一种网络摄像机接入安全防护的系统和方法技术方案

本发明专利技术提供了一种网络摄像机接入安全防护的系统和方法。该系统包括安全策略配置模块、运维管理模块、设备扫描模块、资产管理模块、安全诊断模块、报文解析模块、报文转发模块和告警管理模块。本发明专利技术所述的系统和方法，可以基于IP地址、MAC地址、应用协议，设备指纹特征四个方面对非法接入的网络摄像机进行安全检测和防护，防护全面、安全性高、配置灵活，部署简单，用户体验好。

A system and method of network camera access security protection

【技术实现步骤摘要】
一种网络摄像机接入安全防护的系统和方法
本专利技术涉及一种网络摄像机接入安全防护的系统和方法，当网络摄像机接入视频监控网络时，可识别是否为非法设备接入或者是非授权的设备接入视频监控网络并产生相应的阻断和告警，避免视频监控网络遭受非法入侵攻击或存在未经批准私自接入视频监控网络的设备。缩略语及名词解释：IP地址：全称InternetProtocolAddress，互联网协议地址MAC地址：全称MediaAccessControlAddress，媒体访问控制地址，用来确认网上设备位置的地址。UDP：全称UserDatagramProtocol，用户数据报协议，提供面向事务的简单不可靠信息传送服务的传输层通信协议。TCP：全称TransmissionControlProtocol，传输控制协议，提供面向连接的、可靠的、基于字节流的传输层通信协议。网络摄像机：一种可生产数字视频流，并将视频流通过有线或无线网络进行传输的摄像机。视频监控系统：是安全防范系统的重要组成部分，包括网络摄像机、传输网络、视频监控平台。黑本文档来自技高网...

【技术保护点】
1.一种网络摄像机接入安全防护的系统，其特征在于该系统可采用主路或者旁路部署方式，独立部署在视频监控网络中，为网络摄像机接入视频监控网络时提供安全保护，包括安全策略配置模块、运维管理模块、设备扫描模块、资产管理模块、安全诊断模块、报文解析模块、报文转发模块和告警管理模块，其中：/nA.安全策略配置模块给用户提供灵活的安全策略配置界面，用户可以基于IP地址、MAC地址、应用协议或者基于网络摄像机的设备指纹进行安全策略配置，然后将安全策略下发给安全诊断模块；/nB.运维管理模块给用户提供设备扫描配置的界面，可以根据新增的设备信息自动创建审批工单，支持根据审批结果管理新增设备是否允许加入资产数据库，...

【技术特征摘要】
1.一种网络摄像机接入安全防护的系统，其特征在于该系统可采用主路或者旁路部署方式，独立部署在视频监控网络中，为网络摄像机接入视频监控网络时提供安全保护，包括安全策略配置模块、运维管理模块、设备扫描模块、资产管理模块、安全诊断模块、报文解析模块、报文转发模块和告警管理模块，其中：
A.安全策略配置模块给用户提供灵活的安全策略配置界面，用户可以基于IP地址、MAC地址、应用协议或者基于网络摄像机的设备指纹进行安全策略配置，然后将安全策略下发给安全诊断模块；
B.运维管理模块给用户提供设备扫描配置的界面，可以根据新增的设备信息自动创建审批工单，支持根据审批结果管理新增设备是否允许加入资产数据库，支持对资产数据库增加，删除，修改和查询操作；
C.设备扫描模块主动扫描并发现网络中的设备，获取设备IP地址、MAC地址、设备生产厂商、设备类型和设备操作系统信息，并根据信息查询资产管理模块是否为新增设备信息，上报给运维管理模块；
D.资产管理模块提供资产数据库的增加，删除，修改和查询操作接口，支持自定义设备相关信息的字段；
E.安全诊断模块根据安全策略配置模块下发的策略信息生成规则库，可以生成基于IP地址、MAC地址和应用协议的规则库，也可以生成基于设备生产厂商和设备类型的规则库；
F.报文解析模块可以根据协议从报文中解析出IP地址，MAC地址和应用协议类型；
G.报文转发模块根据安全诊断模块中的规则库判断报文需要阻断还是转发，如果阻断可以给告警管理模块上报告警信息；
H.告警管理模块可以在用户界面产生告警，告警的内容包括IP地址、MAC地址、应用协议、设备生产厂商、设备类型和告警发生时间。


2.如权利要求1所述的一种网络摄像机接入安全防护的系统，其特征在于，安全策略配置包括：基于IP地址管控、基于MAC地址管控、基于应用协议管控、基于设备指纹管控，而且管控方式均支持黑名单或白名单方式；安全策略可以是其中一条或者几条的组合，当用户安全策略配置完成后，会下发给安全诊断模块用于生成安全规则库。


3.如权利要求1所述的一种网络摄像机接入安全防护的系统，其特征在于，运维管理模块可以配置扫描地址范围和扫描间隔，地址范围可以是具体的IP地址列表，也可以是IP地址的网段；运维管理模块可以对新增设备增加审批权限，并自动触发审批流程，可以根据审批结果决定是否允许新增设备加入资产数据库；运维管理模块给用户提供增加，删除，修改，查询资产数据库的接口。


4.如权利要求1所述的一种网络摄像机接入安全防护的系统，其特征在于，设备扫描模块可以根据配置地址范围和间隔，主动扫描并自动发现网络中的设备IP地址，MAC地地址，操作系统信息；可以主动识别前端网络摄像机的生产厂商和设备类型；当发现设备时可以向资产管理模块查询是否属于新增设备；可以提交资产管理模块向资产数据库中写入设备信息；可以提交给运维管理模块向资产数据库写入设备信息。

【专利技术属性】
技术研发人员：苏敬斫，王晓波，
申请(专利权)人：慧盾信息安全科技苏州股份有限公司，
类型：发明
国别省市：江苏;32