公共安全視頻監(jiān)控聯(lián)網(wǎng)信息安全檢測(cè)平臺(tái)設(shè)計(jì)及實(shí)現(xiàn)

付浩

（陜西廣電網(wǎng)絡(luò)傳媒（集團(tuán)）股份有限公司銅川分公司，陜西銅川 727031）

0.引言

隨著我國(guó)視頻監(jiān)控系統(tǒng)應(yīng)用技術(shù)的迭代更新，視頻監(jiān)控在公共安全領(lǐng)域發(fā)揮的作用愈來(lái)愈重要，目前越來(lái)越多的行業(yè)、單位都在積極部署視頻監(jiān)控系統(tǒng)，將其作為安全保障及實(shí)時(shí)信息呈現(xiàn)的重要技術(shù)措施。而在建設(shè)過(guò)程中，由于各個(gè)區(qū)域的公共安全視頻監(jiān)控建設(shè)狀況不同，經(jīng)濟(jì)發(fā)展較好的區(qū)域，視頻監(jiān)控體系建設(shè)較為完善，而經(jīng)濟(jì)發(fā)展較為滯后的城市，對(duì)視頻監(jiān)控體系的建設(shè)總體重視度不夠，加之各區(qū)域之間的視頻監(jiān)控建設(shè)機(jī)制的差異，如果要求彼此共享視頻監(jiān)控?cái)?shù)據(jù)信息，存在對(duì)接周期較長(zhǎng)、系統(tǒng)兼容性差等問(wèn)題，難以高效迅捷地共享視頻數(shù)據(jù)，從而影響工作的開(kāi)展。因此，逐步實(shí)現(xiàn)公共視頻監(jiān)控系統(tǒng)聯(lián)網(wǎng)應(yīng)用已經(jīng)成為推進(jìn)我國(guó)視頻監(jiān)控體系建設(shè)的關(guān)鍵一環(huán)，而在聯(lián)網(wǎng)建設(shè)的過(guò)程中，怎樣確保公共安全視頻監(jiān)控聯(lián)網(wǎng)系統(tǒng)的安全性是當(dāng)下聯(lián)網(wǎng)共享平臺(tái)建設(shè)過(guò)程中需要著重考慮的方向之一。

1.公共安全視頻監(jiān)控系統(tǒng)信息安全研究現(xiàn)狀分析

1.1 公共安全視頻監(jiān)控系統(tǒng)亟待處理的信息安全問(wèn)題

視頻監(jiān)控系統(tǒng)所產(chǎn)生的視頻數(shù)據(jù)，大多都是以既定的形式儲(chǔ)存至存儲(chǔ)介質(zhì)中，利用專業(yè)化的播放軟件實(shí)現(xiàn)數(shù)據(jù)的實(shí)時(shí)閱覽及分析。針對(duì)視頻信息的應(yīng)用及傳輸問(wèn)題，視頻監(jiān)控系統(tǒng)平臺(tái)自身的安全機(jī)制不足以確保信息的安全傳輸和使用，極易導(dǎo)致敏感數(shù)據(jù)外泄。與此同時(shí)，視頻監(jiān)控產(chǎn)品硬件及軟件層面出現(xiàn)的一系列系統(tǒng)漏洞在互聯(lián)網(wǎng)生態(tài)之下非常容易遭到外來(lái)黑客攻擊，或者受其他非授權(quán)用戶使用，出現(xiàn)安全隱患的產(chǎn)品甚至整個(gè)體系都變成外來(lái)攻擊的對(duì)象。盡管采取專網(wǎng)形式部署的視頻監(jiān)控聯(lián)網(wǎng)平臺(tái)在一定程度上規(guī)避了網(wǎng)絡(luò)安全問(wèn)題，但安全問(wèn)題僅僅是在某種程度上被掩蓋，并沒(méi)有完全消失[1]。

