視頻專網(wǎng)解決方案
背景需求
自全國公安視頻專網(wǎng)大力推進(jìn)了智慧城市和視頻監(jiān)控系統(tǒng)的建設(shè),逐漸形成了覆蓋整個(gè)城市的視頻專網(wǎng),實(shí)現(xiàn)交通數(shù)字化監(jiān)測與信息共享、治安重點(diǎn)區(qū)域?qū)崟r(shí)監(jiān)控,全面提升對突發(fā)案件、群體性事件和重大保衛(wèi)活動(dòng)的監(jiān)控力度和響應(yīng)能力。公安視頻專網(wǎng)作為視頻監(jiān)控系統(tǒng)的主要承載網(wǎng)絡(luò),具有網(wǎng)絡(luò)安全級別高、網(wǎng)絡(luò)規(guī)模龐大、網(wǎng)絡(luò)分支較多、網(wǎng)絡(luò)攝像機(jī)接入地理位置分散、人為監(jiān)管困難等特點(diǎn),導(dǎo)致現(xiàn)在各地公安機(jī)關(guān)視頻專網(wǎng)前端設(shè)備、系統(tǒng)應(yīng)用、存儲系統(tǒng)、網(wǎng)絡(luò)攝像機(jī)、公安應(yīng)用等設(shè)備存在較大的安全風(fēng)險(xiǎn)。

為規(guī)范公安單位視頻專網(wǎng)建設(shè)和安全管理工作,按照公安部相關(guān)視頻監(jiān)控安全管理的要求和《廣東公安視頻專網(wǎng)網(wǎng)絡(luò)與安全建設(shè)指導(dǎo)意見》,結(jié)合公安單位視頻專網(wǎng)現(xiàn)狀和面臨的突出問題,擬通過在公安單位內(nèi)部署網(wǎng)絡(luò)準(zhǔn)入控制系統(tǒng),針對公安視頻專網(wǎng)網(wǎng)絡(luò)進(jìn)行了統(tǒng)一的資產(chǎn)管理和直屬單位的準(zhǔn)入管控,保障公安視頻專網(wǎng)運(yùn)行效能和網(wǎng)絡(luò)安全,切實(shí)提升網(wǎng)絡(luò)安全防護(hù)能力,防止重大網(wǎng)絡(luò)安全事件的發(fā)生。
存在問題
資產(chǎn)設(shè)備難以統(tǒng)計(jì)
自全國公安視頻專網(wǎng)大力推進(jìn)了智慧城市和視頻監(jiān)控系統(tǒng)的建設(shè),公安視頻專網(wǎng)前端設(shè)備日益增長,同時(shí)前端設(shè)備品類繁多、品牌復(fù)雜、維護(hù)單位眾多,包含有大量的網(wǎng)絡(luò)攝像機(jī)、NVR/DVR設(shè)備、網(wǎng)警電子圍欄、電子警察、交警應(yīng)用設(shè)備和公安應(yīng)用設(shè)備等等。

隨著視頻專網(wǎng)應(yīng)用的高速發(fā)展,公安單位視頻專網(wǎng)的全網(wǎng)資產(chǎn)識別和分類統(tǒng)計(jì)變得尤為困難。
設(shè)備私接難以防范
公安單位視頻專網(wǎng)規(guī)模龐大,存在設(shè)備眾多、分支較多、地理位置分散、人為監(jiān)管困難。導(dǎo)致大量的無人值守位置容易造成設(shè)備無故離線和未知設(shè)備的違規(guī)私接。
設(shè)備安裝管理混亂
早期建設(shè)的公安視頻專網(wǎng)專注于業(yè)務(wù)可用性而忽略了安全性和管理性,導(dǎo)致大量的前端設(shè)備僅僅滿足網(wǎng)絡(luò)可達(dá)即順利交付,并未有嚴(yán)格遵守公安單位要求的專用設(shè)備專用網(wǎng)段的管理規(guī)范。
敏感數(shù)據(jù)易被盜用
數(shù)據(jù)庫系統(tǒng)內(nèi)視頻、圖像、車輛軌跡等敏感信息外泄將會造成重大損失。比如前端設(shè)備,在大部分情況下無人值守,攻擊者很容易將這些終端作為入侵的跳板,入侵到公安視頻專網(wǎng),盜取公安公安視頻專網(wǎng)的關(guān)鍵敏感信息。
缺乏實(shí)時(shí)檢測機(jī)制
當(dāng)發(fā)生安全漏洞風(fēng)險(xiǎn)時(shí),系統(tǒng)無法進(jìn)行及時(shí)發(fā)現(xiàn)與告警,缺乏有效阻斷和隔離問題終端的防御能力,讓有非法企圖的人員有漏洞可循。
解決方案

