迪普科技公安視頻專網(wǎng)IPC準(zhǔn)入控制解決方案

公安交警視頻專網(wǎng)IPC準(zhǔn)入控制解決方案杭州迪普科技股份有限公司視頻專網(wǎng)安全問題分析視頻監(jiān)控安全問題頻發(fā)監(jiān)控錄像機(jī)被黑，監(jiān)控畫面網(wǎng)絡(luò)流傳公安廳發(fā)電，監(jiān)控設(shè)備全面清查加固視頻監(jiān)控安全建設(shè)刻不容緩《意見》要求建立公共安全視頻監(jiān)控系統(tǒng)聯(lián)網(wǎng)應(yīng)用的分層安全體系，實(shí)現(xiàn)重要視頻圖像信息不失控，敏感視頻圖像信息不泄露，加強(qiáng)網(wǎng)絡(luò)安全傳輸、嚴(yán)格準(zhǔn)入機(jī)制等技術(shù)手段建設(shè)，提升視頻監(jiān)控系統(tǒng)安全防護(hù)能力。公安視頻專網(wǎng)基礎(chǔ)架構(gòu)及安全現(xiàn)狀公安視頻專網(wǎng)技術(shù)架構(gòu)市公安視頻專網(wǎng)邊界安全接入平臺(tái)視頻安全接入系統(tǒng)市級(jí)視頻共享平臺(tái)監(jiān)控中心政府部門專網(wǎng)社會(huì)面視頻專網(wǎng)視頻安全隔離設(shè)備、防火墻防火墻區(qū)縣公安公安信息專網(wǎng)區(qū)縣公安視頻專網(wǎng)區(qū)縣聯(lián)網(wǎng)平臺(tái)區(qū)縣視頻共享平臺(tái)監(jiān)控中心政府部門專網(wǎng)社會(huì)面視頻專網(wǎng)視頻安全隔離設(shè)備、防火墻公安業(yè)務(wù)系統(tǒng)防火墻市視頻聯(lián)網(wǎng)平臺(tái)公安業(yè)務(wù)系統(tǒng)市公安公安信息專網(wǎng)省視頻聯(lián)網(wǎng)平臺(tái)公安業(yè)務(wù)系統(tǒng)省公安公安信息專網(wǎng)派出所視頻接入網(wǎng)監(jiān)控中心政府部門視頻監(jiān)控平臺(tái)社會(huì)面視頻接入平臺(tái)政府部門視頻監(jiān)控平臺(tái)社會(huì)面視頻接入平臺(tái)前端視頻圖像資源區(qū)縣分局市局省廳公安信息網(wǎng)視頻資源邊界安全接入平臺(tái)視頻安全接入系統(tǒng)公安視頻專網(wǎng)視頻專網(wǎng)本身準(zhǔn)入安全亟待建設(shè)公安信息專網(wǎng)中，目前已有完備的主機(jī)安全、網(wǎng)絡(luò)安全、邊界安全等建設(shè)政府、社會(huì)面視頻專網(wǎng)后續(xù)接入公安視頻專網(wǎng)，邊界安全為未來建設(shè)目標(biāo)接入端的準(zhǔn)入防護(hù)需求接入主機(jī)針對(duì)接入網(wǎng)絡(luò)的主機(jī)進(jìn)行的安全防護(hù)，如一機(jī)雙平面等技術(shù)IPC終端目前公安視頻專網(wǎng)在針對(duì)IPC終端的準(zhǔn)入控制方面尚屬空白公安視頻專網(wǎng)規(guī)模不斷擴(kuò)大，IPC終端防護(hù)重要性日益凸顯公安視頻專網(wǎng)現(xiàn)狀前端私接難以防范公安視頻專網(wǎng)規(guī)模龐大、分支較多、IPC地理位置分散，人為監(jiān)管困難核心業(yè)務(wù)易受攻擊攻擊者可輕易連接到核心業(yè)務(wù)系統(tǒng)，并通過攻擊影響公安業(yè)務(wù)正常運(yùn)行敏感數(shù)據(jù)易被盜用數(shù)據(jù)庫系統(tǒng)內(nèi)視頻、圖像、車輛軌跡等敏感信息外泄將會(huì)造成重大損失某市公安視頻專網(wǎng)滲透測試結(jié)果監(jiān)控系統(tǒng)管理權(quán)限被滲透測試拿下核心數(shù)據(jù)被