公共安全視頻監(jiān)控系統(tǒng)，通常需要考慮以下幾個(gè)方面的信息安全問(wèn)題：第一，避免服務(wù)攻擊。在這一部分，需要根據(jù)安全策略關(guān)閉部分端口，這就使得視頻監(jiān)控系統(tǒng)的業(yè)務(wù)系統(tǒng)難以順利提供一系列服務(wù)。第二，數(shù)據(jù)傳輸形式不可靠。如采取非加密協(xié)議的形式加載用戶的鑒權(quán)數(shù)據(jù)，極易造成用戶重要信息的外泄，使得傳輸數(shù)據(jù)不可靠，極易遭到破壞。第三，病毒蠕蟲(chóng)。它會(huì)使系統(tǒng)信息不完整，同時(shí)還會(huì)影響網(wǎng)絡(luò)的可用性。第四，弱口令猜測(cè)。通常會(huì)使視頻監(jiān)控系統(tǒng)的網(wǎng)絡(luò)資源遭到占用，業(yè)務(wù)系統(tǒng)難以提供服務(wù)，且信息的安全性也極易遭到損壞，從而削弱系統(tǒng)機(jī)密程度以及完備程度。第五，應(yīng)用軟件安全隱患。例如，Web程序出現(xiàn)跨站腳本、跨站請(qǐng)求偽造、中間件損壞等。

1.2 公共安全視頻監(jiān)控系統(tǒng)信息安全防護(hù)程度亟待增強(qiáng)

目前，我國(guó)在公共安全視頻監(jiān)控系統(tǒng)設(shè)計(jì)、建設(shè)、評(píng)測(cè)以及核驗(yàn)等環(huán)節(jié)中下發(fā)了一系列標(biāo)準(zhǔn)規(guī)范，在功能及可用性上出臺(tái)了較為嚴(yán)苛的規(guī)范及標(biāo)準(zhǔn)，大多以專網(wǎng)的形式部署。換言之，許多公共安全視頻監(jiān)控系統(tǒng)是一個(gè)和其他信息系統(tǒng)物理隔離的系統(tǒng)，同時(shí)還進(jìn)行了部分接入以及應(yīng)用方面的約束，是一個(gè)相對(duì)高效的系統(tǒng)，這就會(huì)使許多人認(rèn)為該系統(tǒng)具備極強(qiáng)的安全性。但是較之其他連接互聯(lián)網(wǎng)的信息系統(tǒng)，該系統(tǒng)在安全管控及技術(shù)層面還存在諸多的不足[2]。由于該系統(tǒng)極為看重系統(tǒng)可用性，往往疏于對(duì)信息安全的監(jiān)督把控，或者說(shuō)，僅僅從某一層面強(qiáng)化穩(wěn)固，沒(méi)有把信息安全工作作為系統(tǒng)的一部分總體來(lái)予以考慮。因此，針對(duì)多方面視頻監(jiān)控系統(tǒng)及產(chǎn)品的信息安全檢測(cè)理論以及檢測(cè)技術(shù)的探索還亟待深入，對(duì)該領(lǐng)域的相關(guān)研究具有很強(qiáng)的現(xiàn)實(shí)價(jià)值。

2.信息安全

為確保信息安全，需運(yùn)用有關(guān)技術(shù)方法以及管控方法，保護(hù)信息在傳輸、應(yīng)用以及存儲(chǔ)過(guò)程中不會(huì)遭到內(nèi)外部因素的替換、外泄以及損壞，需做好以下幾方面的工作。

2.1 身份認(rèn)證工作分析

身份認(rèn)證，即當(dāng)操作人員登入公共安全視頻監(jiān)控聯(lián)網(wǎng)系統(tǒng)后，先要求他們對(duì)身份展開(kāi)鑒定，主要是為了能夠有效地維護(hù)公共安全視頻監(jiān)控系統(tǒng)聯(lián)網(wǎng)的訪問(wèn)策略能夠順利踐行，避免非法操作人員損壞系統(tǒng)資源，或者是讓合法操作人員訪問(wèn)其權(quán)限之外的信息資源。在當(dāng)前我國(guó)公安網(wǎng)身份認(rèn)證的過(guò)程中，大多采取PKI/PMI身份認(rèn)證以及訪問(wèn)防控手段，各個(gè)正式公安民警都會(huì)獲取一個(gè)專業(yè)化的數(shù)字憑證，包含了各個(gè)民警的資料信息，民警在查找有關(guān)數(shù)據(jù)信息的過(guò)程中，該項(xiàng)系統(tǒng)就能夠依據(jù)民警的職務(wù)權(quán)限，在第一時(shí)間內(nèi)獲取有關(guān)的系統(tǒng)資源，如果嘗試瀏覽超過(guò)其權(quán)限范疇的信息時(shí)，該系統(tǒng)就會(huì)拒絕相應(yīng)的訪問(wèn)需求，同時(shí)每次查詢資源的狀況都將被登記。所以，在建設(shè)公共安全視頻監(jiān)控系統(tǒng)聯(lián)網(wǎng)的過(guò)程中，建設(shè)與之對(duì)應(yīng)的PKI/PMI系統(tǒng)數(shù)據(jù)接口，建構(gòu)有關(guān)身份認(rèn)證及訪問(wèn)調(diào)控板塊，通過(guò)應(yīng)用當(dāng)下的數(shù)字憑證技術(shù)不但能夠避免非授權(quán)工作者登入系統(tǒng)，避免權(quán)限有限的用戶訪問(wèn)高權(quán)限資源，同時(shí)還能有效地統(tǒng)一系統(tǒng)聯(lián)網(wǎng)身份認(rèn)證的既定標(biāo)準(zhǔn)。

