2013-11-07 10:30:36 来源:e-works
目前而言,在安防领域,大家对于网络安全的概念和意识并不算明确,在非常多的平安城市项目中,一般采用专网或局域网的形式构架,对于外网的接入比较少一些,所以承担网络安全的风险相对不大。但是,安防领域对于网络监控的需求日愈膨胀,网络监控使得网络安全逐渐提上日程,成为人们不得不面对的现实。
一、监控网络安全的紧迫性
安防网络安全受到目前网络监控推广的挑战,远程监控以及网络系统本身的安全性不断受到质疑,公安部门所筹建的平安城市系统、公安系统及远程访问、车载或手机监控等都与Inte rnet进行直接或间接的互联。一些不法分子利用后台漏洞、特定端口可以直接或间接访问到公安网络,对网络安全造成潜在隐患。
随着网络监控的盛行,基于流媒体形式的视频监控应用产品不断丰富,监控网络的安全性越来越受关注,流媒体数据存储和传输的广泛性和便易性使其易受破坏和攻击,犯罪分子通常会篡改信息、拷贝录像、非法访问视频等,甚至利用漏洞和后台攻击监控网络以便达到其犯罪的目的。在不久之前的一个银行处理案件中,犯罪分子利用配电箱首先切断监控系统网络,而后实施抢劫的行为给我们敲响了警钟。面对复杂的网络安全的威胁因素,就需要人们一方面研制安全有效、适应性强且符合标准的监控网络安全框架协议,另一方面让大家意识到监控网络安全信息技术的紧迫性。
二、监控网络安全的发展
监控网络安全,涵盖计算机系统、网络传输、后端软件、应用服务、管理安全等多方面因素,形成一个有机结合的安全系统,监控网络安全的发展,就是这几个方面不断深化、不断完善安全举措的过程。我们想加强监控网络安全的防护,也要从这几个方面予以考虑。
1.计算机系统
计算机系统也是指监控网络中的物理安全,是整个网络系统安全的前提。比如在校园监控网络工程建设中,由于监控系统属于弱电工程,因此在设计和施工中,应优先考虑避免网络设备受到雷电、高低温、雨雪等自然因素的影响,防雷系统不仅应考虑建筑物防雷,还必须考虑计算机及其他弱电耐压设备的防雷。总体来说,物理安全的风险主要有地震、水灾、火灾等环境事故。其他硬件防护措施,如UPS备份电源防止电源故障对计算机系统的影响;人为操作失误或错误的恢复、设备的恢复出厂默认;电磁对周边监控系统的骚扰以及监控系统对周边设备的干扰;双机多冗余的设计以及健全的报警系统等。总之要尽量避免监控网络的物理安全风险。
2.网络传输
监控网络系统,在远程监控系统需要与I NTERNET进行通信,转发服务器、远程WEB服务器、报警EMAIL服务器等都需要与外界通信,容易受到网络攻击或网络病毒的蔓延,那么也会影响连接内部网络机器的安全,从而使得整个监控系统受到威胁。因此,我们在设计时需要在外界通信的服务器上做好防护措施,如防火墙、杀软、正版操作系统屏蔽漏洞,同时有必要将公开服务器(WEB、DNS、EMA JL等)及内部其他业务网络进行必要的隔离,避免网络结构信息外泄;另外还要对外网的服务请求加以过滤,只允许正常通信的数据包到达相应主机,其他的请求服务在到达主机之前就应该遭到拒绝,这样才可以有效避免监控网络系统的安全威胁。
3.后端软件
后端软件系统是整个监控系统的核心,在服务器操作系统上做到安全性尽可能高,同时加强登录过程的认证。另外,监控平台软件,建议采用LINUX核心平台构架,在操作和底层服务上提高系统平台的稳定性,如采用服务器功能分立设计和多级复用冗余技术,实现超大规模平台高负载下的稳定运行。基于成熟的iSCSI技术的分布式网络存储,确保海量数据的可靠保存,无限容量网络存储,支持前端、中心、本地多级存储方案,确保数据完整。智能负载平衡技术结合高可用在线热备技术,确保服务器能适应长期不问断运行要求,拥有亿级别海量数据库极速检索能力,支持多客户端大并发数据查询。
三、监控网络安全技术应用
监控网络安全领域的研究内容涉及多种技术领域,目前在进行监控网络安全的研究,主要体现在以下几个方面:
1.视频流加密在网络监控摄像机传输视频流到后端系统时,先进行编码压缩,在此同时可以嵌入加密算法,在后端利用特定的解密算法,才能正常获取视频流,而其他非正常手段即使在传输过程中进行盗取,也不能正常解码视频流信息。见图1。
