视频专网安全监管解决方案
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
? 接入与访问控制:
? ARP、SNMP、SPAN、SSH/TELNET、HTTP跳转、TCP阻断、PING欺骗、协议控制
03 竞争分析
安全管理技术支撑服务的领航者
迪普方案分析
12
画方方案分析
13
启明星辰方案分析
14
准入控制的技术原理分析
15
管理平台
授权设备 授权设备 非授权设备
授权应用
设
安全管理技术支撑服务的领航者
性能指标说明
应
备
用
认
控
证
非授权应用
制
网络管道
无论是迪普、画方、北信源等准入设备厂商,还是华为、华三等交换机厂商,最终实现准入控制逃不出控制IP、 过滤协议、开关交换机物理端口三种手段。
控制IP的方案难点在于如何鉴别IP的合规性,因IP不具备特征,主流方案是去鉴别当前使用IP的设备,固提出了 如设备指纹、设备类型等概念;过滤协议的难点在于协议类型太多,无法穷举,主流方案是控制一些重要协议,其 他全放或全不放;控制交换机端口状态的问题在于一个端口下可能挂接很多设备,无法区别控制。
基于客户端的边界监测
26
主机外联加固
27
业务处理
28
数据可视化
29
05 部署方案
安全管理技术支撑服务的领航者
接入级标准型准入控制部署方案
31
接入级增强型准入控制部署方案
32
数据及应用中心防护部署方案
33
大流量分流部署方案
34
主机管控部署方案
35
省市县级联部署方案
36
06 其他说明
IPC IPC IPC
方案功能全景图
6
02 方案优势
安全管理技术支撑服务的领航者
从等保角度看本方案覆盖的广度
8
ห้องสมุดไป่ตู้
等级保护
数据安全:以敏感信息、移动存储介质、屏幕水印等特色功能为核心,防止数据拷贝、手
A
机拍摄、打印刻录等各类数据泄露行为。
B
应用安全:以视频应用行为审计、应用系统注册管理及状态监测、违规应用访问控 制等特色功能为核心,为判定应用的合规使用提供数据支撑。
? TC100会议参加单位
从关键技术角度看本方案的深度
10
? 资产发现与识别:
? 发现:SNMP、Traceroute 、TELNET、ARP、ICMP、SDK、私有协议、前端接入流量分 析、各网关旁路设备镜像流量获取
? 识别:MAC厂商、TCP端口、ONVIF/GB28181 协议分析、HTTP/HTTPS/SSH/TELNET 主 动探测、流量分析
C
主机安全:以主机监控与审计为核心,包括非授权外联监测与防护、账户安全 管理、外设管理、补丁分发等,为主机提供全面的安全防护手段。
D
网络安全:以网络接入控制网关和前端管理主机为核心,包括接入控制、 访问控制、协议过滤、设备替换监测等。
E
物理安全:以智能箱和前端管理主机为依托,包括防盗告警、温度 告警、断电告警等,对视频专网最核心的资产进行全方位的保护。
远望视频专网 安全监管解决方案
01 方案概况
安全管理技术支撑服务的领航者
总体思路
3
体系规划方面: 功能设计方面: 系统建设方面:
视频专网总体架构
4
? 从网络互联上看,公安视频专 网通过“视频安全接入系统” 和“边界安全接入平台”与其 他网络相连,需解决边界安全 问题。
? 从建设范围上看,公安视频专 网覆盖至所有市、县指挥中心 和派出所监控中心,需解决上 下级监管问题。
从部署规模及系统应用分析
17
远望视频专网安全监管系统已经在全疆部署,管控设备总量达到了 70W+ ,接入控制 覆盖到全疆所有核心交换机,并与第三方系统实现资产管理和准入控制联动,真正实现了 全省集中式统一管控方案,而不是停留在方案层面的臆想。
远望视频专网安全监管系统在浙江、河南、广西、内蒙等多个省份的市、县两级进行 了大量部署和试用,验证了单级、多级级联、第三方联动等各种环境下的应用,是经过实 际检验的。
从产品中心接收到的信息,视频专网中暂无其他公司能达到我们的规模。
04 特色功能
安全管理技术支撑服务的领航者
设备发现与识别
19
摄像交注头换册、机客N、V户R路等端由安的器防设等设备网备络设备
一机一档
20
IP 资源管理
21
接入控制
22
设备仿冒监测
23
屏幕水印
24
