公共安全视频监控联网信息安全检测平台设计及实现

付浩

（陕西广电网络传媒（集团）股份有限公司铜川分公司，陕西铜川 727031）

0.引言

随着我国视频监控系统应用技术的迭代更新，视频监控在公共安全领域发挥的作用愈来愈重要，目前越来越多的行业、单位都在积极部署视频监控系统，将其作为安全保障及实时信息呈现的重要技术措施。而在建设过程中，由于各个区域的公共安全视频监控建设状况不同，经济发展较好的区域，视频监控体系建设较为完善，而经济发展较为滞后的城市，对视频监控体系的建设总体重视度不够，加之各区域之间的视频监控建设机制的差异，如果要求彼此共享视频监控数据信息，存在对接周期较长、系统兼容性差等问题，难以高效迅捷地共享视频数据，从而影响工作的开展。因此，逐步实现公共视频监控系统联网应用已经成为推进我国视频监控体系建设的关键一环，而在联网建设的过程中，怎样确保公共安全视频监控联网系统的安全性是当下联网共享平台建设过程中需要着重考虑的方向之一。

1.公共安全视频监控系统信息安全研究现状分析

1.1 公共安全视频监控系统亟待处理的信息安全问题

视频监控系统所产生的视频数据，大多都是以既定的形式储存至存储介质中，利用专业化的播放软件实现数据的实时阅览及分析。针对视频信息的应用及传输问题，视频监控系统平台自身的安全机制不足以确保信息的安全传输和使用，极易导致敏感数据外泄。与此同时，视频监控产品硬件及软件层面出现的一系列系统漏洞在互联网生态之下非常容易遭到外来黑客攻击，或者受其他非授权用户使用，出现安全隐患的产品甚至整个体系都变成外来攻击的对象。尽管采取专网形式部署的视频监控联网平台在一定程度上规避了网络安全问题，但安全问题仅仅是在某种程度上被掩盖，并没有完全消失[1]。

公共安全视频监控系统，通常需要考虑以下几个方面的信息安全问题：第一，避免服务攻击。在这一部分，需要根据安全策略关闭部分端口，这就使得视频监控系统的业务系统难以顺利提供一系列服务。第二，数据传输形式不可靠。如采取非加密协议的形式加载用户的鉴权数据，极易造成用户重要信息的外泄，使得传输数据不可靠，极易遭到破坏。第三，病毒蠕虫。它会使系统信息不完整，同时还会影响网络的可用性。第四，弱口令猜测。通常会使视频监控系统的网络资源遭到占用，业务系统难以提供服务，且信息的安全性也极易遭到损坏，从而削弱系统机密程度以及完备程度。第五，应用软件安全隐患。例如，Web程序出现跨站脚本、跨站请求伪造、中间件损坏等。

1.2 公共安全视频监控系统信息安全防护程度亟待增强

目前，我国在公共安全视频监控系统设计、建设、评测以及核验等环节中下发了一系列标准规范，在功能及可用性上出台了较为严苛的规范及标准，大多以专网的形式部署。换言之，许多公共安全视频监控系统是一个和其他信息系统物理隔离的系统，同时还进行了部分接入以及应用方面的约束，是一个相对高效的系统，这就会使许多人认为该系统具备极强的安全性。但是较之其他连接互联网的信息系统，该系统在安全管控及技术层面还存在诸多的不足[2]。由于该系统极为看重系统可用性，往往疏于对信息安全的监督把控，或者说，仅仅从某一层面强化稳固，没有把信息安全工作作为系统的一部分总体来予以考虑。因此，针对多方面视频监控系统及产品的信息安全检测理论以及检测技术的探索还亟待深入，对该领域的相关研究具有很强的现实价值。

