PPT-视频专网安全监管解决方案
合集下载
视频专网安全建设方案 (1)
视频专网网络安全建设方案xxx安全技术有限公司202x年6月目录一建设背景 (3)1.1 项目概述 (3)二安全需求分析 (3)2.1网络准入控制 (3)2.2WEB应用防护 (4)2.3网络综合审计 (4)2.4高级威胁检测 (4)四建设内容与目标 (5)五安全建设方案 (5)5.1网络准入控制建设 (5)5.1.1功能实现 (5)5.2WEB应用防护建设 (7)5.2.1功能实现 (7)5.3网络综合审计建设 (11)5.3.1功能实现 (11)5.4高级威胁检测建设 (12)5.2.1功能实现 (12)六安全产品清单 (14)一建设背景1.1 项目概述随着信息化的发展,GA的业务开展也越来越依托于网络平台,但纵观当前的安全形势,各种安全事件层出不穷,而GA目前的网络中,安全设备较少,严重制约了GA的信息化脚步。
因此GA通过开展网络安全建设,希望加快网络安全信息化建设,通过有步骤有计划的分步安全建设逐步实现网络全方位安全。
本次方案中,主要加强GA内部网络终端准入控制、WEB应用防护、网络综合审计及高级威胁分析技术措施。
二安全需求分析2.1网络准入控制不安全终端的非法接入,会给内部网络带来前所未有的风险与威胁。
风险与威胁主要表现在缺乏对内部网络终端的接入控制,即内部各种终端的入网连接,连接方式包括有线、无线等多种方式;终端类型有内部办公终端、管理维护终端、第三方维护人员终端、来访人员终端等。
内部网络在终端准入控制方面主要面临以下问题:(1)外来机器和终端可以随意接入内网,导致内部网络的安全性岌岌可危;(2)网络设备私接滥用(HUB或路由器)无法管控,不仅会影响整个内网的网速流量,也可能导致严重的网络故障。
更有甚者这种私接滥用,被别有用心的人所利用而破坏或信息窃取。
(3)如不进行网络准入控制,任何终端只要插入网络就能够自由的访问整个网络,存在大量非法接入和非授权访问的状况,会导致业务系统的破坏,以及关键信息资产的泄漏等风险。
ip网络视频监控系统架构和解决方案ppt课件
C
支持SATA DOM盘安装系统和平台
高可靠
高可靠性
兼容主流的 WINDOWS/LINUX操 作系统
兼容主流市场 各种规格的企 业级、监控级
SATA盘
所有产品均采 用80+PLUS电源
系统风扇支持 智能调速
易用性
易用性
免工具 上架
直接连入 IP网络
系统监控
远程管理
MAT电视墙服务器
MAT电视墙服务器
A
环保、节能 G
B
集成RAID控制器, 支持系统盘镜像
支持系统监控 、远程管理
F
MAT电视 墙服务器
C
超强的解码能力,可 支持32-64路D1
〔2Mbps〕同时解码
支持多显示输出 接口,最多单台
E
支持8路显示输出
D 支持高清解码、
高清显示,同 时兼容标清
视频集中管理平台
后端需要进行集中管理时,我们使用视频中央管理平台软件来对前端 所有设备进行管理控制,系统架构如下图所示:
网络设计分三层:核心层、汇聚层、接入层
核心层 高速数据交换
汇聚层 链路的汇聚及流量收敛
接入层 前端设备接入和访问控制
各层设备的区别与应用
接入层交换机: 一般是固定配置的交换机,端口密度较大,具有较高的接入能力, 以10/100M端口为主,以固定端口或扩展槽方式提供1000Mbps的上联端口。
汇聚层交换机: 可以是机箱式模块化交换机,也可以是固定配置的交换机,具有较 高的接入能力和带宽,一般会包含光端口、高速电口等端口;
视频服务器和视频管理平台软件主要完成录像存储、集中显示、设 备控制等功能,根据不同项目的具体要求,还可以实现报警联动、 画面轮巡、远程升级等,不同的功能需求,对应的设备配置都是不 同的。
公安视频专网安全解决方案(视频监控系统安全建设)
