當前位置:

視頻(pín)監控系統安全防護技術淺析

一、系統安全需求分(fēn)析
  随著(zhe)視頻(pín)監控系統的(de)大(dà)量建設并投入使用(yòng),系統的(de)安全問題也(yě)越來(lái)越突出,如何解決室外設備、傳輸系統、管理(lǐ)平台等成爲重要的(de)問題。
  1)在系統建設時(shí),采用(yòng)防火牆隔離、入侵檢測、病毒防範等多(duō)種安全技術手段;
  2)建立用(yòng)戶安全鑒權和(hé)認證機制,并采用(yòng)安全協議(yì)保護數據安全;
  3)對(duì)信息(報警信息和(hé)圖像信息)進行存儲備份,配置雙機熱(rè)備份存儲系統;
  4)建立完善的(de)管理(lǐ)制度,包括安全技術管理(lǐ)、安全制度管理(lǐ)、安全監控等;
  5)建立運行日志和(hé)日志維護機制,保證系統安全運行。
  爲實現上述要求,建議(yì)視頻(pín)監控管理(lǐ)系統中設計完善的(de)安全性機制,從多(duō)方面保證系統的(de)安全性。
  二、物(wù)理(lǐ)環境安全
  1.前端監控點設備安全保障
  對(duì)于安裝在特定場(chǎng)所的(de)室外攝像機,安裝位置較低,容易遭受人(rén)爲破壞的(de)場(chǎng)所,建議(yì)采用(yòng)防暴攝像機,配有高(gāo)強度防護罩,有效地防止力量損壞。在光(guāng)端機安裝在室外時(shí),配備高(gāo)強度室外專業安裝箱,除了(le)具備抵禦較強的(de)外界暴力破壞外,安裝箱還(hái)能夠自動控制箱内溫度,具有良好的(de)防塵、防潮功能,保證現場(chǎng)光(guāng)端機的(de)正常工作。在視頻(pín)、電源及信号線等傳輸線纜處理(lǐ)方面,采用(yòng)質量優良的(de)PVC管進行保護,并且隐藏在安裝支架内部,避免傳輸線路遭受破壞。
  2.指揮中心設備安全保障
  指揮中心設備統一安裝在指揮中心的(de)專用(yòng)機架内,具有良好的(de)物(wù)理(lǐ)環境。主要做(zuò)好指揮中心設備供電、通(tōng)訊等線路的(de)施工工作,布線合理(lǐ)、整齊,提示标示明(míng)确,避免工作人(rén)員(yuán)意外碰撞設備或線路,造成設備壞損或者線路中斷。
  三、網絡視頻(pín)監控平台自身的(de)安全性
  1.安全隔離網閘
  采用(yòng)安全隔離網閘,把專網與公網從物(wù)理(lǐ)上隔離開,這(zhè)是最切實有效的(de)安全措施。在安全隔離網閘的(de)體系結構中,内外網進行信息交換的(de)唯一途徑是通(tōng)過數據暫存區(qū)交換文件。在這(zhè)樣的(de)設計中,即使外部處理(lǐ)單元完全被黑(hēi)客侵占,也(yě)隻能通(tōng)過在數據暫存區(qū)中存放文件以試圖入侵辦公網絡,而這(zhè)些被存入的(de)文件首先會被辦公網絡中的(de)掃描引擎進行掃描,有害數據将會被清除,并且,這(zhè)些文件在系統中永遠(yuǎn)不會被執行。另外,系統中的(de)外部處理(lǐ)單元不提供任何服務,無需打開任何服務端口。最後,系統的(de)内外部處理(lǐ)單元都采用(yòng)了(le)專用(yòng)的(de)安全增強的(de)技術,能夠很好的(de)保護主機自身的(de)安全性。由此可(kě)見,安全隔離網閘在安全隔離的(de)基礎上集成各種安全模塊,從硬件到軟件在多(duō)個(gè)層次上采取多(duō)種安全技術很好的(de)滿足了(le)視頻(pín)監控系統對(duì)于安全隔離與信息交換的(de)需求。
  2.防火牆技術
  防火牆是一種重要的(de)安全技術,其特征是通(tōng)過在網絡邊界上建立相應的(de)網絡通(tōng)信監控系統,達到保障網絡安全的(de)目的(de)。防火牆型安全保障技術假設被保護網絡具有明(míng)确定義的(de)邊界和(hé)服務,并且網絡安全的(de)威脅僅來(lái)自外部網絡,進而通(tōng)過監測、限制、更改跨越"防火牆"的(de)數據流,通(tōng)過盡可(kě)能地對(duì)外部網絡屏蔽有關被保護網絡的(de)信息、結構,實現對(duì)網絡的(de)安全保護。在監控系統中,建議(yì)應用(yòng)防火牆技術,通(tōng)過對(duì)網絡作拓撲結構和(hé)服務類型上的(de)隔離來(lái)加強網絡安全。同時(shí),建立過濾規則和(hé)其它安全策略。由于需要處理(lǐ)實時(shí)視頻(pín)數據流,應該采用(yòng)高(gāo)性能的(de)硬件防火牆。
  3.防病毒技術
  病毒是目前計算(suàn)機網絡系統的(de)最大(dà)風險之一,因此部署強有力的(de)防病毒系統是非常必要的(de)。該防病毒系統應該能夠提供高(gāo)性能的(de)防護和(hé)靈活性,保護網關、服務器和(hé)工作站的(de)安全;它應該是一個(gè)完善的(de)安全解決方案,提供先進技術來(lái)保護網絡中的(de)各個(gè)層次;它應該能夠提供集中化(huà)的(de)策略管理(lǐ),爲各種服務器提供可(kě)擴展、跨平台的(de)病毒防護。