2.信息安全

为确保信息安全，需运用有关技术方法以及管控方法，保护信息在传输、应用以及存储过程中不会遭到内外部因素的替换、外泄以及损坏，需做好以下几方面的工作。

2.1 身份认证工作分析

身份认证，即当操作人员登入公共安全视频监控联网系统后，先要求他们对身份展开鉴定，主要是为了能够有效地维护公共安全视频监控系统联网的访问策略能够顺利践行，避免非法操作人员损坏系统资源，或者是让合法操作人员访问其权限之外的信息资源。在当前我国公安网身份认证的过程中，大多采取PKI/PMI身份认证以及访问防控手段，各个正式公安民警都会获取一个专业化的数字凭证，包含了各个民警的资料信息，民警在查找有关数据信息的过程中，该项系统就能够依据民警的职务权限，在第一时间内获取有关的系统资源，如果尝试浏览超过其权限范畴的信息时，该系统就会拒绝相应的访问需求，同时每次查询资源的状况都将被登记。所以，在建设公共安全视频监控系统联网的过程中，建设与之对应的PKI/PMI系统数据接口，建构有关身份认证及访问调控板块，通过应用当下的数字凭证技术不但能够避免非授权工作者登入系统，避免权限有限的用户访问高权限资源，同时还能有效地统一系统联网身份认证的既定标准。

2.2 信息加密工作分析

信息加密即充分利用物理手段或数学手段对视频信息予以加密，此时还要求两处加密位置，一是在传输视频信息期间予以加密；二是在储存视频信息过程中予以加密。前者避免了入侵人员在传输视频信息期间获取信息，因为通过传输加密之后，其所窃取的信息往往是通过既定加密算法予以加密的，缺少和它相应的密钥，无密钥就无法对加密信息进行解密，所以，获取的信息是无用信息。后者在储存的过程中，是为了避免入侵人员从存储装置中获取资源信息，因为他们获取的信息往往都是经过加密的密文，缺少较为精准的解密密钥，难以获取有效的信息。只有具备权限的用户方可应用专门的密钥予以解密，才能从存储装置中获取信息[3]。

通常来说，加密算法可以划分为两类：一是私钥加密算法；二是公钥加密算法。通过对比上述两类不同算法，公钥算法的优势较为明显，这主要是3方面的原因：其一，在安全方面，公钥算法往往是基于未处理的数学难题，想要从外部予以强行破解是不现实的；其二，在管理方面，公钥算法只需要相对较少的资源信息，同时支持数字签名；其三，在成本控制方面，较之于公钥加密，私钥加密成本相对比较少。因此，在建设监控系统联网的过程中，如果需要进一步加密视频，就要求采取公钥加密的形式，这样可行性更高。

2.3 数据备份工作分析

数据备份是数据容灾的重要前提，通过把本地储存设备中的数据复制到其他的存储器内，避免因为人为操作偏差或是系统故障而引发信息损坏或丢失。在构建公共安全视频监控系统联网的过程中，对视频信息予以信息备份极为重要，现阶段，大部分前端设备采集的影像均是高清晰度数据，在确保成像效果俱佳的基础上，采集信息的容量较大，通常单路1080P摄像机一日的信息量，大约为50GB，对于一个城市而言，海量的视频数据若采用传统的数据备份的形式予以备份，实现难度较大。因此，在建设系统联网的过程中，要谨慎选取数据备份的形式。现阶段，采用容器技术的云存储机制，极大地提高了视频数据的容灾备灾能力。

2.4 人员管理工作分析

信息安全的维护不仅仅需要对数据、系统进行严格的管理和维护，人员管理也是维护信息安全的重要部分。

在监控系统联网投入使用之前，需对使用系统的人员进行培训，而大多数案例也表明，信息的泄漏和系统故障人为因素占了很大比率。有些是操作的失误；有些则是使用人员不能够遵守系统使用的规章制度，用自身的职务便利，随意甚至恶意将系统内部信息上传至网络上。因此，在系统运行管理的过程中，应该对应用系统的工作者开展专业化培训，从而更好地为系统信息安全运行奠定基础[4]。