视频专网要求安全设备具备与网络设备匹配的性能、组网能力、可靠性和扩展性,从而安全设备不会成为网络瓶颈,而传统安全产品的硬件及软件架构和网络差异性较大,无法较好的适配网络,因此无法满足视频专网的部署要求。功能上,传统的基于IP和MAC绑定的准入技术很容易被伪造,也无法达到高等级的安全要求。
综上,加强技术手段建设,公共区域视频摄像头通过视频准入系统后进入视频专网,只允许授信终端接入、只允许专网网络承载视频数据,其他数据一概屏蔽,保证网络前端边界安全可控。同时防范非法私接,非法私接需及时告警,做到设备可知、入网可信、边界可控。
1.2.2.3
高额的视频建设投入并没有有效抑制案件数量的大幅增长,据《最高人民法院工作报告》全国案件受理数量从2004年的536.6万件上升到2015年的1565.1万件。
1.2.2.4
由于现行法律法规,专业人才缺乏等原因,除公安外的其他部门和企业对视频资源的应用面较低,调阅视频较为繁琐,监控摄像头主要还是起到威慑作用。“为看视频跑断腿”的现状反映出现行法律法规和视频应用需求的矛盾,与“打防结合、预防为主、专群结合、依靠群众”的工作要求还有很大距离,需抓紧制定出台行政法规《安全技术防范管理条例》,完善政策措施,规范重点公共区域和重点行业、领域公共安全视频监控系统的建设、联网和信息使用。
1.2.2.2
随着监控覆盖率的提高,视频数据量不断攀升。目前XX市的存储容量为XXT。据估计,所有视频数据中约有23%是有分析价值的,被标注的只有3%,被分析的只有0.5%。以60个警察来分析视频数据中的0.5%(4倍速,每天8个小时),也需要39天才能完成。在高清摄像头不断增长的情况下,完全依靠人工来完成数据分析是不可能完成的任务。
2.3
2
应用层安全的解决目前往往依赖于网络层、操作系统、数据库的安全,由于应用系统复杂多样,没有特定的安全技术能够完全解决一些特殊应用系统的安全问题。而且一些通用的应用平台程序,如图像信息共享平台、视频联网应用平台、互联网共享服务平台等均采用了Web方式,由于浏览器等标准应用程序自身的安全漏洞和由于配置不当造成的安全漏洞会导致整个网络的安全性下降。应用系统是动态的、不断变化的,应用的安全性也动态的,这就需要我们对不同的应用,检测安全漏洞,采取相应的安全措施,降低应用的安全风险。
综上,加强技术手段建设,公共区域视频摄像头通过视频准入系统后进入视频专网,只允许授信终端接入、只允许专网网络承载视频数据,其他数据一概屏蔽,保证网络前端边界安全可控。同时防范非法私接,非法私接需及时告警,做到设备可知、入网可信、边界可控。
1.2.2.3
高额的视频建设投入并没有有效抑制案件数量的大幅增长,据《最高人民法院工作报告》全国案件受理数量从2004年的536.6万件上升到2015年的1565.1万件。
1.2.2.4
由于现行法律法规,专业人才缺乏等原因,除公安外的其他部门和企业对视频资源的应用面较低,调阅视频较为繁琐,监控摄像头主要还是起到威慑作用。“为看视频跑断腿”的现状反映出现行法律法规和视频应用需求的矛盾,与“打防结合、预防为主、专群结合、依靠群众”的工作要求还有很大距离,需抓紧制定出台行政法规《安全技术防范管理条例》,完善政策措施,规范重点公共区域和重点行业、领域公共安全视频监控系统的建设、联网和信息使用。
1.2.2.2
随着监控覆盖率的提高,视频数据量不断攀升。目前XX市的存储容量为XXT。据估计,所有视频数据中约有23%是有分析价值的,被标注的只有3%,被分析的只有0.5%。以60个警察来分析视频数据中的0.5%(4倍速,每天8个小时),也需要39天才能完成。在高清摄像头不断增长的情况下,完全依靠人工来完成数据分析是不可能完成的任务。
2.3
2
