視頻監控系統安全防護技術淺析

摘要：針對視頻監控系統面臨的不安全因素，對系統進行全面的安全技術部署。

關鍵詞：安全防護 管理 系統

一、系統安全需求分析

隨著視頻監控系統的大量建設并投入使用，系統的安全問題也越來越突出，如何解決室外設備、傳輸系統、管理平臺等成為重要的問題。

1）在系統建設時，采用防火墻隔離、入侵檢測、病毒防范等多種安全技術手段；

2）建立用戶安全鑒權和認證機制，并采用安全協議保護數據安全；

3）對信息（報警信息和圖像信息）進行存儲備份，配置雙機熱備份存儲系統；

4）建立完善的管理制度，包括安全技術管理、安全制度管理、安全監控等；

5）建立運行日志和日志維護機制，保證系統安全運行。

為實現上述要求，建議視頻監控管理系統中設計完善的安全性機制，從多方面保證系統的安全性。

二、物理環境安全

1.前端監控點設備安全保障

對于安裝在特定場所的室外攝像機，安裝位置較低，容易遭受人為破壞的場所，建議采用防暴攝像機，配有高強度防護罩，有效地防止力量損壞。在光端機安裝在室外時，配備高強度室外專業安裝箱，除了具備抵御較強的外界暴力破壞外，安裝箱還能夠自動控制箱內溫度，具有良好的防塵、防潮功能，保證現場光端機的正常工作。在視頻、電源及信號線等傳輸線纜處理方面，采用質量優良的PVC管進行保護，并且隱藏在安裝支架內部，避免傳輸線路遭受破壞。

2.指揮中心設備安全保障

指揮中心設備統一安裝在指揮中心的專用機架內，具有良好的物理環境。主要做好指揮中心設備供電、通訊等線路的施工工作，布線合理、整齊，提示標示明確，避免工作人員意外碰撞設備或線路，造成設備壞損或者線路中斷。

三、網絡視頻監控平臺自身的安全性

1.安全隔離網閘

采用安全隔離網閘，把專網與公網從物理上隔離開，這是最切實有效的安全措施。在安全隔離網閘的體系結構中，內外網進行信息交換的唯一途徑是通過數據暫存區交換文件。在這樣的設計中，即使外部處理單元完全被黑客侵占，也只能通過在數據暫存區中存放文件以試圖入侵辦公網絡，而這些被存入的文件首先會被辦公網絡中的掃描引擎進行掃描，有害數據將會被清除，并且，這些文件在系統中永遠不會被執行。另外，系統中的外部處理單元不提供任何服務，無需打開任何服務端口。最后，系統的內外部處理單元都采用了專用的安全增強的技術，能夠很好的保護主機自身的安全性。由此可見，安全隔離網閘在安全隔離的基礎上集成各種安全模塊，從硬件到軟件在多個層次上采取多種安全技術很好的滿足了視頻監控系統對于安全隔離與信息交換的需求。

2.防火墻技術

防火墻是一種重要的安全技術，其特征是通過在網絡邊界上建立相應的網絡通信監控系統，達到保障網絡安全的目的。防火墻型安全保障技術假設被保護網絡具有明確定義的邊界和服務，并且網絡安全的威脅僅來自外部網絡，進而通過監測、限制、更改跨越\"防火墻\"的數據流，通過盡可能地對外部網絡屏蔽有關被保護網絡的信息、結構，實現對網絡的安全保護。在監控系統中，建議應用防火墻技術，通過對網絡作拓撲結構和服務類型上的隔離來加強網絡安全。同時，建立過濾規則和其它安全策略。由于需要處理實時視頻數據流，應該采用高性能的硬件防火墻。

3.防病毒技術

病毒是目前計算機網絡系統的最大風險之一，因此部署強有力的防病毒系統是非常必要的。該防病毒系統應該能夠提供高性能的防護和靈活性，保護網關、服務器和工作站的安全；它應該是一個完善的安全解決方案，提供先進技術來保護網絡中的各個層次；它應該能夠提供集中化的策略管理，為各種服務器提供可擴展、跨平臺的病毒防護。

四、網絡安全

對于監控實時要求較高的應用，可以在承載網絡上，采用傳輸層的機制，保證網絡傳輸的安全性，通過有效的機制使得網絡線路更具有穩定性、安全性。在網絡連接上，每一個監控采集的出口網絡連接可以考慮兩個不同方向，以建立兩條路由進行備份。

五、應用系統安全

1.唯一的終端管理

應具有用戶名與MAC地址綁定功能，能夠限定某一用戶使用唯一指定的終端觀看其權限范圍內的視頻信息，避免該用戶名、密碼被盜后，通過其它終端訪問系統，造成視頻信息泄露；同時，也有效地監督用戶的工作行為，防止非正常場所觀看秘密視頻信息。

2.用戶唯一性限制

對于同一個用戶名，在同一時間內，系統嚴格限定只能有一個人登陸使用監控系統，防止某一用戶名和密碼泄露后，其它人訪問監控系統，造成視頻信息泄露。

3.授權機制

應有完善的授權機制，可以靈活地分配用戶可以查看的攝像機、可執行的功能模塊，可執行的具體功能等。因而用戶只能查看權限范圍內的攝像機和執行被授予的功能。

用戶監控人員訪問網絡視頻監控系統時要進行身份認證，用戶輸入用戶名和密碼后，認證系統對其進行驗證，以判斷用戶是否有權限使用此系統。認證系統對用戶進行安全認證，身份驗證的資料來源于集中規劃的數據庫，數據庫管理著視頻監控管理系統的所有用戶的身份資料。用戶使用用戶名和密碼正確登錄門戶系統后，門戶將會維護該用戶的會話信息，用戶由此使用系統提供的視頻監控服務。高效的認證機制使非法用戶無權使用視頻監控系統。

4.完善的日志管理

對于用戶的登錄、登出信息、控制視頻、瀏覽視頻等重要操作信息，系統將詳細記錄日志，并于用戶查詢和統計；同時，在系統產生故障或者重要視頻信息遺漏等問題時，可以通過系統日志信息，作為分析、處理問題的一個重要依據。

六、視頻流傳輸的安全性

傳輸通信安全機制：在網絡通信時，系統提供端到端（用戶端—系統平臺—設備固件）的SSL驗證和數據加密。在用戶監控人員使用視頻監控服務過程中，視頻流通過IP網絡傳輸到網絡視頻監控平臺、在從監控平臺通過IP網絡將視頻流發送到用戶端進行播放。為防止視頻流被非法用戶截獲，可以對視頻文件進行加密傳輸，一般可以采用對稱密鑰體系進行加密，對每個視頻流采用不同的密鑰加密，只有有權觀看此視頻流的用戶才擁有此密鑰，可以對視頻流進行解密，保障視頻傳輸的安全性。

七、視頻數據存放的安全性

系統的設置參數和錄像資料均可以導出用于長期安全保存。在需要時又可以重新將其恢復到系統中。對視頻圖像進行錄像后，生成視頻文件存放在存儲系統中，通過權限管理可以保障只有具有一定權限的用戶才可以訪問和查看相應的文件，視頻文件存放在具有冗余備份功能的服務器上，保證了數據存放的安全性。