產(chǎn)品概述
產(chǎn)品簡介
視頻專網(wǎng)信息安全管控系統(tǒng)是陜西智網(wǎng)驛成信息科技有限公司自主研發(fā)的一款針對公安系統(tǒng)視頻專網(wǎng)中敏感信息保護相關(guān)問題的一套擁有自主知識產(chǎn)權(quán)的管控系統(tǒng)。
本產(chǎn)品基于“零信任網(wǎng)絡(luò)”(Zero Trust Network )網(wǎng)絡(luò)模型開發(fā),關(guān)注于用戶的權(quán)限與身份的匹配,身份與設(shè)備的關(guān)系,用戶的信任建立及持續(xù)認(rèn)證,對用戶在網(wǎng)期間的全事件進行監(jiān)督,對高危事件實時監(jiān)控,實時預(yù)警,實時阻斷。
系統(tǒng)組成
全系統(tǒng)由用戶身份與授權(quán)管理子系統(tǒng)(Identity Authentication Management),網(wǎng)絡(luò)自動化管理子系統(tǒng)(Network Automatic Controller),用戶行為審計子系統(tǒng)(User Behavior Audit),內(nèi)容識別引擎(Content Recognition Engine),安全管控客戶端(Security Management Client)及相關(guān)硬件系統(tǒng)構(gòu)成。
各部分主要功能簡介
用戶身份與授權(quán)子系統(tǒng)(IAM)負(fù)責(zé)對使用網(wǎng)絡(luò)的用戶的身份認(rèn)證以及管理其可以訪問的資源的網(wǎng)絡(luò)權(quán)限與認(rèn)證的關(guān)聯(lián);網(wǎng)絡(luò)自動化管理子系統(tǒng)(NAC)負(fù)責(zé)對全網(wǎng)三層網(wǎng)絡(luò)通道進行自動化管理,在TCP/IP 模型的網(wǎng)絡(luò)層完成對用戶網(wǎng)絡(luò)訪問通道的控制。用戶行為審計子系統(tǒng)(UBA)負(fù)責(zé)對在網(wǎng)用戶的行為進行分析,獲取當(dāng)前用戶的使用行為,對發(fā)生越界行為產(chǎn)生告警,通知NAC對相關(guān)用戶的網(wǎng)絡(luò)權(quán)限進行限制。內(nèi)容識別引擎(CR-Engine)負(fù)責(zé)對用戶所產(chǎn)生的的非結(jié)構(gòu)化動作進行識別,例如加密網(wǎng)頁瀏覽內(nèi)容,視頻監(jiān)控瀏覽點位名稱等,通過內(nèi)容識別引擎識別的內(nèi)容將發(fā)送至UBA進行合規(guī)性審查。安全管控客戶端(SMC)部署在每臺需訪問視頻專網(wǎng)的PC中,如果欲入網(wǎng)PC不按規(guī)定安裝SMC,則該PC無法訪問除IAM以外的任何視頻專網(wǎng)網(wǎng)絡(luò)資源。直到其按規(guī)定下載并安裝SMC,在信通部門完成用戶登記及權(quán)限確認(rèn),領(lǐng)取用戶登錄U-Key后,方可使用其權(quán)限內(nèi)的視頻專網(wǎng)資源。
系統(tǒng)部署后,根據(jù)最小特權(quán)原則,只有當(dāng)某一用戶上線時,該用戶權(quán)限范圍內(nèi)的網(wǎng)絡(luò)通道才會打開,其他網(wǎng)絡(luò)通道默認(rèn)處于關(guān)閉狀態(tài)。
