中国安防行业网

首页 > 解决方案 > 公共场所其他 > 正文

网络视频监控系统安全策略方案探讨

2012/9/19 10:59:00   安防知识网     关键字:网络视频监控系统  浏览量:

导读:视频监控系统平台侧的设备往往放置在客户的专用机房内。监控前端设备,特别是外场设备,环境复杂恶劣,对设备要求较高。如编码器、摄像机等监控前端,安装在公共场所,需采用的防爆型摄像机,编码器及光通信设备均应放置在设备箱内,并加锁保护;线缆需套管或隐蔽安装,以防止被破坏。
  网络安全

  在承载网络上采用传输层机制,保证网络传输的安全性。利用专网隔离网络视频监控流量和其他流量,优先选择监控专网(物理专网或VPN网)的组网方式可以保证网络线路的安全性,但组建视频监控专网相应的投资将大幅上升。

  每一个监控采集的出口网络连接可以考虑两个不同方向,以建立两条路由进行备份。平台对外提供服务的设备,接入到防火墙的DMZ区中,通过防火墙接入到外部网络(如城域网)。监控网络关键设备规划设计中,采用防火墙、漏洞扫描、入侵监测、VPN等网络安全技术措施,实时监控整个网络的运行状态,保证系统安全可靠运行。

  应用系统安全

  1、高效的认证机制

  登录验证机制:登录时需要输入系统分配的用户名和密码,连续输入错误次数达到系统设定的次数,系统将锁定该用户账户,只有通过系统管理员才能进行解锁重置。同时,系统支持用户安全卡(USBKEY)管理机制,利用软件电子钥匙的方法,只有持有该电子钥匙的用户才能正常启动客户端软件或Web插件,再配合加密的用户名密码对,通过双重措施保障用户访问的安全。

  管理人员访问网络视频监控系统时都将进行身份认证,认证信息采用128位的DES加密处理,以判断用户是否有权使用此系统。认证系统对用户进行安全认证,身份验证的资料来源于集中规划的数据库,数据库管理着视频监控系统所有用户的身份资料。

  系统应具有独特的用户名与MAC地址绑定功能,能够限定某一用户使用唯一指定的终端观看其权限范围内的视频信息,避免该用户名、密码被盗后,通过其它终端访问系统造成视频信息泄露,同时也可有效地监督用户的工作行为,防止非正常场所观看秘密视频信息。

  2、严格的权限管理

  授权机制:系统应提供完善的授权机制,可以灵活地分配给用户可以查看的监控点、可执行的功能模块、可执行的具体功能等。用户只能查看权限范围内的监控点和执行被授予的功能。

  管理人员登录到监控系统后,可以对监控点的设备进行管理和配置、实时查看监控点的视频图像、录像日程安排,管理、查看和检索保存在存储系统中的视频文件。系统具有完善的权限管理系统,数据库中记录了各个管理人员对各监控点的使用权限,权限管理系统根据这些数据对用户使用权限进行管理,并对用户使用界面进行定制,使用户只能管理和使用具有相应权限的监控点的设备和视频文件,而不能随意查看,甚至管理其它监控点的设备和视频文件,以保障系统的安全性。

  同一用户名在同一时间内,系统可严格限定只能有一人登陆使用系统,防止某一用户名和密码泄露后,其它人访问监控系统,造成视频信息泄露。

  3、完善的日志管理

  系统详细记录用户登录、登出、控制视频、浏览视频等重要操作日志,便于查询和统计;同时,在系统产生故障时,可以通过系统日志信息,作为分析、处理问题的一个重要依据。

  4、软件监测技术

  在系统应用软件建立主进程和子进程时,子进程监护主进程,一旦主进程在规定时间没有心跳响应,子进程切换接替主进程上线进行服务;有些服务可通过串口线建立心跳检测;通过“看门狗”技术,避免系统业务软件意外退出,保障系统正常工作。

  通过服务器之间的主备或负载均衡机制,建立服务进程状态监听,如图2。

  


  在管理人员使用服务过程中,视频流通过宽带网络传输到视频监控系统平台、再从系统平台通过宽带网络将视频流在用户的监控终端进行播放。为防止视频流被非法用户截获,可以对视频文件进行加密传输,对每个视频流采用不同的密钥加密,只有有权观看此视频流的用户才拥有此密钥,可以对视频流进行解密,保障视频传输的安全性。

  传输通信协议:客户端与服务器建立连接时的协议是非公开的,并且是独家拥有的通信协议体系,因而其它程序无法访问服务器。

  传输通信安全机制:网络通信时,系统提供端到端(客户端软件-系统服务器-设备固件)的SSL验证和数据加密。

[1] [23 [4