目前安防領(lǐng)域?qū)τ诰W(wǎng)絡(luò)安全信息技術(shù)的關(guān)注越來越大,源于遠程監(jiān)控、互聯(lián)網(wǎng)監(jiān)控的需求越來越多,因此對于網(wǎng)絡(luò)安全信息技術(shù)的應(yīng)用也越來越高,如視頻流加密、身份驗證、防火墻技術(shù)、VPN技術(shù)等的重視程度不斷提升。另外,安全防范本身的安全也納入到安防體系,網(wǎng)絡(luò)安全在安防系統(tǒng)中會作為必不可少的內(nèi)容之一將會被廣泛應(yīng)用。
目前而言,在安防領(lǐng)域,大家對于網(wǎng)絡(luò)安全的概念和意識并不算明確,在非常多的平安城市項目中,一般采用專網(wǎng)或局域網(wǎng)的形式構(gòu)架;對于外網(wǎng)的接入比較少一些,所以承擔(dān)網(wǎng)絡(luò)安全的風(fēng)險相對不大。但是,安防領(lǐng)域?qū)τ诰W(wǎng)絡(luò)監(jiān)控的需求日愈膨脹,網(wǎng)絡(luò)監(jiān)控使得網(wǎng)絡(luò)安全逐漸提上日程,成為人們不得不面對的現(xiàn)實。
一、監(jiān)控網(wǎng)絡(luò)安全的緊迫性
安防網(wǎng)絡(luò)安全受到目前網(wǎng)絡(luò)監(jiān)控推廣的挑戰(zhàn),遠程監(jiān)控以及網(wǎng)絡(luò)系統(tǒng)本身的安全性不斷受到質(zhì)疑,公安部門所籌建的平安城市系統(tǒng)、公安系統(tǒng)及遠程訪問、車載或手機監(jiān)控等都與Internet進行直接或間接的互聯(lián)。一些不法分子利用后臺漏洞、特定端口可以直接或間接訪問到公安網(wǎng)絡(luò),對網(wǎng)絡(luò)安全造成潛在隱患。
隨著網(wǎng)絡(luò)監(jiān)控的盛行,基于流媒體形式的視頻監(jiān)控應(yīng)用產(chǎn)品不斷豐富,監(jiān)控網(wǎng)絡(luò)的安全性越來越受關(guān)注,流媒體數(shù)據(jù)存儲和傳輸?shù)膹V泛性和便易性使其易受破壞和攻擊,犯罪分子通常會篡改信息、拷貝錄像、非法訪問視頻等,甚至利用漏洞和后臺攻擊監(jiān)控網(wǎng)絡(luò)以便達到其犯罪的目的。在不久之前的一個銀行處理案件中,犯罪分子利用配電箱首先切斷監(jiān)控系統(tǒng)網(wǎng)絡(luò),而后實施搶劫的行為給我們敲響了警鐘。面對復(fù)雜的網(wǎng)絡(luò)安全的威脅因素,就需要人們一方面研制安全有效、適應(yīng)性強且符合標準的監(jiān)控網(wǎng)絡(luò)安全框架協(xié)議,另一方面讓大家意識到監(jiān)控網(wǎng)絡(luò)安全信息技術(shù)的緊迫性。
二、監(jiān)控網(wǎng)絡(luò)安全的發(fā)展
監(jiān)控網(wǎng)絡(luò)安全,涵蓋計算機系統(tǒng)、網(wǎng)絡(luò)傳輸、后端軟件、應(yīng)用服務(wù)、管理安全等多方面因素,形成一個有機結(jié)合的安全系統(tǒng),監(jiān)控網(wǎng)絡(luò)安全的發(fā)展,就是這幾個方面不斷深化、不斷完善安全舉措的過程。我們想加強監(jiān)控網(wǎng)絡(luò)安全的防護,也要從這幾個方面予以考慮。
1.計算機系統(tǒng)
計算機系統(tǒng)也是指監(jiān)控網(wǎng)絡(luò)中的物理安全,是整個網(wǎng)絡(luò)系統(tǒng)安全的前提。比如在校園監(jiān)控網(wǎng)絡(luò)工程建設(shè)中,由于監(jiān)控系統(tǒng)屬于弱電工程,因此在設(shè)計和施工中,應(yīng)優(yōu)先考慮避免網(wǎng)絡(luò)設(shè)備受到雷電、高低溫、雨雪等自然因素的影響,防雷系統(tǒng)不僅應(yīng)考慮建筑物防雷,還必須考慮計算機及其他弱電耐壓設(shè)備的防雷??傮w來說,物理安全的風(fēng)險主要有地震、水災(zāi)、火災(zāi)等環(huán)境事故。其他硬件防護措施,如UPS備份電源防止電源故障對計算機系統(tǒng)的影響;人為操作失誤或錯誤的恢復(fù)、設(shè)備的恢復(fù)出廠默認;電磁對周邊監(jiān)控系統(tǒng)的騷擾以及監(jiān)控系統(tǒng)對周邊設(shè)備的干擾;雙機多冗余的設(shè)計以及健全的報警系統(tǒng)等。主要盡量避免監(jiān)控網(wǎng)絡(luò)的物理安全風(fēng)險。
