公安局视频专网安全系统建设方案设计
视频专网安全建设方案
目录网络安全形势网络安全现状网络安全建设方案近几年视频监控网络安全事件频发20082008年8月5日,土耳其(巴库-第比利斯-埃尔祖鲁姆)石油管道曾被黑客攻击,攻击者利用摄像头的漏洞闯入网络,控制了石油管道工业系统。
导致爆炸起火。
爆炸40分钟后才被发现。
2015年2月27日,江苏省公安厅发电,某安防厂商视频监控摄像机存在严重安全隐患(弱口令),要求进行全面排查和加固。
2016年10月21日,美国东海岸地区遭受大面积网络瘫痪,其原因为美国域名解析服务提供商Dyn 公司当天受到强力的DDoS 攻击所致。
其中重要的攻击源确认来自于Mirai 物联网(网络摄像头)僵尸网络。
2017年6月24日,国家信息安全漏洞共享平台(CNVD )收录了海康威视与大华股份网络摄像机存在身份认证绕过漏洞、配置文件密码泄露等漏洞。
201520162018201720192019年2月13日,一家做人像识别的中国公司由于未对内部数据库做密码保护,并且直接暴露在公网上面,导致超过250万的公民个人信息数据能够不受任何限制的被所有人访问。
土耳其石油管道爆炸事件海康黑天鹅事件Mirai 致美国大断网事件国产摄像机漏洞事件视频专网入侵事件2018.7.24某省特大黑客攻击事件,公安视频专网被黑客攻击,导致公安网被入侵,全国超过5000台服务器中招。
深网视界人脸数据泄露事件某省7.24视频专网重大黑客攻击事件分析upload互联网公安视频传输网公安信息通信网物理隔离物理隔离Ser-ASer-BA 市A 县全国200+台B 市B 县交警大队Ser-C双网卡双网卡Ser-D第三方运维人员美国、英国、香港黑客同时连接互联网和视频网同时连接交警专网和公安网控制弱口令主机控制弱口令主机全国5000+台境外黑客入侵xx 市视频专网事件互联网公安视频传输网公安信息通信网物理隔离物理隔离某市境外黑客持续中断5分钟第三方运维人员入侵某县交警专网车、驾管系统upload 互联网公安视频传输网公安信息通信网物理隔离物理隔离Ser-A Ser-B某县视频监控系统双网卡Ser-C第三方运维人员同时连接互联网和视频网通过漏洞弱口令控制主机消分车、驾管系统交警专网光纤接入前端替换漏洞弱口令部署该公司18辆车自动消分脚本为方便消分视频监控网络安全事件屡发的技术原因弱口令漏洞网络暴露⏹由于生产设备厂商安全投入上不够,大量品牌摄像机都存在漏洞,并且一旦存在高危漏洞,很容易被大规模利用。
公安视频专网网络规划方案
91·桂广网技专栏·《广播电视网络》 2020年第2期 总第362期1 引言公安视频专网的建设是维护国家安全和社会稳定、预防和打击暴力恐怖犯罪的重要手段,是动态化、信息化条件下完善社会治安防控体系,深化公安建设的重要基础性工程。
各省公安厅有自己的省级联网平台,形成了自己的省级公安专网。
各省公安网在规划建设中大部分都是通过行政级别进行分级,分级如下:一级网,公安部至省公安厅;二级网,省公安厅至各市公安局;三级网,各市公安局至所辖县局。
目前各省公安网视频传输速度较慢,平台功能拓展不深入,技术存在局限,深层应用少,服务公安实战的能力弱。
因此,当前公安厅已经建设的视频监控网络可能面临的挑战有如下几个。
(1)单设备组网,容易出现单点故障。
目前公安视频传输网均为单设备组网,易出现单点故障,影响业务的正常运行。
(2)视频三级网从“代建代维”转变成“自主建设”。
目前公安视频三级网采用的运营商“代建代维”方式建设,对于网络缺乏自主可控性,需要部署区县网络设备实现“自主建设”。
(3)不能满足业务万兆带宽需求。
公安视频传输网最初建设时,网络上的业务还不多,随着科技强警的深入,更多的公安业务运行在网络上,业务越多,对网络的要求也越高,需要网络的设备具有万兆接口,满足后期带宽升级需求。
(4)IT 维护人员的运维体验差。
主要都是手工管理网络,对操作人员的技术有比较高的要求,而且网络的流量和业务情况没有可视化界面,对于发生的故障无法快速识别和定位,网络运维有难度。
