公共安全視頻監控聯網信息安全檢測平臺設計及實現

付浩

（陜西廣電網絡傳媒（集團）股份有限公司銅川分公司，陜西銅川 727031）

0.引言

隨著我國視頻監控系統應用技術的迭代更新，視頻監控在公共安全領域發揮的作用愈來愈重要，目前越來越多的行業、單位都在積極部署視頻監控系統，將其作為安全保障及實時信息呈現的重要技術措施。而在建設過程中，由于各個區域的公共安全視頻監控建設狀況不同，經濟發展較好的區域，視頻監控體系建設較為完善，而經濟發展較為滯后的城市，對視頻監控體系的建設總體重視度不夠，加之各區域之間的視頻監控建設機制的差異，如果要求彼此共享視頻監控數據信息，存在對接周期較長、系統兼容性差等問題，難以高效迅捷地共享視頻數據，從而影響工作的開展。因此，逐步實現公共視頻監控系統聯網應用已經成為推進我國視頻監控體系建設的關鍵一環，而在聯網建設的過程中，怎樣確保公共安全視頻監控聯網系統的安全性是當下聯網共享平臺建設過程中需要著重考慮的方向之一。

1.公共安全視頻監控系統信息安全研究現狀分析

1.1 公共安全視頻監控系統亟待處理的信息安全問題

視頻監控系統所產生的視頻數據，大多都是以既定的形式儲存至存儲介質中，利用專業化的播放軟件實現數據的實時閱覽及分析。針對視頻信息的應用及傳輸問題，視頻監控系統平臺自身的安全機制不足以確保信息的安全傳輸和使用，極易導致敏感數據外泄。與此同時，視頻監控產品硬件及軟件層面出現的一系列系統漏洞在互聯網生態之下非常容易遭到外來黑客攻擊，或者受其他非授權用戶使用，出現安全隱患的產品甚至整個體系都變成外來攻擊的對象。盡管采取專網形式部署的視頻監控聯網平臺在一定程度上規避了網絡安全問題，但安全問題僅僅是在某種程度上被掩蓋，并沒有完全消失[1]。

公共安全視頻監控系統，通常需要考慮以下幾個方面的信息安全問題：第一，避免服務攻擊。在這一部分，需要根據安全策略關閉部分端口，這就使得視頻監控系統的業務系統難以順利提供一系列服務。第二，數據傳輸形式不可靠。如采取非加密協議的形式加載用戶的鑒權數據，極易造成用戶重要信息的外泄，使得傳輸數據不可靠，極易遭到破壞。第三，病毒蠕蟲。它會使系統信息不完整，同時還會影響網絡的可用性。第四，弱口令猜測。通常會使視頻監控系統的網絡資源遭到占用，業務系統難以提供服務，且信息的安全性也極易遭到損壞，從而削弱系統機密程度以及完備程度。第五，應用軟件安全隱患。例如，Web程序出現跨站腳本、跨站請求偽造、中間件損壞等。

1.2 公共安全視頻監控系統信息安全防護程度亟待增強

目前，我國在公共安全視頻監控系統設計、建設、評測以及核驗等環節中下發了一系列標準規范，在功能及可用性上出臺了較為嚴苛的規范及標準，大多以專網的形式部署。換言之，許多公共安全視頻監控系統是一個和其他信息系統物理隔離的系統，同時還進行了部分接入以及應用方面的約束，是一個相對高效的系統，這就會使許多人認為該系統具備極強的安全性。但是較之其他連接互聯網的信息系統，該系統在安全管控及技術層面還存在諸多的不足[2]。由于該系統極為看重系統可用性，往往疏于對信息安全的監督把控，或者說，僅僅從某一層面強化穩固，沒有把信息安全工作作為系統的一部分總體來予以考慮。因此，針對多方面視頻監控系統及產品的信息安全檢測理論以及檢測技術的探索還亟待深入，對該領域的相關研究具有很強的現實價值。

