监控网络安全信息技术发展与应用
来源:中国安防杂志 更新时间:2013-11-07
目前安防领域对于网络安全信息技术的关注越来越大,源于远程监控、互联网监控的需求越来越多,因此对于网络安全信息技术的应用也越来越高,如视频流加密、身份验证、防火墙技术、VPN技术等的重视程度不断提升。另外,安全防范本身的安全也纳入到安防体系,网络安全在安防系统中会作为必不可少的内容之一将会被广泛应用。
    目前而言,在安防领域,大家对于网络安全的概念和意识并不算明确,在非常多的平安城市项目中,一般采用专网或局域网的形式构架,对于外网的接入比较少一些,所以承担网络安全的风险相对不大。但是,安防领域对于网络监控的需求日愈膨胀,网络监控使得网络安全逐渐提上日程,成为人们不得不面对的现实。
  一、监控网络安全的紧迫性
  安防网络安全受到目前网络监控推广的挑战,远程监控以及网络系统本身的安全性不断受到质疑,公安部门所筹建的平安城市系统、公安系统及远程访问、车载或手机监控等都与Inte rnet进行直接或间接的互联。一些不法分子利用后台漏洞、特定端口可以直接或间接访问到公安网络,对网络安全造成潜在隐患。
  随着网络监控的盛行,基于流媒体形式的视频监控应用产品不断丰富,监控网络的安全性越来越受关注,流媒体数据存储和传输的广泛性和便易性使其易受破坏和攻击,犯罪分子通常会篡改信息、拷贝录像、非法访问视频等,甚至利用漏洞和后台攻击监控网络以便达到其犯罪的目的。在不久之前的一个银行处理案件中,犯罪分子利用配电箱首先切断监控系统网络,而后实施抢劫的行为给我们敲响了警钟。面对复杂的网络安全的威胁因素,就需要人们一方面研制安全有效、适应性强且符合标准的监控网络安全框架协议,另一方面让大家意识到监控网络安全信息技术的紧迫性。
  二、监控网络安全的发展
  监控网络安全,涵盖计算机系统、网络传输、后端软件、应用服务、管理安全等多方面因素,形成一个有机结合的安全系统,监控网络安全的发展,就是这几个方面不断深化、不断完善安全举措的过程。我们想加强监控网络安全的防护,也要从这几个方面予以考虑。
  1.计算机系统
  计算机系统也是指监控网络中的物理安全,是整个网络系统安全的前提。比如在校园监控网络工程建设中,由于监控系统属于弱电工程,因此在设计和施工中,应优先考虑避免网络设备受到雷电、高低温、雨雪等自然因素的影响,防雷系统不仅应考虑建筑物防雷,还必须考虑计算机及其他弱电耐压设备的防雷。总体来说,物理安全的风险主要有地震、水灾、火灾等环境事故。其他硬件防护措施,如UPS备份电源防止电源故障对计算机系统的影响;人为操作失误或错误的恢复、设备的恢复出厂默认;电磁对周边监控系统的骚扰以及监控系统对周边设备的干扰;双机多冗余的设计以及健全的报警系统等。总之要尽量避免监控网络的物理安全风险。
  2.网络传输
  监控网络系统,在远程监控系统需要与I NTERNET进行通信,转发服务器、远程WEB服务器、报警EMAIL服务器等都需要与外界通信,容易受到网络攻击或网络病毒的蔓延,那么也会影响连接内部网络机器的安全,从而使得整个监控系统受到威胁。因此,我们在设计时需要在外界通信的服务器上做好防护措施,如防火墙、杀软、正版操作系统屏蔽漏洞,同时有必要将公开服务器(WEB、DNS、EMA JL等)及内部其他业务网络进行必要的隔离,避免网络结构信息外泄;另外还要对外网的服务请求加以过滤,只允许正常通信的数据包到达相应主机,其他的请求服务在到达主机之前就应该遭到拒绝,这样才可以有效避免监控网络系统的安全威胁。
  3.后端软件
  后端软件系统是整个监控系统的核心,在服务器操作系统上做到安全性尽可能高,同时加强登录过程的认证。另外,监控平台软件,建议采用LINUX核心平台构架,在操作和底层服务上提高系统平台的稳定性,如采用服务器功能分立设计和多级复用冗余技术,实现超大规模平台高负载下的稳定运行。基于成熟的iSCSI技术的分布式网络存储,确保海量数据的可靠保存,无限容量网络存储,支持前端、中心、本地多级存储方案,确保数据完整。智能负载平衡技术结合高可用在线热备技术,确保服务器能适应长期不问断运行要求,拥有亿级别海量数据库极速检索能力,支持多客户端大并发数据查询。
