欢迎user我的新华三退出

docurl=/cn/Partner/Business___SMB_Area/Solutions/Industry/WiNet/Solutions/202010/1347067_30007_0.htm

园区网络-鹰视解决方案

下载方案资料.pdf

需求背景

当今社会正快速迈向万物互联的新时代,到2020年,将会有200亿台设备联网,智能联网设备正迅速成为人们工作和生活的重要组成部分,但由此带来的安全风险也不容忽视。目前,网络攻击经历了很大的转变,攻击对象正向新型智能设备扩展,而这些智能设备很容易从攻击目标变成一种攻击方式,作为跳板被不法分子利用。因此,万物互联时代的网络安全防护不仅要加固设备自身,更要重视设备接入的合规“合规性”,在设备入网的那一刻确保其合法性,从源头上保障网络安全。

中国已经建成世界上最大的视频监控网,在网摄像头达到2000万路以上。然而,超大规模的部署不仅存在私接仿冒的安全隐患,由于多系统、多业务、多厂商设备等原因导致视频网环境复杂多变,导致前端摄像头出现掉线、遮挡、模糊等视频故障问题,很难及时发现和精确诊断,设备接入“有效性”管理存在很大的困难。

同时,随着网络规模的扩大以及全网设备规模的飞速累积,我们即便投入大量人力物力也很难看清全网设备的接入情况,无法实时对全网设备进行统一“可视化”的监控和管理。因此,建设一套功能先进、安全可靠的全网设备接入管理系统势在必行。

现状分析

目前,各行业客户对全网设备接入管理的现状:

很难有效对对全网设备接入“合规性”进行管理。 一般要部署全网设备接入管理系统的单位,网络环境已经建设好,网络中存在多种网络设备和复杂终端设备。作为设备接入管理系统的选择,要考虑产品是否支持多种入网感知、管理技术,是否支持多样化的异构设备识别,以适应各种复杂性的网络环境。传统的终端准入控制系统主要采用RADIUS方案、网关方案、干扰方案等方案对全网设备接入合规性进行管理。

网关方案是被动触发的机制,设备接入网络后,如果没有向上的流量触发,准入网关就无法主动感知;干扰方案对非法设备接入只能采用ARP欺骗/TCP重置等方式进行管理,准入控制方式不可靠;RADIUS方案通过和网络设备和网络设备相结合,采用802.1x、Portal等主流技术实现准入控制,这类方案还是得到客户极大的认可。但是,传统方案能够很好的解决PC终端接入管理,对网络设备接入管控没有行之有效的方案,同时针对哑终端,MAC地址仿冒也很难解决。

在视频监控网,视频故障无法自动诊断或诊断不准确,接入“有效性”很难统一管理。目前在视频监控,发现设备故障主要靠人力巡检来进行,系统规模一旦过大,巡检周期就会变得很长,检测标准人为因素很大,经常出现有事件发生时,调图像发现看不到正常视频,严重影响破案效率或对突发事件的响应速度,对于工程人员的任务派发,任务信息传达主要依靠电话、任务单表格(纸面或者电子)传达,及时性不够,信息沟通渠道有待改进。同时,由于设备模式标准多样,大多数设备的调试、安装、故障、报修等工作,由各家设备厂商或营运商负责,视频监控系统涉及到的设备众多,出现问题时,各家单位可能互相牵制推诿,踢皮球,严重影响系统正常使用,造成问题解决时效低,解决问题不彻底。

全网设备“可视化”信息不全面,系统内置电子地图存在安全隐患和法律风险。传统IT系统可视化管理大都都采用炫酷的大屏进行展示,包括各类统计图、趋势图等客户关心的内容。对全网设备可视化管理来说,由于缺乏地理位置信息,比如设备定位,电子围栏等需求很难满足。目前业内大多IT系统都选择支持在线地图或在论坛下载破解地图数据来满足客户基于地理位置的“可视化”管理需求。但是,在线地图API接口调用会受到一定的限制,数据存在云端,存在安全隐患,而离线地图数据基本上都没有地图厂商的授权,有一定的法律风险。

鹰视解决方案

1) 园区网

全网设备接入管理可应用在各行各业,包括企业、政府、金融、电力、教育等。通过对全网接入设备的主动扫描,依据预定义的设备指纹库对设备的合法性给出分析结果,大大方便了用户对全网设备接入统一管理。

一个区域存在一个或多个网关设备,网络中有大量摄像头,PC、存储等接入设备,通过扫描器和鹰视配合实现全网设备接入管理。

扫描器的设计

扫描器需要与鹰视系统分开,独立部署在服务器或虚拟机中。为了提高扫描速度,可以部署多个扫描器。通过网关或IP地址段,分配给不同扫描器不同的扫描任务。

鹰视系统(EPS/EPS-A)

根据划分区域,并为区域指定扫描器,对扫描器的扫描结果在鹰视系统上展示,以多种形式展示扫描到的端点数据。

2) 视频监控网

在视频监控网,通过鹰视对全网接入设备的主动扫描、识别,通过鹰视视频质量诊断平台对摄像头视频质量轮询诊断,解决前端摄像头接入安全以及接入有效的问题,方便用户对视频网接入设备统一管理。

组网设计说明:

一个区域存在一个或多个网关设备,网络中有大量视频设备接入,通过鹰视和视频诊断平台配合,实现视频监控网设备接入管理。

扫描器的设计

扫描器需要与鹰视系统分开,独立部署在服务器或虚拟机中。为了提高扫描速度,可以部署多个扫描器。通过网关或IP地址段,不同扫描器执行不同的扫描任务。

鹰视平台(EPS/EPS-A)

根据划分区域,并为区域指定扫描器,对扫描器的扫描结果在鹰视系统上展示,以多种形式展示扫描到的端点数据。

视频诊断平台(EPS-VIMS)

视频诊断平台独立于鹰视系统部署,通过诊断分组和诊断参数,设置诊断计划任务信息并下发给诊断服务器,对诊断结果以多种形式展示。

诊断服务器

视频诊断服器主要用于诊断服务的运行,没有数据存储。根据诊断摄像头的规模来配置服务器数量,诊断服务可以和视频诊断平台安装在一台服务器(具体可以参考EPS-VIMS服务器配置要求)。诊断服务根据EPS-VIMS平台下发的计划执行诊断任务(检测类型、任务级别、巡检次数、诊断任务执行周期、开始时间、结束时间、该任务是否启用或停用等)。

IMC-GIS

IMC-GIS主要全网设备的可视化展示。需要独立部署在一台服务器中。

联系我们