滲透測試攻破某市公安視頻專網(wǎng)滲透測試總結(jié)專網(wǎng)未專用未對(duì)流量進(jìn)行識(shí)別和過濾，所有數(shù)據(jù)均能接入公安視頻專網(wǎng)前端無準(zhǔn)入前端缺乏安全準(zhǔn)入機(jī)制，通過一根網(wǎng)線一個(gè)端口即可控制全網(wǎng)系統(tǒng)易入侵各系統(tǒng)存在弱口令、后門等漏洞與安全隱患，極易受到攻擊安全風(fēng)險(xiǎn)，如何防范公安視頻專網(wǎng)準(zhǔn)入安全方案設(shè)計(jì)服務(wù)器區(qū)數(shù)據(jù)分析平臺(tái)統(tǒng)一管理平臺(tái)公安信息網(wǎng)第三方視頻網(wǎng)前端接入層核心交換機(jī)負(fù)載均衡邊界安全設(shè)備邊界安全設(shè)備視頻監(jiān)控管理平臺(tái)警務(wù)實(shí)戰(zhàn)平臺(tái)信息采集平臺(tái)其他平臺(tái)視頻匯聚層......匯聚層視頻傳輸網(wǎng)絡(luò)公安視頻專網(wǎng)準(zhǔn)入安全方案設(shè)計(jì)服務(wù)器區(qū)數(shù)據(jù)分析平臺(tái)統(tǒng)一管理平臺(tái)公安信息網(wǎng)第三方視頻網(wǎng)前端接入層核心交換機(jī)負(fù)載均衡邊界安全設(shè)備邊界安全設(shè)備視頻監(jiān)控管理平臺(tái)警務(wù)實(shí)戰(zhàn)平臺(tái)信息采集平臺(tái)其他平臺(tái)視頻匯聚層......匯聚層L2~7準(zhǔn)入認(rèn)證及控制視頻傳輸網(wǎng)絡(luò)L2~7準(zhǔn)入認(rèn)證及控制L2~7準(zhǔn)入認(rèn)證及控制L2~7準(zhǔn)入認(rèn)證及控制公安視頻專網(wǎng)準(zhǔn)入安全方案說明通過部署DAC（DeviceApplicationController）板卡，使網(wǎng)絡(luò)能夠感知應(yīng)用，做到只允許授信終端接入、只允許視頻專網(wǎng)承載合法視頻、圖片等數(shù)據(jù)，其他數(shù)據(jù)一概屏蔽，保證監(jiān)控系統(tǒng)安全可控。只允許專網(wǎng)傳輸視頻、圖片等業(yè)務(wù)數(shù)據(jù)，保證監(jiān)控系統(tǒng)安全可控視頻傳輸網(wǎng)絡(luò)視頻匯聚層......匯聚層L2~7準(zhǔn)入認(rèn)證及控制L2~7準(zhǔn)入認(rèn)證及控制L2~7準(zhǔn)入認(rèn)證及控制L2~7準(zhǔn)入認(rèn)證及控制網(wǎng)絡(luò)管道網(wǎng)絡(luò)管道準(zhǔn)入認(rèn)證應(yīng)用控制基于白名單機(jī)制的視頻準(zhǔn)入技術(shù)架構(gòu)黑名單網(wǎng)絡(luò)網(wǎng)無禁止皆可通白名單網(wǎng)絡(luò)網(wǎng)無許可皆不通二層MAC地址認(rèn)證1）建立網(wǎng)絡(luò)地址準(zhǔn)入數(shù)據(jù)庫：提取各接入IPC攝像頭的MAC地址，建立MAC地址準(zhǔn)入白名單；2）只允許授權(quán)MAC地址認(rèn)證通過授權(quán)準(zhǔn)入的IPC攝像頭，當(dāng)數(shù)據(jù)流到達(dá)認(rèn)證網(wǎng)關(guān)后，如果數(shù)據(jù)包中的MAC地址在準(zhǔn)入白名單中，則認(rèn)為數(shù)據(jù)為合法視頻流，反之則為非法數(shù)據(jù)流并丟棄。