主要技術(shù)介紹
零信任網(wǎng)絡(luò)簡介
傳統(tǒng)的網(wǎng)絡(luò)安全是基于防火墻的物理邊界防御,也就是為大眾所熟知的“內(nèi)網(wǎng)”。防火墻的概念起源于上世紀(jì)80年代,該防御模型前提假設(shè)是企業(yè)所有的辦公設(shè)備和數(shù)據(jù)資源都在內(nèi)網(wǎng),并且內(nèi)網(wǎng)是完全可信的。
零信任安全建立前提是不信任網(wǎng)絡(luò)內(nèi)部和外部的任何人/設(shè)備/系統(tǒng);不信任傳統(tǒng)網(wǎng)絡(luò)邊界保護,不信任信任區(qū)域、非信任區(qū)域、DMZ區(qū)域,統(tǒng)統(tǒng)一視同仁,先認(rèn)證,再授權(quán)。
在視頻專網(wǎng)信息安全管控系統(tǒng)中,所有的入網(wǎng)PC是不受信任的,所有的入網(wǎng)用戶在未認(rèn)證前同樣是不受信任的。入網(wǎng)PC通過安裝SMC完成初步授信,入網(wǎng)用戶通過多因子認(rèn)證完成用戶授信。用戶與PC組成的實體構(gòu)成了網(wǎng)絡(luò)訪問實體,NAC根據(jù)網(wǎng)絡(luò)訪問實體的權(quán)限放通網(wǎng)絡(luò)通道,當(dāng)UBA發(fā)現(xiàn)網(wǎng)絡(luò)實體出現(xiàn)不應(yīng)該有的訪問操作后通知NAC關(guān)閉對應(yīng)的網(wǎng)絡(luò)通道,最后實現(xiàn)對敏感資源的保護。
在傳統(tǒng)網(wǎng)絡(luò)中,網(wǎng)絡(luò)位置與可訪問資源的范圍是緊密相關(guān)的。在零信任模型中,可訪問的資源與用戶權(quán)限緊密相關(guān)。即任何用戶在任何位置時,其可訪問的資源是一致的,可訪問的資源不因其所處位置的變化而發(fā)生改變。
網(wǎng)絡(luò)自動化技術(shù)簡介
網(wǎng)絡(luò)自動化技術(shù)是零信任網(wǎng)絡(luò)模型的核心組件之一。在視頻專網(wǎng)中,網(wǎng)絡(luò)設(shè)備的配置在部署完成后幾乎是不變的。在有限次的改變中,也僅僅是因為新增設(shè)備而導(dǎo)致的配置變化。
網(wǎng)絡(luò)自動化技術(shù)的核心是動態(tài)的根據(jù)用戶的訪問權(quán)限要求,自動的完成網(wǎng)絡(luò)設(shè)備的配置管理,實現(xiàn)網(wǎng)絡(luò)拓?fù)?,網(wǎng)絡(luò)端口,網(wǎng)絡(luò)接口,路由,訪問控制鏈表等網(wǎng)絡(luò)功能的自動配置。通過不同安全策略的搭配在網(wǎng)絡(luò)層實現(xiàn)精確到每個用戶的管理。
最小特權(quán)原則簡介
最小特權(quán)原則是系統(tǒng)安全中最基本的原則之一。通過限定網(wǎng)絡(luò)中每個主體所必須的最小特權(quán),確??赡艿氖鹿?、錯誤、網(wǎng)絡(luò)部件的篡改等原因造成的損失最小。
在傳統(tǒng)的網(wǎng)絡(luò)模型中,網(wǎng)絡(luò)的通道是全部開放的,當(dāng)一個用戶在使用網(wǎng)絡(luò)的時候,可以使用任意的網(wǎng)絡(luò)通道資源。當(dāng)網(wǎng)絡(luò)處于非可信狀態(tài)時,其他未使用的通道就可能成為信息泄露的通道。
