VBSP平臺采用了自主研發的GDC微服務平臺,系統各服務根據業務切分,服務間邊界明確,易開發維護,服務獨立部署,可通過分布式提高性能,極大提高系統的擴展性和穩定性。
VBSP平臺采用了自主研發的GDPS全局設備快速感知系統,GDPS定位為物聯網內設備發現,當前公司內部多個產品都在使用,歷經多年的優化及特征庫收集,GDPS已有豐富的設備特征庫,借助先進的特征識別技術,可快速準確的識別物聯網內設備,及時發現冒用、離線、入侵等異常設備。
VBSP平臺采用先進的虛擬安全磁盤存儲空間、文件重定向等技術,把視頻管理平臺下載的數據強制重定向到虛擬安全磁盤中,使用強加密技術對虛擬安全磁盤存儲空間進行加密處理,確保磁盤視頻數據在非法終端無法讀取,保證涉密數據無法通過任何非法方式導出至虛擬安全磁盤外,視頻數據的生成、存儲、訪問、銷毀完成整個生命流程均在虛擬安全磁盤中。
VBSP平臺采用自主研發的全新一代NACP準入控制技術,不改變用戶網絡拓撲架構,可滿足各種復雜網絡、混合型部署網絡等大型網絡的準入管理要求,可通過部門(用戶、設備)、設備類型、設備廠商、測評狀態、用戶類型等多維度組合配置,通過靈活的準入配置,可滿足更多的應用場景。
系統能夠實現對視頻網維護人員訪問視頻資源的行為進行記錄,能夠實現對視頻資源的查看行為、相關參數修改行為、云臺控制,歷史回放等行為的記錄與告警,從而防止不法分子非法訪問視頻資源,造成信息泄露等安全事件。
系統采用多維度溯源追蹤引擎覆蓋服務器、網絡、終端設備,對網絡異常接入、終端運行異常、設備偽冒替換等重要的安全事件進行實時探測,包括事件的時間、設備信息、事件類型、事件內容、入網狀態等,支持對事件進行等級設定,提供多種方式的實時告警(告警郵件、告警短信、告警消息、GIS地圖定位、網絡拓撲閃爍等)。
系統通過對多種標準網絡協議的深度解析,結合自主研發的設備特征識別技術,對視頻監控網絡內的所有前端設備進行主動探測+被動分析兩種方式相結合進行設備發現與感知。系統通過協議分析后可獲得網絡內設備的信息,與系統數據庫進行對比,鑒別設備的合法性,系統將探測的前端設備信息與后臺合法設備數據進行綜合驗證,對接入設備進行標定,對非法接入的設備系統自動告警、阻斷。
根據設備發現信息,在設備接入視頻網前對其進行安全性的可信認證,通過對設備系統、結構、功能的安全監測評估,與相關安全基線比對,保證即將接入網絡的是正確、可信、安全的智能設備。已經接入網絡的設備在其與后端進行業務交互時,依據特征庫指紋比對,實施可信認證,通過有效的加密算法、認證方案,確保設備未被非法控制、感染。
采用網絡感知發現模塊,對網絡內設備在線狀況、陌生設備入侵、設備非法偽冒、設備時間異常、碼流延時、視頻訪問行為等進行監測,將探測到的前端設備各類信息與后臺合法設備數據進行綜合驗證,對接入設備進行標定,對非法接入的設備系統自動告警、阻斷。
內置多種報警觸發事件(網絡入侵、MAC變化、類型變化、設備離線、時間異常、違規行為、初始口令等),報警模塊實時與設備發現模塊、識別感知模塊、準入控制模塊進行數據交互,接收到異常事件時,觸發報警機制,可發送報警郵件、報警短信、報警彈窗消息,并在GIS地圖定位、網絡拓撲圖中進行異常標定。同時采用可視化的報警查看功能,針對同一設備出現的歷史報警信息以時間軸的形式進行統計展現。
應用新一代VBSP準入控制技術,以入網設備信息綁定、杜絕非法入侵和運行監測為主要設計理念,實現網絡邊界防護,異常邊界實時監測,阻斷非法設備入網的準入控制管理。秉承“不改變網絡、不依賴網絡設備、部署簡單”的特性,達到構筑邊界城墻、放行信任入網、阻斷非法接入的管理目標。
方案簡介
視域邊界安全平臺(以下簡稱“VBSP”)可對物聯網內設備等自動發現資產,快速識別設備信息,精確管控,主動發現網絡邊界,僅允許認證通過的設備接入網絡,精準管控合法設備在網絡中交互傳輸。對物聯網內設備進行實時監管,第一時間發現網內違規事件并阻斷入網,向管理員發送告警通知,從而解決網絡非法私接、設備仿冒替換、網絡運行信息掌握不全、違規處理遲緩等問題。
方案功能
一、邊界防護
