安恒公安局神经元感知网网络准入控制系统解决方案.docx

XX公安局神经元感知网网络准入控制系统解决方案DAS-Security0全卬国杭州安恒信息技术股份有限公司目录1 .背景概述2威胁分析2解决方案5方案目标5部署示意图6功能实现73.3.1. 设备资产可视化管理73.3.2. IP地址使用情况可视化管理83.3.3. 网络控制权限精细化到IP及协议和端口93.3.4. 前端视频设备流量与行为仿冒检查与防护103.3.5. 合规遵从管理113.3.1, 全网设备资产管理123.3.2, 日志外部推送13方案实现效果13方案优势14解决方案实现简洁高效14基于设备行为与流量的仿冒检测14网络环境高适用性15整体方案不改变感知网现有网络结构，设备旁路部署，不会造成网络瓶颈。系统提供双机热备功能，不存在单点故障情况，更不会对感知网造成断网影响。151.背景概述随着天网工程、雪亮工程等工程的提出，政府部门大力推进视频监控系统的建设，XX公安局感知网（以下简称感知网）经过多年建设也已经形成较大规模，前端摄像机大都部署在街道、街区、重点场所等位置。感知网对维护全市社会治安稳定、防范和打击违法犯罪等发挥了及其重要的作用，也成为了承载着巨量终端和巨量数据的典型物联网。感知网有着前端摄像机终端有数量巨大和物理分布范围较广等特点，这就造成了感知网对设备接入的控制管理困难，容易被恶意人员非法接入进而侵入整个网络，严重将导致视频图像等重要数据的窃取，近年来恶意人员利用物联网发起攻击入侵的事件也频频发生，所以感知网的网络准入控制也应当引起管理者的重视。威胁分析通过对XX公安感知网的网络环境、业务特征、设备分布、使用场景等方面进行分析，我方认为当前对感知网的安全造成的威胁主要是:1 .前端摄像机等视频设备资产管理不明晰随着感知网海量的视频设备的部署，全市感知内平均每天会有大量的网络摄像头、卡口、NVR.Wifi探针等视频设备上线或更替。管理员需要及时掌握所管辖维护范围内的所有设备资产上线、运行状态、设备更替淘汰等资产情况，甚至需要准确的了解每一个摄像头接入在哪一个交换机的哪一个端口,实现终端快速定位。而这些工作，目前是XX公安局感知网的维护管理当中最困难、工作量也是最大的一个环节，管理员很难第一时间全面、准确的进行掌握，存在遗漏，就容易存在安全风险。2 .前端摄像机容易被恶意人员替换为电脑、路由器等设备由于前端摄像机有着部署位置偏僻，分布广、无法实时管理等特点，恶意人员只需要将摄像机网线插入电脑或者路由器并设置成摄像头原来的IP地址和MAC地址，就可以接入感知网，实现入侵和数据窃取，感知网管理员很难发现，事后也很难追踪。3 .人员将电脑等设备随意接入视频专网的问题感知网内也有大量电脑用于对感知网的访问和管理，如果人员在办公地点错误的将电脑接入视频专网不仅会占用感知网的IP地址，还有可能把电脑上携带的病毒木马带入感知网；恶意人员的电脑接入后更是可以进行攻击入侵和窃取感知网的数据，这都存在极大的安全隐患。4 .感知网的异常访问与异常攻击行为的安全态势感知感知网内是否存在异常攻击行为、异常访问行为，对网络可用性、重要资产服务器的攻击的行为，很难进行第一时间的发现和阻断，固定攻击证据链，形成取证报告。尤其是感知网在与云平台进行深入对接时，越来越开放，面对的攻击和威胁越来越多，无法第一时间发现攻击与威胁，感知网将面临未知的巨大威胁。5.摄像头IP地址分配、回收等管理问题摄像机接入感知网需要管理员分配IP地址，错误的配置IP地址会导致出现IP地址冲突等问题，长时间未使用的IP未及时进行回收，会导致视频专网IP地址池浪费，由于感知网有巨量的设备资源，如果能有效的进行感知网IP的管理也将大大降低管理员的工作量。另外用户对本单位有多少摄像头，有多少PC终端、设备接入位置等情况不清，当发生设备接入故障,管理员不能及时排查故隙，如无法知道摄像头等设备从哪个交换机接入、无法准确判断接入故障的原因等。2.解决方案1.方案目标通过部署安恒终端准入系统可以对感知网实现全面、准确的实现安全管理:1 .设备智能识别和分类：自动发现全网网络设备、视频资产设备，第一时间发现新接入设备，智能识别入网PC终端、移动终端、前端摄像头、打印机等终端，并基于设备特征与行为进行智能分类，梳理资产。