(5)IP 地址不好管理。
IP/MAC 等信息,是有效进行网络终端管理的基础,尤其是IP 地址信息,在静态分配IP 地址的网络中,涉及整个网络的正常运行,目前缺乏有效的技术和工具对IP 地址进行全面的管理。
随着业务量的增多,目前网络带宽及设备性能已难以支持各项业务的开展。
为确保公安视频专网网络系统是一个“安全可靠、性能卓越、管理方便”的高品质网络,必须对现有网络进行升级改造,需要在原有联网监控基础上,建立省、市、县三级跨区域的联网监控,建立全省视频监控广域专网,各级单位通过公安专网横向访问视频专网资源,设置安全设备限制访问权限,实现视频资源的安全隔离。
视频专网安全建设方案 (1)
视频专网网络安全建设方案xxx安全技术有限公司202x年6月目录一建设背景 (3)1.1 项目概述 (3)二安全需求分析 (3)2.1网络准入控制 (3)2.2WEB应用防护 (4)2.3网络综合审计 (4)2.4高级威胁检测 (4)四建设内容与目标 (5)五安全建设方案 (5)5.1网络准入控制建设 (5)5.1.1功能实现 (5)5.2WEB应用防护建设 (7)5.2.1功能实现 (7)5.3网络综合审计建设 (11)5.3.1功能实现 (11)5.4高级威胁检测建设 (12)5.2.1功能实现 (12)六安全产品清单 (14)一建设背景1.1 项目概述随着信息化的发展,GA的业务开展也越来越依托于网络平台,但纵观当前的安全形势,各种安全事件层出不穷,而GA目前的网络中,安全设备较少,严重制约了GA的信息化脚步。
因此GA通过开展网络安全建设,希望加快网络安全信息化建设,通过有步骤有计划的分步安全建设逐步实现网络全方位安全。
本次方案中,主要加强GA内部网络终端准入控制、WEB应用防护、网络综合审计及高级威胁分析技术措施。
二安全需求分析2.1网络准入控制不安全终端的非法接入,会给内部网络带来前所未有的风险与威胁。
风险与威胁主要表现在缺乏对内部网络终端的接入控制,即内部各种终端的入网连接,连接方式包括有线、无线等多种方式;终端类型有内部办公终端、管理维护终端、第三方维护人员终端、来访人员终端等。
内部网络在终端准入控制方面主要面临以下问题:(1)外来机器和终端可以随意接入内网,导致内部网络的安全性岌岌可危;(2)网络设备私接滥用(HUB或路由器)无法管控,不仅会影响整个内网的网速流量,也可能导致严重的网络故障。
更有甚者这种私接滥用,被别有用心的人所利用而破坏或信息窃取。
(3)如不进行网络准入控制,任何终端只要插入网络就能够自由的访问整个网络,存在大量非法接入和非授权访问的状况,会导致业务系统的破坏,以及关键信息资产的泄漏等风险。
视频专网安全建设通用三级等保建设方案规划
密级: 内部目录第1章项目总体方案 (1)1.1建设思路 (1)1.2建设目标 (1)1.3安全等级保护系统总体架构 (2)1.3.1安全技术体系架构 (2)1.3.2安全管理体系架构 (5)1.4安全域划分 (9)1.4.1总体要求 (9)1.4.2外部接入区 (11)1.4.3核心通信区 (11)1.4.4业务应用区 (11)1.4.5外部业务区 (14)1.4.6基础服务区........................................................................错误!未定义书签。
1.4.7数据存储区 (14)1.4.8安全管理区 (14)1.4.9用户接入区 (15)1.5建设任务 (16)1.6工程边界....................................................................................错误!未定义书签。
第2章软硬件配置清单........................................................................错误!未定义书签。
