根據(jù)監(jiān)控系統(tǒng)的組成情況,針對(duì)監(jiān)控系統(tǒng)安全防護(hù)也可分為前端區(qū)域、管理平臺(tái)區(qū)域以及客戶端區(qū)域三部分。
據(jù)了解,根據(jù)安全保護(hù)能力的強(qiáng)弱,GB35114-2017標(biāo)準(zhǔn)將安全前端(攝像機(jī))的安全能力分為3個(gè)等級(jí),由弱到強(qiáng)分別是A級(jí)、B級(jí)、C級(jí)。原視頻監(jiān)控系統(tǒng)要支持GB35114-2017,需要在前端設(shè)備、用戶終端、視頻監(jiān)控管理平臺(tái)各個(gè)模塊增加安全功能,增加專門的視頻安全密鑰服務(wù)系統(tǒng)。
一、監(jiān)控前端設(shè)備安全性
前端攝像機(jī)?,F(xiàn)有安裝攝像機(jī)可以通過(guò)增加符合國(guó)密標(biāo)準(zhǔn)的TF卡、軟件密碼模塊,升級(jí)軟件方式實(shí)現(xiàn)對(duì)GB35114-2017的支持,普通攝像機(jī)可以支持A級(jí)安全等級(jí)。但符合公共安全SVAC2.0國(guó)家標(biāo)準(zhǔn)的攝像機(jī)可以達(dá)到支持B級(jí)和C級(jí)安全等級(jí)。
監(jiān)控前端設(shè)備可以采取以下安全措施:
(1)系統(tǒng)對(duì)前端設(shè)備進(jìn)行統(tǒng)一編碼和管理,前端設(shè)備接入系統(tǒng)時(shí),系統(tǒng)會(huì)對(duì)前端設(shè)備進(jìn)行接入認(rèn)證,通過(guò)對(duì)前端設(shè)備的注冊(cè)和?;罟芾?即定時(shí)向前端設(shè)備發(fā)送信息,以確認(rèn)前端的狀態(tài)),保證視頻源的合法性和安全性。
(2)解碼設(shè)備只接收服務(wù)器指定編碼設(shè)備發(fā)送的媒體流,防止惡意假造媒體流。系統(tǒng)設(shè)備對(duì)前端設(shè)備進(jìn)行業(yè)務(wù)訪問(wèn)時(shí),也需要攜帶相關(guān)的鑒權(quán)信息,以供前端設(shè)備進(jìn)行檢查和認(rèn)證,編解碼設(shè)備只接受合法管理服務(wù)器的控制命令,以防止被非法控制。
(3)如果前端視頻服務(wù)器被盜,要保證里面存儲(chǔ)的圖像不泄密。前端視頻服務(wù)器操作系統(tǒng)對(duì)系統(tǒng)賬號(hào)的保護(hù)等級(jí)很高,很難輕易破解并登錄。同時(shí)里面存儲(chǔ)的圖像文件系統(tǒng)采用專用的文件系統(tǒng)和讀寫操作指令,必須使用專用的客戶端播放器和USB-KEY才能下載觀看。
(4)前端設(shè)備安全認(rèn)證,應(yīng)對(duì)系統(tǒng)中的前端設(shè)備進(jìn)行接入認(rèn)證,可采用數(shù)字證書的認(rèn)證方式,或者基于設(shè)備的物理標(biāo)識(shí)。對(duì)于非IP設(shè)備,可以通過(guò)前端接入網(wǎng)關(guān)來(lái)進(jìn)行認(rèn)證。在采用數(shù)字證書認(rèn)證方式時(shí),前端設(shè)備或前端接入網(wǎng)關(guān)應(yīng)提供安全模塊。安全模塊應(yīng)具備的安全功能有:安全認(rèn)證功能、密鑰管理功能、信道加密功能。
二、用戶終端加密保護(hù)
用戶終端需要升級(jí)客戶端軟件,并增加Ukey或加密卡,實(shí)現(xiàn)GB35114-2017規(guī)范里要求的基于數(shù)字證書的設(shè)備身份認(rèn)證、視頻簽名的驗(yàn)簽和加密視頻的解密功能。