2 .设备详细状态展示：形成设备IP/MAC、开放端口、协议、在线时间、是否在线、所在交换机及物理端口、流量信息、会话信息、安全状态信息。3 .设备网络接入控制：感知网内的所有接入终端（摄像机、NVR,卡口等哑终端设备、PC终端等）需经过身份校验之后方可放行入网，确保只有安全合规的设备才能正常接入感知网；4 .精细化网络资源访问控制：前端摄像头和电脑终端入网后，入网设备只有访问指定资源的权限，如摄像头只能访问指定视频服务器指定端口，实现精细化网络资源访问控制。6 .威胁行为审计及控制：一旦摄像头被控制后，被黑客用来攻击其他摄像机或视频服务器时,通过威胁情报可提前感知DDOS攻击、网络扫描等恶意行为，便于用户提前处置；同时利用安全棱镜技术让黑客分不清真假设备，一旦黑客摸到虚拟设备可及时发现并予以告警；5.统一P地址管理：IP地址有序的分配和自动回收，有效减少管理员管理工作量。2.部署示意图前端视频设备前端视频设备附图L部署示意图如上图所示，针对XX公安局感知网的准入控制系统建设，通过部署安恒安全管理平台和安恒终端准入系统（探针），采用分级部署、集中管理方式，实现对整个XX公安局感知网的安全管理：1）各派出所核心旁路部署一台安恒终端准入系统，作为探针设备，实现前端设备的接入控制、安全态势感知；发现和阻止攻击行为功能，通过在感知网中幻影出虚拟摄像机和虚拟视频服务器，当恶意人员入侵接入到感知网中，该功能能让入侵者误以为网络上有二十倍以上数量的网络摄像机和视频服务器。当入侵者错误的访问或者攻击虚拟摄像机或者虚拟视频服务器时，将被系统捕获到并发出报警。2）各分局部署一台终端准入二级管理中心设备，进行分局内资产管理、安全策略管控、区公安局范围内的整体安全态势把握；3）XX公安局网络当中旁路部署一台一级管理中心设备，用于全市感知网的整体准入控制、安全态势感知、数据报表集中汇总。并部署一台安恒终端准入对市局范围内接入感知网的终端进行准入控制和安全态势感知；4）从系统高可用性考虑，建议所有系统进行双机热备；从实际建设成本考虑，建议项目分期建设，一期单机部署，二期可进行双机热备扩容部署。3.功能实现3.3.1.设备资产可视化管理通过系统自动发现和功能，可以快速发现识别分布在网络中的摄像机、硬盘录像机、流媒体等视频语音设备，识别PC电脑、服务器、网络设备、安全设备等类型设备资源，并收集设备的IP、MAC、开放端口、协议、在线时间、是否在线、所在交换机及物理端口、流量信息、会话信息、安全状态信息，通过流量识别技术可以发现设备的物理地址、设备的操作系统指纹、设备的流量行为模式等信息。同时提供网络管理功能，对感知网进行拓扑发现和展示拓扑图等，如果有设备通过HUB接入到感知网中也能进行快速定位，如果设备通过路由器等NAT方式接入亦可进行检测和定位。ItAIiftMVUManaQtM0 249 138511 047 054.95%34O994 fi%> 1 (031HI051-PC0: Bl l¼5WWM.472<34.0%) 一fte IieSilKi&aKfi4468%M17%19.15oo g«i9i 湖000*Ha 17O&I7%)的期ftW ： 47PCM 21 (4468%)RMiMl)0IlllIIIiiiiIL200100却 171O252017-10-272O17-1Oift*Q99，日-H 月 xSFrE5)A<FWWiWUjfC入近3（庚多?OeS 145249附图2.首页信息3.3.2.IP地址使用情况可视化管理安恒终端准入系统系统会记录已经分配的IP地址、设备在线信息、历史IP使用记录。并对每个网络的可用地址进行计算，给管理员提供准确的参考。通过图表的不同颜色对不同接入状态的IP使用进行直观、可视化的表示，有效简化管理人员的IP地址及时更新与维护问题。渐ftU8)rcM<*>联(0i*e流施RHMRW 喇RmM rm.M&K>.0/241 MHMgIW l«e IO I-IW IM IO V *4 *¼S画画典画剧画画剧画画画由剧画画画m日囱日蜡IHrfl啕物也H陷!何!倒七后也日用倏tH班冏嗡画画囱日明im4t?155 (l)ir«w弟 C BITt i-i.