创新产品 > 2018 > 其它 > 正文
物联网应用安全控制系统
2018/10/12 11:30:00      关键字:      浏览量:
随着物联网的迅速发展及基础设施通信系统的IP化,海量设备通过网络互联将成为趋势,在公安、交警、电力能源等行业中,大量IP摄像机、抓拍器、RFID等前端设备已经大规模部署在城市的各个角落,当今社会已经逐渐进入物联网时代。和传统的互联网相比,物联网前端设备数量巨大、物理部署范围更广,除了人机互联以外还包含大量的设备互联,如何保证物联网的全程可控和全时可用,是业界面临的全新问题。物联网前端设备大量分散在
企业名称:杭州迪普科技股份有限公司
产品概况:
随着物联网的迅速发展及基础设施通信系统的IP化,海量设备通过网络互联将成为趋势,在公安、交警、电力能源等行业中,大量IP摄像机、抓拍器、RFID等前端设备已经大规模部署在城市的各个角落,当今社会已经逐渐进入物联网时代。和传统的互联网相比,物联网前端设备数量巨大、物理部署范围更广,除了人机互联以外还包含大量的设备互联,如何保证物联网的全程可控和全时可用,是业界面临的全新问题。物联网前端设备大量分散在无人值守的环境下,人为监管困难,极易被黑客利用,进而渗透到整个网络,导致核心业务系统无法正常运行、大量保密信息被窃取。因此,建立完善的接入资产管控机制和设备应用管控机制是物联网安全体系建设的重要内容。

物联网应用安全控制系统DAC(Device Application Controller)可以对整个物联网前端IP设备和传输的流量进行精确管控,只有通过认证的设备才允许接入,只有合法的应用才允许在网络中传输,从而防范非法私接、设备仿冒、非法扫描、DDoS攻击等问题。DAC设备专门面向物联网应用场景,可广泛应用于平安城市、智能交通、电力、能源、医疗、生产自动化等行业。特别对于视频监控应用场景,DAC设备能够解决海量IP摄像机及其他前端IP设备的接入认证和安全管控问题,帮助用户构建一张安全可控的物联网。
关键技术指标:
■  异构视频监控系统的统一资产管理
DAC可兼容主流安防厂家的监控系统,通过主动扫描、被动监听和手动设置等手段采集视频专网中的摄像头、PC、NVR等接入设备的资产信息,包括设备IP、设备类型、在线状态、接入链路状态、厂家、地理位等,并进行分类统计,建立统一的资产库,解决多安防厂家并存的情况下接入资产难以统一监管的问题。

■  设备认证与应用控制双重保障
DAC设备可通过MAC地址、IP地址、设备指纹等设备认证方式对网络接入设备进行管控,只有通过认证的设备才允许接入到网络中,防止前端设备的非法替换接入。
同时,DAC设备支持基于协议特征的识别,可对传输数据进行应用级控制,只放行合法应用数据,其他非法数据全部阻断,有效阻隔非法扫描、DDoS攻击等。该功能可以和设备认证功能同时开启,对整个网络接入设备和传输流量进行精确控制,达到专网专用的效果。

■  实时阻断非法私接和仿冒
DAC设备可实时对数据的源地址、目的地址以及应用层协议进行全方位的检测,一旦发现非法流量即可实时阻断;并且DAC设备可精确定位入侵源的IP地址、MAC地址、接入端口、地理位置、入侵行为等信息,帮助用户实现安全事件的快速响应。

■  图形化接入IP资源管理
DAC设备支持以图表的方式展现IP资源的实际使用情况,包含已使用、未使用IP地址以及每个IP地址的终端类型,协助管理员对视频专网IP资源使用进行整体规划,快速完成IP资源分配、回收登记管理。

■  可视化安全态势及资产状态监测
迪普科技提供了视频专网接入资产及安全态势的可视化监测平台,包含各类在线终端统计、摄像头在线率情况、摄像头厂家分布、各单位资产数量监测等,帮助管理员从全局的角度去掌控视频专网运行状况;同时,当视频专网中发生新接入设备、接入设备掉线、非法终端接入等情况时,该平台会进行实时告警,协助管理员进行及时处理。

■  业务系统无缝融合
DAC设备支持在线部署与旁挂部署两种方式,可无缝融入用户的网络中。对于新建网络可进行在线部署,实时监测、控制网络中的接入设备及传输数据;对于现有网络可旁挂部署,通过引流、镜像等方式实现控制与监测。
DAC设备基于业界领先的APP-X高性能硬件平台,业务处理时延小于20us,远远优于50ms的行业规范,设备部署之后对现网实时业务“零影响”。
DAC设备支持和主流安防厂家的设备进行联动,实现网络和业务的深度耦合。
产品创新点:
业界首创物联网白名单准入机制。考虑到视频专网市事实上的物联网,所有前端设备的身份和网络访问行为时确定的,因此可以采用“网无许可皆不通”的白名单建设理念,基于设备身份白名单对前端是前端身份进行鉴别,再基于协议白名单明确禁止前端设备前端设备进行一切非预先设定的网络访问行为。具体来说,首先通过识别设备的IP、MAC、特征码、注册协议等信息,实现只有授信设备接入网络,对未通过认证的设备进行实时阻断,不允许其接入网络并进行实时告警;其次,识别通过认证的前端设备的网络访问行为,只允许其传输协议白名单中的应用数据。这样即使有攻击者通过伪造身份冒名接入网络,所有的攻击行为(DDoS攻击、网络扫描、渗透提权、窃取数据等)也会被实时阻断。通过以上两步,即可实现前端设备接入可信,设备行为可控,在前端设备和后端业务系统之间建立起可信、可控的高效访问通道。
国内外市场推广情况:
迪普科技物联网应用安全控制系统DAC已经累计服务于超过100个“平安城市”及“雪亮工程”项目,并且承担了杭州G20峰会、大连达沃斯论坛、厦门金砖五国峰会、上合青岛峰会等重大会议安保工作。

微信扫描二维码,关注公众号。