#

伟思产品Product

您当前所在的位置:伟思信安>伟思产品 > ViGap安全隔离与信息交换系统

Loading...



ViGap视频专用安全隔离网闸

 

 
 
● 产品概述 
目前我国已经建成了两个视频监控网络,一个公共安全视频监控网络,是由政府投资,公安部门建设,形成了覆盖市公安局、区分局、派出所的三级架构;另一个是社会报警技防网络,由社会各单位、居民小区自行投资建设。虽然两大网络在保障社会安全方面发挥着重要的作用,但是视频专网却无法直接接入公安网,伴随着城市监控应用的不断发展,为了一进步提高出警速度,提高办案效率,处置社会突发事件,视频监控网需要接入公安网。
出于安全性和带宽等方面的考虑,公共视频监控网络不能直接接入公安信息通信网, 2010年9月公安部制定了《公安信息通信网边界接入平台安全规范(试行)-视频接入部分》,规范了外网视频接入公安内网的安全技术要求。 
作为视频接入平台系统中的核心安全设备,视频隔离网闸起到相当重要的作用,有效的保障了公安内部核心网络的安全。
 
传统数据网闸与视频网闸的区别 
市场上的网闸设备大多属于传统的数据网闸,在视频应用时有着安全性和性能可靠性方面的严重不足,数据网闸和视频网闸的区别主要在于,数据网闸面向普通数据的交换,如HTTP、数据库,而视频网闸专门面向视频应用协议的通讯安全,视频网闸专门支持的是包括DB33、海康、H3C、贝尔、公众信产等视频监控管理平台的相关视频控制信令(云台控制、实时视频访问、录像查询、录像回放、录像下载等等),每个厂商的控制信令都是不同的,同时,视频网闸会对视频流通道进行安全检查,包括编码格式检查、RTP动态端口控制等。视频网闸还需要对视频数据和视频控制信令分别处理,对视频数据流采取单向传输,信令双向传输,视频网闸需要支持标清、高清的视频码流,且同时支持上百路以上的并发,这些都是传统数据网闸难以实现的。
 
公安视频接入平台安全防御的难点
公安网视频监控应用的主要安全防御难点表现在:
● 传输内容安全过滤困难视频应用区别于WEB、数据库等其他应用的主要特点在于其传输的内容为二进制图像数据流,因此,如何有效防止违法的病毒、木马数据嵌入视频应用中传输成为必须解决的问题。 
● 防止内网泄露机密信息困难由于视频监控的访问具有双向性,即部分公安内网视频监控需要对外向其他政法等单位提供,公安内网也需要访问大量一、二、三类视频监控资源,如何有效防止木马程序利用视频通道泄露公安内网机密数据也必须加以可靠解决。
●  应用协议控制困难由于行业特殊原因,视频监控协议始终没有制定标准,导致各视频厂家协议差异较大,不兼容现象普遍,安全控制难度大。
● 高性能要视频流需要稳定可靠的高带宽,传统数据隔离网闸无法满足应用需求。
 
产品优势 
伟思安全隔离视频接入系统严格按照公安部相关视频接入安全标准及体系架构设计,满足各类公安网视频安全接入环境的要求,主要依据标准包括: 
● 公安信息通信网边界接入平台安全规范
● 公安信息通讯网边界接入平台安全规范(试行)-视频接入部分
● GA/T367-2001      视频安全监控系统技术要求
● GB/T 20279-2006   网络和终端设备隔离部件安全技术要求
● GB17859-1999      计算机信息系统安全保护等级划分准则
● GA/T669-2006      城市监控报警联网系统通用技术要求
 