应用层安全的解决目前往往依赖于网络层、操作系统、数据库的安全,由于应用系统复杂多样,没有特定的安全技术能够完全解决一些特殊应用系统的安全问题。而且一些通用的应用平台程序,如图像信息共享平台、视频联网应用平台、互联网共享服务平台等均采用了Web方式,由于浏览器等标准应用程序自身的安全漏洞和由于配置不当造成的安全漏洞会导致整个网络的安全性下降。应用系统是动态的、不断变化的,应用的安全性也动态的,这就需要我们对不同的应用,检测安全漏洞,采取相应的安全措施,降低应用的安全风险。
数字化社会视频专网解决方案ppt
方案设计——前端监控室
前端监控室 1)设置NVR硬盘录像机,对监控视频24小时不间断实时录像; 2)设置显示器,对摄像机图像实现实时浏览; 3)通过NVR硬盘录像机客户端实现视频浏览、录像查询及回放; 4) 设置报警按钮及对讲设备,向运营中心紧急求助;
方案设计——监控运营中心
监控运营中心 1)管理平台、服务器组、IPSAN等设备实现社会视频资源统一接入管理; 2)7×24小时日常运维服务;
产品市场推广情况及规划
市场推广情况 目前,本解决方案率先运用于深圳市宝安区,并已实现1500多监控点的联网运行,得到广大 用户的高度赞誉。
市场推广计划 1)以宝安区社会视频专网为示范点,逐步在深圳市、广东省乃至全国范围内推广数字化社 会视频专网解决方案; 2)以社会视频专网为核心,结合手机APP应用软件,实现手机求助、报警、警情上传等多样 化功能应用,实现社会视频专网资源最大化利用;
数字化社会视频专网解决方案——标准化方案
高清视频应用
前端采用高清网络摄像机进行全天候实时监控,视频通过本地NVR录像或云端服务,本地NVR录 像存储不少于30天,云端服务可为3-30天,实时保持与公安指挥中心、运营中心联动。
数字化社会视频专网解决方案——标准化方案
智能化应用
前端采用智能高清网络摄像机,在实现高清视频应用的基础上,实现灾情、人脸、车牌、车 身等识别,入侵、拌线、物品遗留、徘徊、人群聚集等检测,完成图像研判、视频索引、视频 浓缩、视频检索智能化功能,为公安及各职能管理部门提供切合需求的视频信息及视频资料
智能化应用资费标准:
1)合同初始签定在网时长为5年,按年付费,免费提供设备(不包含用户端显示器),免费 提供维护与保养,7×24小时实时巡视 2)特殊环境的施工需用户配合实施 3)具体服务内容及范围以双方签定合同为准
网络互连安全监管解决方案(PPT 30张)
数据处理: 识别功能
EasySecurity 方案配置
产品型号 新建连接数(秒) 并发会话数 (秒) 流量吞吐量
For Small and Medium Enterprise SDFM –2000GP
8,000/sec
100million
1Gbps
Interface:1 /6*GE电口/4* Port Mirroring 听 + 1路流量镜 Performance 高为1Gbps 采集管理:提 据的采集功能 的采集控制 协议分析:提 包含对流量中 详细分析功能 数据处理:提 滤、识别功能
操 人
有了它 您可以
Ad
Ad
any 192.168.2.12 22
Ad
• 配合互连关系图,合
灵活多变的报表
可输出的监控报告
创元启
•
资产互连情况
有了它 您可以
•
未入网资产
控 Co
• •
边界互连态势 网络互连合规率
管理 Ma
防火墙安全策略合规率
Database
方案优势
创元启安方案优势
1
无感知部署 三权分立管理
访问了自己的网络,拿走了什 网络中。无意间,精通网络的小王发现他可以进行连接到无线局域网中的某一台服务器上,服
么内容的工具,企业重要的资 报价信息,小王按捺住激动的心情悄然无声地把资料下载到自己的手机上并带回公司。合作的 会这样!