2.2 信息加密工作分析

信息加密即充分利用物理手段或數(shù)學(xué)手段對(duì)視頻信息予以加密，此時(shí)還要求兩處加密位置，一是在傳輸視頻信息期間予以加密；二是在儲(chǔ)存視頻信息過(guò)程中予以加密。前者避免了入侵人員在傳輸視頻信息期間獲取信息，因?yàn)橥ㄟ^(guò)傳輸加密之后，其所竊取的信息往往是通過(guò)既定加密算法予以加密的，缺少和它相應(yīng)的密鑰，無(wú)密鑰就無(wú)法對(duì)加密信息進(jìn)行解密，所以，獲取的信息是無(wú)用信息。后者在儲(chǔ)存的過(guò)程中，是為了避免入侵人員從存儲(chǔ)裝置中獲取資源信息，因?yàn)樗麄儷@取的信息往往都是經(jīng)過(guò)加密的密文，缺少較為精準(zhǔn)的解密密鑰，難以獲取有效的信息。只有具備權(quán)限的用戶方可應(yīng)用專門的密鑰予以解密，才能從存儲(chǔ)裝置中獲取信息[3]。

通常來(lái)說(shuō)，加密算法可以劃分為兩類：一是私鑰加密算法；二是公鑰加密算法。通過(guò)對(duì)比上述兩類不同算法，公鑰算法的優(yōu)勢(shì)較為明顯，這主要是3方面的原因：其一，在安全方面，公鑰算法往往是基于未處理的數(shù)學(xué)難題，想要從外部予以強(qiáng)行破解是不現(xiàn)實(shí)的；其二，在管理方面，公鑰算法只需要相對(duì)較少的資源信息，同時(shí)支持?jǐn)?shù)字簽名；其三，在成本控制方面，較之于公鑰加密，私鑰加密成本相對(duì)比較少。因此，在建設(shè)監(jiān)控系統(tǒng)聯(lián)網(wǎng)的過(guò)程中，如果需要進(jìn)一步加密視頻，就要求采取公鑰加密的形式，這樣可行性更高。

2.3 數(shù)據(jù)備份工作分析

數(shù)據(jù)備份是數(shù)據(jù)容災(zāi)的重要前提，通過(guò)把本地儲(chǔ)存設(shè)備中的數(shù)據(jù)復(fù)制到其他的存儲(chǔ)器內(nèi)，避免因?yàn)槿藶椴僮髌罨蚴窍到y(tǒng)故障而引發(fā)信息損壞或丟失。在構(gòu)建公共安全視頻監(jiān)控系統(tǒng)聯(lián)網(wǎng)的過(guò)程中，對(duì)視頻信息予以信息備份極為重要，現(xiàn)階段，大部分前端設(shè)備采集的影像均是高清晰度數(shù)據(jù)，在確保成像效果俱佳的基礎(chǔ)上，采集信息的容量較大，通常單路1080P攝像機(jī)一日的信息量，大約為50GB，對(duì)于一個(gè)城市而言，海量的視頻數(shù)據(jù)若采用傳統(tǒng)的數(shù)據(jù)備份的形式予以備份，實(shí)現(xiàn)難度較大。因此，在建設(shè)系統(tǒng)聯(lián)網(wǎng)的過(guò)程中，要謹(jǐn)慎選取數(shù)據(jù)備份的形式?，F(xiàn)階段，采用容器技術(shù)的云存儲(chǔ)機(jī)制，極大地提高了視頻數(shù)據(jù)的容災(zāi)備災(zāi)能力。

