VBSP平台采用了自主研发的GDC微服务平台,系统各服务根据业务切分,服务间边界明确,易开发维护,服务独立部署,可通过分布式提高性能,极大提高系统的扩展性和稳定性。
VBSP平台采用了自主研发的GDPS全局设备快速感知系统,GDPS定位为物联网内设备发现,当前公司内部多个产品都在使用,历经多年的优化及特征库收集,GDPS已有丰富的设备特征库,借助先进的特征识别技术,可快速准确的识别物联网内设备,及时发现冒用、离线、入侵等异常设备。
VBSP平台采用先进的虚拟安全磁盘存储空间、文件重定向等技术,把视频管理平台下载的数据强制重定向到虚拟安全磁盘中,使用强加密技术对虚拟安全磁盘存储空间进行加密处理,确保磁盘视频数据在非法终端无法读取,保证涉密数据无法通过任何非法方式导出至虚拟安全磁盘外,视频数据的生成、存储、访问、销毁完成整个生命流程均在虚拟安全磁盘中。
VBSP平台采用自主研发的全新一代NACP准入控制技术,不改变用户网络拓扑架构,可满足各种复杂网络、混合型部署网络等大型网络的准入管理要求,可通过部门(用户、设备)、设备类型、设备厂商、测评状态、用户类型等多维度组合配置,通过灵活的准入配置,可满足更多的应用场景。
系统能够实现对视频网维护人员访问视频资源的行为进行记录,能够实现对视频资源的查看行为、相关参数修改行为、云台控制,历史回放等行为的记录与告警,从而防止不法分子非法访问视频资源,造成信息泄露等安全事件。
系统采用多维度溯源追踪引擎覆盖服务器、网络、终端设备,对网络异常接入、终端运行异常、设备伪冒替换等重要的安全事件进行实时探测,包括事件的时间、设备信息、事件类型、事件内容、入网状态等,支持对事件进行等级设定,提供多种方式的实时告警(告警邮件、告警短信、告警消息、GIS地图定位、网络拓扑闪烁等)。
系统通过对多种标准网络协议的深度解析,结合自主研发的设备特征识别技术,对视频监控网络内的所有前端设备进行主动探测+被动分析两种方式相结合进行设备发现与感知。系统通过协议分析后可获得网络内设备的信息,与系统数据库进行对比,鉴别设备的合法性,系统将探测的前端设备信息与后台合法设备数据进行综合验证,对接入设备进行标定,对非法接入的设备系统自动告警、阻断。
根据设备发现信息,在设备接入视频网前对其进行安全性的可信认证,通过对设备系统、结构、功能的安全监测评估,与相关安全基线比对,保证即将接入网络的是正确、可信、安全的智能设备。已经接入网络的设备在其与后端进行业务交互时,依据特征库指纹比对,实施可信认证,通过有效的加密算法、认证方案,确保设备未被非法控制、感染。
采用网络感知发现模块,对网络内设备在线状况、陌生设备入侵、设备非法伪冒、设备时间异常、码流延时、视频访问行为等进行监测,将探测到的前端设备各类信息与后台合法设备数据进行综合验证,对接入设备进行标定,对非法接入的设备系统自动告警、阻断。
内置多种报警触发事件(网络入侵、MAC变化、类型变化、设备离线、时间异常、违规行为、初始口令等),报警模块实时与设备发现模块、识别感知模块、准入控制模块进行数据交互,接收到异常事件时,触发报警机制,可发送报警邮件、报警短信、报警弹窗消息,并在GIS地图定位、网络拓扑图中进行异常标定。同时采用可视化的报警查看功能,针对同一设备出现的历史报警信息以时间轴的形式进行统计展现。
应用新一代VBSP准入控制技术,以入网设备信息绑定、杜绝非法入侵和运行监测为主要设计理念,实现网络边界防护,异常边界实时监测,阻断非法设备入网的准入控制管理。秉承“不改变网络、不依赖网络设备、部署简单”的特性,达到构筑边界城墙、放行信任入网、阻断非法接入的管理目标。
方案简介
视域边界安全平台(以下简称“VBSP”)可对物联网内设备等自动发现资产,快速识别设备信息,精确管控,主动发现网络边界,仅允许认证通过的设备接入网络,精准管控合法设备在网络中交互传输。对物联网内设备进行实时监管,第一时间发现网内违规事件并阻断入网,向管理员发送告警通知,从而解决网络非法私接、设备仿冒替换、网络运行信息掌握不全、违规处理迟缓等问题。
方案功能
一、边界防护