監(jiān)控業(yè)務(wù)客戶端采用專用程序,并結(jié)合帶有用戶信息的硬件加密狗(USB-KEY),防止用戶程序的非法拷貝和使用。"加密狗"是一種插在計(jì)算機(jī)UsB接口上的軟硬件結(jié)合的加密產(chǎn)品,一般都有幾十或兒百字節(jié)的非易失性存儲(chǔ)空間可供讀寫,較新的"加密狗"內(nèi)部還包含單片機(jī)。
客戶端程序通過(guò)調(diào)用USB-KEY的接口模塊對(duì)其進(jìn)行操作,USB-KEY響應(yīng)該操作,并通過(guò)接口模塊將相應(yīng)的用戶數(shù)據(jù)返回給客戶端程序??蛻舳顺绦蚩梢詫?duì)返回值進(jìn)行判定,并采取相應(yīng)的動(dòng)作。如果返回?zé)o效的響應(yīng),表明為非法或無(wú)授權(quán)的用戶,客戶端程序可以將應(yīng)用程序終止運(yùn)行。
硬件加密狗主要特點(diǎn)如下:
(1)加密算法:針對(duì)不同用戶任意選擇加密算法,并且可以自定義加密算法因子(256種算法,24位算法因子,共有1600萬(wàn)種因子變化可供選擇)。
(2)單片機(jī):USB-KEY硬件內(nèi)置單片機(jī),單片機(jī)程序用特殊方法一次性寫入。固化的單片機(jī)程序不可讀出或改寫,從而保證USB-KEY不可被仿制。
(3)數(shù)據(jù)交換隨機(jī)噪聲技術(shù):有效地對(duì)抗邏輯分析儀及各種調(diào)試工具的攻擊,完全禁止軟件仿真程序模擬并口或USB接口的數(shù)據(jù)。
(4)迷宮技術(shù):在USB=KEY函數(shù)入口和出口之間包含大量復(fù)雜的判斷跳轉(zhuǎn)干擾代碼,動(dòng)態(tài)改變執(zhí)行次序,提升USB-KEY的抗跟蹤能力。
(5)時(shí)間閘:USB-KEY內(nèi)部設(shè)有時(shí)間閘,各種操作必須在規(guī)定的時(shí)間內(nèi)完成。UsBKEY正常操作用時(shí)很短,但跟蹤時(shí)用時(shí)較長(zhǎng),超過(guò)規(guī)定時(shí)間,USB-KEY將返回錯(cuò)誤結(jié)果。
(6)AS技術(shù):內(nèi)嵌式加密(APD)與外殼加密(SHEL)相結(jié)合的方式,能夠到達(dá)極高的加密強(qiáng)度,即使外殼被破壞,加密程序仍然能正常運(yùn)行。
(7)抗共享:硬件內(nèi)置對(duì)抗并口共享器。
(8)密碼保護(hù):密碼錯(cuò)誤將不能對(duì)UsB-KEY存儲(chǔ)區(qū)進(jìn)行讀寫。
(9)存儲(chǔ)器:對(duì)數(shù)據(jù)存儲(chǔ)區(qū)存放的關(guān)鍵數(shù)據(jù)、配置參數(shù)等信息提供掉電保持。
(10)流水號(hào):每只USB-KEY都有唯一的序號(hào),即流水號(hào),可以通過(guò)讀流水號(hào)以區(qū)分每一只USB-KEY。
(11)新一代外殼技術(shù):新一代外殼工具在極大提高加密軟件安全性的基礎(chǔ)上,同時(shí)改善其易用性、兼容性和適用范圍。
三、監(jiān)控平臺(tái)安全性
視頻監(jiān)控管理平臺(tái)。需要與視頻安全密鑰管理系統(tǒng)對(duì)接,升級(jí)軟件實(shí)現(xiàn)GB35114-2017規(guī)范里要求的基于數(shù)字證書的設(shè)備身份認(rèn)證流程,基于數(shù)字證書的客戶端身份認(rèn)證流程,實(shí)現(xiàn)視頻會(huì)話過(guò)程中VKEK密鑰分發(fā)等功能。
