主頁（http://www.by236.com）：網(wǎng)絡(luò)視頻監(jiān)控系統(tǒng)安全策略方案探討

　　總體安全策略

    網(wǎng)絡(luò)視頻監(jiān)控系統(tǒng)的安全策略需包括中心平臺、前端接入設(shè)備、客戶端及網(wǎng)絡(luò)各部分的軟硬件設(shè)備的安全措施;而最受關(guān)注也是最關(guān)健的核心部分，即監(jiān)控中心平臺是系統(tǒng)的中樞大腦。將通過在物理設(shè)備、網(wǎng)絡(luò)部署及業(yè)務(wù)應(yīng)用等方面進(jìn)行周密的安全設(shè)計，其在各級安全層面及在相應(yīng)層次上采取的安全措施，如圖1所示。

    對可靠性要求如下：

    ·支持雙網(wǎng)雙路由機制，為系統(tǒng)提供極高的網(wǎng)絡(luò)安全保障機制;

    ·數(shù)據(jù)庫管理單元是系統(tǒng)數(shù)據(jù)的核心，通過高可靠性的雙機熱備設(shè)計，保證平臺穩(wěn)定、連續(xù)地工作;

    ·采用動態(tài)負(fù)載均衡機制，使中心管理單元、接入管理單元和業(yè)務(wù)應(yīng)用單元實現(xiàn)動態(tài)負(fù)載均衡，以保證系統(tǒng)極高的可用性;

    ·對于媒體轉(zhuǎn)發(fā)單元、移動監(jiān)控網(wǎng)關(guān)單元和媒體存儲單元采用N+1備份設(shè)計，保證系統(tǒng)不會因為單臺設(shè)備宕機而造成整個系統(tǒng)的崩潰;

    ·采用媒體流與信令數(shù)據(jù)流分離處理的方式，以保證系統(tǒng)高效的隔離機制;

    ·關(guān)鍵數(shù)據(jù)和媒體數(shù)據(jù)保存在專用的存儲設(shè)備中，采用RAID5或RAID6等機制，保證數(shù)據(jù)存儲的安全。

    系統(tǒng)同時必須采取全面的安全保護(hù)措施，涉及到系統(tǒng)平臺、前端接入設(shè)備、客戶端及連接各組成要素的網(wǎng)絡(luò)等，需能防病毒感染、黑客攻擊、雷擊、過載、斷電和人為破壞等，使系統(tǒng)具有高度的安全與保密性。

　　物理設(shè)備安全

    物理設(shè)備安全包括網(wǎng)絡(luò)視頻監(jiān)控系統(tǒng)中的各種硬件設(shè)備，各組成硬件均需采取安全措施，才能達(dá)到最佳的防護(hù)效果。

    視頻監(jiān)控系統(tǒng)平臺側(cè)的設(shè)備往往放置在客戶的專用機房內(nèi)。監(jiān)控前端設(shè)備，特別是外場設(shè)備，環(huán)境復(fù)雜惡劣，對設(shè)備要求較高。如編碼器、攝像機等監(jiān)控前端，安裝在公共場所，需采用的防爆型攝像機，編碼器及光通信設(shè)備均應(yīng)放置在設(shè)備箱內(nèi)，并加鎖保護(hù);線纜需套管或隱蔽安裝，以防止被破壞。同時室外安裝的設(shè)備還需考慮防水、抗高溫、機箱通風(fēng)、低溫加熱等，以確保設(shè)備能在各種惡劣環(huán)境下正常工作。

    1、服務(wù)器自身安全

    可從兩方面考慮進(jìn)行安全加固，一是監(jiān)控平臺一般采用安全性能更高的Linux操作系統(tǒng)。關(guān)閉與監(jiān)控系統(tǒng)業(yè)務(wù)無關(guān)的進(jìn)程、應(yīng)用、端口及服務(wù)等;定期修補安全漏洞后門，升級系統(tǒng)內(nèi)核版本;規(guī)范登錄賬戶密碼，限制遠(yuǎn)程登錄讀取與寫入，選用安全性高的SSH密鑰方式;隱藏保護(hù)重要資料，如日志記錄管理等;采用安全工具以及經(jīng)常性的安全檢查。

    二是在每臺服務(wù)器上加載防病毒軟件和防火墻軟件，要通過專門的線路從服務(wù)器上實時更新病毒定義代碼，防止服務(wù)器受到病毒的入侵和攻擊。

    2、網(wǎng)絡(luò)設(shè)備安全

    視頻監(jiān)控系統(tǒng)中網(wǎng)絡(luò)設(shè)備安全包括光端機、光纖收發(fā)器、交換機及路由器等，網(wǎng)絡(luò)設(shè)備。其中合理利用路由器、交換機的安全設(shè)置，可以有效減少黑客的惡意入侵，保護(hù)數(shù)據(jù)傳輸安全。

