城市数字视频监控系统的网络安全建设

林启英 潘美莲

（1、广州金鹏电子信息机器有限公司，广东 广州 510000 2、广州工程技术职业学院，广东 广州 510000）

2005年9月中国公安部正式启动城市联网报警与监控系统建设，在全国范围内推动“平安城市”的建设步伐。目前各主要城市如北京、广州、深圳、杭州已经建设了大规模的城市视频监控系统。城市视频监控管理系统是衡量一个城市现代化管理水平的重要体现，是实现一个城市乃至整个国家安全和稳定的重要措施。建立合理、有效的城市视频监控管理系统，才能够使政府管理部门在第一时间发现问题，提出应对措施及应急预案。

城市视频监控系统有模拟视频专网、模数结合和纯数字视频专网三种模式。其中城市数字视频监控系统涉及到应用的公安信息网、公安视频专网、市区政府部门、以及1~3类视频资源，在整个架构的边界以及应用系统的网络安全上存在不少隐患，怎样架构网络安全保护体系也成为了重中之重。

网络安全系统是整个城市视频监控系统数字视频专网建设的重要组成部分之一。它与各大子系统密切配合，多角度、多层次进行衔接，不但对数字视频专网各个层面提供安全防御和保护，而且还对数字视频专网之上的应用系统提供安全性管理服务。

网络安全系统需要对市区政府部门以及3类视频接入的边界、视频专网市区局系统、市局公安信息网与视频专网市局接入点的边界提供有效的安全保障，并且对应用用户提供有效的CA认证体制，在认证用户信息管理这一块提供有效的同步更新机制。系统不但对视频专网各个层面提供安全防御和保护，而且还对视频专网之上的应用系统提供安全服务。

从安全保障角度出发，网络安全系统应包括应用安全、网络安全、系统安全、物理安全及统一安全管理。通过这些安全措施向视频专网和各类视频应用，提供相应安全保障。

本系统采用边界安全接入平台、构建CA中心、身份认证网关、VPN、入侵检测、防病毒、漏洞扫描、系统补丁等技术手段，从物理安全、通信和网络安全、运行安全以及信息安全四个层面，保证图像虚拟网从前端接入到后端平台的安全，实现与社会资源的图像访问采用综合技术手段构建城市监控安全子系统，保证视频专网与其它政府部门图像共享及传输的安全、视频专网到公安信息网进行跨网访问的安全以及与社会资源图像访问的接入安全。

结合公安部城市报警与监控系统建设规范性文件汇编、地方标准，安全平台系统的设计应考虑如下几个方面：

1 安全保密

视频专网传输和存储大量敏感信息，为此须配置相应的安全措施，确保视频专网信息的的保密性、完整性、可用性、可查性和可控性。视频专网依托公安局的专网传输网作为网络承载平台，并且与公安信息网图像中心等有着应用交换，鉴于对公安信息网信息安全的敏感性，必须从技术和管理两个层面上保障视频专网和公安信息网的安全。其一是对于涉及国家秘密的信息不能在网上处理、存储与传输；其二是采取相应的安全物理隔离手段，保证视频专网和公安信息网之间的安全可控的视频图像信息交换。

2 安全认证和访问控制

由于视频专网涉及的人员众多，层次复杂。包括市局、分局各级领导、系统管理人员、系统操作人员、分局和派出所的警务人员，以及其它政府部门的用户等。人员的工作范围、工作职责不同，必须建立一种信任及信任验证机制，保证用户身份唯一性，保证认证的权威性，这就需要建立一套CA安全认证体系来实现。为了保证视频专网及公安信息网的安全，对其它政府部门用户要有网络接入控制、用户入网控制、基于角色的用户访问权限控制等措施。通过对各种访问控制，保证视频专网的运行安全。

3 病毒防治、漏洞扫描和补丁

由于视频专网具有操作系统和数据库软件等产品，对存在的系统安全问题，实施被动防御的同时还需要采用主动防御手段如通过安全漏洞扫描程序、主机防护和加固系统、数据库防护系统，来查找和防止系统的安全隐患，未雨绸缪，遏制安全问题的发生。建立跨平台全网分布式防病毒系统对视频专网进行的统一的病毒防范控制和管理，及时对操作系统漏洞及病毒库提供更新及分发。能对可能出现的紧急情况做出及时反应并恢复。

4 边界接入安全

视频专网依托于公安信息网，并与之直接相连。同时，政府其他部门如城管、行政执法、环保、工商、司法、国安、水利、省政府等将接入视频专网，共享视频资源。为实现社会治安动态监控，通过运营商视频专网还将采集商场、学校、工厂等社会图像资源来扩大监控面。当这些外部网络与视频专网相互连接，在共享视频图像资源的同时，确保视频专网，尤其是公安信息网的安全性显得非常重要。因此，在边界接入中，需要考虑接入终端、接入链路、网络传输，以及接入用户的身份认证和访问控制。

5 安全审计和集中管理

应对视频专网的全网安全进行集中监控与审计，实现对视频专网的的安全监控，管理与审计功能。

6 数据备份和灾难恢复

视频专网运行后，重要的视频数据将主要存储各级存储系统，保证存储系统数据和数据库，不因各种情况和灾难的发生而造成数据的丢失，是数据安全需要考虑的问题。

网络安全系统的建设实施，如下图。

城市数字视频监控系统的网络安全系统主要包含边界安全、视频专网的内网安全和融合视频监控系统各类应用和管理的CA认证中心。

边界安全系统包括：

（1）市公安局视频专网与市级部门、其他移动视频应用的接入边界安全，通过防火墙、边界网关物理隔离网闸实现；（2）市公安局信息网与视频专网间的边界安全；（3）视频专网中的各区公安分局与区级政府部门、三类监控应用的接入边界安全。

内网安全包括：漏洞扫描系统、网络防病毒系统、内网安全与系统补丁分发系统。

CA认证中心包括：

（1）安全区-RA注册、CA认证系统一体、相关简化的LDAP目录服务；（2）服务区-主目录（LDAP）和统一用户管理系统，目录服务系统主要提供数字证书、证书注销列标的发布，用户通过访问目录服务系统可以实现数字证书、根证书、证书注销列表的下载。统一用户管理系统能够统一管理视频专网中各个系统的用户的公共信息；能够采用各种查询条件方便地查询用户信息；能够实现部门分级维护、人员按各种分类方式方便地管理。通过对用户信息的集中管理，企业内部的系统可以共享这些信息，解除各个系统中信息的冗余，实现系统内部各个系统的单点登录。它不仅具有丰富、灵活的系统功能，而且有完善的安全管理措施，对于不同权限级别的用户和管理员都有不同的系统功能和数据访问范围；并采用LDAP系统与PKI体系结合，增强体系的安全性。（3）从目录系统和RA注册管理中心客户端，备份目录服务和实现CA证书的发放和更新管理。

[1]GA/T669.2-2008.城市监控报警联网系统技术标准第2部分：安全技术要求.

[2]公安信息通信网边界接入平台安全规范.

[3]宋西军.计算机网络安全技术[M].北京：北京大学出版社，2009-9-7.

[4]张世永.网络安全原理与应用[M].科学出版社，2003-5.