基于混合策略和違規(guī)阻斷的視頻專(zhuān)網(wǎng)準(zhǔn)入控制系統(tǒng)的研究與實(shí)現(xiàn)

隨著智慧城市和雪亮工程的建設(shè)，逐漸形成了覆蓋整個(gè)城市的視頻專(zhuān)網(wǎng)，實(shí)現(xiàn)了治安重點(diǎn)區(qū)域?qū)崟r(shí)監(jiān)控，全面提升了對(duì)突發(fā)事件的響應(yīng)能力。視頻專(zhuān)網(wǎng)作為視頻監(jiān)控系統(tǒng)的主要承載網(wǎng)絡(luò)，具有網(wǎng)絡(luò)安全級(jí)別高、網(wǎng)絡(luò)規(guī)模龐大、網(wǎng)絡(luò)分支較多、接入位置分散、人為監(jiān)管困難等特點(diǎn)，前端設(shè)備、系統(tǒng)應(yīng)用、存儲(chǔ)系統(tǒng)等存在較大的安全風(fēng)險(xiǎn)。網(wǎng)絡(luò)準(zhǔn)入控制（NetworkAccessControl，NAC）是一項(xiàng)由思科公司發(fā)起、多家廠商參加的計(jì)劃，其宗旨是防止病毒等新興黑客技術(shù)對(duì)企業(yè)安全造成危害。借助NAC，用戶(hù)可以只允許合法的、值得信任的終端設(shè)備接入網(wǎng)絡(luò)。結(jié)合視頻專(zhuān)網(wǎng)現(xiàn)狀和面臨的突出問(wèn)題，本文旨在通過(guò)部署基于混合策略和違規(guī)阻斷的網(wǎng)絡(luò)準(zhǔn)入控制系統(tǒng)，針對(duì)視頻專(zhuān)網(wǎng)進(jìn)行統(tǒng)一的資產(chǎn)管理和準(zhǔn)入管控，保障視頻專(zhuān)網(wǎng)運(yùn)行效能和網(wǎng)絡(luò)安全。1研究現(xiàn)狀隨著視頻專(zhuān)網(wǎng)前端設(shè)備數(shù)量日益增長(zhǎng)，前端設(shè)備品類(lèi)繁多、品牌復(fù)雜、維護(hù)單位眾多，包含大量的網(wǎng)絡(luò)攝像機(jī)、NVR/DVR設(shè)備、電子警察應(yīng)用設(shè)備等，視頻專(zhuān)網(wǎng)的全網(wǎng)資產(chǎn)識(shí)別和分類(lèi)統(tǒng)計(jì)變得尤為困難。同時(shí)視頻專(zhuān)網(wǎng)規(guī)模龐大，存在設(shè)備眾多、分支較多、地理位置分散、人為監(jiān)管困難等問(wèn)題，導(dǎo)致大量設(shè)備無(wú)故離線和未知設(shè)備的違規(guī)外聯(lián)，視頻專(zhuān)網(wǎng)數(shù)據(jù)庫(kù)系統(tǒng)內(nèi)視頻、圖像、車(chē)輛軌跡等敏感信息存在泄露風(fēng)險(xiǎn)。因此，需要設(shè)計(jì)一套準(zhǔn)入控制解決方案，對(duì)視頻專(zhuān)網(wǎng)所有接入設(shè)備進(jìn)行安檢，允許可信合規(guī)的設(shè)備入網(wǎng)，并阻斷未經(jīng)安檢或者不符合策略的設(shè)備，提升整體網(wǎng)絡(luò)安全。2準(zhǔn)入控制系統(tǒng)架構(gòu)與流程設(shè)計(jì)2.1系統(tǒng)總體架構(gòu)專(zhuān)網(wǎng)是指除互聯(lián)網(wǎng)或者其他公共網(wǎng)絡(luò)外使用私有IP地址空間，不連接互聯(lián)網(wǎng)或者通過(guò)安全隔離設(shè)備連接互聯(lián)網(wǎng)的政府部門(mén)或社會(huì)企事業(yè)單位的專(zhuān)用網(wǎng)絡(luò)。