视频专网解决方案
背景需求
自全国公安视频专网大力推进了智慧城市和视频监控系统的建设,逐渐形成了覆盖整个城市的视频专网,实现交通数字化监测与信息共享、治安重点区域实时监控,全面提升对突发案件、群体性事件和重大保卫活动的监控力度和响应能力。公安视频专网作为视频监控系统的主要承载网络,具有网络安全级别高、网络规模庞大、网络分支较多、网络摄像机接入地理位置分散、人为监管困难等特点,导致现在各地公安机关视频专网前端设备、系统应用、存储系统、网络摄像机、公安应用等设备存在较大的安全风险。

为规范公安单位视频专网建设和安全管理工作,按照公安部相关视频监控安全管理的要求和《广东公安视频专网网络与安全建设指导意见》,结合公安单位视频专网现状和面临的突出问题,拟通过在公安单位内部署网络准入控制系统,针对公安视频专网网络进行了统一的资产管理和直属单位的准入管控,保障公安视频专网运行效能和网络安全,切实提升网络安全防护能力,防止重大网络安全事件的发生。
存在问题
资产设备难以统计
自全国公安视频专网大力推进了智慧城市和视频监控系统的建设,公安视频专网前端设备日益增长,同时前端设备品类繁多、品牌复杂、维护单位众多,包含有大量的网络摄像机、NVR/DVR设备、网警电子围栏、电子警察、交警应用设备和公安应用设备等等。

随着视频专网应用的高速发展,公安单位视频专网的全网资产识别和分类统计变得尤为困难。
设备私接难以防范
公安单位视频专网规模庞大,存在设备众多、分支较多、地理位置分散、人为监管困难。导致大量的无人值守位置容易造成设备无故离线和未知设备的违规私接。
设备安装管理混乱
早期建设的公安视频专网专注于业务可用性而忽略了安全性和管理性,导致大量的前端设备仅仅满足网络可达即顺利交付,并未有严格遵守公安单位要求的专用设备专用网段的管理规范。
敏感数据易被盗用
数据库系统内视频、图像、车辆轨迹等敏感信息外泄将会造成重大损失。比如前端设备,在大部分情况下无人值守,攻击者很容易将这些终端作为入侵的跳板,入侵到公安视频专网,盗取公安公安视频专网的关键敏感信息。
缺乏实时检测机制
当发生安全漏洞风险时,系统无法进行及时发现与告警,缺乏有效阻断和隔离问题终端的防御能力,让有非法企图的人员有漏洞可循。
解决方案
世安网络准入控制系统首选采用目前国内外主流的旁路部署模式,如下为旁路部署模式下的网络拓扑图:
 
世安网络准入控制系统采用旁路部署的方式,部署于核心交换机一侧,无须额外配置802.1X或策略路由。

世安网络准入控制系统在旁路模式下结合自动化运维准入技术实现覆盖到核心层、汇聚层和接入层的全方位准入控制。准入系统通过Telnet、SSH、SNMP等协议配置与网管型交换机建立管控交互关系,实现基于跨路由网的动态IP ACL/MAC ACL/SVI ACL三种模式的准入管控技术。




方案价值
易用性
传统网络准入系统存在更改网络拓扑、更改原有路由结构、大幅增加核心设备的802.1x网络配置等问题, 世安网络准入控制系统设备可根据现有网络的部署方式,实现勿需更改现有的网络拓扑,无任何路由改动的旁路部署。
世安网络准入控制系统系统对于目标网络环境具有极强的适应性,可智能支持各种网络类型,世安网络准入控制系统上线后自动学习连接网络的VLAN信息,并自动生成VLAN、子网配置,极大的简化了部署时间和成本。
在此基础上,世安网络准入控制系统支持网络环境自动发现和基础配置自动下发功能,能有效的提高部署效率,实现真正意义上的秒级设备部署。
可视化
世安网络准入控制系统记录下网络环境中各种入网、离网、访问流转、异常流量信息。
世安网络准入控制系统把这些复杂的数据进行过滤、聚合、分析形成一系列通俗易懂的安全报表。
扩展性
传统准入产品的推广实施需要全网络或全区域的开展,容易造成客户网络崩溃。
世安准入在新版本中实现了端口级的管控开关,客户可以逐个逐个端口去进行推广使用,放心且方便。
可靠性
旁路部署方式,不对用户网络进行改造,不对在线终端造成影响,对灾难状况不产生断网。