2.網(wǎng)絡(luò)傳輸
監(jiān)控網(wǎng)絡(luò)系統(tǒng),在遠程監(jiān)控系統(tǒng)需要與INTERNET進行通信,轉(zhuǎn)發(fā)服務(wù)器、遠程WEB服務(wù)器、報警EMAIL服務(wù)器等都需要與外界通信,容易受到網(wǎng)絡(luò)攻擊或網(wǎng)絡(luò)病毒的蔓延,那么也會影響連接內(nèi)部網(wǎng)絡(luò)機器的安全,從而使得整個監(jiān)控系統(tǒng)受到威脅。因此;我們在設(shè)計時需要在外界通信的服務(wù)器上做好防護措施,如防火墻、殺軟、正版操作系統(tǒng)屏蔽漏洞,同時有必要將公開服務(wù)器(WEB、DNS、EMAIL等)及內(nèi)部其他業(yè)務(wù)網(wǎng)絡(luò)進行必要的隔離,避免網(wǎng)絡(luò)結(jié)構(gòu)信息外泄;另外還要對外網(wǎng)的服務(wù)請求加以過濾,只允許正常通信的數(shù)據(jù)包到達相應(yīng)主機,其他的請求服務(wù)在到這主機之前就應(yīng)該遭到拒絕;這樣才可以有效避免監(jiān)控網(wǎng)絡(luò)系統(tǒng)的安全威脅。
3.后端軟件
后端軟件系統(tǒng)是整個監(jiān)控系統(tǒng)的核心,在服務(wù)器操作系統(tǒng)上做到安全性盡可能高,同時加強登錄過程的認證。另外,監(jiān)控平臺軟件,建議采用LINUX核心平臺構(gòu)架,在操作和底層服務(wù)上提高系統(tǒng)平臺的穩(wěn)定性,如采用服務(wù)器功能分立設(shè)計和多級復(fù)用冗余技術(shù),實現(xiàn)超大規(guī)模平臺高負載下的穩(wěn)定運行?;诔墒斓腎SCSI技術(shù)的分布式網(wǎng)絡(luò)存儲,確保海量數(shù)據(jù)的可靠保存,無限容量網(wǎng)絡(luò)存儲,支持前端、中心、本地多級存儲方案,確保數(shù)據(jù)完整。智能負載平衡技術(shù)結(jié)合高可用在線熱備技術(shù);確保服務(wù)器能適應(yīng)長期不間斷運行要求,擁有億級別海量數(shù)據(jù)庫極速檢索能力,支持多客戶端大并發(fā)數(shù)據(jù)查詢。三、監(jiān)控網(wǎng)絡(luò)安全技術(shù)應(yīng)用
監(jiān)控網(wǎng)絡(luò)安全領(lǐng)域的研究內(nèi)容涉及多種技術(shù)領(lǐng)域,目前在進行監(jiān)控網(wǎng)絡(luò)安全的研究,主要體現(xiàn)在以下幾個方面:
1.視頻流加密
在網(wǎng)絡(luò)監(jiān)控攝像機傳輸視頻流到后端系統(tǒng)時,先進行編碼壓縮,在此同時可以嵌入加密算潔,在后端利用特定的解密算法,才能正常獲取視頻流,而其他非正常手段即使在傳輸過程中進行盜取,也不能正常解碼視頻流信息。見圖1。
通過對網(wǎng)絡(luò)所傳輸數(shù)據(jù)進行加密來保障網(wǎng)絡(luò)的安全可靠性,其基石是數(shù)據(jù)加密技術(shù)。通信雙方采用保密通信系統(tǒng)來隱蔽和保護需要傳送的消息,使未授權(quán)者不能提取被保護的信息,目前流媒體部分加密算法比較多;不論是常規(guī)密碼加密、分組密碼進行加密、序列密碼進行加密等都要考慮。但是安防監(jiān)控領(lǐng)域真正使用的并不徹底,目前只是幾個少數(shù)的平臺廠家在使用,要求硬件監(jiān)控設(shè)備廠家按照一定規(guī)范,封裝視頻流信息,注冊到平臺后,平臺再進行解碼,再配合硬件設(shè)備的解碼庫信息顯示最終圖像。但需要注意的是,流媒體本身需要滿足一定的圖像實時性,所以在加密和解密過程要評估對實時性的影響,從而要核算解密速度與數(shù)據(jù)包長之間的對應(yīng)關(guān)系。