視頻專(zhuān)網(wǎng)也稱(chēng)視頻傳輸網(wǎng)，它是公安機(jī)關(guān)采用專(zhuān)線方式或虛擬專(zhuān)用網(wǎng)絡(luò)方式，建設(shè)在公安信息網(wǎng)之外的用于傳輸公安業(yè)務(wù)所涉視頻圖像、匯聚來(lái)自各層級(jí)視頻圖像的信息系統(tǒng)，并支撐公安視頻圖像業(yè)務(wù)等各項(xiàng)功能的非涉密網(wǎng)絡(luò)。市級(jí)視頻專(zhuān)網(wǎng)為市—縣—派出所3級(jí)網(wǎng)絡(luò)，網(wǎng)絡(luò)拓?fù)浒ń尤雽?、匯聚層、核心層，是典型的3層結(jié)構(gòu)，前端由攝像機(jī)、卡口、無(wú)人機(jī)、單兵設(shè)備、車(chē)載圖傳、執(zhí)法記錄儀、物聯(lián)網(wǎng)傳感器等智能采集設(shè)備組成，終端由計(jì)算機(jī)、智能設(shè)備、啞終端等組成，其網(wǎng)絡(luò)拓?fù)鋱D如圖1所示。圖1市級(jí)視頻專(zhuān)網(wǎng)網(wǎng)絡(luò)拓?fù)鋱D本系統(tǒng)采用B/S+C/S架構(gòu)，使用模塊化開(kāi)發(fā)模式，物理層支持多種主流網(wǎng)絡(luò)設(shè)備；網(wǎng)絡(luò)層提供多種多樣的主流網(wǎng)絡(luò)準(zhǔn)入技術(shù)，完美兼容適配各類(lèi)網(wǎng)絡(luò)結(jié)構(gòu)；準(zhǔn)入層劃分為管理網(wǎng)絡(luò)骨架的承載網(wǎng)絡(luò)、管理網(wǎng)絡(luò)區(qū)域的業(yè)務(wù)網(wǎng)絡(luò)和管理網(wǎng)絡(luò)安全的準(zhǔn)入策略3個(gè)核心部分；安全檢測(cè)層用于實(shí)現(xiàn)安全評(píng)估、流量監(jiān)測(cè)、終端控件核查和多樣性身份鑒別；應(yīng)用層提供直觀、明了、清晰的可視化窗口和業(yè)務(wù)應(yīng)用。系統(tǒng)架構(gòu)如圖2所示。圖2系統(tǒng)架構(gòu)2.2準(zhǔn)入流程設(shè)計(jì)在旁路模式下，主要利用簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議（SimpleNetworkManagementProtocol，SNMP）實(shí)時(shí)發(fā)現(xiàn)在線的IT設(shè)備在網(wǎng)情況和在網(wǎng)位置，同時(shí)對(duì)比策略庫(kù)中的策略，例如對(duì)比在線IT設(shè)備的MAC地址和指紋信息是否與資產(chǎn)庫(kù)（白名單）中的可信IT設(shè)備一致，如信息一致，則保持網(wǎng)絡(luò)現(xiàn)狀；如信息對(duì)比異常，則啟用自動(dòng)化阻斷程序，丟棄異常違規(guī)設(shè)備的所有網(wǎng)絡(luò)數(shù)據(jù)包?？傮w管理流程如圖3所示。圖3總體管理流程具體流程包括：（1）準(zhǔn)入控制系統(tǒng)通過(guò)SNMP協(xié)議實(shí)時(shí)發(fā)現(xiàn)全網(wǎng)在線設(shè)備，系統(tǒng)自動(dòng)檢查在線設(shè)備是否與資產(chǎn)庫(kù)一致；（2）系統(tǒng)發(fā)現(xiàn)新增設(shè)備后，檢查是否匹配入網(wǎng)預(yù)案；（3）若新增設(shè)備能夠匹配入網(wǎng)預(yù)案的可信條件，則系統(tǒng)直接放行不做任何阻斷處理，維持網(wǎng)絡(luò)現(xiàn)狀；（4）系統(tǒng)發(fā)現(xiàn)新增設(shè)備后，檢查到不匹配任何入網(wǎng)條件，則會(huì)產(chǎn)生違規(guī)接入告警事件；（5）系統(tǒng)通過(guò)遠(yuǎn)程控制協(xié)議調(diào)用自動(dòng)化程序，對(duì)違規(guī)設(shè)備直連的網(wǎng)絡(luò)端口下發(fā)指令，實(shí)現(xiàn)接入層的阻斷處理。