在引入最小特權(quán)原則后,即使發(fā)生信息泄露事件,泄露的通道,泄露的過程會由于最小特權(quán)原則的原因而可被追溯。從而實現(xiàn)降低損失,甚至挽回?fù)p失的目的。
產(chǎn)品功能介紹
用戶注冊
在系統(tǒng)部署完成后,首先應(yīng)完成用戶的錄入。用戶錄入可通過批量導(dǎo)入和逐條添加的方式進行。
登錄U-key tools,點擊模板下載,將用戶注冊模板下載至本地管理PC。根據(jù)模板提示完成注冊用戶內(nèi)容編輯。用戶照片以用戶的身份證號命名,與批量模板放入同一個文件夾。點擊上傳按鈕,系統(tǒng)自動校驗用戶注冊信息,不合法內(nèi)容以高亮顯示,逐一修改通過校驗后選中全部記錄點擊提交,完成用戶注冊。
逐條添加用戶通過點擊“新增用戶”按鈕,在新增的用戶信息欄中填寫相關(guān)條目,系統(tǒng)將逐一檢測條目的合法性,所有條目合法后可點擊提交。
用戶U-key下發(fā)
登錄U-Key tools,點擊“未制卡用戶加載”,系統(tǒng)將列出所有未制Key的用戶。插入空白U-key,點擊讀取,確認(rèn)U-key空白后,點擊制卡,系統(tǒng)制卡完成后,返回正常提示。
用戶狀態(tài)校驗
U-Key下發(fā)后,登錄視頻專網(wǎng)安全管控平臺,可查看以下發(fā)U-key用戶的u-key狀態(tài)。
受保護資源注冊
用戶注冊完成后需完成視頻專網(wǎng)中受保護的視頻專網(wǎng)資源定義。每個視頻專網(wǎng)的受保護資源有資源名,資源類型,IP地址三者確定。其中IP地址與資源名不可重復(fù)。
用戶權(quán)限分配
點擊資源管理—訪問控制選擇某一用戶,點擊用戶條目后的訪問控制即可由管理員給用戶分配可訪問的資源。未分配的資源用戶不可訪問,且在用戶的登錄頁面中不可見。
用戶登錄
每個PC客戶端通過授權(quán)訪問中心下載PC客戶端,并完成本地的安裝,系統(tǒng)默認(rèn)鎖死。插入已申請的Ukey,輸入口令進行解鎖,即可正常進入系統(tǒng)桌面。
用戶進入桌面后,點擊pc客戶端的登錄按鈕,輸入用戶口令,可看到允許訪問的視頻專網(wǎng)資源,點擊上線,系統(tǒng)控制策略下發(fā)完成后可訪問列表中允許的網(wǎng)絡(luò)資源。
當(dāng)用戶離開后,拔出U-key,系統(tǒng)鎖死,無法進行任何操作。操作系統(tǒng)鎖死,若需重新使用,則需插入U-key并輸入口令。
對于所有用戶來說,每個用戶看到的網(wǎng)絡(luò)是不一樣的。每個用戶只能看到其權(quán)限范圍內(nèi)的資源,每個用戶能通行的網(wǎng)絡(luò)路徑也僅僅只有通向其權(quán)限內(nèi)的資源的網(wǎng)絡(luò)路徑。通過此方法可以最大限度的對用戶進行最小授權(quán)。
用戶/終端行為檢測
每個入網(wǎng)終端安裝pc客戶端后,自使用網(wǎng)絡(luò)時起(插入U-key)需接受PC客戶端的監(jiān)管。具體監(jiān)管行為如下:
類別 | 行為 | 備注 |
I/O類 | 輸入文字 | |
組合鍵 | ||
鼠標(biāo)點擊 | 左右鍵的單雙擊 | |
鼠標(biāo)移動 | 拖曳 | |
系統(tǒng)功能類 | 剪貼板 | 文字 |
進程 | 敏感軟件進程 | |
文件拷貝 | 本機向外拷貝 | |
外設(shè)類 | 本機硬件變動 | 更換硬盤 |
