网络视频监控系统的安全策略探究

网络视频监控系统的安全策略探究

贾敏青

上海海鹰机械厂  上海   200436

【摘  要】随着视频监控系统的普及，网络视频监控带来便利的同时，也逐渐暴露出一些安全问题。本文首先分析了网络视频监控系统的现状和组成，然后归纳了一些网络视频监控系统的面临的风险，给出了提高网络视频监控安全性的策略。

【关键词】 网络视频监控 安全 策略

1  概述

如今，网络视频监控技术得到越来越多的应用，网络基础设施的建设逐步完善，数据安全问题日益凸显，监控系统在生产和生活中起着越来越大的作用，成为了人们生活中不可或缺的一道安全屏障，由于监控系统涉及的产业链复杂，包括不同的软件、硬件，为了保证网络视频监控系统的安全稳定运行，急需建立一套安全防护机制，本文主要从物理环境安全、网络运行安全、视频设备安全、视频数据安全、安全保密管理等5个部分进行讨论，给出了提高网络视频监控安全性的对策。

2  网络视频监控的架构组成

网络视频监控系统具有五大组成部分：采集区、传输区、存储区、显示区、控制区，具体如下：

采集区：主要为视频采集设备，包括：网络摄像头和模拟摄像头，常见设备有枪式摄像头、半球摄像头、一体云台摄像头等，负责音视频数据的采集。

传输区：主要为网络传输设备，包括：交换机和路由器等，使用光纤或网线连接视频采集设备和视频存储设备等，构成视频监控网络，负责音视频数据的网络传输。

存储区：主要为视频存储设备，包括：数字视频录像机(DVR)、网络视频录像机(NVR),以及一些大型的存储集群，如存储局域网(IPSAN)，负责音视频数据的存储、转发和回放。

显示区：主要为集中显示设备，包括：解码器、视频矩阵、显示大屏等，负责音视频数据的解码、切换、混合、输出等。

控制区：主要为管理控制设备，包括：安防综合管理平台、流媒体服务器等视频业务服务器，以及运维管理计算机终端，负责视频监控系统的整体控制和运维管理。

3  网络视频监控系统面临的风险

1）设备入侵风险：包括摄像机、编码器等，这些设备具有24小时不间断、强运算能力、高接入带宽和设备数量较多等突出特点，用户普遍缺乏安全意识，大量的网络监控视频设备使用默认用户密码或弱口令，增加了网络安全隐患。，容易造成高危敏感数据被窃取。

2）应用软件和数据安全：随着大数据的普及，视频监控的价值更倾向于应用软件的数据挖掘，所以应用软件的数据成为了不法分子的直接目标。

3）内部网络攻击风险：通常情况下，视频监控系统设计初期，对内部风险考虑不周，几乎不考虑系统内部计算机感染病毒或者木马程序，一旦系统遭受病毒攻击，将导致内部敏感信息泄露。

4）视频数据存储安全：视频监控系统的数据量巨大，数据文件通常都保存在本地服务器，监控平台直接和网络连接，容易受到非法访问的入侵，从而引发安全问题。

4  网络视频监控系统防护策略

网络视频监控系统的防护主要从物理环境安全、网络运行安全、视频设备安全、视频数据安全、安全管理等5个部分进行防护，具体如下：

1）物理环境安全：主要从摄像头部署环境、服务后台部署环境、监控室环境、机房环境、产品测评认证、国产化替代等6个方面进行防护。

防护策略：服务器、摄像头的安装位置在警戒区内，部署环境安全可控，不能轻易被接触。监控室配备摄像头，无死角监控，限制人员进出。严格布线规范，确保互联网与涉密监控网络物理隔离，监控机房门窗防盗、温湿度调控，消防设施齐备。监控系统所使用的设备选择合规的产品测评证书，仅限使用国产品牌设备。建立摄像头、网络录像机、解码器、交换机、服务器等监控系统设备台账，保持帐物一致性。