3系統(tǒng)功能設(shè)計(jì)3.1資產(chǎn)自動(dòng)發(fā)現(xiàn)目前準(zhǔn)入控制系統(tǒng)主要有5種資產(chǎn)識(shí)別技術(shù)，能夠精準(zhǔn)識(shí)別視頻專(zhuān)網(wǎng)的資產(chǎn)信息。（1）SNMP探測(cè)：SNMP探知所有連接交換網(wǎng)絡(luò)的在線資產(chǎn)或私網(wǎng)資產(chǎn)。（2）地址解析協(xié)議（AddressResolutionProtocol，ARP）監(jiān)聽(tīng)：ARP監(jiān)聽(tīng)所有二層網(wǎng)絡(luò)的廣播數(shù)據(jù)包，有效發(fā)現(xiàn)隱藏網(wǎng)絡(luò)。（3）端口鏡像：通過(guò)端口鏡像技術(shù)對(duì)傳輸數(shù)據(jù)進(jìn)行應(yīng)用級(jí)監(jiān)聽(tīng)分析，有效判別服務(wù)流量和用戶(hù)流量。（4）指紋識(shí)別：通過(guò)視頻專(zhuān)網(wǎng)專(zhuān)用指紋識(shí)別庫(kù)，實(shí)現(xiàn)對(duì)全網(wǎng)在線資產(chǎn)的指紋特征、運(yùn)行服務(wù)、操作系統(tǒng)、軟件型號(hào)、攝像機(jī)型號(hào)、攝像機(jī)功能的識(shí)別。（5）文字識(shí)別：通過(guò)應(yīng)用網(wǎng)站專(zhuān)用文字識(shí)別技術(shù)，實(shí)現(xiàn)針對(duì)Web應(yīng)用站點(diǎn)業(yè)務(wù)系統(tǒng)的精準(zhǔn)識(shí)別，在服務(wù)器資產(chǎn)類(lèi)別的基礎(chǔ)上重新歸類(lèi)出公安業(yè)務(wù)專(zhuān)用的資產(chǎn)庫(kù)。通過(guò)以上多重技術(shù)的結(jié)合，把資產(chǎn)IP、資產(chǎn)MAC、品牌廠商、操作系統(tǒng)、運(yùn)行服務(wù)、入網(wǎng)端口、應(yīng)用業(yè)務(wù)等入網(wǎng)信息有機(jī)結(jié)合，實(shí)現(xiàn)IT資產(chǎn)的多元素自定義綁定的效果。3.2資產(chǎn)指紋特征視頻專(zhuān)網(wǎng)指紋特征識(shí)別庫(kù)采用的是主動(dòng)探測(cè)和被動(dòng)監(jiān)聽(tīng)兩種模式結(jié)合的方式。其中，主動(dòng)探測(cè)是主動(dòng)采集在線資產(chǎn)的品牌廠商、資產(chǎn)型號(hào)、操作系統(tǒng)、運(yùn)行服務(wù)等；被動(dòng)監(jiān)聽(tīng)是實(shí)時(shí)采樣整個(gè)網(wǎng)絡(luò)接入設(shè)備的傳輸流量，并進(jìn)行拆包解析數(shù)據(jù)行為。3.3資產(chǎn)指紋庫(kù)系統(tǒng)生成視頻專(zhuān)網(wǎng)指紋識(shí)別庫(kù)，其中主要包括網(wǎng)絡(luò)設(shè)備、終端設(shè)備、啞終端等，如表1所示。表1資產(chǎn)指紋庫(kù)3.4網(wǎng)絡(luò)資源管理3.4.1流量管理系統(tǒng)在整個(gè)網(wǎng)絡(luò)中實(shí)時(shí)學(xué)習(xí)網(wǎng)絡(luò)拓?fù)?