典计I弟记第附图3.IP地址管理3. 3. 3.网络控制权限精细化到IP及协议和端口系统以旁路方式部署在被管网络的核心交换设备上，通过端口镜像进行流量监听，不需要调整网络结构，可适应各类组网方式的网络。针对违规接入网络的终端进行自动阻断隔离，禁止接入网络。针对已经发现的摄像机实现动态ACL网络权限控制，仅允许摄像机访问必要的网络，合理的设置设备的网络访问权限，将风险降到最低。同时，针对发现网内存在设备伪冒、异常访问和异常攻击行为的终端，在发现之后可通过准入控制手段进行阻断隔离。网络访问控制权限可以精确到IP、协议、端口，并根据不同分组分配不同的AeL访问权限。单于ACUW突源否在Aa名称 ACLSffiACL名称-复明1WMSAACL：A2 用*入ACI :痴淞跌致的设务UACkBadJCCOUnQ30铀ACl:NAHe«(««»,例源.UAaNAH4 KWM入Ael :和令安至规JB的设UAC¾juMty5 允许接入ACl ：符合安全费关的设UACI Vd n 2 J附图4.设备资源动态权限管理访问控制项定义访问控制项定义：permittcpanyanyeq21862描述：PermitEOUpackets关于通酉?符(wildcardbits)：绝大多数CiSCo设备中的ACI4dosp叫使用WildCardbits实际上WiIdCardbits的计算是直接使用255.255.255.255成去子网推码即可如一个子网推码为255.255.255.224，则相应的WildCardbits为0.0.0.31-保存取消附图5.网络访问控制权限精确到IP协议端口3.3.4.前端视频设备流量与行为仿冒检查与防护系统对摄像机的IP、MAC、硬件信息等形成的指纹信息生成免检设备列表和采用流量来识别摄像机的行为最终形成设备防伪冒列表，可以清晰的定位到所有的摄像机的接入状态和接入位置。一旦出现摄像机被恶意人员替换为电脑或路由器等设备进行入网行为，将被及时发现和进行处理，并通过Web浏览器实施警告，控制+警告的方式提醒违规接入人员。系统后台提供仿冒设备的详细审计信息。同时，当网内摄像头被恶意攻击者利用漏洞等方式进行控制后从事非法活动,系统能够第一时间通过流量异常方式进行感知、告警、阻断、取证：系统管理员可定义前段视频设备在安全合规状态下只与指定服务器如硬盘录像机、流媒体服务器等进行通信。安恒终端准入系统能够通过流量进行监测，利用大数据机器学习，生成网络访问行为画像,一旦发现前端视频设备的访问流量超出了画像范围，能够在第一时间进行发现、告警、阻断。抱歉！您的设备存在不安全的网络访问，已限制您接入网络。请联系管理员了解详情！。Tj开始rOJIoeol69Rtrn-20r»-»Linooojc<o由cWb国RJT无，笈H<$I'<<5附图6.设备仿冒警告3.3.5.合规遵从管理1入合规性检测：支持准入颗粒度检查，发现用户帐号使用多个终端登录、终端未使用规定的认证方式、未使用特定的接入控制点设备、未使用指定的WIFI进行准入认证给予阻断，并通知管理员进行审批。2软件合规性检测：支持发现未安装防病毒软件的终端设备，支持发现未安装企业合规的软件或者安装违规软件的设备，发现软件违规的设备立即告警或者阻断。3配置合规性检测：支持发现未关闭guest帐号的终端设备；支持发现未加入域的设备；支持发现开启共享目录的终端设备；支持发现未开启屏保，或屏保设置不合规的终端设备；支持发现存在可疑文件的终端设备；发现配置违规的设备立即告警或者阻断。设备评他供重 金主机僖.Mwn配0主后低电OHBiosfBSBcpuAC 二电 阜* *JHB*R-H8S fiswas pca 内存体3.3.1.全网设备资产管理系统可自动收集摄像机、电脑、视频服务器等类型设备的软/硬件资产信息。并形成各类资产的报表。其中硬件资产包含设备资源的硬件和外设信息，软件资产包含电脑和服务器环境上的操作系统和所有安装的软件信息。资产管理功能将大力提高管理者对全网软硬件信息的掌握，更为以后网络扩容和变更提供准确的数据依据。÷aHQ三51>A三WJ>fi½AKQlIWtta*0JWAW1HP(4CVMeSGGe)PiUOQOHPI51K91Biosea名弟法岫!