第3章项目实施进度............................................................................错误!未定义书签。
3.1项目建设工期............................................................................错误!未定义书签。
3.2项目进度计划............................................................................错误!未定义书签。
第4章投资估算与资金筹措................................................................错误!未定义书签。
公安视频安全接入系统与解决方案
**公安局视频平安接入平台解决案中科富星信息技术**公安部边界接入平台入围企业2021年5月目录第1章工程综述21.1工程背景21.2建立目标31.3建立总体要求41.4遵循标准5第2章系统架构62.1公安网访问视频监控专网82.2电子政务外网访问视频监控专网102.3 3G无线视频接入12第3章视频平安交换平台架构153.1底层传输153.2配置管理153.3流量管理163.4监控管理163.5 协议接口模块183.6认证管理193.7/外网终端管理193.8链路管理19第4章视频集中监控系统19第5章平台平安分析215.1终端平安215.2链路平安215.3应用平安225.4系统平安23第6章技术指标24第1章工程综述1.1工程背景**市社会治安视频监控系统前端监控点分布应结合实际治安状况,科学设点、合理布局,建立出入城市主要治安卡口、人车流量大的主要道路路口、治安复杂公共场所和易发案部位、校园监控,市区主要道路穿插口、人防重点目标、市容重点管理区域监控。
1、对于社会治安,逐步在市区建立形成三道治安监控防线:第一道是城市外围防线,在出入城市主要道路上建立治安卡口,安装以高清摄像机为支撑的智能卡口识别比对系统,主要控制出入城市的车辆信息;第二道防线是城区交通路口防线,在城区主要交通路口安装智能卡口识别比对系统,监控抓拍路面车辆并识别车牌号,捕捉前排司乘人员面部特征,与出城卡口信息结合,关联与交通处理系统、交警车辆信息库、被盗抢车辆数据库,搭建以车辆轨迹侦控为核心的“视频侦查作战平台〞。
另外,在主要道路边广场、大型商场边等公共场所安装高速球形摄像机,做变化大场景监控,重点监控人流量大的公共复杂场所;第三道防线是易发案区域防线,在易发案区域、外来人口聚居区和城乡结合部复杂地段等地点安装摄像机,监控治安情况复杂的社会面。
2、对于学校治安,对学校采取人防和技防相结合的安防措施,在全市各级各类学校、幼儿园的校门口等重点部位新安装监控点、运用视频监控系统,确保公安机关实时监控学校的平安状况。
公安视频专网安全解决方案(视频监控系统安全建设)
综上,加强技术手段建设,公共区域视频摄像头通过视频准入系统后进入视频专网,只允许授信终端接入、只允许专网网络承载视频数据,其他数据一概屏蔽,保证网络前端边界安全可控。同时防范非法私接,非法私接需及时告警,做到设备可知、入网可信、边界可控。
1.2.2.3
高额的视频建设投入并没有有效抑制案件数量的大幅增长,据《最高人民法院工作报告》全国案件受理数量从2004年的536.6万件上升到2015年的1565.1万件。
1.2.2.4
由于现行法律法规,专业人才缺乏等原因,除公安外的其他部门和企业对视频资源的应用面较低,调阅视频较为繁琐,监控摄像头主要还是起到威慑作用。“为看视频跑断腿”的现状反映出现行法律法规和视频应用需求的矛盾,与“打防结合、预防为主、专群结合、依靠群众”的工作要求还有很大距离,需抓紧制定出台行政法规《安全技术防范管理条例》,完善政策措施,规范重点公共区域和重点行业、领域公共安全视频监控系统的建设、联网和信息使用。
