視頻專網(wǎng)安全監(jiān)管解決方案

1、遠(yuǎn)望視頻專網(wǎng)安全監(jiān)管處理方案1/4101 方案概況安全管理技術(shù)支撐服務(wù)領(lǐng)航者2/413 總體思緒整體設(shè)計(jì)、體系建設(shè)突出重點(diǎn)、適度防護(hù)建制推進(jìn)、漸進(jìn)完善體系規(guī)劃方面：功效設(shè)計(jì)方面：系統(tǒng)建設(shè)方面： 視頻專網(wǎng)安全監(jiān)管規(guī)劃，不應(yīng)該是單個(gè)安全產(chǎn)品簡單堆積，而應(yīng)該是一個(gè)整體技術(shù)方案、系統(tǒng)建設(shè)方案，當(dāng)然該方案應(yīng)以企業(yè)本身產(chǎn)品為關(guān)鍵。3/414 視頻專網(wǎng)總體架構(gòu)從網(wǎng)絡(luò)互聯(lián)上看，公安視頻專網(wǎng)經(jīng)過“視頻安全接入系統(tǒng)”和“邊界安全接入平臺”與其它網(wǎng)絡(luò)相連，需處理邊界安全問題。從建設(shè)范圍上看，公安視頻專網(wǎng)覆蓋至全部市、縣指揮中心和派出所監(jiān)控中心，需處理上下級監(jiān)管問題。從技術(shù)體制上看，公安視頻專網(wǎng)本質(zhì)上是TCP/IP網(wǎng)

2、絡(luò)，需處理設(shè)備接入及訪問控制問題。從終端類型上看，除通用計(jì)算機(jī)終端外，還有視頻專網(wǎng)專用設(shè)備，需處理設(shè)備非法替換問題。4/415 安全監(jiān)管總體考慮靈活布署模式扁平/分級布署當(dāng)?shù)?級聯(lián)監(jiān)管管?。航尤肱c輸出厘清：資產(chǎn)與運(yùn)維展現(xiàn)：態(tài)勢與風(fēng)險(xiǎn)支撐：協(xié)同與考評5/416 方案功效全景圖6/4102 方案優(yōu)勢安全管理技術(shù)支撐服務(wù)領(lǐng)航者7/418 從等保角度看本方案覆蓋廣度ABCDE數(shù)據(jù)安全：以敏感信息、移動(dòng)存放介質(zhì)、屏幕水印等特色功效為關(guān)鍵，預(yù)防數(shù)據(jù)拷貝、手機(jī)拍攝、打印刻錄等各類數(shù)據(jù)泄露行為。應(yīng)用安全：以視頻應(yīng)用行為審計(jì)、應(yīng)用系統(tǒng)注冊管理及狀態(tài)監(jiān)測、違規(guī)應(yīng)用訪問控制等特色功效為關(guān)鍵，為判定應(yīng)用合規(guī)使用提供數(shù)

3、據(jù)支撐。主機(jī)安全：以主機(jī)監(jiān)控與審計(jì)為關(guān)鍵，包含非授權(quán)外聯(lián)監(jiān)測與防護(hù)、賬戶安全管理、外設(shè)管理、補(bǔ)丁分發(fā)等，為主機(jī)提供全方面安全防護(hù)伎倆。網(wǎng)絡(luò)安全：以網(wǎng)絡(luò)接入控制網(wǎng)關(guān)和前端管理主機(jī)為關(guān)鍵，包含接入控制、訪問控制、協(xié)議過濾、設(shè)備替換監(jiān)測等。物理安全：以智能箱和前端管理主機(jī)為依靠，包含防盜告警、溫度告警、斷電告警等，對視頻專網(wǎng)最關(guān)鍵資產(chǎn)進(jìn)行全方位保護(hù)。等級保護(hù)8/419 從標(biāo)準(zhǔn)體系角度看本方案合規(guī)性國家標(biāo)準(zhǔn)：強(qiáng)制標(biāo)準(zhǔn)GB35114- 公共安全視頻監(jiān)控聯(lián)網(wǎng)信息安全技術(shù)要求公安部公安視頻傳輸網(wǎng)建設(shè)指導(dǎo)意見（征求意見稿）要求對前端安全進(jìn)行安全防護(hù)設(shè)計(jì)，對非法設(shè)備、非法訪問和非法攻擊進(jìn)行告警和阻斷。地方標(biāo)準(zhǔn)：