伟思安全隔离视频接入系统的技术优势
伟思ViGap安全隔离视频接入系统由三部分构成:视频接入认证系统、视频安全隔离与信息交换系统和视频用户认证系统。 
● 安全性方面的技术优势 
〇 于多因素加密指纹的视频接入认证功能
强大的视频接入认证功能,支持公安部PKI系统,能够对视频专网内向公安信息通信网提供视频信息服务的硬件设备进行多因素加密指纹方式的身份确认,禁止未经注册和认证的视频设备接入公安信息通讯网。 
创新地采用了多因素指纹认证技术,采集包括SNMP用户名/口令、IP、MAC、硬件特征在内的多因素强认证机制对视频硬件设备进行认证,设备通讯协议指纹认证方式是利用SNMP协议连接视频设备并进行特征扫描,通过设备的反馈信息的指纹特征来验证视频设备是否为已注册的合法设备,指纹取样包括:设备序列号、设备硬件信息的关键特征HASH值以及设备IP、MAC地址等信息形成该设备独有的指纹,就像每个人不同的指纹一样,没有在接入认证服务单元上注册的设备将被阻止接入公安网。 
视频接入认证安全功能单元还具备视频信令协议分析和内容过滤功能,能够针对不同的视频厂商的视频监控协议,分别进行协议分析和内容过滤. 
〇 物理级单向视频传输的优势
符合《公安信息通信网边界接入平台安全规范(试行)--视频接入部分》要求,采用硬件ASIC芯片实现视频流的硬转发,能够控制视频流在物理电路上单向传输,并且可以与控制信令采用完全分离的独立的物理端口传输。 
通过分析视频控制信令,动态将五元组转发规则写入硬件ASIC芯片,因此,能够实现物理级的单向视频传输,具备极高的视频流单向传输安全性。 
〇 基于视频访问行为的安全控制技术
国内独创性地提供了访问行为检查功能。该功能结合信令协议和内容检查,能够更有效地防止非法信令在公安内外网间传输。访问行为检查功能将严格审查视频终端的操作步骤,不允许非法流程或信令的传输,例如,用户在未经登录的情况下就调阅视频历史记录,该步骤显然是违反正常行为逻辑的,可能是黑客利用合法指令携带的参数传输非法信息,伟思视频接入认证安全功能单元在这种情况下将立即阻断该连接。 
伟思视频安全接入系统目前能够针对星望、华为、海康、全球眼、先进视讯、上海贝尔、烽火、大华等十多个厂商的视频监控系统提供视频控制信令分析和内容过滤功能,以及遵循SIP、H.323协议规范的视频监控系统的支持。
〇 基于863科研成果的高安全性硬件芯片网络隔离
核心隔离系统是由通过国家863科技计划项目研发的ASIC设计的硬件电子开关芯片实现的,硬件芯片电子开关具有不可编程特性,不受任何攻击程序和漏洞的威胁,实现内外网视频平台间的物理隔离,并能够对视频数据和信令进行分离,分别独立处理和传输,因此,与同类产品比较,具有高度可靠的安全性。
〇 安全沙箱技术实现可靠的视频终端防护
通过应用终端沙箱隔离保护技术将木马与视频应用程序进行隔离,确保只有视频客户端能够通过隔离区中的隔离网闸访问视频设备。沙箱目前被虚拟化计算、安全浏览器、终端安全加固等普遍使用,其对终端保护的安全性获得一致认可,伟思是国内第一家将沙箱安全技术引入视频边界安全接入中,能有效地保护终端安全,防止视频终端感染木马或利用视频通道泄密或控制内网。
伟思视频安全接入系统运用沙箱技术,将视频访问置于沙箱的虚拟计算环境的保护之下,与真实计算环境隔离,控制对文件系统的读写,保护视频访问通道和终端的安全。
● 性能方面的技术优势
伟思视频边界安全接入系统采用MIPS多核平台+ASIC硬件芯片实现了对视频访问的高性能设计,具有业内最高的吞吐性能、并发连接和丢包率技术指标。
伟思视频边界安全接入平台高端系统具有超过7Gbps的吞吐量、系统延时小于0.02ms,能够满足最大2000路D1质量画质的视频并发访问。 
〇 于硬件芯片视频转发的可靠性设计
不同于同类产品采用X86架构的CPU视频流转发方式,伟思视频边界安全接入系统核心设备采用ASIC硬件芯片实现视频流的硬转发,使CPU的负载即使在高并发数下仍旧低于40%,从而保证系统稳定可靠运行。X86架构的CPU转发方式在频繁视频访问的环境中,由于CPU始终处于高负载状态,其发热量和丢包率都会大幅上升,从而容易导致系统工作不稳定。 
〇 支持端口聚合的可靠性设计
伟思视频边界安全接入系统具备端口聚合功能,可以把4组接口聚合绑定成一个逻辑接口使用,在增加吞吐性能的同时,还可以防止因某个接口硬件故障导致的视频系统无法访问。
〇 采用LVS+RealTime实时备份的负载均衡设计
采用基于DR半连接机制的高性能的LVS负载均衡系统,配合高性能流媒体应用安全隔离与信息交换系统开发的Realtime实时session备份模块,实现了高性能的链路负载均衡集群。
● 与不同集中监控和管理平台集成的技术优势
作为边界接入平台视频接入链路的核心设备,伟思安全隔离公安视频边界接入系统能够与公安部批准的平台厂商的边界接入管理平台进行集成,满足《公安信息通信网边界接入平台安全规范(试行)--视频接入部分》的安全要求。 
伟思视频专用安全隔离与信息交换系统提供标准的SNMPv1/v3设备管理接口和SYSLOG日志输出接口,伟思安全隔离视频接入系统可以与各平台厂商无缝集成,接受管理平台的集中管理,无需二次开发。 
管理与审计系统提供二次开发接口,能够实现各类信息的级联上报,集中报送到公安隔离接入平台。 
 