料、报价材料就不会失窃! 了A公司极为相似的产品,连销售思路都是一样的,但价格要远远低于A公司,A公司销售高
访客接入企业网络,使得 持自已的业的移动设备 成重要信息的泄露。企 加,使企业的业务受到安
需要具备根据现有网络 互连核查防火墙访问策略 是否合理的工具
高清视频监控系统解决方案PPT课件
高清摄像机拥有更广的可视区域
720P是D1的2倍,1080P是D1的5倍
高清摄像机拥有更加细腻的细节表现
即使局部放大,细节依然完美再现
比D1更高的清晰度图像
相同码率下,清晰度是D1的2-3倍
D1
HD
海量存储已不是高清的瓶颈
• 硬盘容量不断突破,现在单盘已经是4TB了 • NVR(网络视频录像机)+IP SAN存储网络
视频流
水源 (监控点)
交换机
IP SAN
水库 (存储设备)
合理的监控管理架构
——以监控存储为中心,门卫室24小时实时管理,各级 管理人员灵活接入管理的三级管控方式
监控存储管理中心(机房)具有最高管理权限,其作为存储调度管 理中心,无需昂贵的电视墙。
门卫保安室24小时有人值班,学校可 灵活分配图像到门卫室并上电视墙,严格 的权限管理,门卫室只能实时查看图像并 控制球机,无下载、回放权限
可灵活远程接入区教育城域网中心
系统具备开放式标准接口,可灵活将重要场所视频点接入区教 育局城域网控制中心,如大门口、食堂等视频点,局领导或者学校 领导也可通过教育网查看联网摄像机图像,及时了解学校安全动态。
可与公安部门的互联
为保障学校师生的生命财产安全,实时查看各个学校的安全防 范状况,本次建设的监控系统,学校校门口的几路监控图像可以实 时传递到公安局的城市治安监控平台。
设计原则
为了达到国内和行业领先的目标,整套系统的设计充分考虑系 统的先进性、实用性、兼容性、可靠性、可拓展性、安全保密等原 则。
1.本监控系统的技术先进性; 先进性不仅指技术与设备在行业范围内处于领先水平,而且应
体现在相关技术上具有前瞻性,保证系统建成后3—5年时间内不落 后 2.本监控系统的构架实用性原则;
雪亮工程雪亮视频联网解决方(课堂PPT)
码流:1080P 4Mbps 720P 2Mbps D1 1Mbps
大华 视频网关
宇视 视频网关
沙河市
平乡县
20
视频接入优势:傻瓜式部署 完全不挑网络
优势1:本地零配置,云端配置快速下发 优势2:不改变原有网络拓扑,随意接入
优势3:傻瓜式部署, 10秒快速上线
本地设备
云服务
云盒1代,内网穿透映射
私有隧道
…
整合视频专网和公网的各种视频设备
标准格式 私有格式
视频共享服 务
17
平台价值:全流程智
能运维流程
项目中最为常见的问题
看不到图像
图像卡顿
断断续续、卡顿
录像文件丢失
? 可能原因:
时间成本 人力成本 培训成本
存储问题? 摄像机问题? 显卡配置低了?
防火端墙插口设件被环置提的境?封问升没?题装效交2好3?率换网?种覆机电可盖络要节脑问能视重性约题问导频能启?致成应题不一的用本足下?原的?S因全PS及直客网流DS?K接线程时户杀有定问发问端毒位题题现的?软?风问件险题?? 18
视频管理服务 任务调度服务 存储管理服务
精细化权限
多级联网
视频智能服务
结构化服务
人脸识别服务
车辆识别服务 特征比对服务
融合视频库 ETL
数据分类
数据清洗
数据整理
数据存储
数据挖掘
IaaS
云计算资源
云存储资源
云管理资源
网络交换设备
传感层
监控设备
IPC/DVR NVR/DVS
音视频数据
卡口系统
车辆/人脸 电警/电子围栏
6
全国各地视频监 控联网项目
数字化社会视频专网解决方案ppt
方案设计——系统架构
系统整体架构
政府主管部门
公安指挥中心
VPN专网
运营中心
客户端
管理服务器 (主、备)
媒体转发 服务器组
网络键盘
解码器
电视墙
警用电子地 图服务器
移动视频 服务器
数据库 服务器
视频分析/ 诊断服务器
监控室
对讲
报警 按钮
电 视 墙
NVR本 地存储
数字化社会视频专网解决方案——标准化方案
高清视频应用
前端采用高清网络摄像机进行全天候实时监控,视频通过本地NVR录像或云端服务,本地NVR录 像存储不少于30天,云端服务可为3-30天,实时保持与公安指挥中心、运营中心联动。
数字化社会视频专网解决方案——标准化方案
智能化应用
前端采用智能高清网络摄像机,在实现高清视频应用的基础上,实现灾情、人脸、车牌、车 身等识别,入侵、拌线、物品遗留、徘徊、人群聚集等检测,完成图像研判、视频索引、视频 浓缩、视频检索智能化功能,为公安及各职能管理部门提供切合需求的视频信息及视频资料