1.2.2.2
随着监控覆盖率的提高,视频数据量不断攀升。目前XX市的存储容量为XXT。据估计,所有视频数据中约有23%是有分析价值的,被标注的只有3%,被分析的只有0.5%。以60个警察来分析视频数据中的0.5%(4倍速,每天8个小时),也需要39天才能完成。在高清摄像头不断增长的情况下,完全依靠人工来完成数据分析是不可能完成的任务。
2.3
2
应用层安全的解决目前往往依赖于网络层、操作系统、数据库的安全,由于应用系统复杂多样,没有特定的安全技术能够完全解决一些特殊应用系统的安全问题。而且一些通用的应用平台程序,如图像信息共享平台、视频联网应用平台、互联网共享服务平台等均采用了Web方式,由于浏览器等标准应用程序自身的安全漏洞和由于配置不当造成的安全漏洞会导致整个网络的安全性下降。应用系统是动态的、不断变化的,应用的安全性也动态的,这就需要我们对不同的应用,检测安全漏洞,采取相应的安全措施,降低应用的安全风险。
公安局视频专网安全建设方案
1视频专网建设现状近年来,公安视频专网的建设规模正在不断扩大,专网前端的IP接入设备(如IPC、RFID等)的种类与数量正在不断上升,这些前端设备被广泛应用于治安管理、交通疏导等领域,与国计民生息息相关;同时,如人脸对比、车辆识别、大数据分析、警用地理等核心业务,也正向公安视频专网迁移,目前的公安视频专网事实上已经成为一张承载海量终端与海量数据的物联网。
公安视频专网的重要性正在不断提升,随之而来的安全问题也日益凸显,一旦出现黑客攻击、数据窃取等事件,将有可能造成治安管理失控、交通管制失效、敏感信息泄漏、LED屏幕倒流信息篡改等后果,严重危害社会稳定。
与此相对的是,由于点多面广,大部分的公安视频专网无法部署有效的安全策略,前端设备与后端业务基本处于直连状态,大量无人值守的接入终端被黑客利用成为攻击源。
攻击者可利用分散在社会各处的接入设备接入到整个网络中,对核心业务系统展开攻击,甚至窃取保密信息。
因此,如何解决来自于前端IP设备的安全风险成为了公安视频专网安全体系建设的突出问题。
当前视频专网安全问题已经上升到国家层面,发改委、中央综治办、公安部等九部委联合下发《关于加强公共安全视频监控建设联网应用工作的若干意见》,要求加强视频监控系统安全防护能力,严格安全准入机制;10月初的全国政法委视频电话会议上,孟书记也多次强调了网络安全建设的重要性;省公安厅也在9月份警示视频专网存在的安全风险。
2视频专网存在的风险目前,全国各地公安系统的视频专网及专网中的应用系统基本处于“裸奔”状态,没有任何的安全防护措施和手段,同时使用的操作系统和应用系统存在大量的高危漏洞,导致视频专网存在如下风险:1、前端摄像头接入交换机无法监控管理,存在非法终端接入风险;2、前端智能终端接入网络带来病毒和木马入侵风险;3、视频专网为开放式网络,安全设备部署较少,接入网可直接访问服务器网络;4、视频专网中存在多个业务系统,业务系统之间无访问控制策略;5、操作系统、业务系统、网络系统存在大量的漏洞,可被不法分子进行利用;6、视频专网无法做到专网专用,存在非法业务数据,影响视频监控图像质量;一旦攻击者通过前端摄像机渗透到视频专网中来,可对系统进行大范围严重破坏,极有可能对当前的正常电子业务工作造成灾难级影响,业务数据无法快速恢复,造成智能交通指挥瘫痪,指挥中心失去“眼睛”,卡口系统失效,违法抓拍停滞,违法档案删除,阻止智能布控应用,监控视频被不法分子使用,恶意追踪公民、车辆轨迹造成隐私泄露,诱导发布平台发布反动言论等等严重的后果,社会影响层面巨大。
公安视频监控专网系统设计与实施
! 中国有线电视"!"#$ 年第 "% 期
吕建业'公安视频监控专网系统设计与实施
