迪普科技公安視頻專網(wǎng)IPC準(zhǔn)入控制解決方案

公安交警視頻專網(wǎng)IPC準(zhǔn)入控制解決方案杭州迪普科技股份有限公司視頻專網(wǎng)安全問題分析視頻監(jiān)控安全問題頻發(fā)監(jiān)控錄像機被黑，監(jiān)控畫面網(wǎng)絡(luò)流傳公安廳發(fā)電，監(jiān)控設(shè)備全面清查加固視頻監(jiān)控安全建設(shè)刻不容緩《意見》要求建立公共安全視頻監(jiān)控系統(tǒng)聯(lián)網(wǎng)應(yīng)用的分層安全體系，實現(xiàn)重要視頻圖像信息不失控，敏感視頻圖像信息不泄露，加強網(wǎng)絡(luò)安全傳輸、嚴(yán)格準(zhǔn)入機制等技術(shù)手段建設(shè)，提升視頻監(jiān)控系統(tǒng)安全防護能力。公安視頻專網(wǎng)基礎(chǔ)架構(gòu)及安全現(xiàn)狀公安視頻專網(wǎng)技術(shù)架構(gòu)市公安視頻專網(wǎng)邊界安全接入平臺視頻安全接入系統(tǒng)市級視頻共享平臺監(jiān)控中心政府部門專網(wǎng)社會面視頻專網(wǎng)視頻安全隔離設(shè)備、防火墻防火墻區(qū)縣公安公安信息專網(wǎng)區(qū)縣公安視頻專網(wǎng)區(qū)縣聯(lián)網(wǎng)平臺區(qū)縣視頻共享平臺監(jiān)控中心政府部門專網(wǎng)社會面視頻專網(wǎng)視頻安全隔離設(shè)備、防火墻公安業(yè)務(wù)系統(tǒng)防火墻市視頻聯(lián)網(wǎng)平臺公安業(yè)務(wù)系統(tǒng)市公安公安信息專網(wǎng)省視頻聯(lián)網(wǎng)平臺公安業(yè)務(wù)系統(tǒng)省公安公安信息專網(wǎng)派出所視頻接入網(wǎng)監(jiān)控中心政府部門視頻監(jiān)控平臺社會面視頻接入平臺政府部門視頻監(jiān)控平臺社會面視頻接入平臺前端視頻圖像資源區(qū)縣分局市局省廳公安信息網(wǎng)視頻資源邊界安全接入平臺視頻安全接入系統(tǒng)公安視頻專網(wǎng)視頻專網(wǎng)本身準(zhǔn)入安全亟待建設(shè)公安信息專網(wǎng)中，目前已有完備的主機安全、網(wǎng)絡(luò)安全、邊界安全等建設(shè)政府、社會面視頻專網(wǎng)后續(xù)接入公安視頻專網(wǎng)，邊界安全為未來建設(shè)目標(biāo)接入端的準(zhǔn)入防護需求接入主機針對接入網(wǎng)絡(luò)的主機進行的安全防護，如一機雙平面等技術(shù)IPC終端目前公安視頻專網(wǎng)在針對IPC終端的準(zhǔn)入控制方面尚屬空白公安視頻專網(wǎng)規(guī)模不斷擴大，IPC終端防護重要性日益凸顯公安視頻專網(wǎng)現(xiàn)狀前端私接難以防范公安視頻專網(wǎng)規(guī)模龐大、分支較多、IPC地理位置分散，人為監(jiān)管困難核心業(yè)務(wù)易受攻擊攻擊者可輕易連接到核心業(yè)務(wù)系統(tǒng)，并通過攻擊影響公安業(yè)務(wù)正常運行敏感數(shù)據(jù)易被盜用數(shù)據(jù)庫系統(tǒng)內(nèi)視頻、圖像、車輛軌跡等敏感信息外泄將會造成重大損失某市公安視頻專網(wǎng)滲透測試結(jié)果監(jiān)控系統(tǒng)管理權(quán)限被滲透測試拿下核心數(shù)據(jù)被滲透測試攻破某市公安視頻專網(wǎng)滲透測試總結(jié)專網(wǎng)未專用未對流量進行識別和過濾，所有數(shù)據(jù)均能接入公安視頻專網(wǎng)前端無準(zhǔn)入前端缺乏安全準(zhǔn)入機制，通過一根網(wǎng)線一個端口即可控制全網(wǎng)系統(tǒng)易入侵各系統(tǒng)存在弱口令、后門等漏洞與安全隱患，極易受到攻擊安全風(fēng)險，如何防范公安視頻專網(wǎng)準(zhǔn)入安全方案設(shè)計服務(wù)器區(qū)數(shù)據(jù)分析平臺統(tǒng)一管理平臺公安信息網(wǎng)第三方視頻網(wǎng)前端接入層核心交換機負(fù)載均衡邊界安全設(shè)備邊界安全設(shè)備視頻監(jiān)控管理平臺警務(wù)實戰(zhàn)平臺信息采集平臺其他平臺視頻匯聚層......