客戶需求分析
視頻監(jiān)控網(wǎng)絡(luò)作為視頻監(jiān)控系統(tǒng)的主要承載網(wǎng)絡(luò)��,具有網(wǎng)絡(luò)安全級別高�����、網(wǎng)絡(luò)規(guī)模龐大�、網(wǎng)絡(luò)分支較多�����、網(wǎng)絡(luò)攝像頭接入地理位置十分分散��、人為監(jiān)管困難等特點��,導(dǎo)致現(xiàn)在視頻監(jiān)控終端設(shè)備和網(wǎng)絡(luò)攝像頭等設(shè)備存在較大的安全風(fēng)險�。
并且如今視頻監(jiān)控系統(tǒng)已深入應(yīng)用于各個關(guān)乎國計民生的行業(yè)領(lǐng)域����,其中還不乏關(guān)系國家安全的重要部門��。這就意味著這些視頻資料不再是簡單一個視頻片段��,還是具有高度保密價值的信息����,一旦遭受非法竊取,后果不堪設(shè)想����。其中主要考慮到的需求方向為:
◆ 無法及時識別前端隱患。前端設(shè)備多為攝像頭��,且和傳輸鏈路部署于公共場合����,最易遭受攻擊���。
◆ 終端設(shè)備難管理�。視頻攝像頭是視頻監(jiān)控系統(tǒng)終端設(shè)備主要構(gòu)成部分����。其特點是基數(shù)大���,分布廣泛,品牌多樣��;一般部署在公共場所����,損壞更換比較頻繁。
◆ 視頻數(shù)據(jù)中心安全防護(hù)需求����。數(shù)據(jù)中心存儲的視頻數(shù)據(jù)具有很高的機(jī)密性、完整性和可用性�����,若數(shù)據(jù)丟失或是被非法篡改��,那將造成不可估計的損失��。
◆ 視頻監(jiān)控專網(wǎng)與其他網(wǎng)絡(luò)安全交互需求���。例如��;公安信息通信網(wǎng)具有頻繁的訪問視頻監(jiān)控系統(tǒng)內(nèi)視頻數(shù)據(jù)����、數(shù)據(jù)信息的需求,因此需要保障在交互數(shù)據(jù)過程中的安全性與可靠性���。
◆ 視頻國標(biāo)化需求����。隨著天網(wǎng)工程��,雪亮工程�,平安城市的落地實施,為確保不同廠商生產(chǎn)的網(wǎng)絡(luò)視頻產(chǎn)品具有互通性而推出了GB/T 28181的標(biāo)準(zhǔn)���。
齊杉科技視頻安全接入解決方案
■結(jié)構(gòu)拓?fù)?
■資產(chǎn)白名單
根據(jù)IP網(wǎng)段�、終端類型對終端進(jìn)行自動準(zhǔn)入�,并分配到不同分組。根據(jù)實際情況采用基于域統(tǒng)一認(rèn)證�����,與接入終端MAC地址和接入設(shè)備IP信息進(jìn)行綁定的嚴(yán)格身份認(rèn)證模式�,指定終端類型進(jìn)行自動準(zhǔn)入注冊和指紋綁定,提取各廠家攝像頭的指紋信息�,指定類型進(jìn)行準(zhǔn)入注冊和指紋綁定,對注冊信息部分匹配的設(shè)備定義為仿冒設(shè)備�����,對未準(zhǔn)入的設(shè)備定義為私接設(shè)備�,支持對私接/仿冒設(shè)備進(jìn)行阻斷。
■風(fēng)險評估
通過主動端口掃描�,漏洞掃描,弱口令掃描技術(shù)�����,主動發(fā)現(xiàn)存在風(fēng)險的終端��。采用針對視頻終端定制的漏洞庫����,以及弱口令庫,能有效評估視頻專網(wǎng)中的風(fēng)險�����。
■應(yīng)用協(xié)議識別
