根據(jù)監(jiān)控系統(tǒng)的組成情況�,針對監(jiān)控系統(tǒng)安全防護也可分為前端區(qū)域、管理平臺區(qū)域以及客戶端區(qū)域三部分。
據(jù)了解�����,根據(jù)安全保護能力的強弱�,GB35114-2017標準將安全前端(攝像機)的安全能力分為3個等級���,由弱到強分別是A級�、B級��、C級����。原視頻監(jiān)控系統(tǒng)要支持GB35114-2017,需要在前端設備��、用戶終端�����、視頻監(jiān)控管理平臺各個模塊增加安全功能,增加專門的視頻安全密鑰服務系統(tǒng)�����。
一��、監(jiān)控前端設備安全性
前端攝像機?��,F(xiàn)有安裝攝像機可以通過增加符合國密標準的TF卡����、軟件密碼模塊�,升級軟件方式實現(xiàn)對GB35114-2017的支持,普通攝像機可以支持A級安全等級�。但符合公共安全SVAC2.0國家標準的攝像機可以達到支持B級和C級安全等級。
監(jiān)控前端設備可以采取以下安全措施:
(1)系統(tǒng)對前端設備進行統(tǒng)一編碼和管理,前端設備接入系統(tǒng)時,系統(tǒng)會對前端設備進行接入認證,通過對前端設備的注冊和?��;罟芾?即定時向前端設備發(fā)送信息,以確認前端的狀態(tài)),保證視頻源的合法性和安全性�。
(2)解碼設備只接收服務器指定編碼設備發(fā)送的媒體流,防止惡意假造媒體流���。系統(tǒng)設備對前端設備進行業(yè)務訪問時,也需要攜帶相關的鑒權(quán)信息,以供前端設備進行檢查和認證,編解碼設備只接受合法管理服務器的控制命令,以防止被非法控制���。
(3)如果前端視頻服務器被盜,要保證里面存儲的圖像不泄密。前端視頻服務器操作系統(tǒng)對系統(tǒng)賬號的保護等級很高,很難輕易破解并登錄��。同時里面存儲的圖像文件系統(tǒng)采用專用的文件系統(tǒng)和讀寫操作指令,必須使用專用的客戶端播放器和USB-KEY才能下載觀看��。
(4)前端設備安全認證,應對系統(tǒng)中的前端設備進行接入認證,可采用數(shù)字證書的認證方式,或者基于設備的物理標識����。對于非IP設備,可以通過前端接入網(wǎng)關來進行認證。在采用數(shù)字證書認證方式時,前端設備或前端接入網(wǎng)關應提供安全模塊����。安全模塊應具備的安全功能有:安全認證功能、密鑰管理功能����、信道加密功能。
二����、用戶終端加密保護
用戶終端需要升級客戶端軟件,并增加Ukey或加密卡���,實現(xiàn)GB35114-2017規(guī)范里要求的基于數(shù)字證書的設備身份認證���、視頻簽名的驗簽和加密視頻的解密功能����。
監(jiān)控業(yè)務客戶端采用專用程序,并結(jié)合帶有用戶信息的硬件加密狗(USB-KEY),防止用戶程序的非法拷貝和使用���。"加密狗"是一種插在計算機UsB接口上的軟硬件結(jié)合的加密產(chǎn)品,一般都有幾十或兒百字節(jié)的非易失性存儲空間可供讀寫,較新的"加密狗"內(nèi)部還包含單片機�。
客戶端程序通過調(diào)用USB-KEY的接口模塊對其進行操作,USB-KEY響應該操作,并通過接口模塊將相應的用戶數(shù)據(jù)返回給客戶端程序�。客戶端程序可以對返回值進行判定,并采取相應的動作��。如果返回無效的響應,表明為非法或無授權(quán)的用戶,客戶端程序可以將應用程序終止運行�����。
硬件加密狗主要特點如下:
(1)加密算法:針對不同用戶任意選擇加密算法,并且可以自定義加密算法因子(256種算法,24位算法因子,共有1600萬種因子變化可供選擇)�。
(2)單片機:USB-KEY硬件內(nèi)置單片機,單片機程序用特殊方法一次性寫入。固化的單片機程序不可讀出或改寫,從而保證USB-KEY不可被仿制�����。
(3)數(shù)據(jù)交換隨機噪聲技術:有效地對抗邏輯分析儀及各種調(diào)試工具的攻擊,完全禁止軟件仿真程序模擬并口或USB接口的數(shù)據(jù)���。