匯聚層視頻傳輸網(wǎng)絡(luò)公安視頻專網(wǎng)準(zhǔn)入安全方案設(shè)計服務(wù)器區(qū)數(shù)據(jù)分析平臺統(tǒng)一管理平臺公安信息網(wǎng)第三方視頻網(wǎng)前端接入層核心交換機負(fù)載均衡邊界安全設(shè)備邊界安全設(shè)備視頻監(jiān)控管理平臺警務(wù)實戰(zhàn)平臺信息采集平臺其他平臺視頻匯聚層......匯聚層L2~7準(zhǔn)入認(rèn)證及控制視頻傳輸網(wǎng)絡(luò)L2~7準(zhǔn)入認(rèn)證及控制L2~7準(zhǔn)入認(rèn)證及控制L2~7準(zhǔn)入認(rèn)證及控制公安視頻專網(wǎng)準(zhǔn)入安全方案說明通過部署DAC（DeviceApplicationController）板卡，使網(wǎng)絡(luò)能夠感知應(yīng)用，做到只允許授信終端接入、只允許視頻專網(wǎng)承載合法視頻、圖片等數(shù)據(jù)，其他數(shù)據(jù)一概屏蔽，保證監(jiān)控系統(tǒng)安全可控。只允許專網(wǎng)傳輸視頻、圖片等業(yè)務(wù)數(shù)據(jù)，保證監(jiān)控系統(tǒng)安全可控視頻傳輸網(wǎng)絡(luò)視頻匯聚層......匯聚層L2~7準(zhǔn)入認(rèn)證及控制L2~7準(zhǔn)入認(rèn)證及控制L2~7準(zhǔn)入認(rèn)證及控制L2~7準(zhǔn)入認(rèn)證及控制網(wǎng)絡(luò)管道網(wǎng)絡(luò)管道準(zhǔn)入認(rèn)證應(yīng)用控制基于白名單機制的視頻準(zhǔn)入技術(shù)架構(gòu)黑名單網(wǎng)絡(luò)網(wǎng)無禁止皆可通白名單網(wǎng)絡(luò)網(wǎng)無許可皆不通二層MAC地址認(rèn)證1）建立網(wǎng)絡(luò)地址準(zhǔn)入數(shù)據(jù)庫：提取各接入IPC攝像頭的MAC地址，建立MAC地址準(zhǔn)入白名單；2）只允許授權(quán)MAC地址認(rèn)證通過授權(quán)準(zhǔn)入的IPC攝像頭，當(dāng)數(shù)據(jù)流到達認(rèn)證網(wǎng)關(guān)后，如果數(shù)據(jù)包中的MAC地址在準(zhǔn)入白名單中，則認(rèn)為數(shù)據(jù)為合法視頻流，反之則為非法數(shù)據(jù)流并丟棄。非授權(quán)MAC地址授權(quán)MAC地址丟棄放行DAC板卡公安視頻專網(wǎng)三層IP地址認(rèn)證1）建立網(wǎng)絡(luò)地址準(zhǔn)入數(shù)據(jù)庫：提取各接入IPC攝像頭的IP地址，建立IP地址準(zhǔn)入白名單；2）只允許授權(quán)IP地址認(rèn)證通過授權(quán)準(zhǔn)入的IPC攝像頭，當(dāng)數(shù)據(jù)流到達認(rèn)證網(wǎng)關(guān)后，如果數(shù)據(jù)包中的IP地址在準(zhǔn)入白名單中，則認(rèn)為數(shù)據(jù)為合法視頻流，反之則為非法數(shù)據(jù)流并丟棄。非授權(quán)IP地址授權(quán)IP地址丟棄放行DAC板卡公安視頻專網(wǎng)應(yīng)用層協(xié)議控制1）通過L4~7協(xié)議特征與動態(tài)端口號控制流量開啟應(yīng)用感知功能，識別傳輸數(shù)據(jù)的L4-7層協(xié)議特征與動態(tài)端口號，只允許授權(quán)的數(shù)據(jù)流及控制信令進入視頻監(jiān)控系統(tǒng)，禁止其他非法數(shù)據(jù)接入。2）實現(xiàn)與主流監(jiān)控廠家平臺的對接及聯(lián)動：應(yīng)用感知協(xié)議庫已經(jīng)包含?？怠⒋笕A、宇視等主流廠家IPC端發(fā)起的協(xié)議類型，包含IPC注冊、視頻流、音頻流、服務(wù)、告警日志等公有及私有協(xié)議。