，自?dòng)識(shí)別網(wǎng)絡(luò)設(shè)備廠商、型號(hào)，并實(shí)現(xiàn)網(wǎng)絡(luò)設(shè)備面板視圖管理、端口列表管理，直觀地展示網(wǎng)絡(luò)設(shè)備的工作狀態(tài)，同時(shí)能夠?qū)崿F(xiàn)網(wǎng)絡(luò)設(shè)備CPU、內(nèi)存實(shí)時(shí)監(jiān)視、端口流量實(shí)時(shí)統(tǒng)計(jì)，支持SNMP模板，實(shí)現(xiàn)自動(dòng)配置網(wǎng)絡(luò)。3.4.2VLAN管理系統(tǒng)自動(dòng)同步交換機(jī)的虛擬局域網(wǎng)（VirtualLocalAreaNetwork，VLAN）數(shù)據(jù)庫(kù)，集中展示所有交換機(jī)的VLAN分布情況。根據(jù)VLAN職能可以將其分為終端VLAN、業(yè)務(wù)VLAN、安全VLAN、候?qū)廣LAN和隔離VLAN等。各職能VLAN具備不同的安全策略，例如，終端VLAN主要分配內(nèi)網(wǎng)終端的基礎(chǔ)訪問(wèn)權(quán)限；業(yè)務(wù)VLAN主要分配內(nèi)網(wǎng)服務(wù)器的業(yè)務(wù)權(quán)限；安全VLAN主要管理安全設(shè)備。3.4.3IP管理支持對(duì)全網(wǎng)的IP地址進(jìn)行發(fā)現(xiàn)和管理，可以發(fā)現(xiàn)各網(wǎng)段正在使用、長(zhǎng)期離線、非法入侵和未使用的IP，并且可以添加有效備注信息，也可以通過(guò)自身動(dòng)態(tài)主機(jī)配置協(xié)議（DynamicHostConfigurationProtocol，DHCP）功能進(jìn)行IP地址的分配，從而有效管理內(nèi)部IP地址。同時(shí)，支持以圖表的形式展現(xiàn)IP資源的實(shí)際使用情況，協(xié)助管理員對(duì)視頻專(zhuān)網(wǎng)IP資源的使用進(jìn)行整體規(guī)劃，快速完成IP資源分配、回收登記管理。IP信息展示方式分為兩個(gè)維度，支持基于組織架構(gòu)查詢(xún)，也支持基于IP網(wǎng)段查詢(xún)。3.5前端接入管理以“接入設(shè)備可信、接入數(shù)據(jù)可控”為原則，通過(guò)主動(dòng)掃描、被動(dòng)監(jiān)聽(tīng)和手工設(shè)置等手段，建立弱口令掃描、高危端口掃描、白名單準(zhǔn)入等策略，實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)中非法惡意行為的識(shí)別、告警和實(shí)時(shí)阻斷，避免非法訪問(wèn)、入侵攻擊等非法數(shù)據(jù)接入視頻專(zhuān)網(wǎng)。該過(guò)程采用無(wú)客戶(hù)端技術(shù)，無(wú)須對(duì)所有視頻攝像頭物聯(lián)網(wǎng)設(shè)備進(jìn)行大量的客戶(hù)端安裝。前端設(shè)備入網(wǎng)流程如下：（1）前端設(shè)備首次入網(wǎng)時(shí)，自動(dòng)阻斷其所有網(wǎng)絡(luò)通信能力；（2）匹配入網(wǎng)策略，包括弱口令檢查、高危端口檢查、自定義策略檢查等；（3）根據(jù)策略匹配情況進(jìn)行審核，包括直接放行、限時(shí)放行、人工放行等多種審核模式。3.6終端接入管理對(duì)于計(jì)算機(jī)終端接入，準(zhǔn)入控制系統(tǒng)首先要判斷終端是否為首次入網(wǎng)，自動(dòng)阻斷其所有網(wǎng)絡(luò)通信能力，進(jìn)行終端注冊(cè)和認(rèn)證，確認(rèn)終端合法性；其次安裝準(zhǔn)入Agent，基于準(zhǔn)入客戶(hù)端實(shí)現(xiàn)合規(guī)檢查和安全檢查，對(duì)存在安全風(fēng)險(xiǎn)的終端進(jìn)行隔離并引導(dǎo)其修復(fù)，直至完全合規(guī)后允許其進(jìn)入網(wǎng)絡(luò)。