(4)迷宮技術:在USB=KEY函數(shù)入口和出口之間包含大量復雜的判斷跳轉(zhuǎn)干擾代碼,動態(tài)改變執(zhí)行次序,提升USB-KEY的抗跟蹤能力��。
(5)時間閘:USB-KEY內(nèi)部設有時間閘,各種操作必須在規(guī)定的時間內(nèi)完成�����。UsBKEY正常操作用時很短,但跟蹤時用時較長,超過規(guī)定時間,USB-KEY將返回錯誤結(jié)果�。
(6)AS技術:內(nèi)嵌式加密(APD)與外殼加密(SHEL)相結(jié)合的方式,能夠到達極高的加密強度,即使外殼被破壞,加密程序仍然能正常運行�。
(7)抗共享:硬件內(nèi)置對抗并口共享器。
(8)密碼保護:密碼錯誤將不能對UsB-KEY存儲區(qū)進行讀寫��。
(9)存儲器:對數(shù)據(jù)存儲區(qū)存放的關鍵數(shù)據(jù)�����、配置參數(shù)等信息提供掉電保持�。
(10)流水號:每只USB-KEY都有唯一的序號,即流水號,可以通過讀流水號以區(qū)分每一只USB-KEY。
(11)新一代外殼技術:新一代外殼工具在極大提高加密軟件安全性的基礎上,同時改善其易用性�����、兼容性和適用范圍��。
三�、監(jiān)控平臺安全性
視頻監(jiān)控管理平臺。需要與視頻安全密鑰管理系統(tǒng)對接,升級軟件實現(xiàn)GB35114-2017規(guī)范里要求的基于數(shù)字證書的設備身份認證流程����,基于數(shù)字證書的客戶端身份認證流程,實現(xiàn)視頻會話過程中VKEK密鑰分發(fā)等功能��。
監(jiān)控平臺涉及非常重要的客戶信息���、設備配置信息�、路由信息���、網(wǎng)絡管理信息系統(tǒng)在電信級監(jiān)控平臺中,大量采用Uni/Linux操作系統(tǒng)作為核心平臺軟件承載,為了減少安全問題,一般系統(tǒng)可通過如下手段加固���。
(1)通過ssH協(xié)議遠程管理設備,SsH采用加密協(xié)議,網(wǎng)絡中的嗅探器無法獲取設備密碼。
(2)盡量關閉除ROOT賬號以外的其他賬號,對一些應用程序定義的用戶,應對特定應用進行正確用戶授權(quán),并且這些為應用程序而設的用戶不應正常通過SSH登錄系統(tǒng)刪除其正常的"HOME"目錄���。
(3)對于一些程序需要使用高杈限進行系統(tǒng)操作時,應對應用程序設置SETD臨時提高程序權(quán)限��。
(4)關閉不必要的系統(tǒng)服務,如FTP等,經(jīng)常查看系統(tǒng)日志,或?qū)⑾到y(tǒng)日志定期發(fā)送到網(wǎng)絡管理軟件上,方便管理����。
(5)定期為系統(tǒng)升級
(6)從安全性角度考慮,系統(tǒng)設備層采用一定的冗余備份方案,對于客戶資料�����、費用資料等重要數(shù)據(jù)要有可靠的存儲方案。
(7)監(jiān)控中心平臺放置防火墻之內(nèi),以保證系統(tǒng)的安全性���。
(8)監(jiān)控訪問控制策略,設備控制權(quán)限劃分到對每個攝像機��、報警探頭、電視墻的控制�。對于每個攝像機分為實時視頻查看、歷史資料檢索���、遠程云鏡控制�、參數(shù)設置等不同控制權(quán)限能力�。系統(tǒng)對使用者的權(quán)限管理可以分為不同層次。
視頻安全密鑰管理系統(tǒng)包括數(shù)字認證系統(tǒng)和密鑰管理系統(tǒng)���,實現(xiàn)數(shù)字證書的生成����,結(jié)合視頻監(jiān)控系統(tǒng)特性對密鑰進行管理�����,支持適合監(jiān)控業(yè)務的密鑰查詢功能。升級后的視頻監(jiān)控系統(tǒng)可以同時支持原有前端攝像機的接入等工作��、解決系統(tǒng)在過渡期的兼容性問題�。
來源:機房動力環(huán)境監(jiān)控系統(tǒng) http://m.shfkmygs.com 本文采集于網(wǎng)絡,如有問題有聯(lián)系刪除