全区公安视频监控系统&共涉及 3 """ 多个点位&!"#3 年暑期前建设 ##" 个点位) 河北广电信息网络集团燕 山分公司为适应国家三网融合的战略要求&积极拓展 业务范围和内容&挖掘现有网络潜力&寻找新的经济增 长点&积极参加北戴河新区公安视频监控专网项目的 招标&通过多方努力&凭借广电网络专网*大带宽*费用 合理等优势成功中标&在省内率先打破了电信行业在 这个领域的垄断状态&拓展了有线电视的业务范围&为 公司创造了新的经济增长点) FA公安视频监控专网项目分析与方案规划 !4#6公安视频监控专网项目需求分析
# 6 杨 6 帆4通 信 光 缆 线 路 施 工 与 测 试 技 术 分 析 + 4长春吉林大学 !""54
! 6赵德慧4光缆牵引设计的张力计算 c 4邮电设 计技术 #22$"! %3 8%94
收稿日期!"#$L"3L3#
作者简介吕建业#29# 86 男工程师从事有线电视网络技术工作
7#<&+'%'*;,Q4#,#'(%(&-'-.:#)25&(6 K&*#- $-'&(-5&'+ M#(?-5N:6<(#,
!.scQBJLW= # '=C=Q_B?QEBJ? -=D=YQOQEJ (JTEMFBPQEJ )=PUEMV ,ME>S &E4& .P?& IBJO<BJ /MBJN<& ]QJ<>BJK?BE"55"""& &<QJB$
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
1视频专网建设现状近年来,公安视频专网的建设规模正在不断扩大,专网前端的IP接入设备(如IPC、RFID等)的种类与数量正在不断上升,这些前端设备被广泛应用于治安管理、交通疏导等领域,与国计民生息息相关;同时,如人脸对比、车辆识别、大数据分析、警用地理等核心业务,也正向公安视频专网迁移,目前的公安视频专网事实上已经成为一张承载海量终端与海量数据的物联网。
公安视频专网的重要性正在不断提升,随之而来的安全问题也日益凸显,一旦出现黑客攻击、数据窃取等事件,将有可能造成治安管理失控、交通管制失效、敏感信息泄漏、LED屏幕倒流信息篡改等后果,严重危害社会稳定。
与此相对的是,由于点多面广,大部分的公安视频专网无法部署有效的安全策略,前端设备与后端业务基本处于直连状态,大量无人值守的接入终端被黑客利用成为攻击源。
攻击者可利用分散在社会各处的接入设备接入到整个网络中,对核心业务系统展开攻击,甚至窃取保密信息。
因此,如何解决来自于前端IP设备的安全风险成为了公安视频专网安全体系建设的突出问题。
当前视频专网安全问题已经上升到国家层面,发改委、中央综治办、公安部等九部委联合下发《关于加强公共安全视频监控建设联网应用工作的若干意见》,要求加强视频监控系统安全防护能力,严格安全准入机制;10月初的全国政法委视频电话会议上,孟书记也多次强调了网络安全建设的重要性;省公安厅也在9月份警示视频专网存在的安全风险。
2视频专网存在的风险目前,全国各地公安系统的视频专网及专网中的应用系统基本处于“裸奔”状态,没有任何的安全防护措施和手段,同时使用的操作系统和应用系统存在大量的高危漏洞,导致视频专网存在如下风险:1、前端摄像头接入交换机无法监控管理,存在非法终端接入风险;2、前端智能终端接入网络带来病毒和木马入侵风险;3、视频专网为开放式网络,安全设备部署较少,接入网可直接访问服务器网络;4、视频专网中存在多个业务系统,业务系统之间无访问控制策略;5、操作系统、业务系统、网络系统存在大量的漏洞,可被不法分子进行利用;6、视频专网无法做到专网专用,存在非法业务数据,影响视频监控图像质量;一旦攻击者通过前端摄像机渗透到视频专网中来,可对系统进行大范围严重破坏,极有可能对当前的正常电子业务工作造成灾难级影响,业务数据无法快速恢复,造成智能交通指挥瘫痪,指挥中心失去“眼睛”,卡口系统失效,违法抓拍停滞,违法档案删除,阻止智能布控应用,监控视频被不法分子使用,恶意追踪公民、车辆轨迹造成隐私泄露,诱导发布平台发布反动言论等等严重的后果,社会影响层面巨大。
针对前端设备的准入控制不仅要求设备接入可信,也要求设备行为可控,因此要求在实施准入控制时,必须能够同时识别前端设备的身份,并有效管控传输的数据的合法性。