•建立备品仓库并定期检查,保证系 统连续正常使用能力
数字化社会视频专网解决方案——服务收费
高清视频应用资费标准:
1)合同初始签定在网时长为5年,按年付费,免费提供设备(不包含用户端显示器),免费 提供维护与保养,7×24小时实时巡视 2)特殊环境的施工需用户配合实施 3)具体服务内容及范围以双方签定合同为准
智能视频应 用:
为开展视 频信息情报 研判和分析 挖掘提供信 息支持
一. 社会治安视频监控现状 二. 数字化社会视频专网解决方案 三. 技术方案设计 四. 产品创新点及优势 五. 产品市场推广情况及规划
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
“MMS1700”未作为总控时,只能控制2000路IPC,不具备其他功能。
准入应用
39
当前视频专网管理人员紧缺,在实际应用过程中,开启准入控制后会对原有应用产生很大冲击, 根据项目实施情况,总结了几种场景下系统功能的配置思路:
系统初步上线开启准入的思路:先执行发现识别,然后保护所有安防设备,配置前端接入区 安防设备接入自动放行,计算机设备注册引导,等前端接入区梳理完成后,逐步扩展到工作区,保 护打印机、网络设备、及未知设备,对计算机设备执行注册引导,并通过引导日志分析出分布在工 作区中的服务器,手动进行保护。
需要对冒用设备自动进行阻断,但应规避对服务器的影响:可在自动取消保护界面配置生效 的范围,将服务器段剔除在作用范围内。
管理员临时出差,但仍希望执行强准入:需开启客户端注册密码模式、开启入网申请密码自 动审核模式,入网人员线下联系管理员获取密码后入网。
系统联动
40
系统支持与第三方系统联动,主要应用有: 1) 在新疆项目中某公司通过整合海康、大华共享平台数据开发了“一机一档”管理系统,我
➢ TC100会议参加单位
从关键技术角度看本方案的深度
10
资产发现与识别:
发现:SNMP、Traceroute、TELNET、ARP、ICMP、SDK、私有协议、前端接入流量分 析、各网关旁路设备镜像流量获取
识别:MAC厂商、TCP端口、ONVIF/GB28181协议分析、HTTP/HTTPS/SSH/TELNET主 动探测、流量分析
公司的产品与“一机一档”进行对接,实现资产管理与准入控制联动; 2) 在内蒙包头项目中某公司开发了上层的整合平台,我公司的产品为其提供资产数据,并接
受准入指令,控制设备接入; 3) 在绍兴项目中,我公司与海康、大华、网警、安邦的数据库联动,实现资产信息自动补充; 4) 在河南项目中,我公司与海康客户端联动,实现用户登录海康客户端查看视频时,水印内
接入与访问控制:
ARP、SNMP、SPAN、SSH/TELNET、HTTP跳转、TCP阻断、PING欺骗、协议控制
03 竞争分析
安全管理技术支撑服务的领航者
迪普方案分析
12
画方方案分析
13
启明星辰方案分析
14
准入控制的技术原理分析
15
管理平台
授权设备 授权设备 非授权设备
授权应用
设
应
备
从标42017 公共安全视频监控联网信 息安全技术要求》
➢ 公安部《公安视频传输网建设 指导意见》(征求意见稿)要 求对前端安全进行安全防护设 计,对非法设备、非法访问和 非法攻击进行告警和阻断。
➢ 地方标准:浙江省公安视频专 网安全管理技术规范
远望视频专网 安全监管解决方案
01 方案概况
安全管理技术支撑服务的领航者
总体思路
3
体系规划方面: 功能设计方面: 系统建设方面:
视频专网总体架构
4
从网络互联上看,公安视频专 网通过“视频安全接入系统” 和“边界安全接入平台”与其 他网络相连,需解决边界安全 问题。
从建设范围上看,公安视频专 网覆盖至所有市、县指挥中心 和派出所监控中心,需解决上 下级监管问题。
从部署规模及系统应用分析
17
远望视频专网安全监管系统已经在全疆部署,管控设备总量达到了70W+,接入控制 覆盖到全疆所有核心交换机,并与第三方系统实现资产管理和准入控制联动,真正实现了 全省集中式统一管控方案,而不是停留在方案层面的臆想。
远望视频专网安全监管系统在浙江、河南、广西、内蒙等多个省份的市、县两级进行 了大量部署和试用,验证了单级、多级级联、第三方联动等各种环境下的应用,是经过实 际检验的。
容自动显示当前登录者的姓名。
感谢指导!