外部存儲設(shè)備 | U盤/移動硬盤 |
在用戶使用時,客戶端對上述行為進行檢測,關(guān)鍵動作截圖,并錯峰上報用戶審計中心,以節(jié)省網(wǎng)絡(luò)帶寬資源。
用戶行為審計
1 行為時間線
UBA將采集的用戶行為進行分析,以用戶本地時間為基礎(chǔ),對用戶的各行為時間點進行展示,可采用順序或者倒序的方式進行排列。在行為時間線中,可對用戶的關(guān)鍵操作、應(yīng)用程序進程進行查詢
2 U盤事件記錄
記錄用戶的U盤插拔、硬件標(biāo)識符,盤符記錄。用于鎖定唯一u盤。對用戶向U盤內(nèi)拷貝的文件名進行記錄。
3 鍵盤使用記錄
對用戶的鍵盤鍵擊事件進行記錄,組合鍵鍵擊進行記錄,剪貼板內(nèi)容記錄
4 用戶關(guān)鍵進程記錄
預(yù)定義需要檢測的關(guān)鍵進程,當(dāng)進程開啟時記錄,并根據(jù)策略決定是否預(yù)警。
5 用戶訪問日志
對用戶在視頻專網(wǎng)中的訪問行為進行記錄,包括瀏覽的網(wǎng)頁,訪問的資源,查詢的內(nèi)容,瀏覽的圖片,調(diào)閱的視頻點位,調(diào)閱點位的視頻內(nèi)容
典型應(yīng)用場景
本場景對應(yīng)縣級公安局的視頻專網(wǎng)敏感資源保護場景。在縣局核心機房部署IAM,NAC,UBA及CR-Engine四大組件。需使用視頻專網(wǎng)的用戶登錄IAM的服務(wù)器地址,根據(jù)提示下載SMC并在本機完成安裝。安裝SMC后,系統(tǒng)屏幕處于鎖定狀態(tài),必須插入用戶對應(yīng)的U-Key才能使用PC。
系統(tǒng)管理員通過U-key管理工具提前為需要使用網(wǎng)絡(luò)的用戶制作U-key。當(dāng)用戶下載SMC并完成安裝后領(lǐng)取U-Key。
第一次登錄系統(tǒng)時,輸入U-Key默認(rèn)口令進入系統(tǒng)后,系統(tǒng)提示對密碼進行修改,按提示修改密碼即可。
用戶通過SMC驗證后,點擊上線,NAC接收到上線請求后,在網(wǎng)絡(luò)中打開對應(yīng)用戶的網(wǎng)絡(luò)通道。SMC應(yīng)提示用戶可訪問的資源及資源的網(wǎng)絡(luò)可達情況。此時用戶可以使用其權(quán)限范圍內(nèi)的資源,在此之前,網(wǎng)絡(luò)內(nèi)除IAM以外的任何資源該PC無法訪問。
用戶點擊下線,NAC收到離線請求,關(guān)閉網(wǎng)絡(luò)通道,PC與網(wǎng)絡(luò)的物理連接存在,但邏輯連接被切斷,此時PC僅能訪問本地內(nèi)容。
用戶拔出U-Key,PC進入鎖定狀態(tài)直到下次插入合法的U-Key。
用戶在網(wǎng)期間的所有操作,包括鍵盤、鼠標(biāo),存儲外設(shè),網(wǎng)絡(luò)接口、網(wǎng)頁瀏覽,應(yīng)用程序,視頻監(jiān)控調(diào)閱均在監(jiān)管范圍內(nèi)。當(dāng)發(fā)生越權(quán)事件時,如當(dāng)用戶在使用視頻專網(wǎng)時,插入了手機充電線,同時打開了手機的無線共享,此時系統(tǒng)將感知到發(fā)生“一機兩用”事件,在平臺預(yù)警的同時,將發(fā)生該事件的PC與視頻專網(wǎng)隔離。當(dāng)用戶再次請求上線時,系統(tǒng)予以拒絕。直到“一機兩用”的事件解除,用戶再次請求使用網(wǎng)絡(luò),系統(tǒng)才會予以放行。