2.4 人員管理工作分析

信息安全的維護(hù)不僅僅需要對(duì)數(shù)據(jù)、系統(tǒng)進(jìn)行嚴(yán)格的管理和維護(hù)，人員管理也是維護(hù)信息安全的重要部分。

在監(jiān)控系統(tǒng)聯(lián)網(wǎng)投入使用之前，需對(duì)使用系統(tǒng)的人員進(jìn)行培訓(xùn)，而大多數(shù)案例也表明，信息的泄漏和系統(tǒng)故障人為因素占了很大比率。有些是操作的失誤；有些則是使用人員不能夠遵守系統(tǒng)使用的規(guī)章制度，用自身的職務(wù)便利，隨意甚至惡意將系統(tǒng)內(nèi)部信息上傳至網(wǎng)絡(luò)上。因此，在系統(tǒng)運(yùn)行管理的過(guò)程中，應(yīng)該對(duì)應(yīng)用系統(tǒng)的工作者開(kāi)展專業(yè)化培訓(xùn)，從而更好地為系統(tǒng)信息安全運(yùn)行奠定基礎(chǔ)[4]。

3.網(wǎng)絡(luò)安全工作分析

網(wǎng)絡(luò)安全就是指應(yīng)用網(wǎng)絡(luò)技術(shù)方法維護(hù)網(wǎng)絡(luò)信息、軟件及硬件，避免其遭到無(wú)端的外泄、修改以及損壞，確保其系統(tǒng)能夠持續(xù)運(yùn)作，在此過(guò)程中要充分考慮以下幾個(gè)方面。

3.1 防火墻分析

防火墻技術(shù)已經(jīng)成為應(yīng)用較為普遍的網(wǎng)絡(luò)安全技術(shù)手段。最為多見(jiàn)的防火墻技術(shù)可以劃分為包過(guò)濾防火墻、代理服務(wù)器式防火墻、以及基于狀態(tài)檢測(cè)的防火墻3種。其中，包過(guò)濾防火墻大多針對(duì)OSI模型中的網(wǎng)絡(luò)層面以及傳輸層面信息展開(kāi)解析。除此之外，在代理服務(wù)器式防火墻方面，相關(guān)人員還需要對(duì)前4層至7層信息予以核查，較之于包過(guò)濾防火墻，該防火墻所需的成本相對(duì)比較高，運(yùn)行速率也較慢。狀態(tài)檢測(cè)火墻能夠檢測(cè)各個(gè)TCP、UDP的會(huì)話連接情況。在實(shí)際建設(shè)視頻監(jiān)控系統(tǒng)聯(lián)網(wǎng)的過(guò)程中，為了更好地選擇最適合的防火墻，需要從安全、環(huán)境適應(yīng)度、成本費(fèi)用、配置管理便捷程度、性能指標(biāo)等層面予以考量。

3.2 病毒防范工作分析

網(wǎng)絡(luò)病毒可以完成自我編輯，其感染能力較強(qiáng)，具備一定潛伏周期的人工編寫的特制流程。事實(shí)上，在局域網(wǎng)絡(luò)中，如果有一個(gè)計(jì)算機(jī)不幸中了病毒，局域網(wǎng)內(nèi)部的各個(gè)主機(jī)也會(huì)在短期內(nèi)迅速中毒，情形較輕的，會(huì)在一定程度上損壞計(jì)算機(jī)內(nèi)部信息，情形較重的，還會(huì)影響到系統(tǒng)的總體穩(wěn)定性。

一般局域網(wǎng)內(nèi)部計(jì)算機(jī)之所以會(huì)中毒，是受到移動(dòng)U盤等設(shè)施的影響，或者是在局域網(wǎng)之中，其中一個(gè)主機(jī)搭載了外網(wǎng)，進(jìn)而將病毒傳輸至局域網(wǎng)內(nèi)。針對(duì)這一情況，相關(guān)人員要注意防控網(wǎng)絡(luò)病毒，裝配專業(yè)化的殺毒軟件，按時(shí)對(duì)網(wǎng)絡(luò)內(nèi)部主機(jī)予以掃描核查，同時(shí)還要定期升級(jí)網(wǎng)絡(luò)病毒庫(kù)，避免各個(gè)網(wǎng)絡(luò)病毒傳輸至網(wǎng)絡(luò)內(nèi)部[5]。

