探讨：网络视频监控系统安全策略方案

总体安全策略

网络视频监控系统的安全策略需包括中心平台、前端接入设备、客户端及网络各部分的软硬件设备的安全措施；而最受关注也是最关健的核心部分，即监控中心平台是系统的中枢大脑。将通过在物理设备、网络部署及业务应用等方面进行周密的安全设计，其在各级安全层面及在相应层次上采取的安全措施，如图1所示。

对可靠性要求如下：

支持双网双路由机制，为系统提供极高的网络安全保障机制；

数据库管理单元是系统数据的核心，通过高可靠性的双机热备设计，保证平台稳定、连续地工作；

采用动态负载均衡机制，使中心管理单元、接入管理单元和业务应用单元实现动态负载均衡，以保证系统极高的可用性；

对于媒体转发单元、移动监控网关单元和媒体存储单元采用N+1备份设计，保证系统不会因为单台设备宕机而造成整个系统的崩溃；

采用媒体流与信令数据流分离处理的方式，以保证系统高效的隔离机制；

关键数据和媒体数据保存在专用的存储设备中，采用RAID5或RAID6等机制，保证数据存储的安全。

系统同时必须采取全面的安全保护措施，涉及到系统平台、前端接入设备、客户端及连接各组成要素的网络等，需能防病毒感染、黑客攻击、雷击、过载、断电和人为破坏等，使系统具有高度的安全与保密性。

物理设备安全

物理设备安全包括网络视频监控系统中的各种硬件设备，各组成硬件均需采取安全措施，才能达到最佳的防护效果。

视频监控系统平台侧的设备往往放置在客户的专用机房内。监控前端设备，特别是外场设备，环境复杂恶劣，对设备要求较高。如编码器、摄像机等监控前端，安装在公共场所，需采用的防爆型摄像机，编码器及光通信设备均应放置在设备箱内，并加锁保护；线缆需套管或隐蔽安装，以防止被破坏。同时室外安装的设备还需考虑防水、抗高温、机箱通风、低温加热等，以确保设备能在各种恶劣环境下正常工作。

1、服务器自身安全

可从两方面考虑进行安全加固，一是监控平台一般采用安全性能更高的Linux操作系统。关闭与监控系统业务无关的进程、应用、端口及服务等；定期修补安全漏洞后门，升级系统内核版本；规范登录账户密码，限制远程登录读取与写入，选用安全性高的SSH密钥方式；隐藏保护重要资料，如日志记录管理等；采用安全工具以及经常性的安全检查。

二是在每台服务器上加载防病毒软件和防火墙软件，要通过专门的线路从服务器上实时更新病毒定义代码，防止服务器受到病毒的入侵和攻击。

2、网络设备安全

视频监控系统中网络设备安全包括光端机、光纤收发器、交换机及路由器等，网络设备。其中合理利用路由器、交换机的安全设置，可以有效减少黑客的恶意入侵，保护数据传输安全。

前端接入端建议选用工业级交换机，系统平台采用双路由双交换机配置，建立主备冗余或负载均衡机制，可增强安全可靠性。另一方面，对系统重要的交换机路由设备配置安全策略，如通过建立规则来实现过滤需求、基于端口的访问许可、流量控制，加强设备网管SNMPV3及SSH安全登录，交换机日志报送和看门狗开启及固件映像等与安全有关的功能设置。

3、防火墙安全

防火墙指的是一个安全软件和计算机硬件设备集成组合而成，其主要由服务访问规则、验证工具、包过滤和应用网关四个部分组成。通过防火墙设置访问规则、配置不同安全等级，允许通过的端口服务、IP及协议数据来过滤数据，减少系统平台服务器压力。一般情况下，受防护墙性能的限制，视频监控媒体流不做防火墙穿透业务，只对系统平台的鉴权、认证等信令部分进行安全校验以降低防火墙的压力；