非授權(quán)MAC地址授權(quán)MAC地址丟棄放行DAC板卡公安視頻專網(wǎng)三層IP地址認(rèn)證1）建立網(wǎng)絡(luò)地址準(zhǔn)入數(shù)據(jù)庫：提取各接入IPC攝像頭的IP地址，建立IP地址準(zhǔn)入白名單；2）只允許授權(quán)IP地址認(rèn)證通過授權(quán)準(zhǔn)入的IPC攝像頭，當(dāng)數(shù)據(jù)流到達(dá)認(rèn)證網(wǎng)關(guān)后，如果數(shù)據(jù)包中的IP地址在準(zhǔn)入白名單中，則認(rèn)為數(shù)據(jù)為合法視頻流，反之則為非法數(shù)據(jù)流并丟棄。非授權(quán)IP地址授權(quán)IP地址丟棄放行DAC板卡公安視頻專網(wǎng)應(yīng)用層協(xié)議控制1）通過L4~7協(xié)議特征與動(dòng)態(tài)端口號(hào)控制流量開啟應(yīng)用感知功能，識(shí)別傳輸數(shù)據(jù)的L4-7層協(xié)議特征與動(dòng)態(tài)端口號(hào)，只允許授權(quán)的數(shù)據(jù)流及控制信令進(jìn)入視頻監(jiān)控系統(tǒng)，禁止其他非法數(shù)據(jù)接入。2）實(shí)現(xiàn)與主流監(jiān)控廠家平臺(tái)的對(duì)接及聯(lián)動(dòng)：應(yīng)用感知協(xié)議庫已經(jīng)包含?？怠⒋笕A、宇視等主流廠家IPC端發(fā)起的協(xié)議類型，包含IPC注冊(cè)、視頻流、音頻流、服務(wù)、告警日志等公有及私有協(xié)議。非IPC視頻流授權(quán)IPC視頻流丟棄放行公安視頻專網(wǎng)DAC板卡丟棄非IPC視頻流接入數(shù)據(jù)管控功能展示內(nèi)置?？怠⒋笕A、宇視、科達(dá)等主流廠家征庫，并支持手動(dòng)特征庫擴(kuò)展接入資產(chǎn)管理監(jiān)測接入終端及鏈路的狀況，協(xié)助用戶排查攝像頭無法連接或圖像延遲大等問題IP資產(chǎn)管理監(jiān)測IP地址的使用狀態(tài)，包含在線IP、離線IP、未使用IP以及每個(gè)IP地址的終端類型為管理員對(duì)新設(shè)備入網(wǎng)、故障排查等提供指導(dǎo)視頻安全可視化平臺(tái)異構(gòu)監(jiān)控系統(tǒng)資產(chǎn)統(tǒng)一監(jiān)測，設(shè)備上線、離線、非法私接等實(shí)時(shí)告警DAC設(shè)備統(tǒng)一配置策略模板配置選擇DAC進(jìn)行策略下發(fā)無需登錄到每臺(tái)DAC上進(jìn)行配置，安全策略由UMC基于配置模板統(tǒng)一下發(fā)平臺(tái)分級(jí)管理實(shí)現(xiàn)省廳、地市、區(qū)縣公安分級(jí)分權(quán)限管理，如市公安管全使，區(qū)公安管本區(qū)專業(yè)的安全評(píng)估及服務(wù)具有國內(nèi)最高服務(wù)水平認(rèn)證的《信息安全服務(wù)二級(jí)資質(zhì)》團(tuán)隊(duì)成員95%以上具有CISSP、ISO27001、ISO20000、CISP等資質(zhì)認(rèn)證。專業(yè)的安全咨詢服務(wù)團(tuán)隊(duì)安全服務(wù)團(tuán)隊(duì)通過專業(yè)的工具及方法，系統(tǒng)地分析公安視頻接入網(wǎng)絡(luò)所面臨的威脅及其存在的脆弱性，評(píng)估安全事件一旦發(fā)生可能造成的危害程度。