图1 视频流加密示意
通过对网络所传输数据进行加密来保障网络的安全可靠性,其基石是数据加密技术。通信双方采用保密通信系统来隐蔽和保护需要传送的消息,使未授权者不能提取被保护的信息,目前流媒体部分加密算法比较多,不论是常规密码加密、分组密码进行加密、序列密码进行加密等都要考虑。但是安防监控领域真正使用的并不彻底, 目前只是几个少数的平台厂家在使用,要求硬件监控设备厂家按照一定规范,封装视频流信息,注册到平台后,平台再进行解码,再配合硬件设备的解码库信息显示最终图像。但需要注意的是,流媒体本身需要满足一定的图像实时性,所以在加密和解密过程要评估对实时性的影响,从而要核算解密速度与数据包长之间的对应关系。
用加密技术来保护流媒体资源的安全,需要根据资源的特性和内容保密性着重考虑不同因素,序列密码能很好地适应流媒体加密,但其选择同样需要根据实际情况不断权衡,只有这样才能满足流媒体的实施加密防护。
2.防火墙
防火墙,针对网络安全方案的有力措施之一。防火墙的本质是利用计算机硬件、软件与安全策略的组合形成一种网关,在被保护的内部网与外部网之间建立一个安全屏障,从而保护内部网免受外部侵犯的系统。防火墙可以决定内部哪些服务允许被外界访问,外界的哪些用户可以通过防火墙,同时还决定内部人员可以访问哪些外部服务,可以过滤、限制端口或信息服务等。因此防火墙这种安全屏障具有一定的安全准则,禁止所有未被明确许可的服务,允许所有未被明确禁止的服务。见图2。
图2 监控网络防火墙示意图
在可以与外界通讯的路由或服务器的关节上,要增加防火墙措施,布置包过滤防火墙、监控进程和端口、代理信息服务等,拒绝未经授权的用户进入内部网络,防止各类路由攻击,允许合法用户不受限制地访问网络资源,并对非法入侵进行跟踪和报警,提高内部网络系统安全的保障力。
3.VPN
在监控系统中,VPN网络对于集团公司监控网络、超市联网监控、连锁店监控、加油站监控等多种需求都可以适用。利用VPN可以实现在公用信息网中建立虚拟局域网,监控数据通过安全的“加密管道”在公网中传播,分公司或连锁机构用户租用本地数据专线接入本地公网,即可实现其广域分布的各机构互相安全地传递信息。另外,也可以采用拨号接入设备,用户可以使用拨号方式通过公网接入VPN监控网络,从而以较小的成本构建一个专用的监控网络,省去大范围布线等高昂的费用成本。见图3。
图3 VPN网络监控系统
在虚拟局域网的任意两个节点之间没有传统的端到端的物理链路,而是使用公网平台上的逻辑连接。这种专用连接技术通常称为隧道技术,数据在公网中的一条模拟点到点连接的专用隧道中传输,通过在网络上建立逻辑及网络层的加密,避免网络数据被修改和盗用,达到类似私有专网的数据安全传输,从而保证了用户数据的安全性和完整性。
四、网络安全任重而道远
网络攻击的手段在不断变化与翻新,因此防范攻击的网络安全技术亦将随之不断发展,与之相关的网络安全策略和控制机制也将日益完善。必须强调的是,要保证网络的安全,仅仅使用各种安全技术来实现防范是远远不够的,还要求有关管理、操作人员必须具有高度的安全防范意识。最可行的做法是制定健全的管理制度,保障网络的安全运行,使其成为一个具有良好的安全性、可扩充性和易管理性的信息网络。
免责声明:本网站(http://www.ciotimes.com/)内容主要来自原创、合作媒体供稿和第三方投稿,凡在本网站出现的信息,均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性,但不保证有关资料的准确性及可靠性,读者在使用前请进一步核实,并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏,概不负任何法律责任。
本网站刊载的所有内容(包括但不仅限文字、图片、LOGO、音频、视频、软件、程序等)版权归原作者所有。任何单位或个人认为本网站中的内容可能涉嫌侵犯其知识产权或存在不实内容时,请及时通知本站,予以删除。