終端計(jì)算機(jī)入網(wǎng)流程如下：（1）當(dāng)終端計(jì)算機(jī)首次入網(wǎng)時(shí)，自動(dòng)阻斷其所有網(wǎng)絡(luò)通信能力，僅可訪問(wèn)準(zhǔn)入產(chǎn)品的入網(wǎng)申請(qǐng)界面；（2）入網(wǎng)申請(qǐng)時(shí)，包括終端身份認(rèn)證、策略匹配、安全審核；（3）終端完全符合管理策略后，放行入網(wǎng)。對(duì)于啞終端接入，不適合通過(guò)認(rèn)證客戶(hù)端或者Portal方式進(jìn)行認(rèn)證，可以建立一套終端安全管理基線，能夠?qū)λ泄芾斫K端的外設(shè)如光驅(qū)、打印機(jī)、藍(lán)牙無(wú)線網(wǎng)卡等進(jìn)行管控。4安全策略管理4.1弱口令檢測(cè)系統(tǒng)具備針對(duì)攝像機(jī)和NVR/DVR的onvif弱口令探測(cè)能力，實(shí)現(xiàn)對(duì)全網(wǎng)在線的攝像機(jī)和NVR/DVR實(shí)現(xiàn)高危弱口令探知，然后通過(guò)字典庫(kù)進(jìn)行弱口令比對(duì)分析。4.2高危端口檢測(cè)系統(tǒng)具備針對(duì)攝像機(jī)和NVR/DVR的高危端口探測(cè)能力，實(shí)現(xiàn)對(duì)全網(wǎng)在線的攝像機(jī)和NVR/DVR實(shí)現(xiàn)高危端口探知（如默認(rèn)不開(kāi)啟的TELNET和SSH協(xié)議），通過(guò)高危端口列表進(jìn)行比對(duì)分析。4.3木馬病毒檢查與各類(lèi)防毒墻聯(lián)動(dòng)，一旦匹配木馬病毒特征庫(kù)，將立刻對(duì)入網(wǎng)終端進(jìn)行隔離處理，防止木馬病毒傳播。4.4國(guó)標(biāo)識(shí)別準(zhǔn)入檢測(cè)前端攝像頭是否符合GB35114系列標(biāo)準(zhǔn)，包括檢測(cè)攝像頭具備的安全能力是A級(jí)、B級(jí)還是C級(jí)，對(duì)于符合GB35114系列標(biāo)準(zhǔn)的前端，允許其接入視頻專(zhuān)網(wǎng)；對(duì)于不符合GB35114標(biāo)準(zhǔn)的前端，予以實(shí)時(shí)告警，并通過(guò)日志的形式展示，便于對(duì)攝像頭的合規(guī)性進(jìn)行檢測(cè)和排查。4.5設(shè)備白名單準(zhǔn)入建立合法接入設(shè)備的資產(chǎn)白名單。自動(dòng)化提取接入網(wǎng)絡(luò)攝像機(jī)等前端的設(shè)備IP、MAC、編碼、廠商、行政區(qū)域、安裝地址、經(jīng)緯度、位置類(lèi)型、聯(lián)網(wǎng)等屬性，并以此為基線，生成資產(chǎn)庫(kù)和設(shè)備白名單。當(dāng)接入設(shè)備入網(wǎng)時(shí)，通過(guò)主動(dòng)掃描與被動(dòng)監(jiān)聽(tīng)相結(jié)合的方式，將設(shè)備的信息與既有資產(chǎn)庫(kù)進(jìn)行比對(duì)，比對(duì)成功則將設(shè)備放行，比對(duì)失敗則進(jìn)行實(shí)時(shí)阻斷及告警。4.6數(shù)據(jù)白名單準(zhǔn)入基于接入數(shù)據(jù)協(xié)議特征建立業(yè)務(wù)白名單。內(nèi)置GB/T28181和GB35114系列國(guó)標(biāo)協(xié)議特征庫(kù)及主流安防廠家的私有協(xié)議特征庫(kù)，實(shí)現(xiàn)基于協(xié)議特征庫(kù)白名單的數(shù)據(jù)管控。