IPC IPC IPC
方案功能全景图
6
02 方案优势
安全管理技术支撑服务的领航者
从等保角度看本方案覆盖的广度
8
等级保护
数据安全:以敏感信息、移动存储介质、屏幕水印等特色功能为核心,防止数据拷贝、手
A
机拍摄、打印刻录等各类数据泄露行为。
B
应用安全:以视频应用行为审计、应用系统注册管理及状态监测、违规应用访问控 制等特色功能为核心,为判定应用的合规使用提供数据支撑。
运 营 商 网 络
流媒体服务器
解码器 显示终端
数据
1000M
10000M
远望视频专网 安全监管系统
网闸
视频专网
10000M
10000M
远望视频专网 安全监管系统
网闸
视频专网
10000M
运 营 商 网 络
流媒体服务器
解码器 显示终端
数据
1000M
运 营 商 网 络
流媒体服务器
解码器 显示终端
数据
1000M
基于客户端的边界监测
26
主机外联加固
27
业务处理
28
数据可视化
29
05 部署方案
安全管理技术支撑服务的领航者
接入级标准型准入控制部署方案
31
接入级增强型准入控制部署方案
32
数据及应用中心防护部署方案
33
大流量分流部署方案
34
主机管控部署方案
35
省市县级联部署方案
36
06 其他说明
从产品中心接收到的信息,视频专网中暂无其他公司能达到我们的规模。
04 特色功能
安全管理技术支撑服务的领航者
设备发现与识别
19
摄像交注头换册、机客N、V户R路等端由安的器防设等设备网备络设备
一机一档
20
IP资源管理
21
接入控制
22
设备仿冒监测
23
屏幕水印
24
主机视频应用行为审计
25
审计用户通过浏览器对网络摄像机的访问,支持海康、大华、 宇视、天地伟业主流型号的登录、预览、回放、下载动作。
基于IP控制的应用:画方、远望、北信源 高水平的IP冒用问题无法解决。 将IP与设备绑定,基于设备特征的鉴别总是无法保证绝对准确,同时也面临类似协议遇到的,特征众多无 法穷举的问题
基于交换机端口控制的应用:华为、华三 一个端口下如果挂接了傻瓜交换机,或者ONU方式的接入,一旦控制,下属设备将全部无法接入。
安全管理技术支撑服务的领航者
性能指标说明
38
“MMS1700”设备可处理的流量为大于4Gbps,按实际项目执行情况,以 4M一路计算可同时控制2000路。
“MMS1700”作为总控时,除可控制2000路IPC外,还可支持不超过 10000台注册终端的管控和20000台未注册设备的类型识别和状态监测。
视频专网准入技术应用缺陷分析
16
基于协议过滤的应用:迪普、深信服、远望 如前端接入区启用视频流协议过滤,前端维护人员接入的维修电脑将无法正常使用。 前端接入区除了大量前端设备以外,还有大量传感设备,传感设备厂家众多,协议繁杂,用户无法甄别和 有效配置。 核心应用区中的普通设备访问服务器会使用HTTP协议,服务器与服务器会使用HTTP协议,根本无法甄别。
用
认
控
证
非授权应用
制
网络管道
无论是迪普、画方、北信源等准入设备厂商,还是华为、华三等交换机厂商,最终实现准入控制逃不出控制IP、 过滤协议、开关交换机物理端口三种手段。
控制IP的方案难点在于如何鉴别IP的合规性,因IP不具备特征,主流方案是去鉴别当前使用IP的设备,固提出了 如设备指纹、设备类型等概念;过滤协议的难点在于协议类型太多,无法穷举,主流方案是控制一些重要协议,其 他全放或全不放;控制交换机端口状态的问题在于一个端口下可能挂接很多设备,无法区别控制。
C
主机安全:以主机监控与审计为核心,包括非授权外联监测与防护、账户安全 管理、外设管理、补丁分发等,为主机提供全面的安全防护手段。
D
网络安全:以网络接入控制网关和前端管理主机为核心,包括接入控制、 访问控制、协议过滤、设备替换监测等。
E
物理安全:以智能箱和前端管理主机为依托,包括防盗告警、温度 告警、断电告警等,对视频专网最核心的资产进行全方位的保护。