  四、網絡安全
  對(duì)于監控實時(shí)要求較高(gāo)的(de)應用(yòng),可(kě)以在承載網絡上,采用(yòng)傳輸層的(de)機制,保證網絡傳輸的(de)安全性,通(tōng)過有效的(de)機制使得(de)網絡線路更具有穩定性、安全性。在網絡連接上,每一個(gè)監控采集的(de)出口網絡連接可(kě)以考慮兩個(gè)不同方向,以建立兩條路由進行備份。
  五、應用(yòng)系統安全
  1.唯一的(de)終端管理(lǐ)
  應具有用(yòng)戶名與MAC地址綁定功能,能夠限定某一用(yòng)戶使用(yòng)唯一指定的(de)終端觀看其權限範圍内的(de)視頻(pín)信息,避免該用(yòng)戶名、密碼被盜後,通(tōng)過其它終端訪問系統,造成視頻(pín)信息洩露;同時(shí),也(yě)有效地監督用(yòng)戶的(de)工作行爲,防止非正常場(chǎng)所觀看秘密視頻(pín)信息。
  2.用(yòng)戶唯一性限制
  對(duì)于同一個(gè)用(yòng)戶名,在同一時(shí)間内,系統嚴格限定隻能有一個(gè)人(rén)登陸使用(yòng)監控系統,防止某一用(yòng)戶名和(hé)密碼洩露後,其它人(rén)訪問監控系統,造成視頻(pín)信息洩露。
  3.授權機制
  應有完善的(de)授權機制,可(kě)以靈活地分(fēn)配用(yòng)戶可(kě)以查看的(de)攝像機、可(kě)執行的(de)功能模塊,可(kě)執行的(de)具體功能等。因而用(yòng)戶隻能查看權限範圍内的(de)攝像機和(hé)執行被授予的(de)功能。
  用(yòng)戶監控人(rén)員(yuán)訪問網絡視頻(pín)監控系統時(shí)要進行身份認證,用(yòng)戶輸入用(yòng)戶名和(hé)密碼後,認證系統對(duì)其進行驗證,以判斷用(yòng)戶是否有權限使用(yòng)此系統。認證系統對(duì)用(yòng)戶進行安全認證,身份驗證的(de)資料來(lái)源于集中規劃的(de)數據庫,數據庫管理(lǐ)著(zhe)視頻(pín)監控管理(lǐ)系統的(de)所有用(yòng)戶的(de)身份資料。用(yòng)戶使用(yòng)用(yòng)戶名和(hé)密碼正确登錄門戶系統後,門戶将會維護該用(yòng)戶的(de)會話(huà)信息,用(yòng)戶由此使用(yòng)系統提供的(de)視頻(pín)監控服務。高(gāo)效的(de)認證機制使非法用(yòng)戶無權使用(yòng)視頻(pín)監控系統。
  4.完善的(de)日志管理(lǐ)
  對(duì)于用(yòng)戶的(de)登錄、登出信息、控制視頻(pín)、浏覽視頻(pín)等重要操作信息,系統将詳細記錄日志,并于用(yòng)戶查詢和(hé)統計;同時(shí),在系統産生故障或者重要視頻(pín)信息遺漏等問題時(shí),可(kě)以通(tōng)過系統日志信息,作爲分(fēn)析、處理(lǐ)問題的(de)一個(gè)重要依據。
  六、視頻(pín)流傳輸的(de)安全性
  傳輸通(tōng)信安全機制:在網絡通(tōng)信時(shí),系統提供端到端(用(yòng)戶端-系統平台-設備固件)的(de)SSL驗證和(hé)數據加密。在用(yòng)戶監控人(rén)員(yuán)使用(yòng)視頻(pín)監控服務過程中,視頻(pín)流通(tōng)過IP網絡傳輸到網絡視頻(pín)監控平台、在從監控平台通(tōng)過IP網絡将視頻(pín)流發送到用(yòng)戶端進行播放。爲防止視頻(pín)流被非法用(yòng)戶截獲,可(kě)以對(duì)視頻(pín)文件進行加密傳輸,一般可(kě)以采用(yòng)對(duì)稱密鑰體系進行加密,對(duì)每個(gè)視頻(pín)流采用(yòng)不同的(de)密鑰加密,隻有有權觀看此視頻(pín)流的(de)用(yòng)戶才擁有此密鑰,可(kě)以對(duì)視頻(pín)流進行解密,保障視頻(pín)傳輸的(de)安全性。
  七、視頻(pín)數據存放的(de)安全性
  系統的(de)設置參數和(hé)錄像資料均可(kě)以導出用(yòng)于長(cháng)期安全保存。在需要時(shí)又可(kě)以重新将其恢複到系統中。對(duì)視頻(pín)圖像進行錄像後,生成視頻(pín)文件存放在存儲系統中,通(tōng)過權限管理(lǐ)可(kě)以保障隻有具有一定權限的(de)用(yòng)戶才可(kě)以訪問和(hé)查看相應的(de)文件,視頻(pín)文件存放在具有冗餘備份功能的(de)服務器上,保證了(le)數據存放的(de)安全性。