當(dāng)數(shù)據(jù)接入到視頻專(zhuān)網(wǎng)時(shí)，對(duì)數(shù)據(jù)進(jìn)行逐包協(xié)議特征解析，并與協(xié)議特征白名單進(jìn)行匹配，如果匹配成功則將數(shù)據(jù)放行，匹配失敗則將數(shù)據(jù)實(shí)時(shí)阻斷并告警，以防止病毒、木馬、分布式拒絕服務(wù)攻擊、非法掃描等入侵行為接入視頻專(zhuān)網(wǎng)。4.7基于訪問(wèn)控制列表的訪問(wèn)控制根據(jù)VLAN職能、交換機(jī)虛擬接口、訪問(wèn)對(duì)象、訪問(wèn)目標(biāo)、標(biāo)簽分別或組合下發(fā)入網(wǎng)策略，實(shí)現(xiàn)區(qū)別化入網(wǎng)管理，可對(duì)不同的VLAN定義不同的認(rèn)證、安檢策略，支持時(shí)間控制策略，檢查是否在規(guī)定的時(shí)間入網(wǎng)，以充分保證網(wǎng)絡(luò)安全。4.8安全狀態(tài)評(píng)估對(duì)接入設(shè)備主要是計(jì)算機(jī)終端進(jìn)行安全狀態(tài)評(píng)估。例如，可以檢測(cè)是否安裝Agent并運(yùn)行、是否符合終端安全評(píng)估要求、主機(jī)環(huán)境是否可信等。5違規(guī)外聯(lián)檢測(cè)與阻斷5.1違規(guī)外聯(lián)檢測(cè)內(nèi)部網(wǎng)絡(luò)的數(shù)據(jù)保密極為重要，但在實(shí)際環(huán)境中，管理員難以對(duì)每個(gè)終端設(shè)備進(jìn)行管理，因疏忽而產(chǎn)生的內(nèi)外網(wǎng)互聯(lián)的情況，容易造成數(shù)據(jù)泄露、黑客入侵等各種網(wǎng)絡(luò)安全事件。準(zhǔn)入控制系統(tǒng)提供無(wú)客戶(hù)端的終端違規(guī)外聯(lián)檢查，可及時(shí)發(fā)現(xiàn)網(wǎng)內(nèi)出現(xiàn)的違規(guī)連接互聯(lián)網(wǎng)行為的終端，并提供違規(guī)設(shè)備的內(nèi)網(wǎng)IP、設(shè)備MAC、外網(wǎng)IP、設(shè)備位置、外聯(lián)時(shí)間等相關(guān)信息。將網(wǎng)內(nèi)在線終端資產(chǎn)發(fā)送外網(wǎng)檢測(cè)數(shù)據(jù)報(bào)文，若設(shè)備存在外聯(lián)情況，則該外聯(lián)終端將觸發(fā)誘導(dǎo)，發(fā)送響應(yīng)報(bào)文到互聯(lián)網(wǎng)違規(guī)外聯(lián)監(jiān)控服務(wù)器，服務(wù)器會(huì)第一時(shí)間發(fā)現(xiàn)并定位。違規(guī)外聯(lián)檢測(cè)如圖4所示。圖4違規(guī)外聯(lián)檢測(cè)5.2違規(guī)外聯(lián)告警準(zhǔn)入控制系統(tǒng)提供無(wú)客戶(hù)端的終端違規(guī)外聯(lián)檢查，并支持實(shí)時(shí)短信、郵件告警，提供Web管理頁(yè)面，管理人員可隨時(shí)隨地查看并掌握網(wǎng)絡(luò)安全動(dòng)態(tài)和阻斷情況，包括內(nèi)網(wǎng)IP地址、內(nèi)網(wǎng)MAC地址、內(nèi)網(wǎng)連接位置（交換機(jī)端口）、外網(wǎng)IP地址、違規(guī)時(shí)長(zhǎng)等信息。5.3違規(guī)外聯(lián)阻斷違規(guī)外聯(lián)數(shù)據(jù)通過(guò)部署在互聯(lián)網(wǎng)違規(guī)外聯(lián)的監(jiān)控服務(wù)器單向?qū)雰?nèi)網(wǎng)的準(zhǔn)入控制系統(tǒng)，對(duì)出現(xiàn)違規(guī)外聯(lián)的設(shè)備進(jìn)行自動(dòng)阻斷，防止違規(guī)終端設(shè)備持續(xù)在網(wǎng)狀態(tài)。