基于視頻監(jiān)控系統(tǒng)的特殊性,其網(wǎng)絡(luò)和設(shè)備上運行的軟件和協(xié)議種類并不多�����。本產(chǎn)品聚焦視頻監(jiān)控系統(tǒng)內(nèi)需要運行的協(xié)議����,訂制開發(fā)應(yīng)用防護(hù)功能,能夠識別視頻監(jiān)控系統(tǒng)需要的各種應(yīng)用及協(xié)議���,并允許其正常工作����;對于無用的應(yīng)用及協(xié)議�����,進(jìn)行通信阻斷�,最大可能的保證業(yè)務(wù)正常運營,杜絕冗余數(shù)據(jù)傳送�,有效避免異常流量影像網(wǎng)絡(luò)性能、惡意代碼攻擊網(wǎng)絡(luò)和設(shè)備�����。目前,本產(chǎn)品允許的信息類型和協(xié)議包括:視頻��、GB28181(國際)����、ONVIF(行標(biāo))����、海康威視視頻等視頻網(wǎng)絡(luò)中用到的協(xié)議���,對其他協(xié)議進(jìn)行阻擋���。
■設(shè)備自我管理機(jī)制
為了方便對資產(chǎn)進(jìn)行全周期管控,對設(shè)備進(jìn)行管理����。實現(xiàn)設(shè)備配置信息流程化管理,保證設(shè)備信息完整性及有效性���。支持全網(wǎng)IP資源規(guī)劃�����,使用狀態(tài)巡檢���,流程化分配IP等功能�,實現(xiàn)IP地址全生命周期管理�,降低網(wǎng)絡(luò)運維成本。實現(xiàn)網(wǎng)絡(luò)設(shè)備自動化的任務(wù)配置和操作執(zhí)行(巡檢分析��,變更操作�����,災(zāi)備切換)����,對變更任務(wù)中設(shè)備執(zhí)行結(jié)果進(jìn)行詳細(xì)記錄,對操作權(quán)限進(jìn)行精細(xì)化控制�����。采用圖形化的展現(xiàn)效果���,主動預(yù)警以便提升故障應(yīng)急處理能力����,支持多廠商多型號;實現(xiàn)設(shè)備生命周期管理��;實現(xiàn)基于角色的訪問控制�,進(jìn)而使設(shè)備管理更加的安全可靠。
■基礎(chǔ)防護(hù)策略
支持基于狀態(tài)監(jiān)測的防火墻�,不僅保障網(wǎng)關(guān)設(shè)備安全,還能保護(hù)組內(nèi)網(wǎng)絡(luò)安全���,控制視頻單向傳輸。對運行狀態(tài)的監(jiān)控能夠有效的了解到終端長時間未登錄����、企圖進(jìn)入安全模式等繞過行為,監(jiān)控終端調(diào)用的端口�����、服務(wù)等系統(tǒng)信息����,保證終端時刻處于被監(jiān)控狀態(tài)。信息類風(fēng)險防護(hù) 安全準(zhǔn)入控制非法終端接入可能導(dǎo)致內(nèi)網(wǎng)信息外泄�、病毒、木馬傳播擴(kuò)散���、對內(nèi)外服務(wù)器攻擊等嚴(yán)重后果�����。狀態(tài)查詢分為:在圖形界面上直接對交換機(jī)進(jìn)行端口啟停等操作���;交換機(jī)端口查詢對應(yīng)的終端人員信息�;使用人所在部門���、電話���;終端類型、MAC地址����、登錄時間等。
方案價值
◆ 針對視頻監(jiān)控專網(wǎng)提供完備的安全防護(hù)手段以及對全網(wǎng)數(shù)以萬計的攝像頭及其它視頻監(jiān)控設(shè)備進(jìn)行設(shè)備準(zhǔn)入策略����,實現(xiàn)對入網(wǎng)設(shè)備統(tǒng)一管理,對新增資產(chǎn)����,變化資產(chǎn)和資產(chǎn)脆弱性等信息的全面知悉�����。
◆ 協(xié)助客戶建立和完善安全態(tài)勢全面監(jiān)控���、安全威脅實時預(yù)警、安全事故緊急響應(yīng)的能力�����,實現(xiàn)用戶會視頻監(jiān)控網(wǎng)絡(luò)安全狀況全知悉�。
◆ 緊跟國家政策步伐�,滿足國家政策要求,助力達(dá)成公共安全視頻監(jiān)控網(wǎng)絡(luò)建設(shè)目標(biāo)�����。
◆ 為視頻監(jiān)控網(wǎng)絡(luò)中的各類數(shù)據(jù)信息提高安全保護(hù)手段����,讓外部攻擊無縫可入,避免信息泄露���,遭到篡改��。