 产品功能特点

 采用标准的2+1安全隔离体系架构,提供日志、审计与管理二次开发接口,能够与隔离平台集成,符合公安网边界安全接入规范技术要求。
 通过建立基于ASIC芯片的8级视频流DPI安全处理流水线,使隔离网闸完全突破性能瓶颈限制,提供最高达10Gbps的吞吐性能和小于0.5ns的延时,能够满足2500路高质量D1分辨率视频并发访问。通过堆叠技术,端口聚合技术,负载均衡技术,系统性能还能不断扩展。
 具备接入设备认证功能,能够根据视频设备硬件指纹认证视频接入设备的合法性,防止非法设备接入。
 高安全性:系统只能通过内端机上的管理口对网闸进行整体管理配置,外网端不能进行管理配置,网闸设备配置文件保存在网闸内网端。
 设备提供液晶显示面板,能直观显示硬件故障提示报警,方便管理员随时掌握设备的运行状态
 具备视频数据与控制信令分别处理和传输能力,能够实现视频数据通道的单向传输。
 广泛支持各厂商协议,包括DB33标准、SIP协议等多品牌视频平台,也可对其他视频平台进行二次开发。提供对DB33T639跨区域视频监控联网共享技术规范或遵循SIP、H.323协议规范的视频监控系统的支持。能够对主流平台厂商的CMS、转发服务器、DVS、DVR等进行接入认证支持云台控制、实时视频访问、历史视频查询、下载等授权功能。满足IPv4/IPv6双栈,支持下一代互联网专项协议
 具备用户认证与授权功能,能够根据公安用户数字证书对视频终端用户进行认证和授权。
 安全访问控制功能,能够制订安全访问控制策略,将视频设备终止在接入认证服务单元,不允许直接连接公安内网
 采用协议深度过滤技术和行为模式分析技术相结合,能够深入视频协议内部检查视频协议传输内容,阻断病毒、木马利用视频通道传输非视频数据,有效控制视频通道的安全使用。
 
 
 采用基于流检测的病毒查杀技术,基于流的病毒检测是一种完全不同于传统基于文件扫描的病毒检测方法,它是指不经过重组还原,直接由防毒引擎对TCP流进行扫描,然后再进行相应的处理。流检测技术能够有效查杀混合在视频流中的病毒。
 严格控制某个应用协议传输数据时,客户端仅能访问服务器的指定的某个文件,其他文件数据不能被访问,防止数据文件泄密。支持各种文件深层特征扫描(非文件名和后缀),杜绝改名、改格式或病毒感染的文件传输到内网;
 专用文件客户端与隔离网闸间采用可信加密通道通讯,任何第三方应用程序无法与隔离网闸通讯,保证业务正常通过网闸安全防护
 系统具备强大的流量管理功能,支持WRED拥塞控制、GTS流量整形,支持WFQ/CBQ优先级队列算法,提供带宽保障能力,能够为关键应用或用户保留足够的带宽。具有单用户/IP控制功能,如:上下行带宽速率、源会话数。支持自定义服务、IP流量、会话统计功能。可定义预留给关键应用的带宽、连接数等资源,支持P2P、MMS、迅雷等应用软件的安全过滤与带宽流量控制
 特别根据公安普遍的视频多点接入情况,系统提供多个网络接口,且两两隔离,构成多组相互隔离的接入端口,完全满足公安网络环境。具备反弹木马防御能力,有效阻止公安内网非法进程向外泄露公安机密数据。
 采用应用进程白名单认证技术实现对非法进程的阻断,具备强大的DDOS攻击防御能力,具备TCP、UDP的DDOS防御能力。对视频协议指令、参数和返回值进行安全检查,对非法指令进行阻断,具备视频流通道病毒防御功能,如下图:
 
