在一切皆为数字化的背景下,IP摄像头逐渐覆盖了各个领域。地铁、机场、高校、中小学、企业、街头等城市
的各个角落都可见摄像头的身影,网络的边界也随着摄像头的部署而变得更加广泛。视频监控的普及,
也给我们带来了网络管理和网络安全方面的新挑战。尤其是近几年安全事件频发,针对摄像头的入侵攻击事件也时有发生,
且影响力、危害性越来越大。为保障视频监控网络的安全,锐捷网络提出了针对视频监控网络安全加固的解决方案。
平安城市、高校校园摄像头部署广泛、密集,数量庞大, 无法对摄像头进行有效的识别及管理,没有准入机制, 存在私接PC、终端的风险。
监控网络中部署视频监控安全网关,收集所有摄像头的流量,提取摄像头品牌、型号、IP、MAC,建立合法资源列表。通过关键信息匹配识别摄像头私接、替换等行为,基于DPI技术,可识别PC、终端等非法接入行为。
视频流量异常变化的背后原因是什么? 如何确保视频网络 中传输的流量是安全的? 病毒或恶意代码能否进行发现告 警及实时阻断?
视频监控安全网关针对实时传输的视频流量及控制流量 进行监测,发现流量的异常变化,例如流量增大或者减 少,进行告警提示。同时内置病毒库、攻击库,对流量 进行过虑,对FTP、HTTP协议进行病毒查杀,对SQL注 入、XSS攻击进行发现及拦截。
摄像头有一个逐步扩容、更新的过程,已经上线的摄像 头是否存在漏洞,该如何发现这些漏洞,并进行及时的 防护,以避免因为漏洞而产生入侵、攻击的风险?
视频监控安全管理平台集成多种漏洞库,可实时扫描网 络中的IP摄像头,发现弱口令等漏洞,生成评估结果, 并依据整体的健康度状况,生成安全防护策略自动化推 送到前端的视频接入安全网关,形成针对摄像头的一道 防护屏障,杜绝基于漏洞形成对视频服务器、IP摄像头 的渗透行为,同时预留缓冲来对现有网络的摄像头进行 补丁升级等安全加固手段。
整个视频监控系统涉及的摄像头数量庞大,从几千台到几 万台,如何监测摄像头是否实时在线? 出现安全事件可以 实时定位、快速告警? 部署的若干台视频监控安全网关能 够统一监测、升级、配置下发? 如何提高综合运维的效率?
视频监控安全管理平台,能够对全网部署的视频接入安 全网关进行统一的运行状态监测、统一策略部署、配置 下发、远程升级。同时实现对所有摄像头在线率的统计, 私接、仿冒、攻击等安全事件的实时告警,摄影头漏洞 的统计,整网流量的监测,为用户提供从前端到后端、 设备、事件、故障等综合的辅助网络运维体系。
高性能处理能力
单台设备最高网络吞吐达到20Gbps,最高可支持5000路摄像头流量过滤
多核并行处理架构,业务处理层和数据转发层分离
整个解析过程一次拆包,保证开启多项安全管理功能后依然保证高速度、低时延的流量识别及控制
丰富的设备识别能力
采用DPI的识别方式使得应用层协议可视化可控,视频安全网关可以根据应用的行为和特征实现对应用进行识别和控制,而不仅仅依赖于端口或标准协议,摆脱了传统设备只能通过IP地址或者五元组控制的粗粒度,即使加密过的数据流也能进行管控。
根据ONVIF接口中携带的信息对终端进行识别,可以识别出摄像头的序列号,型号,品牌等信息。针对采用非标准ONVIF设备,以及其他终端如电脑,手机终端,根据终端的应用流量特征识别终端的类型。
安全防护能力
视频安全网关融合了漏洞防护、Web安全防护等多种安全技术,具备漏洞特征库、木马插件等恶意内容特征库、Web应用威胁特征库,可以全面识别各种应用层和内容级别的各种安全威胁。提供文件过滤、ActiveX过滤、脚本过滤等多种Web安全防护手段通过对应用流中的数据报文内容进行探测,从而确定数据报文的真正应用。Web应用防护通过主动防御已知和未知攻击,实时阻断各种黑客攻击,如SQL注入、XSS攻击、网站扫描、Web SHELL、会话劫持攻击等。支持多种流量异常特征库,包括敏感信息泄露/DoS攻击/尝试获取用户特权的攻击/尝试获取管理员特权的攻击/网络流量中发现可执行文件的注入/远程过程调用告警/客户端使用可疑端口通信/可疑的网络扫描/尝试用默认账号窃取信息等。
病毒查杀能力
病毒库数量10万以上,定期更新,基于流引擎查毒技术,针对HTTP、FTP等协议进行查杀。有效防止在摄像头等终端设备被攻破的情况下,对终端植入病毒,从而进行更广泛的传播,造成更大的危害。
网桥部署
网桥模式:可以实现对摄像头品牌识别、IP/MAC绑定、病毒及攻击阻断、非法摄像头、非法终端接入过滤。
旁路部署
旁路部署模式,是采用与交换机的镜像端口相连,通过镜像流量的方式,实现对网络数据的审计。只能对非法接入安全事件的告警,无法进行控制。
集中管理部署
集中管理部署模式主要适合多台网关设备分布部署、需要统一下发安全策略、统一管理的环境。它的特点是在中心端统一管理、统一授权、统一展现,中心集中管理平台可以向所有的设备统一下发策略。
型号 |
描述 |
备注 |
RG-UAC 6000-ISG02C |
6个GE接口,支持100路摄像头 |
|
RG-UAC 6000-ISG10C |
6个GE接口,1个扩展插槽,支持500路摄像头 |
|
RG-UAC 6000-ISG40M |
4个插槽,可扩展32个千兆接口或16个万兆接口,支持1000路摄像头 |
|
RG-UAC 6000-ISG200S |
4个插槽,可扩展32个千兆接口或16个万兆接口,支持5000路摄像头 |
|
部署简单
本产品的部署不需要改变已有网络结构,可以串接部署,也可以旁路部署,满足检测的同时进行控制的要求,或者是单纯检测并告警的需求
性能强劲
采用自主知识产权底层高性能操作系统,在高性能转发数据包的同时,也能处理复杂的应用分析,可以发现隐藏在流量中的风险,并能及时阻断。本产品对视频流量的处理延迟远低于50MS,几乎可以忽略不计,降低对新加入设备后,造成的操作延迟担忧。
功能完善
可以从合法终端识别,异常流量检测,漏洞防护,病毒查杀等方面有效解决解决视频监控专网终端管理、设备替换、非法入侵等问题,帮助用户解决视频专网安全运行问题,实现视频专网可视、可控、可管。
扩展灵活
本产品中涉及到的应用库,漏洞库,病毒库,可进行在线更新,可以灵活扩展。
统一管理
在需要部署多台视频监控安全网关产品的环境下,可支持由视频专网安全平台端统一管理,策略的下发,版本/库的升级操作。有效减少维护的复杂度,降低人员维护成本。