目实施情况,总结了几种场景下系统功能的配置思路:
系统初步上线开启准入的思路:先执行发现识别,然后保护所有安防设备,配置前端接入区 安防设备接入自动放行,计算机设备注册引导,等前端接入区梳理完成后,逐步扩展到工作区,保 护打印机、网络设备、及未知设备,对计算机设备执行注册引导,并通过引导日志分析出分布在工 作区中的服务器,手动进行保护。
安全管理技术支撑服务的领航者
性能指标说明
38
“MMS1700”设备可处理的流量为大于4Gbps,按实际项目执行情况,以 4M一路计算可同时控制2000路。
“MMS1700”作为总控时,除可控制2000路IPC外,还可支持不超过 10000台注册终端的管控和20000台未注册设备的类型识别和状态监测。
从标准体系角度看本方案的合规性
9
➢ 国标:强制标准《GB351142017 公共安全视频监控联网信 息安全技术要求》
➢ 公安部《公安视频传输网建设 指导意见》(征求意见稿)要 求对前端安全进行安全防护设 计,对非法设备、非法访问和 非法攻击进行告警和阻断。
➢ 地方标准:浙江省公安视频专 网安全管理技术规范
远望视频专网 安全监管解决方案
01 方案概况
安全管理技术支撑服务的领航者
总体思路
3
体系规划方面: 功能设计方面: 系统建设方面:
视频专网总体架构
4
从网络互联上看,公安视频专 网通过“视频安全接入系统” 和“边界安全接入平台”与其 他网络相连,需解决边界安全 问题。
从建设范围上看,公安视频专 网覆盖至所有市、县指挥中心 和派出所监控中心,需解决上 下级监管问题。
用
认
控
证
非授权应用
制
网络管道
无论是迪普、画方、北信源等准入设备厂商,还是华为、华三等交换机厂商,最终实现准入控制逃不出控制IP、 过滤协议、开关交换机物理端口三种手段。
控制IP的方案难点在于如何鉴别IP的合规性,因IP不具备特征,主流方案是去鉴别当前使用IP的设备,固提出了 如设备指纹、设备类型等概念;过滤协议的难点在于协议类型太多,无法穷举,主流方案是控制一些重要协议,其 他全放或全不放;控制交换机端口状态的问题在于一个端口下可能挂接很多设备,无法区别控制。
公司的产品与“一机一档”进行对接,实现资产管理与准入控制联动; 2) 在内蒙包头项目中某公司开发了上层的整合平台,我公司的产品为其提供资产数据,并接
受准入指令,控制设备接入; 3) 在绍兴项目中,我公司与海康、大华、网警、安邦的数据库联动,实现资产信息自动补充; 4) 在河南项目中,我公司与海康客户端联动,实现用户登录海康客户端查看视频时,水印内