監(jiān)控平臺(tái)涉及非常重要的客戶信息、設(shè)備配置信息、路由信息、網(wǎng)絡(luò)管理信息系統(tǒng)在電信級(jí)監(jiān)控平臺(tái)中,大量采用Uni/Linux操作系統(tǒng)作為核心平臺(tái)軟件承載,為了減少安全問(wèn)題,一般系統(tǒng)可通過(guò)如下手段加固。
(1)通過(guò)ssH協(xié)議遠(yuǎn)程管理設(shè)備,SsH采用加密協(xié)議,網(wǎng)絡(luò)中的嗅探器無(wú)法獲取設(shè)備密碼。
(2)盡量關(guān)閉除ROOT賬號(hào)以外的其他賬號(hào),對(duì)一些應(yīng)用程序定義的用戶,應(yīng)對(duì)特定應(yīng)用進(jìn)行正確用戶授權(quán),并且這些為應(yīng)用程序而設(shè)的用戶不應(yīng)正常通過(guò)SSH登錄系統(tǒng)刪除其正常的"HOME"目錄。
(3)對(duì)于一些程序需要使用高杈限進(jìn)行系統(tǒng)操作時(shí),應(yīng)對(duì)應(yīng)用程序設(shè)置SETD臨時(shí)提高程序權(quán)限。
(4)關(guān)閉不必要的系統(tǒng)服務(wù),如FTP等,經(jīng)常查看系統(tǒng)日志,或?qū)⑾到y(tǒng)日志定期發(fā)送到網(wǎng)絡(luò)管理軟件上,方便管理。
(5)定期為系統(tǒng)升級(jí)
(6)從安全性角度考慮,系統(tǒng)設(shè)備層采用一定的冗余備份方案,對(duì)于客戶資料、費(fèi)用資料等重要數(shù)據(jù)要有可靠的存儲(chǔ)方案。
(7)監(jiān)控中心平臺(tái)放置防火墻之內(nèi),以保證系統(tǒng)的安全性。
(8)監(jiān)控訪問(wèn)控制策略,設(shè)備控制權(quán)限劃分到對(duì)每個(gè)攝像機(jī)、報(bào)警探頭、電視墻的控制。對(duì)于每個(gè)攝像機(jī)分為實(shí)時(shí)視頻查看、歷史資料檢索、遠(yuǎn)程云鏡控制、參數(shù)設(shè)置等不同控制權(quán)限能力。系統(tǒng)對(duì)使用者的權(quán)限管理可以分為不同層次。
視頻安全密鑰管理系統(tǒng)包括數(shù)字認(rèn)證系統(tǒng)和密鑰管理系統(tǒng),實(shí)現(xiàn)數(shù)字證書的生成,結(jié)合視頻監(jiān)控系統(tǒng)特性對(duì)密鑰進(jìn)行管理,支持適合監(jiān)控業(yè)務(wù)的密鑰查詢功能。升級(jí)后的視頻監(jiān)控系統(tǒng)可以同時(shí)支持原有前端攝像機(jī)的接入等工作、解決系統(tǒng)在過(guò)渡期的兼容性問(wèn)題。
來(lái)源:機(jī)房動(dòng)力環(huán)境監(jiān)控系統(tǒng) http://m.wer666.com 本文采集于網(wǎng)絡(luò),如有問(wèn)題有聯(lián)系刪除
北京金恒智能系統(tǒng)工程技術(shù)有限責(zé)任公司 版權(quán)所有 Copyright 2007-2020 by Create-china.com.cn Inc. All rights reserved.
法律聲明:未經(jīng)許可,任何模仿本站模板、轉(zhuǎn)載本站內(nèi)容等行為者,本站保留追究其法律責(zé)任的權(quán)利!
電話:86+10-62104277/2248/4249 傳真:86+10-62104193-819 京ICP備10010038號(hào)-2網(wǎng)站XML
智慧機(jī)房
在線體驗(yàn)