VBSP平台使用金盾自主研发的NACP网络准入控制技术,在不改变网络架构的基础上筑起网络边界防护城墙,使用金盾自主研发的GDPS全局设备快速感知系统,主动快速发现网内资产,精准识别设备信息,实时监测设备变化,对伪冒、入侵等异常行为的设备立即阻断,保障网络边界安全。
VBSP平台集成丰富的终端安全策略,筑起终端边界防护城墙,实时对终端设备进行监测,对不合规的外接设备如:USB存储设备、无线网卡、手机等进行禁用,有效保护终端接入边界安全。
二、统一管理
VBSP平台通过自动采集网络中各种IP设备信息,通过内置丰富指纹特征库,准确识别网内设备类型,对IP资产进行清晰分类,查得清,看得明。
VBSP平台将物联网设备、终端设备、视频数据等信息在平台集中展现,打破跨平台分散管理的局面,一平台综合展示,了解网内所有物联网设备信息,为管理员维护物联网设备提供数据支持。
三、全面监控
VBSP平台对设备的运行状态实时监控,监测设备mac、类型、身份标识等状态变化,除此之外还对设备本身的口令、违规外联、网络边界进行检测,对发生的异常情况自动采取措施并发出告警通知。
价值收益
一、满足政策要求
金盾软件VBSP平台的功能参照并遵循国家颁发的一系列信息安全标准,本着安全性、标准化、等级划分的思想来保障信息系统的安全。
通过部署网络准入控制及终端安全管理系统后,可满足以下标准对于网络准入和终端安全管理的要求:
《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号)
《涉及国家秘密的计算机信息系统保密技术要求》(BMZ1-2000)
《信息安全技术 信息系统安全等级保护基本要求》(GB/T 22239-2019)
《中华人民共和国网络安全法》
二、高效统一的资产管理
对终端的软硬件资产及终端计算机相关信息等进行统一汇总,实现终端安全资产统计的轻量化和高效性,避免了人工统计带来的高误差及不完整性,同时实现用户与计算机的定位匹配。
并通过对业务内网设备进行统一管理,探知每个设备的详细信息,使其做到心中有数。在此基础上,通过准入控制功能,从源头上阻止非法接入的情况,防止私自接入设备的非法攻击,保证了业务内网的安全。
三、多级平台级联管理
基于平台级联双向认证技术,实现上下级平台数据互联互通,通过终端安全策略个性化级联配置、级联准入配置、级联发现配置以及级联资产数据、告警数据、日志数据的可视化展示功能,在进一步满足“多级部署、统一管理“政策要求的基础上,使用户庞大繁杂的业务内网环境更安全、网内数据更清晰。
四、终端补丁实时推送
通过补丁安装,保障终端计算机的安全可靠。针对网上频出的勒索等恶意病毒,可及时并有针对性的进行补丁的修复和安装。为用户省去逐个下载庞大补丁库的繁杂工作量,并且可避免因不及时更新补丁库所带来的安全风险。
五、终端设备专网专用
业务内网的终端由于承担着数据分享的责任,就会形成边界点,虽然有专用的隔离设施,但网络有联通就会存在风险,通过业务内网终端管理系统的建立,依靠网络准入、违规外联监测,外设管理,一旦出现连接未授权网络可及时报警并阻断,同时对合法边界进行注册管理,通过边界的自动探查,也能有效的发现违规边界,进而及时进行消除,真正意义上实现专网专用。
六、建立严格的终端安全管控机制
通过部署网络准入控制系统,建立严格的业务网准入管控机制,加强网络边界安全防护措施,实时阻断各类违规行为并及时报警,为业务系统的安全部署和信息互通共享提供安全保障。
通过对网络访问、外设管理、帐号安全、系统安全漏洞、应用行为、终端程序的设定,对业务内网中的设备进行全面的管理,从技术手段上弥补当前在终端上存在的缺陷和漏洞,避免一些恶意程序和行为对终端乃至对服务器造成的损坏和潜在性威胁,杜绝了数据窃取、违规操作、系统漏洞,保证了设备资产安全、数据安全及应用安全。
七、外防内护,全流程监管无疏漏
金盾软件VBSP平台以准入控制、终端安全管理、哑终端安全管理、摄像机安全管理等多种能力结合,从设备发现、设备入网、设备安全检查、设备使用过程中安全防护、事后溯源审计等提供全流程的安全监管,确保全流程监管无疏漏,不放过任何安全管理细节。