4、浙江省公安視頻專網(wǎng)安全管理技術(shù)規(guī)范TC100會(huì)議參加單位9/4110 從關(guān)鍵技術(shù)角度看本方案深度資產(chǎn)發(fā)覺與識別：發(fā)覺：SNMP、Traceroute、TELNET、ARP、ICMP、SDK、私有協(xié)議、前端接入流量分析、各網(wǎng)關(guān)旁路設(shè)備鏡像流量獲取識別：MAC廠商、TCP端口、ONVIF/GB28181協(xié)議分析、HTTP/HTTPS/SSH/TELNET主動(dòng)探測、流量分析接入與訪問控制：ARP、SNMP、SPAN、SSH/TELNET、HTTP跳轉(zhuǎn)、TCP阻斷、PING坑騙、協(xié)議控制10/4103 競爭分析安全管理技術(shù)支撐服務(wù)領(lǐng)航者11/4112 迪普方案分析12/4113 畫方方案分析13/41

5、14 啟明星辰方案分析14/41非授權(quán)設(shè)備授權(quán)設(shè)備授權(quán)設(shè)備設(shè)備認(rèn)證應(yīng)用控制授權(quán)應(yīng)用非授權(quán)應(yīng)用網(wǎng)絡(luò)管道管理平臺 不論是迪普、畫方、北信源等準(zhǔn)入設(shè)備廠商，還是華為、華三等交換機(jī)廠商，最終實(shí)現(xiàn)準(zhǔn)入控制逃不出控制IP、過濾協(xié)議、開關(guān)交換機(jī)物理端口三種伎倆。 控制IP方案難點(diǎn)在于怎樣判別IP合規(guī)性，因IP不具備特征，主流方案是去判別當(dāng)前使用IP設(shè)備，固提出了如設(shè)備指紋、設(shè)備類型等概念；過濾協(xié)議難點(diǎn)在于協(xié)議類型太多，無法窮舉，主流方案是控制一些主要協(xié)議，其它全放或全不放；控制交換機(jī)端口狀態(tài)問題在于一個(gè)端口下可能掛接很多設(shè)備，無法區(qū)分控制。15 準(zhǔn)入控制技術(shù)原理分析15/4116 視頻專網(wǎng)準(zhǔn)入技術(shù)應(yīng)用缺點(diǎn)分

6、析基于協(xié)議過濾應(yīng)用：迪普、深信服、遠(yuǎn)望如前端接入?yún)^(qū)啟用視頻流協(xié)議過濾，前端維護(hù)人員接入維修電腦將無法正常使用。前端接入?yún)^(qū)除了大量前端設(shè)備以外，還有大量傳感設(shè)備，傳感設(shè)備廠家眾多，協(xié)議繁雜，用戶無法甄別和有效配置。關(guān)鍵應(yīng)用區(qū)中普通設(shè)備訪問服務(wù)器會(huì)使用HTTP協(xié)議，服務(wù)器與服務(wù)器會(huì)使用HTTP協(xié)議，根本無法甄別?；贗P控制應(yīng)用：畫方、遠(yuǎn)望、北信源高水平IP冒用問題無法處理。將IP與設(shè)備綁定，基于設(shè)備特征判別總是無法確保絕對準(zhǔn)確，同時(shí)也面臨類似協(xié)議碰到，特征眾多無法窮舉問題基于交換機(jī)端口控制應(yīng)用：華為、華三一個(gè)端口下假如掛接了傻瓜交換機(jī)，或者ONU方式接入，一旦控制，下屬設(shè)備將全部無法接入。16/

7、4117 從布署規(guī)模及系統(tǒng)應(yīng)用分析 遠(yuǎn)望視頻專網(wǎng)安全監(jiān)管系統(tǒng)已經(jīng)在全疆布署，管控設(shè)備總量到達(dá)了70W+，接入控制覆蓋到全疆全部關(guān)鍵交換機(jī)，并與第三方系統(tǒng)實(shí)現(xiàn)資產(chǎn)管理和準(zhǔn)入控制聯(lián)動(dòng)，真正實(shí)現(xiàn)了全省集中式統(tǒng)一管控方案，而不是停留在方案層面臆想。 遠(yuǎn)望視頻專網(wǎng)安全監(jiān)管系統(tǒng)在浙江、河南、廣西、內(nèi)蒙等多個(gè)省份市、縣兩級進(jìn)行了大量布署和試用，驗(yàn)證了單級、多級級聯(lián)、第三方聯(lián)動(dòng)等各種環(huán)境下應(yīng)用，是經(jīng)過實(shí)際檢驗(yàn)。 從產(chǎn)品中心接收到信息，視頻專網(wǎng)中暫無其它企業(yè)能到達(dá)我們規(guī)模。17/4104 特色功效安全管理技術(shù)支撐服務(wù)領(lǐng)航者18/4119 設(shè)備發(fā)覺與識別注冊客戶端設(shè)備交換機(jī)、路由器等網(wǎng)絡(luò)設(shè)備攝像頭、NVR等安防設(shè)