此外,由于公安视频专网点多面广、性能要求高,在准入控制方案设计时,必须考虑部署及性能问题。
以上要求是传统的安全设备难以实现的,这也是公安视频专网无法部署有效的安全策略的根本原因;因此,除进行传统安全加固外,还需进行专业的前端视频设备准入控制。
3风险防范的方法如前所述,公安视频专网安全的核心问题是前端设备在接入时缺乏有效的准入控制,包括身份鉴别与网络访问行为控制手段,而公安视频专网的安全体系必须建立在前端设备准入控制的基础之上。
因此,在设计公安视频专网安全解决方案时,首先考虑解决前端设备的准入控制问题,牢牢把控住不法分子入侵的大门。
考虑到公安视频专网是事实上的物联网,所有前端设备的网络访问行为是确定的,因此可以采用“网无许可皆不通”的白名单建设理念,除对前端设备进行身份鉴别之外,还可以明确禁止前端设备进行一切非预先确定的网络访问行为。
具体来说,首先通过识别IP、MAC、特征码、注册协议等信息,实现只有授信设备接入网络,对未通过认证的设备进行实时阻断,并通过平台联动实时告警;其次,识别通过认证的前端设备的网络访问行为,只允许其传输预先确定的应用和数据。
这样即使有攻击者通过伪造身份冒名接入网络,所有的攻击行为(例如网络扫描、渗透提权、信息窃取等)也会被实时阻断。
通过以上两步,即可实现前端设备接入“可信”,设备行为“可控”,在前端设备与后端业务系统之间建立起可信、可控的高效访问通道。
通过对物理链路的管控,基本能够杜绝不法分子通过场外不可控区域使用非法手段接入视频专网的行为,保障视频专网的外部安全性。
在解决了前端设备的准入控制问题之后,还需要考虑公安视频专网整网安全方案,在保证整网数据通道高速、可靠的前提基础上,对数据、系统应用平台进行安全防护与应用加速,并在公安视频专网与第三方接入平台之间部署安全控制策略,只允许通过与预先应用相关的数据,不仅实现专网的安全隔离,还保证了网间应用数据共享。
其次可以进行风险评估、系统加固、后期运维等全生命周期的安全咨询与建设服务。
在工具方面,视频监控专网实时信息分析及控制平台可实时展示网络现状与安全态势,帮助了解网络风险点,从管理层面进一步提升公安视频专网健壮性。
最后,通过以下几方面加强安全风险的管控:一是技术方面,对操作系统,要定期进行安全加固,对发现的操作系统高危漏洞,要及时进行补丁更新;对应用系统,在投入使用前必须要求厂家进行严格的安全审计和代码审查,保证应用系统的安全性;对服务器硬件设备,要根据视频网的建设标准,要求厂家进行相应的硬件调整。
而是制度方面,要针对视频网制定严格的安全管理制度。
对于厂家的维护人员和系统的管理人员,要严格遵守视频网的管理规范,不得擅自通过双网卡机器连接视频网和公安网。
三是教育培训方面,要加强对视频网的管理维护人员的安全教育和培训,及时修改系统的弱口令,对于不同的系统设置不同的口令,提高密码强度;及时获取安全方面的最新动态,针对视频网进行对应的加固。
四是维护方面,要加强对视频网的巡查和检测,预防非授权人员通过物理手段接入到视频网内进行破坏。
3.1详细安全架构设计方案3.1.1方案描述本次设计方案根据**市公安局视频专网现状,依据公安部指导文件,视频专网满足等级保护要求进行设计。
接入边界防护:前端摄像头汇聚后,在中广有线OLT设备与视频网核心设备之间部署高性能防火墙,进行策略访问控制,防止前端网络遭受攻击后蔓延至我局,导致业务服务器被攻击。
视频管理PC防护:建议将视频网内PC电脑通过交换机进行汇聚,接入核心交换前经过万兆防火墙进行策略控制,防止PC中毒后蔓延至服务器区。
安全风险的管控:规划安全管理运维区,部署入侵检测设备,对全网进行威胁分析,并能够与防火墙联动,及时阻断威胁。
前端视频设备管控:在**市局部署视频准入分析平台,部署视频探针,对视频设备进行资产管理、设备准入、行为管控等。
3.2实现功能在解决公安视频专网安全建设问题时,应将设备身份鉴别、深度业务控制、高性能等多项要素进行融合,突破传统技术框架的限制,保证了公安视频专网的可信、可控、可用。