專業(yè)的測試與評(píng)估方法解決方案用戶價(jià)值二、安全證書公安部《安全專用產(chǎn)品銷售許可證》保密局《涉密信息系統(tǒng)證書》中國信息安全測評(píng)中心：《信息安全服務(wù)安全工程類二級(jí)資質(zhì)》公安部：《等級(jí)保護(hù)安全建設(shè)服務(wù)機(jī)構(gòu)能力合格證書》中國信息安全認(rèn)證中心：《應(yīng)急響應(yīng)一級(jí)資質(zhì)》中國信息安全認(rèn)證中心：《風(fēng)險(xiǎn)評(píng)估服務(wù)一級(jí)資質(zhì)》政策合規(guī)，后顧無憂一、滿足政策要求GB/T28181《中央企業(yè)商業(yè)秘密保護(hù)暫行規(guī)定》GB/T22239-2008《信息系統(tǒng)安全等級(jí)保護(hù)基本要求》GB/T20984-2007《信息安全技術(shù)信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范》BMB17《涉及國家機(jī)密的信息系統(tǒng)分級(jí)保護(hù)技術(shù)要求》體驗(yàn)無影響時(shí)延

：對(duì)實(shí)時(shí)業(yè)務(wù)最小限度的影響＜20us50ms行業(yè)規(guī)范迪普實(shí)現(xiàn)=可靠：機(jī)框間狀態(tài)實(shí)時(shí)同步，單機(jī)故障業(yè)務(wù)不中斷、切換無感知主控板業(yè)務(wù)插卡接口卡主控板業(yè)務(wù)插卡接口卡主控板業(yè)務(wù)插卡接口卡主控板業(yè)務(wù)插卡接口卡=+最小的現(xiàn)網(wǎng)改動(dòng)DAC設(shè)備支持在線部署與旁掛部署兩種方式，采用旁掛部署時(shí)，可在對(duì)原有公安視頻專網(wǎng)做最小改動(dòng)的前提下，實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)中的視頻、圖片流量和控制信令的實(shí)時(shí)控制或鏡像檢測。DAC板卡傳輸網(wǎng)絡(luò)…在線部署DAC設(shè)備在線部署于網(wǎng)絡(luò)匯聚位置，實(shí)時(shí)檢測、控制網(wǎng)絡(luò)中的流量DAC板卡匯聚設(shè)備旁掛部署傳輸網(wǎng)絡(luò)…DAC設(shè)備旁掛部署于匯聚設(shè)備旁，可實(shí)現(xiàn)引流控制或鏡像檢測性能彈性可擴(kuò)展單機(jī)云板卡雙機(jī)云板卡DAC云板卡DAC云板卡DAC云板卡32000路4M碼流IPC準(zhǔn)入控制16000路4M碼流IPC準(zhǔn)入控制單機(jī)單板卡DAC業(yè)務(wù)板卡1600路4M碼流IPC準(zhǔn)入控制閉環(huán)評(píng)測，安全無憂運(yùn)行維護(hù)加固實(shí)施風(fēng)險(xiǎn)評(píng)估規(guī)劃設(shè)計(jì)面向公安視頻專網(wǎng)的產(chǎn)品系列DPX17000DPX8000DAC-Blade-ADAC-BladeLSW工業(yè)交換機(jī)LSW商用交換機(jī)案例分享—杭州市交警視頻專網(wǎng)該市交警支隊(duì)的視頻專網(wǎng)需要承載實(shí)時(shí)監(jiān)控、實(shí)時(shí)指揮等業(yè)務(wù)的關(guān)鍵流量，迪普科技DAC設(shè)備在匯聚層雙機(jī)冗余部署，對(duì)前端數(shù)千路高清攝像頭進(jìn)行L2~7準(zhǔn)入認(rèn)證及控制，為用戶建設(shè)了一張安全、合規(guī)、可靠的監(jiān)控專用網(wǎng)絡(luò)。案例分享—杭州市市公安視頻專網(wǎng)該市公安已經(jīng)完成視頻監(jiān)控專網(wǎng)建設(shè)，但前端攝像頭接入點(diǎn)存在私接隱患，因此在現(xiàn)網(wǎng)匯聚設(shè)備上旁掛迪普科技DAC設(shè)備，實(shí)時(shí)監(jiān)測網(wǎng)絡(luò)流量，在不改變現(xiàn)網(wǎng)的前提下，實(shí)現(xiàn)和主