3.3 多維度組合研判分析

單一的安全組件的部署雖然能從一方面解決系統(tǒng)的安全性問(wèn)題，但是不能全面有效地研判和分析系統(tǒng)安全問(wèn)題，因此，通過(guò)多維安全運(yùn)維組件的部署，如NIP、WAP、CIS等網(wǎng)絡(luò)安全組件的部署，形成技術(shù)合力，從而全面高效地保障系統(tǒng)的安全平穩(wěn)運(yùn)行。

通過(guò)部署安全漏洞掃描系統(tǒng)，實(shí)現(xiàn)網(wǎng)絡(luò)系統(tǒng)平臺(tái)的在網(wǎng)設(shè)備資產(chǎn)管理、系統(tǒng)漏洞掃描分析、網(wǎng)絡(luò)安全故障的分析研判，打造多方位立體化的安全防護(hù)體系，為公共安全視頻監(jiān)控系統(tǒng)的安全平穩(wěn)運(yùn)行創(chuàng)造條件。

4.公共安全視頻監(jiān)控聯(lián)網(wǎng)信息安全檢測(cè)平臺(tái)設(shè)計(jì)標(biāo)準(zhǔn)

GB35114-2017標(biāo)準(zhǔn)明確給定了公共安全領(lǐng)域視頻監(jiān)控聯(lián)網(wǎng)視頻信息等既定標(biāo)準(zhǔn)，其中，單個(gè)系統(tǒng)由具有安全功能的前端設(shè)備、視頻監(jiān)控安全管控平臺(tái)等多個(gè)板塊，各個(gè)板塊充分利用各種協(xié)議以及證書(shū)通道協(xié)議展開(kāi)對(duì)接。彼此獨(dú)立的系統(tǒng)能夠?qū)⑿帕畎踩酚删W(wǎng)關(guān)、媒體服務(wù)器作為重要組成部分，充分利用IP傳輸網(wǎng)絡(luò)傳輸以及調(diào)控系統(tǒng)間控制信令。

依據(jù)安全保護(hù)程度的高低，可以把前端設(shè)備安全能力劃分為A級(jí)、B級(jí)和C級(jí)。其中，A級(jí)擁有數(shù)字證書(shū)與管理平臺(tái)雙向身份認(rèn)證的能力。B級(jí)在此前提下還擁有視頻數(shù)據(jù)簽名能力。而針對(duì)C級(jí)，其同時(shí)擁有視頻信息加密能力，可以及時(shí)加密保護(hù)視頻內(nèi)容。

5.公共安全視頻監(jiān)控聯(lián)網(wǎng)信息安全檢測(cè)平臺(tái)實(shí)現(xiàn)系統(tǒng)構(gòu)成

根據(jù)受測(cè)主體的不同，可以劃定如下幾個(gè)板塊。

首先，在IPC檢測(cè)板塊，它常?？梢詣澏ǔ扇?jí)，即A級(jí)、B級(jí)和C級(jí)，其具體的功能如表1所示。

表1 IPC檢測(cè)板塊功能

其次，在解碼器檢測(cè)板塊方面，該板塊同樣可以劃分成A級(jí)、B級(jí)和C級(jí)，它們都具備較為理想的解碼器能力[6]。其中，解碼器檢測(cè)可以劃定為兩種，即功能以及性能檢測(cè)。

最后，在管平臺(tái)檢測(cè)板塊方面，其能夠充分地發(fā)揮管理平臺(tái)作用。平臺(tái)檢測(cè)能夠劃定成上聯(lián)以及下聯(lián)兩種不同的檢測(cè)方式，其實(shí)際功能可見(jiàn)如表2所示。

表2 解碼器檢測(cè)板塊檢測(cè)功能

6.結(jié)語(yǔ)

現(xiàn)階段，視頻監(jiān)控技術(shù)與已經(jīng)成為各行各業(yè)安全防范的首選技術(shù)方式，所以在進(jìn)行公共視頻監(jiān)控系統(tǒng)聯(lián)網(wǎng)建設(shè)過(guò)程中，需要確保系統(tǒng)的安全可靠，不但要求提供硬件技術(shù)上的支撐，也要提供和技術(shù)相匹配的安全管控機(jī)制，讓技術(shù)和機(jī)制相互支撐，從而大幅度地提升公共安全視頻系統(tǒng)聯(lián)網(wǎng)安全系數(shù)。