用加密技術(shù)來保護流媒體資源的安全,需要根據(jù)資源的特性和內(nèi)容保密性著重考慮不同因素,序列密碼能很好地適應(yīng)流媒體加密,但其選擇同樣需要根據(jù)實際惰況不斷權(quán)衡,只有這樣才能滿足流媒體的實時加密防護。
2.防火墻
防火墻,針對網(wǎng)絡(luò)安全方案的有力措施之一。防火墻的本質(zhì)是利用計算機硬件、軟件與安全策略的組合形成一種網(wǎng)關(guān),在被保護的內(nèi)部網(wǎng)與外部網(wǎng)上間建立一個安全屏障,從而保護內(nèi)部網(wǎng)免受外部侵犯的系統(tǒng)。防火墻可以決定內(nèi)部哪些服務(wù)允許被外界訪問,外界的哪些用戶可以通過防火墻,同時還決定內(nèi)部人員可以訪問哪些外部服務(wù),可以過濾、限制端口或信息服務(wù)等。因此防火墻這種安全屏障具有一定的安全準則,禁止所有未被明確許可的服務(wù),允許所有未被明確禁止的服務(wù)。
在可以與外界通訊的路由或服務(wù)器的關(guān)節(jié)上,要增加防火墻措施,布置包過濾防火墻、監(jiān)控進程和端口、代理信息服務(wù)等,拒絕未經(jīng)授權(quán)的用戶進入內(nèi)部網(wǎng)絡(luò),防止各類路由攻擊,允許合法用戶不受限制地訪問網(wǎng)絡(luò)資源,并對非法入侵進行跟蹤和報警,提高內(nèi)部網(wǎng)絡(luò)系統(tǒng)安全的保障力。
3.VPN
在監(jiān)控系統(tǒng)中,VPN網(wǎng)絡(luò)對于集團公司監(jiān)控網(wǎng)絡(luò)、超市聯(lián)網(wǎng)監(jiān)控、連鎖店監(jiān)控、加油站監(jiān)控等多種需求都可以適用。利用VPN可以實現(xiàn)在公用信息網(wǎng)中建立虛擬局域網(wǎng),監(jiān)控數(shù)據(jù)通過安全的“加密管道”在公網(wǎng)中傳播,分公司或連鎖機構(gòu)用戶租用本地數(shù)據(jù)專線接入本地公網(wǎng),即可實現(xiàn)其廣域分布的各機構(gòu)互相安全地傳遞信息。另外,也可以采用撥號接入設(shè)備,用戶可以使用撥號方式通過公網(wǎng)接入VPN監(jiān)控網(wǎng)絡(luò),從而以較小的成本構(gòu)建一個專用的監(jiān)控網(wǎng)絡(luò),省去大范圍布線等高昂的費用成本。
在虛擬局域網(wǎng)的任意兩個節(jié)點之間沒有傳統(tǒng)的端到端的物理鏈路,而是使用公網(wǎng)平臺上的邏輯連接。這種專用連接技術(shù)通常稱為隧道技術(shù),數(shù)據(jù)在公網(wǎng)中的一條模擬點到點連接的專用隧道中傳輸,通過在網(wǎng)絡(luò)上建立邏輯及網(wǎng)絡(luò)層的加密,避免網(wǎng)絡(luò)數(shù)據(jù)被修改和盜用,達到類似私有專網(wǎng)的數(shù)據(jù)安全傳輸,從而保證了用戶數(shù)據(jù)的安全性和完整性。
四、網(wǎng)絡(luò)安全任重而道運
網(wǎng)絡(luò)攻擊的手段在不斷變化與翻新,因此防范攻擊的網(wǎng)絡(luò)安全技術(shù)亦將隨之不斷發(fā)展,與之相關(guān)的網(wǎng)絡(luò)安全策略和控制機制也將日益完善。必須強調(diào)的是,要保證網(wǎng)絡(luò)的安全;僅僅使用各種安全技術(shù)來實現(xiàn)防范是遠遠不夠的,還要求有關(guān)管理、操作人員必須具有高度的安全防范意識。最可行的做法是制定健全的管理制度,保障網(wǎng)絡(luò)的安全運行,使其成為一個具有良好的安全性、可擴充性和易管理性的信息網(wǎng)絡(luò)
?