非IPC視頻流授權(quán)IPC視頻流丟棄放行公安視頻專網(wǎng)DAC板卡丟棄非IPC視頻流接入數(shù)據(jù)管控功能展示內(nèi)置海康、大華、宇視、科達等主流廠家征庫，并支持手動特征庫擴展接入資產(chǎn)管理監(jiān)測接入終端及鏈路的狀況，協(xié)助用戶排查攝像頭無法連接或圖像延遲大等問題IP資產(chǎn)管理監(jiān)測IP地址的使用狀態(tài)，包含在線IP、離線IP、未使用IP以及每個IP地址的終端類型為管理員對新設(shè)備入網(wǎng)、故障排查等提供指導(dǎo)視頻安全可視化平臺異構(gòu)監(jiān)控系統(tǒng)資產(chǎn)統(tǒng)一監(jiān)測，設(shè)備上線、離線、非法私接等實時告警DAC設(shè)備統(tǒng)一配置策略模板配置選擇DAC進行策略下發(fā)無需登錄到每臺DAC上進行配置，安全策略由UMC基于配置模板統(tǒng)一下發(fā)平臺分級管理實現(xiàn)省廳、地市、區(qū)縣公安分級分權(quán)限管理，如市公安管全使，區(qū)公安管本區(qū)專業(yè)的安全評估及服務(wù)具有國內(nèi)最高服務(wù)水平認(rèn)證的《信息安全服務(wù)二級資質(zhì)》團隊成員95%以上具有CISSP、ISO27001、ISO20000、CISP等資質(zhì)認(rèn)證。專業(yè)的安全咨詢服務(wù)團隊安全服務(wù)團隊通過專業(yè)的工具及方法，系統(tǒng)地分析公安視頻接入網(wǎng)絡(luò)所面臨的威脅及其存在的脆弱性，評估安全事件一旦發(fā)生可能造成的危害程度。專業(yè)的測試與評估方法解決方案用戶價值二、安全證書公安部《安全專用產(chǎn)品銷售許可證》保密局《涉密信息系統(tǒng)證書》中國信息安全測評中心：《信息安全服務(wù)安全工程類二級資質(zhì)》公安部：《等級保護安全建設(shè)服務(wù)機構(gòu)能力合格證書》中國信息安全認(rèn)證中心：《應(yīng)急響應(yīng)一級資質(zhì)》中國信息安全認(rèn)證中心：《風(fēng)險評估服務(wù)一級資質(zhì)》政策合規(guī)，后顧無憂一、滿足政策要求GB/T28181《中央企業(yè)商業(yè)秘密保護暫行規(guī)定》GB/T22239-2008《信息系統(tǒng)安全等級保護基本要求》GB/T20984-2007《信息安全技術(shù)信息安全風(fēng)險評估規(guī)范》BMB17《涉及國家機密的信息系統(tǒng)分級保護技術(shù)要求》體驗無影響時延

：對實時業(yè)務(wù)最小限度的影響＜20us50ms行業(yè)規(guī)范迪普實現(xiàn)=可靠：機框間狀態(tài)實時同步，單機故障業(yè)務(wù)不中斷、切換無感知主控板業(yè)務(wù)插卡接口卡主控板業(yè)務(wù)插卡接口卡主控板業(yè)務(wù)插卡接口卡主控板業(yè)務(wù)插卡接口卡=+最小的現(xiàn)網(wǎng)改動DAC設(shè)備支持在線部署與旁掛部署兩種方式，采用旁掛部署時，可在對原有公安視頻專網(wǎng)做最小改動的前提下，實現(xiàn)對網(wǎng)絡(luò)中的視頻、圖片流量和控制信令的實時控制或鏡像檢測。DAC板卡傳輸網(wǎng)絡(luò)…在線部署DAC設(shè)備在線部署于網(wǎng)絡(luò)匯聚位置，實時檢測、控制網(wǎng)絡(luò)中的流量DAC板卡匯聚設(shè)備旁掛部署傳輸網(wǎng)絡(luò)…DAC設(shè)備旁掛部署于匯聚設(shè)備旁，可實現(xiàn)引流控制或鏡像檢測性能彈性可擴展單機云板卡雙機云板卡DAC云板卡DAC云板卡DAC云板卡32000路4M碼流IPC準(zhǔn)入控制16000路4M碼流IPC準(zhǔn)入控制單機單板卡DAC業(yè)務(wù)板卡1600路4M碼流IPC準(zhǔn)入控制閉環(huán)評測，安全無憂運行維護加固實施風(fēng)險評估規(guī)劃設(shè)計面向公安視頻專網(wǎng)的產(chǎn)品系列DPX17000DPX8000DAC-Blade-ADAC-BladeLSW工業(yè)交換機LSW商用交換機案例分享—杭州市交警視頻專網(wǎng)該市交警支隊的視頻專網(wǎng)需要承載實時監(jiān)控、實時指揮等業(yè)務(wù)的關(guān)鍵流量，迪普科技DAC設(shè)備在匯聚層雙機冗余部署，對前端數(shù)千路高清攝像頭進行L2~7準(zhǔn)入認(rèn)證及控制，為用戶建設(shè)了一張安全、合規(guī)、可靠的監(jiān)控專用網(wǎng)絡(luò)。案例分享—杭州市市公安視頻專網(wǎng)該市公安已經(jīng)完成視頻監(jiān)控專網(wǎng)建設(shè)，但前端攝像頭接入點存在私接隱患，因此在現(xiàn)網(wǎng)匯聚設(shè)備上旁掛迪普科技DAC設(shè)備，實時監(jiān)測網(wǎng)絡(luò)流量，在不改變現(xiàn)網(wǎng)的前提下，實現(xiàn)和主