主页(http://www.pttcn.net):网络视频监控系统安全策略方案探讨 总体安全策略 网络视频监控系统的安全策略需包括中心平台、前端接入设备、客户端及网络各部分的软硬件设备的安全措施;而最受关注也是最关健的核心部分,即监控中心平台是系统的中枢大脑。将通过在物理设备、网络部署及业务应用等方面进行周密的安全设计,其在各级安全层面及在相应层次上采取的安全措施,如图1所示。
对可靠性要求如下: ·支持双网双路由机制,为系统提供极高的网络安全保障机制; ·数据库管理单元是系统数据的核心,通过高可靠性的双机热备设计,保证平台稳定、连续地工作; ·采用动态负载均衡机制,使中心管理单元、接入管理单元和业务应用单元实现动态负载均衡,以保证系统极高的可用性; ·对于媒体转发单元、移动监控网关单元和媒体存储单元采用N+1备份设计,保证系统不会因为单台设备宕机而造成整个系统的崩溃; ·采用媒体流与信令数据流分离处理的方式,以保证系统高效的隔离机制; ·关键数据和媒体数据保存在专用的存储设备中,采用RAID5或RAID6等机制,保证数据存储的安全。 系统同时必须采取全面的安全保护措施,涉及到系统平台、前端接入设备、客户端及连接各组成要素的网络等,需能防病毒感染、黑客攻击、雷击、过载、断电和人为破坏等,使系统具有高度的安全与保密性。 物理设备安全 物理设备安全包括网络视频监控系统中的各种硬件设备,各组成硬件均需采取安全措施,才能达到最佳的防护效果。 视频监控系统平台侧的设备往往放置在客户的专用机房内。监控前端设备,特别是外场设备,环境复杂恶劣,对设备要求较高。如编码器、摄像机等监控前端,安装在公共场所,需采用的防爆型摄像机,编码器及光通信设备均应放置在设备箱内,并加锁保护;线缆需套管或隐蔽安装,以防止被破坏。同时室外安装的设备还需考虑防水、抗高温、机箱通风、低温加热等,以确保设备能在各种恶劣环境下正常工作。 1、服务器自身安全 可从两方面考虑进行安全加固,一是监控平台一般采用安全性能更高的Linux操作系统。关闭与监控系统业务无关的进程、应用、端口及服务等;定期修补安全漏洞后门,升级系统内核版本;规范登录账户密码,限制远程登录读取与写入,选用安全性高的SSH密钥方式;隐藏保护重要资料,如日志记录管理等;采用安全工具以及经常性的安全检查。 二是在每台服务器上加载防病毒软件和防火墙软件,要通过专门的线路从服务器上实时更新病毒定义代码,防止服务器受到病毒的入侵和攻击。 2、网络设备安全 视频监控系统中网络设备安全包括光端机、光纤收发器、交换机及路由器等,网络设备。其中合理利用路由器、交换机的安全设置,可以有效减少黑客的恶意入侵,保护数据传输安全。 前端接入端建议选用工业级交换机,系统平台采用双路由双交换机配置,建立主备冗余或负载均衡机制,可增强安全可靠性。另一方面,对系统重要的交换机路由设备配置安全策略,如通过建立规则来实现过滤需求、基于端口的访问许可、流量控制,加强设备网管SNMPV3及SSH安全登录,交换机日志报送和看门狗开启及固件映像等与安全有关的功能设置。 3、防火墙安全 防火墙指的是一个安全软件和计算机硬件设备集成组合而成,其主要由服务访问规则、验证工具、包过滤和应用网关四个部分组成。通过防火墙设置访问规则、配置不同安全等级,允许通过的端口服务、IP及协议数据来过滤数据,减少系统平台服务器压力。一般情况下,受防护墙性能的限制,视频监控媒体流不做防火墙穿透业务,只对系统平台的鉴权、认证等信令部分进行安全校验以降低防火墙的压力; 4、前端设备双重认证接入 只有合法的前端设备才能注册到系统。系统采用独有的密码发布机制,对通过身份ID认证的前端设备发布随机密码。系统通过身份ID和密码双重认证机制,能有效防御非法的或假冒的前端设备接入系统,以保证系统的安全性。 网络安全 在承载网络上采用传输层机制,保证网络传输的安全性。利用专网隔离网络视频监控流量和其他流量,优先选择监控专网(物理专网或VPN网)的组网方式可以保证网络线路的安全性,但组建视频监控专网相应的投资将大幅上升。 每一个监控采集的出口网络连接可以考虑两个不同方向,以建立两条路由进行备份。平台对外提供服务的设备,接入到防火墙的DMZ区中,通过防火墙接入到外部网络(如城域网)。监控网络关键设备规划设计中,采用防火墙、漏洞扫描、入侵监测、VPN等网络安全技术措施,实时监控整个网络的运行状态,保证系统安全可靠运行。 应用系统安全 1、高效的认证机制 登录验证机制:登录时需要输入系统分配的用户名和密码,连续输入错误次数达到系统设定的次数,系统将锁定该用户账户,只有通过系统管理员才能进行解锁重置。同时,系统支持用户安全卡(USBKEY)管理机制,利用软件电子钥匙的方法,只有持有该电子钥匙的用户才能正常启动客户端软件或Web插件,再配合加密的用户名密码对,通过双重措施保障用户访问的安全。 管理人员访问网络视频监控系统时都将进行身份认证,认证信息采用128位的DES加密处理,以判断用户是否有权使用此系统。认证系统对用户进行安全认证,身份验证的资料来源于集中规划的数据库,数据库管理着视频监控系统所有用户的身份资料。
|