4、前端设备双重认证接入

只有合法的前端设备才能注册到系统。系统采用独有的密码发布机制，对通过身份ID认证的前端设备发布随机密码。系统通过身份ID和密码双重认证机制，能有效防御非法的或假冒的前端设备接入系统，以保证系统的安全性。

网络安全

在承载网络上采用传输层机制，保证网络传输的安全性。利用专网隔离网络视频监控流量和其他流量，优先选择监控专网(物理专网或VPN网)的组网方式可以保证网络线路的安全性，但组建视频监控专网相应的投资将大幅上升。

每一个监控采集的出口网络连接可以考虑两个不同方向，以建立两条路由进行备份。平台对外提供服务的设备，接入到防火墙的DMZ区中，通过防火墙接入到外部网络(如城域网)。监控网络关键设备规划设计中，采用防火墙、漏洞扫描、入侵监测、VPN等网络安全技术措施，实时监控整个网络的运行状态，保证系统安全可靠运行。

应用系统安全

1、高效的认证机制

登录验证机制：登录时需要输入系统分配的用户名和密码，连续输入错误次数达到系统设定的次数，系统将锁定该用户账户，只有通过系统管理员才能进行解锁重置。同时，系统支持用户安全卡(USBKEY)管理机制，利用软件电子钥匙的方法，只有持有该电子钥匙的用户才能正常启动客户端软件或Web插件，再配合加密的用户名密码对，通过双重措施保障用户访问的安全。

管理人员访问网络视频监控系统时都将进行身份认证，认证信息采用128位的DES加密处理，以判断用户是否有权使用此系统。认证系统对用户进行安全认证，身份验证的资料来源于集中规划的数据库，数据库管理着视频监控系统所有用户的身份资料。

系统应具有独特的用户名与MAC地址绑定功能，能够限定某一用户使用唯一指定的终端观看其权限范围内的视频信息，避免该用户名、密码被盗后，通过其它终端访问系统造成视频[FS:Page]信息泄露，同时也可有效地监督用户的工作行为，防止非正常场所观看秘密视频信息。

2、严格的权限管理

授权机制：系统应提供完善的授权机制，可以灵活地分配给用户可以查看的监控点、可执行的功能模块、可执行的具体功能等。用户只能查看权限范围内的监控点和执行被授予的功能。

管理人员登录到监控系统后，可以对监控点的设备进行管理和配置、实时查看监控点的视频图像、录像日程安排，管理、查看和检索保存在存储系统中的视频文件。系统具有完善的权限管理系统，数据库中记录了各个管理人员对各监控点的使用权限，权限管理系统根据这些数据对用户使用权限进行管理，并对用户使用界面进行定制，使用户只能管理和使用具有相应权限的监控点的设备和视频文件，而不能随意查看，甚至管理其它监控点的设备和视频文件，以保障系统的安全性。

同一用户名在同一时间内，系统可严格限定只能有一人登陆使用系统，防止某一用户名和密码泄露后，其它人访问监控系统，造成视频信息泄露。

3、完善的日志管理

系统详细记录用户登录、登出、控制视频、浏览视频等重要操作日志，便于查询和统计；同时，在系统产生故障时，可以通过系统日志信息，作为分析、处理问题的一个重要依据。

4、软件监测技术

在系统应用软件建立主进程和子进程时，子进程监护主进程，一旦主进程在规定时间没有心跳响应，子进程切换接替主进程上线进行服务；有些服务可通过串口线建立心跳检测；通过“看门狗”技术，避免系统业务软件意外退出，保障系统正常工作。

通过服务器之间的主备或负载均衡机制，建立服务进程状态监听，如图2。

在管理人员使用服务过程中，视频流通过宽带网络传输到视频监控系统平台、再从系统平台通过宽带网络将视频流在用户的监控终端进行播放。为防止视频流被非法用户截获，可以对视频文件进行加密传输，对每个视频流采用不同的密钥加密，只有有权观看此视频流的用户才拥有此密钥，可以对视频流进行解密，保障视频传输的安全性。