传统的身份鉴别方式是向智能终端下发认证证书或安装认证软件,而公安视频专网的前端设备不具备安装认证软件的能力,针对此类身份鉴别必须收集硬件编码、网络地址、特征码等信息,综合确定设备身份;深度应用控制则需要分析行业应用特征,并形成完整可用的特征库,对前端设备传输的数据进行实时的分析,确定前端设备行为的合法性;在实现身份鉴别与深度应用控制的前提下,海量终端、海量数据的接入与传输不能产生时延,保证后端业务系统对前端设备传输数据的实时调用需求。
在上述的核心能力之上,结合公安视频专网的应用特点,形成了公安视频专网前端设备准入控制解决方案。
该解决方案应在现网改动最小、业务影响最小的前提下,提供有效管控前端设备身份与行为的手段,在技术与管理两方面帮助用户构建可信、可控、可用的公安视频专网。
3.2.1视频专网监测系统(采集分析引擎)➢系统接收探测引擎探测的设备,显示设备信息及设备状态。
显示:在网设备的 IP 和 MAC 地址、品牌、型号、所属地址组、部门、发现时间、弱密码等信息;自动监控识别并准入网络视频设备、网络设备等硬件类型设备。
可对设备进行导出导入、查询、支持设备流量详情展示;支持树状部门展示。
➢系统对探测引擎上报的设备进行准入与非准入操作。
对于非视频设备和网络设备,系统不自动准入。
可以通过准入配置设置对设备进行准入;系统后台为非视频设备和网络设备自动生成注册码,通过管理员手工登录注册网址,方对待准入设备进行批量注册准入。
系统对剩下的待准入设备自动进行入网隔离、告警。
➢系统接收探测引擎探测出的设备故障状态,显示设备故障的历史情况和现状。
支持自动检查设备的 IP 地址、MAC 地址冲突;支持地址冲突设备列表展示,列表信息至少包括 IP 地址、MAC 地址、设备类型、地址组、部门、管理员、冲突 MAC、冲突设备类型、状态等;地址冲突设备列表支持根据字段排序。
➢系统接收探测引擎上报的Mac地址进行判断是否Mac地址冲突,冲突设备将显示出来是Mac冲突还是类型冲突。
支持通过 IP 地址、MAC 地址、设备类型、设备状态等信息设置复合条件查询地址冲突信息;支持对地址冲突设备进行更新处置操作;支持查看设备详细信息,设备流量详情展示。
➢系统支持通过行为分析自动识别专网中的异常行为,并生成设备异常行为管理;支持设备异常列表,列表信息至少包括 IP 地址、MAC 地址、设备类型、品牌、型号、地址组、部门、地理信息、管理员、联系电话、发现时间、风险、状态等。
通过行为异常显示当前异常设备,对设备行为进行核实排查隐患。
➢行为审计显示。
支持通过行为分析自动识别视频专网中的异常行为,并记录为异常活动;支持异常活动报警列表,列表信息至少包括策略名称、级别、协议类型、源地址、源端口、目的地址、目的端口、字节数、包数、报警时间、payload 等;支持查看异常活动报警的 payload 信息;支持通过协议、源 IP、源端口、目的 IP、目的端口、时间查询异常活动报警; 异常活动报警列表支持根据字段排序。
➢网络行为分析。
对监控网的网络行为进行分析。
支持通过行为分析自动识别并归纳视频专网中的访问服务器、协议扫描、端口扫描、常用协议、一对一访问等网络行为;支持网络行为列表,列表信息至少包括策略名称、协议、源地址、源端口、目的地址、目的端口等。
15、支持通过策略名称查询网络行为;网络行为列表支持根据字段排序。
➢对监测的设备进行可视化统计管理。
支持监控主视图,在监控主视图上集中展示主要监控指标、态势曲线及重要的报警信息。
支持总体安全指标显示,安全指标计算包含待准入设备、离线设备、地址冲突设备、异常活动设备、弱口令设备等因素。
支持部署资产台数、在线率、已运行天数显示。
支持待准入数量、阻断设备数量、待准入数量显示,点击可跳转到相应管理功能页面。
支持运行指标显示,至少包括资产类型分类及相应数量、资产品牌分类及相应数量、设备准入情况、离线设备情况、地址冲突设备情况、异常活动设备情况等。