2.信息安全

為確保信息安全，需運用有關技術方法以及管控方法，保護信息在傳輸、應用以及存儲過程中不會遭到內外部因素的替換、外泄以及損壞，需做好以下幾方面的工作。

2.1 身份認證工作分析

身份認證，即當操作人員登入公共安全視頻監控聯網系統后，先要求他們對身份展開鑒定，主要是為了能夠有效地維護公共安全視頻監控系統聯網的訪問策略能夠順利踐行，避免非法操作人員損壞系統資源，或者是讓合法操作人員訪問其權限之外的信息資源。在當前我國公安網身份認證的過程中，大多采取PKI/PMI身份認證以及訪問防控手段，各個正式公安民警都會獲取一個專業化的數字憑證，包含了各個民警的資料信息，民警在查找有關數據信息的過程中，該項系統就能夠依據民警的職務權限，在第一時間內獲取有關的系統資源，如果嘗試瀏覽超過其權限范疇的信息時，該系統就會拒絕相應的訪問需求，同時每次查詢資源的狀況都將被登記。所以，在建設公共安全視頻監控系統聯網的過程中，建設與之對應的PKI/PMI系統數據接口，建構有關身份認證及訪問調控板塊，通過應用當下的數字憑證技術不但能夠避免非授權工作者登入系統，避免權限有限的用戶訪問高權限資源，同時還能有效地統一系統聯網身份認證的既定標準。

2.2 信息加密工作分析

信息加密即充分利用物理手段或數學手段對視頻信息予以加密，此時還要求兩處加密位置，一是在傳輸視頻信息期間予以加密；二是在儲存視頻信息過程中予以加密。前者避免了入侵人員在傳輸視頻信息期間獲取信息，因為通過傳輸加密之后，其所竊取的信息往往是通過既定加密算法予以加密的，缺少和它相應的密鑰，無密鑰就無法對加密信息進行解密，所以，獲取的信息是無用信息。后者在儲存的過程中，是為了避免入侵人員從存儲裝置中獲取資源信息，因為他們獲取的信息往往都是經過加密的密文，缺少較為精準的解密密鑰，難以獲取有效的信息。只有具備權限的用戶方可應用專門的密鑰予以解密，才能從存儲裝置中獲取信息[3]。

通常來說，加密算法可以劃分為兩類：一是私鑰加密算法；二是公鑰加密算法。通過對比上述兩類不同算法，公鑰算法的優勢較為明顯，這主要是3方面的原因：其一，在安全方面，公鑰算法往往是基于未處理的數學難題，想要從外部予以強行破解是不現實的；其二，在管理方面，公鑰算法只需要相對較少的資源信息，同時支持數字簽名；其三，在成本控制方面，較之于公鑰加密，私鑰加密成本相對比較少。因此，在建設監控系統聯網的過程中，如果需要進一步加密視頻，就要求采取公鑰加密的形式，這樣可行性更高。

2.3 數據備份工作分析

數據備份是數據容災的重要前提，通過把本地儲存設備中的數據復制到其他的存儲器內，避免因為人為操作偏差或是系統故障而引發信息損壞或丟失。在構建公共安全視頻監控系統聯網的過程中，對視頻信息予以信息備份極為重要，現階段，大部分前端設備采集的影像均是高清晰度數據，在確保成像效果俱佳的基礎上，采集信息的容量較大，通常單路1080P攝像機一日的信息量，大約為50GB，對于一個城市而言，海量的視頻數據若采用傳統的數據備份的形式予以備份，實現難度較大。因此，在建設系統聯網的過程中，要謹慎選取數據備份的形式。現階段，采用容器技術的云存儲機制，極大地提高了視頻數據的容災備災能力。

2.4 人員管理工作分析

信息安全的維護不僅僅需要對數據、系統進行嚴格的管理和維護，人員管理也是維護信息安全的重要部分。

在監控系統聯網投入使用之前，需對使用系統的人員進行培訓，而大多數案例也表明，信息的泄漏和系統故障人為因素占了很大比率。有些是操作的失誤；有些則是使用人員不能夠遵守系統使用的規章制度，用自身的職務便利，隨意甚至惡意將系統內部信息上傳至網絡上。因此，在系統運行管理的過程中，應該對應用系統的工作者開展專業化培訓，從而更好地為系統信息安全運行奠定基礎[4]。