传输通信协议：客户端与服务器建立连接时的协议是非公开的，并且是独家拥有的通信协议体系，因而其它程序无法访问服务器。

传输通信安全机制：网络通信时，系统提供端到端(客户端软件-系统服务器-设备固件)的SSL验证和数据加密。

平台运营系统

导出和备份

系统设置的参数和录像资料均可以导出到专有存储备份设备(磁带库、磁盘阵列等)，在系统需要时配置文件又可以重新将其恢复到系统中。此外，对于视频监控历史数据要求较高的应用，可进行前端存储+中心存储的双存储方式。视频双备份，但造价就要高很多。

数据加密

系统通过使用视频加密(水印)和SSL(安全套接层)协议可以有效防止篡改和黑客从远端控制摄像机。

对视频图像进行录像后，生成视频文件存放在存储系统中，通过权限管理可以保障只有具有一定权限的用户才可以访问和查看相应的文件。为进一步加强文件的安全性，系统应对视频文件进行加密后进行存放，非法用户即便得到此视频文件，也无法解密。密钥由系统随机生成，即使是系统管理员也无法得到密钥来观看视频文件。此外，为用户提供非标准定制化的解码客户端软件，视频数据只有通过该软件才能解码回放，且该软件不支持对其他视频文件的解码回放，确保解码客户端的专用性。

1、平台远程容灾备份

容灾系统按照所保障的内容可以分类为数据级容灾和应用级容灾。数据级容灾系统需要保证用户数据的完整性、可靠性和安全性，而对于提供实时服务的信息系统，服务请求可能会中断。应用级容灾系统要能提供不间断的应用服务，让客户的服务请求能够透明地毫无觉察灾难发生地继续运行。

异地应用级容灾系统，即当本地发生大灾难时由异地设备提供业务容灾恢复，在合适地点建立异地容灾备份系统，提供特殊情况下系统平台的功能替代和整体备份等功能。不仅是数据的动态备份系统，也是应用的动态备份系统。

建立远程容灾备份系统就是为了避免自然灾害、供电问题、人为因素、病毒等各方面的破坏，确保信息资源的安全。

运营级的视频监控系统平台服务器、网络设备及数据库部署均应采用双机主备工作，已经实现了数据级别的备份；可根据用户要求，实现远程容灾，且要达到以下几点目标：

系统分平台一旦发生故障，中心平台或其他地市分平台承接起该平台的相关业务工作，实现分平台的容灾备份；

中心平台作为系统的核心平台，所有业务系统的数据均存放在平台数据库中，一旦平台出现故障问题，影响涉及的面非常广，对于中心平台的整体容灾备份尤显重要。

中心平台部署有数据库服务器、中心管理认证、网管服务器、录像管理服务器等设备，是整个系统的核心，需对中心平台进行远程容灾部署。

异地容灾的物理环，建议选择网络条件稳定、带宽出口有保障、机房环境优异、交通便捷的机房作为首选远程容灾备份，也可以选择容灾平台同某一分平台部署在同一位置(如图3)。

各分平台(前端设备或客户端)配置要求支持2个以上的注册地址连接，第1个上联地址即为主用中心平台的服务器地址，第2个上联地址为容灾备份平台数据库地址。当分平台(设备或客户端)无法连接到第1个地址，便主动连接到第2个数据库地址，从而实现中心平台与备份平台的业务迁移。但前提是主备平台的数据库需要数据库同步，其可以采用增量脚本同步进行主用数据库的异地备份，达到主备平台数据一致。

整个系统采用容灾备份机制后，系统安全可靠性得到了充分保障。同时会需要追加相应的软硬件投资、配套网络资源，以及增加系统的复杂程度；也会增加维护工作的难度，用于控制和监[FS:Page]控容灾系统源代码、执行码的版本要确保主备系统使用相同版本的软件，包括软件的包装、安装和升级等过程控制。软件版本的更新必须遵循严格的规范。