    前端接入端建議選用工業(yè)級交換機，系統(tǒng)平臺采用雙路由雙交換機配置，建立主備冗余或負(fù)載均衡機制，可增強安全可靠性。另一方面，對系統(tǒng)重要的交換機路由設(shè)備配置安全策略，如通過建立規(guī)則來實現(xiàn)過濾需求、基于端口的訪問許可、流量控制，加強設(shè)備網(wǎng)管SNMPV3及SSH安全登錄，交換機日志報送和看門狗開啟及固件映像等與安全有關(guān)的功能設(shè)置。

    3、防火墻安全

    防火墻指的是一個安全軟件和計算機硬件設(shè)備集成組合而成，其主要由服務(wù)訪問規(guī)則、驗證工具、包過濾和應(yīng)用網(wǎng)關(guān)四個部分組成。通過防火墻設(shè)置訪問規(guī)則、配置不同安全等級，允許通過的端口服務(wù)、IP及協(xié)議數(shù)據(jù)來過濾數(shù)據(jù)，減少系統(tǒng)平臺服務(wù)器壓力。一般情況下，受防護(hù)墻性能的限制，視頻監(jiān)控媒體流不做防火墻穿透業(yè)務(wù)，只對系統(tǒng)平臺的鑒權(quán)、認(rèn)證等信令部分進(jìn)行安全校驗以降低防火墻的壓力;

    4、前端設(shè)備雙重認(rèn)證接入

    只有合法的前端設(shè)備才能注冊到系統(tǒng)。系統(tǒng)采用獨有的密碼發(fā)布機制，對通過身份ID認(rèn)證的前端設(shè)備發(fā)布隨機密碼。系統(tǒng)通過身份ID和密碼雙重認(rèn)證機制，能有效防御非法的或假冒的前端設(shè)備接入系統(tǒng)，以保證系統(tǒng)的安全性。

　　網(wǎng)絡(luò)安全

    在承載網(wǎng)絡(luò)上采用傳輸層機制，保證網(wǎng)絡(luò)傳輸?shù)陌踩�性。利用專網(wǎng)隔離網(wǎng)絡(luò)視頻監(jiān)控流量和其他流量，優(yōu)先選擇監(jiān)控專網(wǎng)(物理專網(wǎng)或VPN網(wǎng))的組網(wǎng)方式可以保證網(wǎng)絡(luò)線路的安全性，但組建視頻監(jiān)控專網(wǎng)相應(yīng)的投資將大幅上升。

    每一個監(jiān)控采集的出口網(wǎng)絡(luò)連接可以考慮兩個不同方向，以建立兩條路由進(jìn)行備份。平臺對外提供服務(wù)的設(shè)備，接入到防火墻的DMZ區(qū)中，通過防火墻接入到外部網(wǎng)絡(luò)(如城域網(wǎng))。監(jiān)控網(wǎng)絡(luò)關(guān)鍵設(shè)備規(guī)劃設(shè)計中，采用防火墻、漏洞掃描、入侵監(jiān)測、VPN等網(wǎng)絡(luò)安全技術(shù)措施，實時監(jiān)控整個網(wǎng)絡(luò)的運行狀態(tài)，保證系統(tǒng)安全可靠運行。

    應(yīng)用系統(tǒng)安全

    1、高效的認(rèn)證機制

    登錄驗證機制：登錄時需要輸入系統(tǒng)分配的用戶名和密碼，連續(xù)輸入錯誤次數(shù)達(dá)到系統(tǒng)設(shè)定的次數(shù)，系統(tǒng)將鎖定該用戶賬戶，只有通過系統(tǒng)管理員才能進(jìn)行解鎖重置。同時，系統(tǒng)支持用戶安全卡(USBKEY)管理機制，利用軟件電子鑰匙的方法，只有持有該電子鑰匙的用戶才能正常啟動客戶端軟件或Web插件，再配合加密的用戶名密碼對，通過雙重措施保障用戶訪問的安全。

    管理人員訪問網(wǎng)絡(luò)視頻監(jiān)控系統(tǒng)時都將進(jìn)行身份認(rèn)證，認(rèn)證信息采用128位的DES加密處理，以判斷用戶是否有權(quán)使用此系統(tǒng)。認(rèn)證系統(tǒng)對用戶進(jìn)行安全認(rèn)證，身份驗證的資料來源于集中規(guī)劃的數(shù)據(jù)庫，數(shù)據(jù)庫管理著視頻監(jiān)控系統(tǒng)所有用戶的身份資料。
(中國集群通信網(wǎng) | 責(zé)任編輯：陳曉亮)