主机视频应用行为审计
25
审计用户通过浏览器对网络摄像机的访问,支持海康、大华、 宇视、天地伟业主流型号的登录、预览、回放、下载动作。
视频专网准入技术应用缺陷分析
16
? 基于协议过滤的应用:迪普、深信服、远望 ? 如前端接入区启用视频流协议过滤,前端维护人员接入的维修电脑将无法正常使用。 ? 前端接入区除了大量前端设备以外,还有大量传感设备,传感设备厂家众多,协议繁杂,用户无法甄别和 有效配置。 ? 核心应用区中的普通设备访问服务器会使用 HTTP协议,服务器与服务器会使用 HTTP协议,根本无法甄别。
? 基于IP控制的应用:画方、远望、北信源 ? 高水平的IP冒用问题无法解决。 ? 将IP与设备绑定,基于设备特征的鉴别总是无法保证绝对准确,同时也面临类似协议遇到的,特征众多无 法穷举的问题
? 基于交换机端口控制的应用:华为、华三 ? 一个端口下如果挂接了傻瓜交换机,或者ONU方式的接入,一旦控制,下属设备将全部无法接入。
运 营 商 网 络
流媒体服务器
解码器 显示终端
数据
1000M
10000M
远望视频专网 安全监管系统
网闸
视频专网
10000M
10000M
远望视频专网 安全监管系统
网闸
视频专网
1000 0M
运 营 商 网 络
流媒体服务器
解码器 显示终端
数据
10 00M
运 营 商 网 络
流媒体服务器
解码器 显示终端
数据
1000M
? 从技术体制上看,公安视频专 网本质上是TCP/IP网络,需解 决设备接入及访问控制问题。
? 从终端类型上看,除通用计算 机终端外,还有视频专网专用 设备,需解决设备非法替换问 题。
安全监管总体考虑
5
省厅
公安网
10000M
地市
公安网
10000M
区县
公安网
远望视频专网 安全监管系统
网闸
视频专网
10000M
从标准体系角度看本方案的合规性
9
? 国标:强制标准《GB351142017 公共安全视频监控联网信 息安全技术要求》
? 公安部《公安视频传输网建设 指导意见》(征求意见稿)要 求对前端安全进行安全防护设 计,对非法设备、非法访问和 非法攻击进行告警和阻断。
? 地方标准:浙江省公安视频专 网安全管理技术规范
? ARP、SNMP、SPAN、SSH/TELNET、HTTP跳转、TCP阻断、PING欺骗、协议控制
03 竞争分析
安全管理技术支撑服务的领航者
迪普方案分析
12
画方方案分析
13
启明星辰方案分析
14
准入控制的技术原理分析
15
管理平台
授权设备 授权设备 非授权设备
授权应用
设
安全管理技术支撑服务的领航者
性能指标说明
应
备
用
认
控
证
非授权应用
制
网络管道
无论是迪普、画方、北信源等准入设备厂商,还是华为、华三等交换机厂商,最终实现准入控制逃不出控制IP、 过滤协议、开关交换机物理端口三种手段。
控制IP的方案难点在于如何鉴别IP的合规性,因IP不具备特征,主流方案是去鉴别当前使用IP的设备,固提出了 如设备指纹、设备类型等概念;过滤协议的难点在于协议类型太多,无法穷举,主流方案是控制一些重要协议,其 他全放或全不放;控制交换机端口状态的问题在于一个端口下可能挂接很多设备,无法区别控制。
基于客户端的边界监测
26
主机外联加固
27
业务处理
28
数据可视化
29
05 部署方案
安全管理技术支撑服务的领航者
接入级标准型准入控制部署方案
31
接入级增强型准入控制部署方案
32
数据及应用中心防护部署方案
33
大流量分流部署方案
34
主机管控部署方案
35
省市县级联部署方案
36
06 其他说明
IPC IPC IPC
方案功能全景图
6
02 方案优势
安全管理技术支撑服务的领航者
从等保角度看本方案覆盖的广度
8
ห้องสมุดไป่ตู้
等级保护
数据安全:以敏感信息、移动存储介质、屏幕水印等特色功能为核心,防止数据拷贝、手
A
机拍摄、打印刻录等各类数据泄露行为。
B
应用安全:以视频应用行为审计、应用系统注册管理及状态监测、违规应用访问控 制等特色功能为核心,为判定应用的合规使用提供数据支撑。
? TC100会议参加单位
从关键技术角度看本方案的深度
10
? 资产发现与识别:
? 发现:SNMP、Traceroute 、TELNET、ARP、ICMP、SDK、私有协议、前端接入流量分 析、各网关旁路设备镜像流量获取
? 识别:MAC厂商、TCP端口、ONVIF/GB28181 协议分析、HTTP/HTTPS/SSH/TELNET 主 动探测、流量分析
C
主机安全:以主机监控与审计为核心,包括非授权外联监测与防护、账户安全 管理、外设管理、补丁分发等,为主机提供全面的安全防护手段。
D
网络安全:以网络接入控制网关和前端管理主机为核心,包括接入控制、 访问控制、协议过滤、设备替换监测等。
E
物理安全:以智能箱和前端管理主机为依托,包括防盗告警、温度 告警、断电告警等,对视频专网最核心的资产进行全方位的保护。
远望视频专网 安全监管解决方案
01 方案概况
安全管理技术支撑服务的领航者
总体思路
3
体系规划方面: 功能设计方面: 系统建设方面:
视频专网总体架构
4
? 从网络互联上看,公安视频专 网通过“视频安全接入系统” 和“边界安全接入平台”与其 他网络相连,需解决边界安全 问题。
? 从建设范围上看,公安视频专 网覆盖至所有市、县指挥中心 和派出所监控中心,需解决上 下级监管问题。
从部署规模及系统应用分析
17
远望视频专网安全监管系统已经在全疆部署,管控设备总量达到了 70W+ ,接入控制 覆盖到全疆所有核心交换机,并与第三方系统实现资产管理和准入控制联动,真正实现了 全省集中式统一管控方案,而不是停留在方案层面的臆想。
远望视频专网安全监管系统在浙江、河南、广西、内蒙等多个省份的市、县两级进行 了大量部署和试用,验证了单级、多级级联、第三方联动等各种环境下的应用,是经过实 际检验的。
从产品中心接收到的信息,视频专网中暂无其他公司能达到我们的规模。
04 特色功能
安全管理技术支撑服务的领航者
设备发现与识别
19
摄像交注头换册、机客N、V户R路等端由安的器防设等设备网备络设备
一机一档
20
IP 资源管理
21
接入控制
22
设备仿冒监测
23
屏幕水印
24
主机视频应用行为审计
25
审计用户通过浏览器对网络摄像机的访问,支持海康、大华、 宇视、天地伟业主流型号的登录、预览、回放、下载动作。
视频专网准入技术应用缺陷分析
16
? 基于协议过滤的应用:迪普、深信服、远望 ? 如前端接入区启用视频流协议过滤,前端维护人员接入的维修电脑将无法正常使用。 ? 前端接入区除了大量前端设备以外,还有大量传感设备,传感设备厂家众多,协议繁杂,用户无法甄别和 有效配置。 ? 核心应用区中的普通设备访问服务器会使用 HTTP协议,服务器与服务器会使用 HTTP协议,根本无法甄别。
? 基于IP控制的应用:画方、远望、北信源 ? 高水平的IP冒用问题无法解决。 ? 将IP与设备绑定,基于设备特征的鉴别总是无法保证绝对准确,同时也面临类似协议遇到的,特征众多无 法穷举的问题
? 基于交换机端口控制的应用:华为、华三 ? 一个端口下如果挂接了傻瓜交换机,或者ONU方式的接入,一旦控制,下属设备将全部无法接入。
运 营 商 网 络
流媒体服务器
解码器 显示终端
数据
1000M
10000M
远望视频专网 安全监管系统
网闸
视频专网
10000M
10000M
远望视频专网 安全监管系统
网闸
视频专网
1000 0M
运 营 商 网 络
流媒体服务器
解码器 显示终端
数据
10 00M
运 营 商 网 络
流媒体服务器
解码器 显示终端
数据
1000M
? 从技术体制上看,公安视频专 网本质上是TCP/IP网络,需解 决设备接入及访问控制问题。
? 从终端类型上看,除通用计算 机终端外,还有视频专网专用 设备,需解决设备非法替换问 题。
安全监管总体考虑
5
省厅
公安网
10000M
地市
公安网
10000M
区县
公安网
远望视频专网 安全监管系统
网闸
视频专网
10000M
从标准体系角度看本方案的合规性
9
? 国标:强制标准《GB351142017 公共安全视频监控联网信 息安全技术要求》
? 公安部《公安视频传输网建设 指导意见》(征求意见稿)要 求对前端安全进行安全防护设 计,对非法设备、非法访问和 非法攻击进行告警和阻断。
? 地方标准:浙江省公安视频专 网安全管理技术规范