倦IWHI及行二日闻1MPNO3Ver.O2MPMP4CV645GG8002016CPUSQSWWWM三vtt5fcjqaMfg-WWKB>ZMWKKB)ftg(幽Wtt1InttKR)CeUInttKR)Cor.Cd-U3£1222800MS122048FPUVMED£PS-内例AelEes9内玦GB)2事务内B大小<M8)VR内硬Ht-内存64409611FWS2B三tt三AWWX<MB)KMM»IGngvton(XMM)DDM5804517940962133HP2404U7S1M8P-4附图7.设备硬件信息3 .3.2.日志外部推送系统提供SYSLOG、SNMPTrap日志推送功能，支持日志级别设定，可将日志便捷地推送给视频平台等系统。学位R：fl5-i-SYSLS侬为装MSYSLOG*8Mfi定SYSlOGKS三Ka磁电觐母定*2；£X«eaSYSi<Xii三A5QrjPU2S-».产里VRF以上垂融的硒IftISYSLOG加!通知鎏w¾.w三a三三A5产生应设EO改正的切B,第拿维Eg怎糖森冰.SPiWS9三涵吸H变微兄.如现m,用在授三矢IWL左,在一5町广匕即可修褒仝型SdKMWI.比H电级总会便用了85%W转击不Klt蛋惨兄.三w立田仕是.*»隽闹雷®,正幕的H3S.比以我报告.三TOS.Rt处理当前&口：百天一金ISNVPTqd站内理崇SNMPTrapKftiSSSNMPTrap共计1RBOt三W+条蝎-K9BP-口SNMPIfiX研体学费试11921682223162V2££附图8.日志推送4 .方案实现效果在XX公安局感知网的整体准入控制建设方案，秉承最大程度兼容和适应性,在保持客户原有网络结构，不对网络产生任何影响的原则下，构建纵向贯通“市局-区分局-派出所”，横向覆盖“摄像头/网络边界/用户内网/操作终端”的安全监管体系，综合运用全网资产实时统计、安全风险自动发现、入网设备统一管控、网络访问权限控制、异常网络访问控制、异常攻击行为感知、全网安全态势、边界管理等措施，对感知网接入设备进行统一管理。建立并完善公安感知网络的安全管理技术体系和工作机制，做到“设备可知、入网可信、边界可控、行为可查、安全可控”，确保XX公安神经元感知网的安全运行。5 .方案优势1 .解决方案实现简洁高效一是采用“集中管理、分级部署%通过准入控制技术，彻底解决摄像头等终端精准准入控制，细粒度权限管理问题。摄像头自身缺乏严格的权限，容易被恶意用户利用，通过“集中管理、分级部署”方式，综网络接入与访问权限控制技术，可实现复杂网络环境下的准入控制，同时可摄像头设备接入安全规则，如组合交换机端口等认证内容，防止仿冒终端接入，确保只有符合规则的设备才能接入网络,提高视频专网安全性。另外,通过基于角色的细粒度资源访问控制，确保摄像头只能访问视频服务器等权限范围内的资源，从而将网络非法访问风险和威胁控制到最低，降低访问控制策略配置的复杂性，实现安全策略的集中管理,降低运维工作的难度的同时减少人工操作失误的可能。二是摄像头等前端设备自动发现自助集中管理，彻底解决IP/MAC地址管理等痛点。感知网部署了成千上万台摄像头，如何快速摸清资产、定位到目标设备是需要尽快解决的问题，通过自动发现技术能够快速发现网络中的所有网络摄像头，并发现摄像头的接入位置，实现设备分钟级快速定位，且设备移动后，也能够实现分钟级快速定位。另外，准入控制系统能够对IP地址等信息进行自动集中管理，系统会自动记录已经分配的IP地址、设备在线信息、历史IP使用记录等信息，并对每个网络的可用地址进行计算，给管理员提供准确的参考，有利于管理员对IP地址等资源进行有序的分配和自动回收，有效减少管理员管理工作量。2 .基于设备行为与流量的仿冒检测设备接入网络后，系统通过的对终端行为进行分析，将终端经常访问的行为记录为设备的行为特征，当设备的访问行为与之前的访问行为不一致时，就会阻止并产生告警。基于设备行为的仿冒检测功能，具备实时发现、控制精确等特点。3 .网络环境高适用性整体方案不改变感知网现有网络结构，设备旁路部署，不会造成网络瓶颈。系统提供双机热备功能，不存在单点故障情况，更不会对感知网造成断网影响。