3.网络安全工作分析

网络安全就是指应用网络技术方法维护网络信息、软件及硬件，避免其遭到无端的外泄、修改以及损坏，确保其系统能够持续运作，在此过程中要充分考虑以下几个方面。

3.1 防火墙分析

防火墙技术已经成为应用较为普遍的网络安全技术手段。最为多见的防火墙技术可以划分为包过滤防火墙、代理服务器式防火墙、以及基于状态检测的防火墙3种。其中，包过滤防火墙大多针对OSI模型中的网络层面以及传输层面信息展开解析。除此之外，在代理服务器式防火墙方面，相关人员还需要对前4层至7层信息予以核查，较之于包过滤防火墙，该防火墙所需的成本相对比较高，运行速率也较慢。状态检测火墙能够检测各个TCP、UDP的会话连接情况。在实际建设视频监控系统联网的过程中，为了更好地选择最适合的防火墙，需要从安全、环境适应度、成本费用、配置管理便捷程度、性能指标等层面予以考量。

3.2 病毒防范工作分析

网络病毒可以完成自我编辑，其感染能力较强，具备一定潜伏周期的人工编写的特制流程。事实上，在局域网络中，如果有一个计算机不幸中了病毒，局域网内部的各个主机也会在短期内迅速中毒，情形较轻的，会在一定程度上损坏计算机内部信息，情形较重的，还会影响到系统的总体稳定性。

一般局域网内部计算机之所以会中毒，是受到移动U盘等设施的影响，或者是在局域网之中，其中一个主机搭载了外网，进而将病毒传输至局域网内。针对这一情况，相关人员要注意防控网络病毒，装配专业化的杀毒软件，按时对网络内部主机予以扫描核查，同时还要定期升级网络病毒库，避免各个网络病毒传输至网络内部[5]。

3.3 多维度组合研判分析

单一的安全组件的部署虽然能从一方面解决系统的安全性问题，但是不能全面有效地研判和分析系统安全问题，因此，通过多维安全运维组件的部署，如NIP、WAP、CIS等网络安全组件的部署，形成技术合力，从而全面高效地保障系统的安全平稳运行。

通过部署安全漏洞扫描系统，实现网络系统平台的在网设备资产管理、系统漏洞扫描分析、网络安全故障的分析研判，打造多方位立体化的安全防护体系，为公共安全视频监控系统的安全平稳运行创造条件。

4.公共安全视频监控联网信息安全检测平台设计标准

GB35114-2017标准明确给定了公共安全领域视频监控联网视频信息等既定标准，其中，单个系统由具有安全功能的前端设备、视频监控安全管控平台等多个板块，各个板块充分利用各种协议以及证书通道协议展开对接。彼此独立的系统能够将信令安全路由网关、媒体服务器作为重要组成部分，充分利用IP传输网络传输以及调控系统间控制信令。

依据安全保护程度的高低，可以把前端设备安全能力划分为A级、B级和C级。其中，A级拥有数字证书与管理平台双向身份认证的能力。B级在此前提下还拥有视频数据签名能力。而针对C级，其同时拥有视频信息加密能力，可以及时加密保护视频内容。

5.公共安全视频监控联网信息安全检测平台实现系统构成

根据受测主体的不同，可以划定如下几个板块。

首先，在IPC检测板块，它常常可以划定成三级，即A级、B级和C级，其具体的功能如表1所示。

表1 IPC检测板块功能

其次，在解码器检测板块方面，该板块同样可以划分成A级、B级和C级，它们都具备较为理想的解码器能力[6]。其中，解码器检测可以划定为两种，即功能以及性能检测。

最后，在管平台检测板块方面，其能够充分地发挥管理平台作用。平台检测能够划定成上联以及下联两种不同的检测方式，其实际功能可见如表2所示。

表2 解码器检测板块检测功能

6.结语

现阶段，视频监控技术与已经成为各行各业安全防范的首选技术方式，所以在进行公共视频监控系统联网建设过程中，需要确保系统的安全可靠，不但要求提供硬件技术上的支撑，也要提供和技术相匹配的安全管控机制，让技术和机制相互支撑，从而大幅度地提升公共安全视频系统联网安全系数。