3.網絡安全工作分析

網絡安全就是指應用網絡技術方法維護網絡信息、軟件及硬件，避免其遭到無端的外泄、修改以及損壞，確保其系統能夠持續運作，在此過程中要充分考慮以下幾個方面。

3.1 防火墻分析

防火墻技術已經成為應用較為普遍的網絡安全技術手段。最為多見的防火墻技術可以劃分為包過濾防火墻、代理服務器式防火墻、以及基于狀態檢測的防火墻3種。其中，包過濾防火墻大多針對OSI模型中的網絡層面以及傳輸層面信息展開解析。除此之外，在代理服務器式防火墻方面，相關人員還需要對前4層至7層信息予以核查，較之于包過濾防火墻，該防火墻所需的成本相對比較高，運行速率也較慢。狀態檢測火墻能夠檢測各個TCP、UDP的會話連接情況。在實際建設視頻監控系統聯網的過程中，為了更好地選擇最適合的防火墻，需要從安全、環境適應度、成本費用、配置管理便捷程度、性能指標等層面予以考量。

3.2 病毒防范工作分析

網絡病毒可以完成自我編輯，其感染能力較強，具備一定潛伏周期的人工編寫的特制流程。事實上，在局域網絡中，如果有一個計算機不幸中了病毒，局域網內部的各個主機也會在短期內迅速中毒，情形較輕的，會在一定程度上損壞計算機內部信息，情形較重的，還會影響到系統的總體穩定性。

一般局域網內部計算機之所以會中毒，是受到移動U盤等設施的影響，或者是在局域網之中，其中一個主機搭載了外網，進而將病毒傳輸至局域網內。針對這一情況，相關人員要注意防控網絡病毒，裝配專業化的殺毒軟件，按時對網絡內部主機予以掃描核查，同時還要定期升級網絡病毒庫，避免各個網絡病毒傳輸至網絡內部[5]。

3.3 多維度組合研判分析

單一的安全組件的部署雖然能從一方面解決系統的安全性問題，但是不能全面有效地研判和分析系統安全問題，因此，通過多維安全運維組件的部署，如NIP、WAP、CIS等網絡安全組件的部署，形成技術合力，從而全面高效地保障系統的安全平穩運行。

通過部署安全漏洞掃描系統，實現網絡系統平臺的在網設備資產管理、系統漏洞掃描分析、網絡安全故障的分析研判，打造多方位立體化的安全防護體系，為公共安全視頻監控系統的安全平穩運行創造條件。

4.公共安全視頻監控聯網信息安全檢測平臺設計標準

GB35114-2017標準明確給定了公共安全領域視頻監控聯網視頻信息等既定標準，其中，單個系統由具有安全功能的前端設備、視頻監控安全管控平臺等多個板塊，各個板塊充分利用各種協議以及證書通道協議展開對接。彼此獨立的系統能夠將信令安全路由網關、媒體服務器作為重要組成部分，充分利用IP傳輸網絡傳輸以及調控系統間控制信令。

依據安全保護程度的高低，可以把前端設備安全能力劃分為A級、B級和C級。其中，A級擁有數字證書與管理平臺雙向身份認證的能力。B級在此前提下還擁有視頻數據簽名能力。而針對C級，其同時擁有視頻信息加密能力，可以及時加密保護視頻內容。

5.公共安全視頻監控聯網信息安全檢測平臺實現系統構成

根據受測主體的不同，可以劃定如下幾個板塊。

首先，在IPC檢測板塊，它常常可以劃定成三級，即A級、B級和C級，其具體的功能如表1所示。

表1 IPC檢測板塊功能

其次，在解碼器檢測板塊方面，該板塊同樣可以劃分成A級、B級和C級，它們都具備較為理想的解碼器能力[6]。其中，解碼器檢測可以劃定為兩種，即功能以及性能檢測。

最后，在管平臺檢測板塊方面，其能夠充分地發揮管理平臺作用。平臺檢測能夠劃定成上聯以及下聯兩種不同的檢測方式，其實際功能可見如表2所示。

表2 解碼器檢測板塊檢測功能

6.結語

現階段，視頻監控技術與已經成為各行各業安全防范的首選技術方式，所以在進行公共視頻監控系統聯網建設過程中，需要確保系統的安全可靠，不但要求提供硬件技術上的支撐，也要提供和技術相匹配的安全管控機制，讓技術和機制相互支撐，從而大幅度地提升公共安全視頻系統聯網安全系數。