从技术体制上看,公安视频专 网本质上是TCP/IP网络,需解 决设备接入及访问控制问题。
从终端类型上看,除通用计算 机终端外,还有视频专网专用 设备,需解决设备非法替换问 题。
安全监管总体考虑
5
省厅
公安网
10000M
地市
公安网
10000M
区县
公安网
远望视频专网 安全监管系统
网闸
视频专网
10000M
准入应用
39
当前视频专网管理人员紧缺,在实际应用过程中,开启准入控制后会对原有应用产生很大冲击, 根据项目实施情况,总结了几种场景下系统功能的配置思路:
系统初步上线开启准入的思路:先执行发现识别,然后保护所有安防设备,配置前端接入区 安防设备接入自动放行,计算机设备注册引导,等前端接入区梳理完成后,逐步扩展到工作区,保 护打印机、网络设备、及未知设备,对计算机设备执行注册引导,并通过引导日志分析出分布在工 作区中的服务器,手动进行保护。
需要对冒用设备自动进行阻断,但应规避对服务器的影响:可在自动取消保护界面配置生效 的范围,将服务器段剔除在作用范围内。
管理员临时出差,但仍希望执行强准入:需开启客户端注册密码模式、开启入网申请密码自 动审核模式,入网人员线下联系管理员获取密码后入网。
系统联动
40
系统支持与第三方系统联动,主要应用有: 1) 在新疆项目中某公司通过整合海康、大华共享平台数据开发了“一机一档”管理系统,我
➢ TC100会议参加单位
从关键技术角度看本方案的深度
10
资产发现与识别:
发现:SNMP、Traceroute、TELNET、ARP、ICMP、SDK、私有协议、前端接入流量分 析、各网关旁路设备镜像流量获取
识别:MAC厂商、TCP端口、ONVIF/GB28181协议分析、HTTP/HTTPS/SSH/TELNET主 动探测、流量分析
公司的产品与“一机一档”进行对接,实现资产管理与准入控制联动; 2) 在内蒙包头项目中某公司开发了上层的整合平台,我公司的产品为其提供资产数据,并接
受准入指令,控制设备接入; 3) 在绍兴项目中,我公司与海康、大华、网警、安邦的数据库联动,实现资产信息自动补充; 4) 在河南项目中,我公司与海康客户端联动,实现用户登录海康客户端查看视频时,水印内
接入与访问控制:
ARP、SNMP、SPAN、SSH/TELNET、HTTP跳转、TCP阻断、PING欺骗、协议控制
03 竞争分析
安全管理技术支撑服务的领航者
迪普方案分析
12
画方方案分析
13
启明星辰方案分析
14
准入控制的技术原理分析
15
管理平台
授权设备 授权设备 非授权设备
授权应用
设
应
备
从标42017 公共安全视频监控联网信 息安全技术要求》
➢ 公安部《公安视频传输网建设 指导意见》(征求意见稿)要 求对前端安全进行安全防护设 计,对非法设备、非法访问和 非法攻击进行告警和阻断。
➢ 地方标准:浙江省公安视频专 网安全管理技术规范
远望视频专网 安全监管解决方案
01 方案概况
安全管理技术支撑服务的领航者
总体思路
3
体系规划方面: 功能设计方面: 系统建设方面:
视频专网总体架构
4
从网络互联上看,公安视频专 网通过“视频安全接入系统” 和“边界安全接入平台”与其 他网络相连,需解决边界安全 问题。
从建设范围上看,公安视频专 网覆盖至所有市、县指挥中心 和派出所监控中心,需解决上 下级监管问题。
从部署规模及系统应用分析
17
远望视频专网安全监管系统已经在全疆部署,管控设备总量达到了70W+,接入控制 覆盖到全疆所有核心交换机,并与第三方系统实现资产管理和准入控制联动,真正实现了 全省集中式统一管控方案,而不是停留在方案层面的臆想。
远望视频专网安全监管系统在浙江、河南、广西、内蒙等多个省份的市、县两级进行 了大量部署和试用,验证了单级、多级级联、第三方联动等各种环境下的应用,是经过实 际检验的。
容自动显示当前登录者的姓名。
感谢指导!