世安網(wǎng)絡(luò)準(zhǔn)入控制系統(tǒng)首選采用目前國內(nèi)外主流的旁路部署模式,如下為旁路部署模式下的網(wǎng)絡(luò)拓?fù)鋱D:

世安網(wǎng)絡(luò)準(zhǔn)入控制系統(tǒng)采用旁路部署的方式,部署于核心交換機(jī)一側(cè),無須額外配置802.1X或策略路由。

世安網(wǎng)絡(luò)準(zhǔn)入控制系統(tǒng)在旁路模式下結(jié)合自動(dòng)化運(yùn)維準(zhǔn)入技術(shù)實(shí)現(xiàn)覆蓋到核心層、匯聚層和接入層的全方位準(zhǔn)入控制。準(zhǔn)入系統(tǒng)通過Telnet、SSH、SNMP等協(xié)議配置與網(wǎng)管型交換機(jī)建立管控交互關(guān)系,實(shí)現(xiàn)基于跨路由網(wǎng)的動(dòng)態(tài)IP ACL/MAC ACL/SVI ACL三種模式的準(zhǔn)入管控技術(shù)。



 

方案價(jià)值
易用性
傳統(tǒng)網(wǎng)絡(luò)準(zhǔn)入系統(tǒng)存在更改網(wǎng)絡(luò)拓?fù)?、更改原有路由結(jié)構(gòu)、大幅增加核心設(shè)備的802.1x網(wǎng)絡(luò)配置等問題, 世安網(wǎng)絡(luò)準(zhǔn)入控制系統(tǒng)設(shè)備可根據(jù)現(xiàn)有網(wǎng)絡(luò)的部署方式,實(shí)現(xiàn)勿需更改現(xiàn)有的網(wǎng)絡(luò)拓?fù)洌瑹o任何路由改動(dòng)的旁路部署。
世安網(wǎng)絡(luò)準(zhǔn)入控制系統(tǒng)系統(tǒng)對于目標(biāo)網(wǎng)絡(luò)環(huán)境具有極強(qiáng)的適應(yīng)性,可智能支持各種網(wǎng)絡(luò)類型,世安網(wǎng)絡(luò)準(zhǔn)入控制系統(tǒng)上線后自動(dòng)學(xué)習(xí)連接網(wǎng)絡(luò)的VLAN信息,并自動(dòng)生成VLAN、子網(wǎng)配置,極大的簡化了部署時(shí)間和成本。
在此基礎(chǔ)上,世安網(wǎng)絡(luò)準(zhǔn)入控制系統(tǒng)支持網(wǎng)絡(luò)環(huán)境自動(dòng)發(fā)現(xiàn)和基礎(chǔ)配置自動(dòng)下發(fā)功能,能有效的提高部署效率,實(shí)現(xiàn)真正意義上的秒級設(shè)備部署。
可視化
世安網(wǎng)絡(luò)準(zhǔn)入控制系統(tǒng)記錄下網(wǎng)絡(luò)環(huán)境中各種入網(wǎng)、離網(wǎng)、訪問流轉(zhuǎn)、異常流量信息。
世安網(wǎng)絡(luò)準(zhǔn)入控制系統(tǒng)把這些復(fù)雜的數(shù)據(jù)進(jìn)行過濾、聚合、分析形成一系列通俗易懂的安全報(bào)表。
擴(kuò)展性
傳統(tǒng)準(zhǔn)入產(chǎn)品的推廣實(shí)施需要全網(wǎng)絡(luò)或全區(qū)域的開展,容易造成客戶網(wǎng)絡(luò)崩潰。
世安準(zhǔn)入在新版本中實(shí)現(xiàn)了端口級的管控開關(guān),客戶可以逐個(gè)逐個(gè)端口去進(jìn)行推廣使用,放心且方便。
可靠性
旁路部署方式,不對用戶網(wǎng)絡(luò)進(jìn)行改造,不對在線終端造成影響,對災(zāi)難狀況不產(chǎn)生斷網(wǎng)。