  三、监控网络安全技术应用
  监控网络安全领域的研究内容涉及多种技术领域,目前在进行监控网络安全的研究,主要体现在以下几个方面:
  1.视频流加密在网络监控摄像机传输视频流到后端系统时,先进行编码压缩,在此同时可以嵌入加密算法,在后端利用特定的解密算法,才能正常获取视频流,而其他非正常手段即使在传输过程中进行盗取,也不能正常解码视频流信息。见图1。
 图1 视频流加密示意
图1 视频流加密示意
  通过对网络所传输数据进行加密来保障网络的安全可靠性,其基石是数据加密技术。通信双方采用保密通信系统来隐蔽和保护需要传送的消息,使未授权者不能提取被保护的信息,目前流媒体部分加密算法比较多,不论是常规密码加密、分组密码进行加密、序列密码进行加密等都要考虑。但是安防监控领域真正使用的并不彻底, 目前只是几个少数的平台厂家在使用,要求硬件监控设备厂家按照一定规范,封装视频流信息,注册到平台后,平台再进行解码,再配合硬件设备的解码库信息显示最终图像。但需要注意的是,流媒体本身需要满足一定的图像实时性,所以在加密和解密过程要评估对实时性的影响,从而要核算解密速度与数据包长之间的对应关系。
  用加密技术来保护流媒体资源的安全,需要根据资源的特性和内容保密性着重考虑不同因素,序列密码能很好地适应流媒体加密,但其选择同样需要根据实际情况不断权衡,只有这样才能满足流媒体的实施加密防护。
  2.防火墙
  防火墙,针对网络安全方案的有力措施之一。防火墙的本质是利用计算机硬件、软件与安全策略的组合形成一种网关,在被保护的内部网与外部网之间建立一个安全屏障,从而保护内部网免受外部侵犯的系统。防火墙可以决定内部哪些服务允许被外界访问,外界的哪些用户可以通过防火墙,同时还决定内部人员可以访问哪些外部服务,可以过滤、限制端口或信息服务等。因此防火墙这种安全屏障具有一定的安全准则,禁止所有未被明确许可的服务,允许所有未被明确禁止的服务。见图2。
 图2 监控网络防火墙示意图
图2 监控网络防火墙示意图
  在可以与外界通讯的路由或服务器的关节上,要增加防火墙措施,布置包过滤防火墙、监控进程和端口、代理信息服务等,拒绝未经授权的用户进入内部网络,防止各类路由攻击,允许合法用户不受限制地访问网络资源,并对非法入侵进行跟踪和报警,提高内部网络系统安全的保障力。
  3.VPN
  在监控系统中,VPN网络对于集团公司监控网络、超市联网监控、连锁店监控、加油站监控等多种需求都可以适用。利用VPN可以实现在公用信息网中建立虚拟局域网,监控数据通过安全的“加密管道”在公网中传播,分公司或连锁机构用户租用本地数据专线接入本地公网,即可实现其广域分布的各机构互相安全地传递信息。另外,也可以采用拨号接入设备,用户可以使用拨号方式通过公网接入VPN监控网络,从而以较小的成本构建一个专用的监控网络,省去大范围布线等高昂的费用成本。见图3。
 图3 VPN网络监控系统
图3 VPN网络监控系统
    在虚拟局域网的任意两个节点之间没有传统的端到端的物理链路,而是使用公网平台上的逻辑连接。这种专用连接技术通常称为隧道技术,数据在公网中的一条模拟点到点连接的专用隧道中传输,通过在网络上建立逻辑及网络层的加密,避免网络数据被修改和盗用,达到类似私有专网的数据安全传输,从而保证了用户数据的安全性和完整性。
  四、网络安全任重而道远
  网络攻击的手段在不断变化与翻新,因此防范攻击的网络安全技术亦将随之不断发展,与之相关的网络安全策略和控制机制也将日益完善。必须强调的是,要保证网络的安全,仅仅使用各种安全技术来实现防范是远远不够的,还要求有关管理、操作人员必须具有高度的安全防范意识。最可行的做法是制定健全的管理制度,保障网络的安全运行,使其成为一个具有良好的安全性、可扩充性和易管理性的信息网络。