2）网络运行安全：主要从网络隔离、安全域划分、网内访问控制、设备入网管控、远程传输加密、网络资产探测、攻击行为检测等7个方面进行防护。

防护策略：监控系统与互联网及其他公共网络物理隔离，确需联接的，采用网络边界防护措施进行隔离管控。视频监控网络交换机按照功能用途划分安全域，如摄像头、服务器、存储设备、运维终端可单独划分VLAN，按照数据敏感程度将摄像头划分安全域，设置交换机访问控制策略，对交换机端口进行IP、MAC、端口三方绑定，关闭闲置端口。监控网络借助电信运营商信道的，部署信道加密设施，确保信道传输链路安全保密。部署流量监控设备和漏洞扫描设备、入侵检测设备，能够及时查看攻击告警记录和行为。

3）视频设备安全：主要从无线模块检测、弱口令检测、安全漏洞检测、摄像头接入控制、多余存储检测、网络服务裁剪、外设端口封控、设备网络访问控制、病毒防护、日志审计、管理服务安全加固等11个方面进行防护。

防护策略：拆除视频监控系统内设备如摄像头、服务器、硬盘录像机、交换机等的无线功能模块，设备设置高强度口令，且口令实行差异化设置，通过漏洞扫描设备及时查处监控系统设备的高危安全漏洞。监控管理平台选用具备对设备认证注册功能的平台，确保摄像头、解码器等视频设备必须经注册后方可在系统内正常使用。物理拆除摄像头的多余存储，关闭摄像头、硬盘录像机、服务器、计算机等设备的高危端口和多余服务，关闭135、137、139、445高危端口和server服务，只开启一种加密网络管理服务如SSH、HTTPS。封堵摄像头、网络录像机等视频设备的串口、并口、USB接口、视频接口等外部物理接口。开启服务器、计算机的主机防火墙功能，根据最小化原则设置防火墙规则。启用摄像头、网络录像机等视频设备的IP地址过滤功能，根据网络互访需求最小化设置IP白名单规则。在视频监控系统服务器和计算机上部署防病毒软件，及时升级病毒库，按时查杀病毒。开启摄像头、网络录像机、服务器、计算机的系统日志审计功能。开启摄像头、网络录像机、服务器、交换机、计算机的非法锁定功能，禁用多余管理账户，限制远程管理终端IP，按照“三权分立”原则设置管理权限，依据用途最小化设置相应权限。

4）视频数据安全：主要从数据标识、数据摄录范围、数据访问权限、数据传输安全、数据导入导出管控、数据备份恢复等6个方面进行防护。

防护策略：对监控系统采集的数据进行定密定级，摄像头设置合理的摄录范围和内容，禁用敏感部位的摄像头麦克风功能模块。对视频监控系统的管理人员权限进行合理划分，明确管理员权限和视频信息调阅流程权责。访问控制粒度控制到单个用户、单个设备、某个时间段或某个区域的视频数据。如果视频监控系统密级较高且暴露面积较大时，摄像头与视频管控系统之间采取数据保护措施，防止数据被篡改、被窃取、被嵌入。对视频监控系统的数据导入和导出行为采取管控措施，加强行政审批、病毒查杀、日志登记等监管审计。对视频监控系统设置合理的数据备份，在系统被破坏或发生故障时能够及时恢复系统。

5）安全管理：主要从安全建设、安全管理机构、安全管理制度、日常运维管理、设备维修管理、 报废销毁管理、应急响应等7个方面进行防护。

防护策略：新建或在建视频监控系统，方案应明确安全防护等级，落实信息系统与安全保密“同步设计、同步建设、同步验收、同步投入使用”要求，工程实施单位应具有相应涉密资质。系统投入运行后应明确视频监控系统的安全工作管理机构，配备相应人员承担日常安全运维管理工作。制定完善的视频监控系统安全管理规章制度，如设备入网审批制度、数据导入导出制度、管理权限变更审批制度、日常值班巡检 、定期检测评估制度、应急响应、设备维修保养制度等。制定完备的应急预案，如病毒入侵、系统故障、数据泄露、数据损坏等应急方案。

5 结语

网络视频监控在现代社会的重要性不言而喻，网络视频监控产业链复杂，包括设备、业务平台、软件等，涉及多种网络传输通道，安全防护复杂。为了保证网络监控系统数据的安全性，构建安全的网络监控环境，需综合考虑，构筑更为全面的安全防护体系。

参考资料：

无