IPC IPC IPC
方案功能全景图
6
02 方案优势
安全管理技术支撑服务的领航者
从等保角度看本方案覆盖的广度
8
等级保护
数据安全:以敏感信息、移动存储介质、屏幕水印等特色功能为核心,防止数据拷贝、手
A
机拍摄、打印刻录等各类数据泄露行为。
B
应用安全:以视频应用行为审计、应用系统注册管理及状态监测、违规应用访问控 制等特色功能为核心,为判定应用的合规使用提供数据支撑。
运 营 商 网 络
流媒体服务器
解码器 显示终端
数据
1000M
10000M
远望视频专网 安全监管系统
网闸
视频专网
10000M
10000M
远望视频专网 安全监管系统
网闸
视频专网
10000M
运 营 商 网 络
流媒体服务器
解码器 显示终端
数据
1000M
运 营 商 网 络
流媒体服务器
解码器 显示终端
数据
1000M
基于客户端的边界监测
26
主机外联加固
27
业务处理
28
数据可视化
29
05 部署方案
安全管理技术支撑服务的领航者
接入级标准型准入控制部署方案
31
接入级增强型准入控制部署方案
32
数据及应用中心防护部署方案
33
大流量分流部署方案
34
主机管控部署方案
35
省市县级联部署方案
36
06 其他说明
从产品中心接收到的信息,视频专网中暂无其他公司能达到我们的规模。
04 特色功能
安全管理技术支撑服务的领航者
设备发现与识别
19
摄像交注头换册、机客N、V户R路等端由安的器防设等设备网备络设备
一机一档
20
IP资源管理
21
接入控制
22
设备仿冒监测
23
屏幕水印
24
主机视频应用行为审计
25
审计用户通过浏览器对网络摄像机的访问,支持海康、大华、 宇视、天地伟业主流型号的登录、预览、回放、下载动作。
基于IP控制的应用:画方、远望、北信源 高水平的IP冒用问题无法解决。 将IP与设备绑定,基于设备特征的鉴别总是无法保证绝对准确,同时也面临类似协议遇到的,特征众多无 法穷举的问题
基于交换机端口控制的应用:华为、华三 一个端口下如果挂接了傻瓜交换机,或者ONU方式的接入,一旦控制,下属设备将全部无法接入。
安全管理技术支撑服务的领航者
性能指标说明
38
“MMS1700”设备可处理的流量为大于4Gbps,按实际项目执行情况,以 4M一路计算可同时控制2000路。
“MMS1700”作为总控时,除可控制2000路IPC外,还可支持不超过 10000台注册终端的管控和20000台未注册设备的类型识别和状态监测。
视频专网准入技术应用缺陷分析
16
基于协议过滤的应用:迪普、深信服、远望 如前端接入区启用视频流协议过滤,前端维护人员接入的维修电脑将无法正常使用。 前端接入区除了大量前端设备以外,还有大量传感设备,传感设备厂家众多,协议繁杂,用户无法甄别和 有效配置。 核心应用区中的普通设备访问服务器会使用HTTP协议,服务器与服务器会使用HTTP协议,根本无法甄别。
用
认
控
证
非授权应用
制
网络管道
无论是迪普、画方、北信源等准入设备厂商,还是华为、华三等交换机厂商,最终实现准入控制逃不出控制IP、 过滤协议、开关交换机物理端口三种手段。
控制IP的方案难点在于如何鉴别IP的合规性,因IP不具备特征,主流方案是去鉴别当前使用IP的设备,固提出了 如设备指纹、设备类型等概念;过滤协议的难点在于协议类型太多,无法穷举,主流方案是控制一些重要协议,其 他全放或全不放;控制交换机端口状态的问题在于一个端口下可能挂接很多设备,无法区别控制。
C
主机安全:以主机监控与审计为核心,包括非授权外联监测与防护、账户安全 管理、外设管理、补丁分发等,为主机提供全面的安全防护手段。
D
网络安全:以网络接入控制网关和前端管理主机为核心,包括接入控制、 访问控制、协议过滤、设备替换监测等。
E
物理安全:以智能箱和前端管理主机为依托,包括防盗告警、温度 告警、断电告警等,对视频专网最核心的资产进行全方位的保护。
从技术体制上看,公安视频专 网本质上是TCP/IP网络,需解 决设备接入及访问控制问题。
从终端类型上看,除通用计算 机终端外,还有视频专网专用 设备,需解决设备非法替换问 题。
安全监管总体考虑
5
省厅
公安网
10000M
地市
公安网
10000M
区县
公安网
远望视频专网 安全监管系统
网闸
视频专网
10000M