 
 系统提供强大的报表功能,能够为管理员提供当前视频流量、系统处理性能、并发连接数、在线用户等一系列报表,为管理员提供可视化的视频监控接入管理环境。
 日志管理:具备专用日志输出端口,降低系统开销,具备专用report服务器,支持异地备份、具备SYSLOG标准输出,全面记录管理、通讯、安全、审计等各类日志
  
 产品性能参数其功能列表

功能列表
伟思ViGap安全隔离视频接入系统
网络接口
4-12个1000M 以太网电口/SFP 
管理接口
1个RJ45独立带外管理接口和1个RS232 接口
HA接口
专用HA接口
系统带宽
800Mbps-7Gbps
是否支持端口聚合Trunk
Yes
最大并发视频图像路数
150-2500路(D1质量2M码流)
系统延时
<0.02毫秒-0.5纳秒
最大并发连接数
20,000-400,000
抗攻击性
10000pps攻击流量下99.99%拦截率
管理方式
B/S加密,内网管理配置,存储配置文件;
液晶屏显示面板
能直观显示硬件故障提示报警,方便管理员随时掌握设备的运行状态
配置备份
支持
管理安全性
SSL加密连接与认证
是否支持SNMP
支持SNMPv1、pv2、v3
双机热备功能与负载均衡
具备
日志记录与审计
全面记录管理、通讯、安全、审计等各类日志
日志备份与输出
支持异地备份、具备SYSLOG标准输出
专用日志输出接口
具备专用日志输出端口,降低系统开销,具备专用report服务器
身份认证功能
具备公安网数字证书认证与授权功能,同时支持用户名口令、数字证书、Radius多因素组合认证
授权功能
支持云台控制、实时视频访问、历史视频查询、下载等授权功能
授权管理
授权可基于IP、用户及用户组进行管理
防病毒
具备视频流通道病毒防御功能
视频协议深度分析
具备视频协议深度分析能力,对视频协议指令、参数和返回值进行安全检查,对非法指令进行阻断
通讯隔离
具备将视频流与信令流隔离,独立控制的功能
视频流单向传输控制
具备视频流通道数据地单向导入公安网功能
视频平台支持
广泛支持各厂商协议,包括DB33标准、SIP、海康、全球眼、大华、阿尔卡特、先进视讯、金微、航天长峰、烽火等多种视频平台,也可对其他视频平台进行二次开发
视频接入设备认证
能够对主流平台厂商的CMS、转发服务器、DVS、DVR等进行接入认证
访问控制策略ACL
具备IP、子网、端口、时间、认证等访问控制策略ACL
DDOS攻击防御
具备强大的DDOS攻击防御能力,具备TCP、UDP的DDOS防御能力,60万PPS下防御达到99.99%
木马防御功能
采用应用进程白名单认证技术实现对非法进程的阻断
系统加固
采用Linux系统内核,经过安全裁剪,具备高安全性
IDS
内置IDS入侵防御系统
系统架构
采用2+1架构设计,具备内端处理系统、外端处理系统和专用ASIC硬件隔离交换系统
网络协议断开
断开内外网TCP/IP协议,实现数据落地还原

 
 产品物理环境参数
 硬件规格
尺寸规格:标准2U机架式
重量:18KG
电压:100240V4763HZ
功率:350W
操作环境:-550
环境湿度:5%-95
 安全及电磁标准
CB to IEC 60950:1999, 3rd edition
TUV GS mark toEN60950: 2000
TUV C-US to UL60950: 2000
CAN/CSA-C22.2No 60950: 2000
FCC Class B, VCCI Class B, CE class B
 
 公开报价

型号/版本
单位
零售市场价格
说明
并发性能
 2000A
 ¥700,000.00 
150路D1视频图像
>200000
 2000B
 ¥900,000.00 
300路D1视频图像
>200000
 2000C
 ¥1,200,000.00 
500路D1视频图像
>200000
 2000D
 ¥1,800,000.00 
1000路D1视频图像
>200000
 2000V
 ¥2,000,000.00 
1200路D1视频图像
>300000
 2000X
 ¥2,300,000.00 
1600路D1视频图像
>400000
 2000Z
 ¥2,800,000.00 
2500路D1视频图像
>500000