具體流程如圖5所示。圖5違規(guī)外聯(lián)阻斷具體流程包括：（1）發(fā)送誘導(dǎo)數(shù)據(jù)，監(jiān)測(cè)終端外聯(lián)情況；（2）內(nèi)網(wǎng)終端違規(guī)外聯(lián)互聯(lián)網(wǎng)，訪問(wèn)互聯(lián)網(wǎng)各類(lèi)應(yīng)用；（3）違規(guī)外聯(lián)監(jiān)控服務(wù)器接收到終端外聯(lián)數(shù)據(jù)；（4）違規(guī)外聯(lián)監(jiān)控服務(wù)器通過(guò)邊界設(shè)備單向傳送違規(guī)外聯(lián)數(shù)據(jù)，將違規(guī)外聯(lián)數(shù)據(jù)推送至視頻專(zhuān)網(wǎng)的準(zhǔn)入設(shè)備；（5）推送外聯(lián)數(shù)據(jù)（包括違規(guī)外聯(lián)事件涉及的時(shí)間戳、資產(chǎn)IP、資產(chǎn)MAC）；（6）準(zhǔn)入系統(tǒng)接收到外聯(lián)數(shù)據(jù)后實(shí)施阻斷。6系統(tǒng)實(shí)現(xiàn)采用面向?qū)ο蠛兔嫦蜻^(guò)程的軟件設(shè)計(jì)思想和方法，使用Linux下的C和PHP編程技術(shù)，形成設(shè)計(jì)先進(jìn)、界面友好的管理平臺(tái)。系統(tǒng)主要包括5大功能模塊：資產(chǎn)管理、前端接入管理、終端設(shè)備管理、安全策略管理、違規(guī)外聯(lián)檢測(cè)及阻斷。系統(tǒng)涉及大數(shù)據(jù)并發(fā)存取、混合準(zhǔn)入技術(shù)、網(wǎng)絡(luò)可視化等關(guān)鍵技術(shù)。準(zhǔn)入控制系統(tǒng)部署在內(nèi)部網(wǎng)絡(luò)環(huán)境，部署方式為旁路模式，部署方案包括自動(dòng)運(yùn)維部署和流量管控部署。自動(dòng)運(yùn)維部署采用Telnet/SSH方式來(lái)管理交換機(jī)，系統(tǒng)內(nèi)置交換機(jī)的VLAN切換和動(dòng)態(tài)訪問(wèn)控制列表控制策略的自動(dòng)化運(yùn)維腳本。利用SNMP協(xié)議在接入層交換機(jī)上獲知是否有新設(shè)備接入或者未做安全檢查的終端接入，如果不允許設(shè)備接入或者沒(méi)有通過(guò)安全檢查，則通過(guò)映射VLAN切換技術(shù)和動(dòng)態(tài)ACL技術(shù)，將設(shè)備進(jìn)行隔離，數(shù)據(jù)流量重定向，對(duì)終端做Web重定向、安全檢查與修復(fù)、訪問(wèn)權(quán)限控制等操作。流量管控部署通過(guò)在核心或者匯聚設(shè)備上配置端口鏡像或PBR路由策略的方式，將流量復(fù)制到準(zhǔn)入控制系統(tǒng)，準(zhǔn)入控制系統(tǒng)對(duì)入網(wǎng)流量的合規(guī)來(lái)源和合規(guī)特征進(jìn)行分析，從而進(jìn)行流量引導(dǎo)和違規(guī)阻斷。針對(duì)視頻專(zhuān)網(wǎng)大流量的網(wǎng)絡(luò)環(huán)境，可以采用自動(dòng)運(yùn)維部署和流量管控部署兩種技術(shù)的有機(jī)結(jié)合。通過(guò)流量鏡像的方式在線采樣分析入網(wǎng)數(shù)據(jù)包，同時(shí)利用IPACL和SVIACL技術(shù)對(duì)穿越網(wǎng)絡(luò)的數(shù)據(jù)包進(jìn)行L2～L7層的應(yīng)用級(jí)防護(hù)。7與零信任安全體系的比較零信任安全防護(hù)體系作為新一代網(wǎng)