VBSP平臺使用金盾自主研發的NACP網絡準入控制技術,在不改變網絡架構的基礎上筑起網絡邊界防護城墻,使用金盾自主研發的GDPS全局設備快速感知系統,主動快速發現網內資產,精準識別設備信息,實時監測設備變化,對偽冒、入侵等異常行為的設備立即阻斷,保障網絡邊界安全。
VBSP平臺集成豐富的終端安全策略,筑起終端邊界防護城墻,實時對終端設備進行監測,對不合規的外接設備如:USB存儲設備、無線網卡、手機等進行禁用,有效保護終端接入邊界安全。
二、統一管理
VBSP平臺通過自動采集網絡中各種IP設備信息,通過內置豐富指紋特征庫,準確識別網內設備類型,對IP資產進行清晰分類,查得清,看得明。
VBSP平臺將物聯網設備、終端設備、視頻數據等信息在平臺集中展現,打破跨平臺分散管理的局面,一平臺綜合展示,了解網內所有物聯網設備信息,為管理員維護物聯網設備提供數據支持。
三、全面監控
VBSP平臺對設備的運行狀態實時監控,監測設備mac、類型、身份標識等狀態變化,除此之外還對設備本身的口令、違規外聯、網絡邊界進行檢測,對發生的異常情況自動采取措施并發出告警通知。
價值收益
一、滿足政策要求
金盾軟件VBSP平臺的功能參照并遵循國家頒發的一系列信息安全標準,本著安全性、標準化、等級劃分的思想來保障信息系統的安全。
通過部署網絡準入控制及終端安全管理系統后,可滿足以下標準對于網絡準入和終端安全管理的要求:
《國家信息化領導小組關于加強信息安全保障工作的意見》(中辦發[2003]27號)
《涉及國家秘密的計算機信息系統保密技術要求》(BMZ1-2000)
《信息安全技術?信息系統安全等級保護基本要求》(GB/T 22239-2019)
《中華人民共和國網絡安全法》
二、高效統一的資產管理
對終端的軟硬件資產及終端計算機相關信息等進行統一匯總,實現終端安全資產統計的輕量化和高效性,避免了人工統計帶來的高誤差及不完整性,同時實現用戶與計算機的定位匹配。
并通過對業務內網設備進行統一管理,探知每個設備的詳細信息,使其做到心中有數。在此基礎上,通過準入控制功能,從源頭上阻止非法接入的情況,防止私自接入設備的非法攻擊,保證了業務內網的安全。
三、多級平臺級聯管理
基于平臺級聯雙向認證技術,實現上下級平臺數據互聯互通,通過終端安全策略個性化級聯配置、級聯準入配置、級聯發現配置以及級聯資產數據、告警數據、日志數據的可視化展示功能,在進一步滿足“多級部署、統一管理“政策要求的基礎上,使用戶龐大繁雜的業務內網環境更安全、網內數據更清晰。
四、終端補丁實時推送
通過補丁安裝,保障終端計算機的安全可靠。針對網上頻出的勒索等惡意病毒,可及時并有針對性的進行補丁的修復和安裝。為用戶省去逐個下載龐大補丁庫的繁雜工作量,并且可避免因不及時更新補丁庫所帶來的安全風險。
五、終端設備專網專用
業務內網的終端由于承擔著數據分享的責任,就會形成邊界點,雖然有專用的隔離設施,但網絡有聯通就會存在風險,通過業務內網終端管理系統的建立,依靠網絡準入、違規外聯監測,外設管理,一旦出現連接未授權網絡可及時報警并阻斷,同時對合法邊界進行注冊管理,通過邊界的自動探查,也能有效的發現違規邊界,進而及時進行消除,真正意義上實現專網專用。
六、建立嚴格的終端安全管控機制
通過部署網絡準入控制系統,建立嚴格的業務網準入管控機制,加強網絡邊界安全防護措施,實時阻斷各類違規行為并及時報警,為業務系統的安全部署和信息互通共享提供安全保障。
通過對網絡訪問、外設管理、帳號安全、系統安全漏洞、應用行為、終端程序的設定,對業務內網中的設備進行全面的管理,從技術手段上彌補當前在終端上存在的缺陷和漏洞,避免一些惡意程序和行為對終端乃至對服務器造成的損壞和潛在性威脅,杜絕了數據竊取、違規操作、系統漏洞,保證了設備資產安全、數據安全及應用安全。
七、外防內護,全流程監管無疏漏
金盾軟件VBSP平臺以準入控制、終端安全管理、啞終端安全管理、攝像機安全管理等多種能力結合,從設備發現、設備入網、設備安全檢查、設備使用過程中安全防護、事后溯源審計等提供全流程的安全監管,確保全流程監管無疏漏,不放過任何安全管理細節。