8、備19/4120 一機(jī)一檔20/4121 IP資源管理21/4122 接入控制22/4123 設(shè)備仿冒監(jiān)測23/4124 屏幕水印24/4125 主機(jī)視頻應(yīng)用行為審計(jì)審計(jì)用戶經(jīng)過瀏覽器對網(wǎng)絡(luò)攝像機(jī)訪問，支持?？?、大華、宇視、天地偉業(yè)主流型號登錄、預(yù)覽、回放、下載動(dòng)作。25/4126 基于客戶端邊界監(jiān)測26/4127 主機(jī)外聯(lián)加固27/4128 業(yè)務(wù)處理28/4129 數(shù)據(jù)可視化29/4105 布署方案安全管理技術(shù)支撐服務(wù)領(lǐng)航者30/4131 接入級標(biāo)準(zhǔn)型準(zhǔn)入控制布署方案31/4132 接入級增強(qiáng)型準(zhǔn)入控制布署方案32/4133 數(shù)據(jù)及應(yīng)用中心防護(hù)布署方案33/4134 大流量分流布署方案34/

9、4135 主機(jī)管控布署方案35/4136 省市縣級聯(lián)布署方案36/4106 其它說明安全管理技術(shù)支撐服務(wù)領(lǐng)航者37/4138 性能指標(biāo)說明“MMS1700”設(shè)備可處理流量為大于4Gbps，按實(shí)際項(xiàng)目執(zhí)行情況，以4M一路計(jì)算可同時(shí)控制路。 “MMS1700”作為總控時(shí)，除可控制路IPC外，還可支持不超出10000臺注冊終端管控和0臺未注冊設(shè)備類型識別和狀態(tài)監(jiān)測。_x000D_ “MMS1700”未作為總控時(shí)，只能控制路IPC，不具備其它功效。38/41當(dāng)前視頻專網(wǎng)管理人員緊缺，在實(shí)際應(yīng)用過程中，開啟準(zhǔn)入控制后會(huì)對原有應(yīng)用產(chǎn)生很大沖擊，依據(jù)項(xiàng)目實(shí)施情況，總結(jié)了幾個(gè)場景下系統(tǒng)功效配置思緒：_x000

10、D_ 系統(tǒng)初步上線開啟準(zhǔn)入思緒：先執(zhí)行發(fā)覺識別，然后保護(hù)全部安防設(shè)備，配置前端接入?yún)^(qū)安防設(shè)備接入自動(dòng)放行，計(jì)算機(jī)設(shè)備注冊引導(dǎo)，等前端接入?yún)^(qū)梳理完成后，逐步擴(kuò)展到工作區(qū)，保護(hù)打印機(jī)、網(wǎng)絡(luò)設(shè)備、及未知設(shè)備，對計(jì)算機(jī)設(shè)備執(zhí)行注冊引導(dǎo)，并經(jīng)過引導(dǎo)日志分析出分布在工作區(qū)中服務(wù)器，手動(dòng)進(jìn)行保護(hù)。_x000D_ 需要對冒用設(shè)備自動(dòng)進(jìn)行阻斷，但應(yīng)躲避對服務(wù)器影響：可在自動(dòng)取消保護(hù)界面配置生效范圍，將服務(wù)器段剔除在作用范圍內(nèi)。_x000D_ 管理員暫時(shí)出差，但仍希望執(zhí)行強(qiáng)準(zhǔn)入：需開啟客戶端注冊密碼模式、開啟入網(wǎng)申請密碼自動(dòng)審核模式，入網(wǎng)人員線下聯(lián)絡(luò)管理員獲取密碼后入網(wǎng)。39 準(zhǔn)入應(yīng)用39/4140 系統(tǒng)聯(lián)動(dòng)系統(tǒng)支持與第三方系統(tǒng)聯(lián)動(dòng)，主要應(yīng)用有： 1) 在新疆項(xiàng)目中某企業(yè)經(jīng)過整合?？怠⒋笕A共享平臺數(shù)據(jù)開發(fā)了“一機(jī)一檔”管理系統(tǒng)，我企業(yè)產(chǎn)品與“一機(jī)一檔”進(jìn)行對接，實(shí)現(xiàn)資產(chǎn)管理與準(zhǔn)入控制聯(lián)動(dòng)； 2) 在內(nèi)