◆宗 权 吴冠峰
(中国人民公安大学信息技术与网络安全学院 北京 102623)
浅述公共安全视频监控系统联网建设的关键安全要素
◆宗 权 吴冠峰
(中国人民公安大学信息技术与网络安全学院 北京 102623)
随着视频监控技术的不断发展,视频监控在公共安全领域的地位越来越重要,因此公共视频监控系统联网建设是公安机关业务需求发展的必然趋势。在系统联网建设的同时,如何保证安全性是亟需解决的问题。本文从信息安全、网络安全两个方面提出几点视频监控系统联网建设时需注意的关键安全要素。
公共安全;视频监控;公安业务
随着视频监控技术的不断发展,视频监控在公共安全领域的地位越来越重要,如今公安的大部分工作都需要视频监控技术的支持,小至违章车辆的监控拍摄,大至刑事案件的侦破,视频监控技术发挥着越来越重要的工作。
但各地区的公共安全视频监控建设情况参差不齐,经济基础较好城市的视频监控体系建设比较成熟,而经济基础比较薄弱城市在视频监控体系建设方面的投入还不足[1],并且各个地区之间的视频监控体系也不尽相同,当需要相互调取视频监控数据时,不仅耗费许多时间,而且可能存在数据格式兼容性的问题,导致无法立即查看视频资料而耽误案件的侦破。
因此,推进公共视频监控系统联网建设,是发展公安视频监控技术的必然要求。而联网建设首先要考虑的问题便是安全问题,如何保证公共安全视频监控联网的安全性是建设前期亟待解决的问题。本文从信息安全、网络安全两个方面提出几点视频监控系统联网建设的关键安全要素。
信息安全是指利用相关技术手段和管理手段保护信息在传播、使用和存储过程中,不受到自然或人为因素的更改、泄露和破坏。主要考虑以下几个方面:
1.1 身份认证
身份认证,即在操作者进入公共安全视频监控联网系统之前,对其身份进行鉴定的过程,这是为了保护公共安全视频监控系统联网的访问策略可以安全有效的执行,防止非法操作者破坏系统资源或是合法操作者访问其权限以外的系统资源。
如今的公安网身份认证中,主要采用PKI(Public Key Infrastructure)/PMI(Privilege Management Infrastruetur)身份认证和访问控制技术,每个正式公安民警都会发放一个数字证书(USB Key),其中含有每个民警的身份信息,民警在查询相关信息资源时,系统会根据民警的职务权限对其开放一定相关的系统资源,当试图访问超过其权限范围的资源时,系统会拒绝其的访问请求,并且每次查询资源的情况都会被记录。
因此,在公共安全视频监控系统联网建设时可以提供PKI/PMI系统的接口,这样无需耗费大量的时间和精力再独立建设身份认证和访问控制模块,直接运用现有的公安网数字证书,既可以起到防止非授权人员进入系统和避免权限有限的用户访问高权限资源的作用,也统一了公共安全视频监控系统联网身份认证的标准。
1.2 信息加密
信息加密即运用物理方法或数学方法对视频信息进行加密,需要加密的地方主要有两个,一个是在视频信息的传输过程中加密,另一个是在视频信息存储时进行加密。前者是为了防止入侵者在视频信息传输过程中截获信息,由于经过传输加密后,其所窃取的信息的信息是经过特定的加密算法加密的,没有与之相对应的密钥对加密信息进行解密,因此获得的信息只是没有任何意义的乱码。而后者在存储时加密则是防止入侵者从存储器得到资源信息,由于其得到的信息也是加密后的密文,没有正确的解密密钥,也无法得到有效的信息。只有有权限的用户才能使用专有密钥进行解密,进而从存储器中读取的信息。
加密算法分为两种,一种是私钥加密算法,另一种是公钥加密算法。两种算法比较来看,公钥算法更具有优势。其原因有三点:一从安全方面比较,公钥算法基于未解决的数学难题,想要从外界进行强行破解是不可能的;二从管理方面比较,公钥算法只需要较少的资源,并且支持数字签名;三从成本方面比较,公钥加密相对于私钥加密成本更为低廉。所以监控系统联网建设对视频信息进行加密时,使用公钥加密的方式可能更具有实用性。
1.3 数据备份
数据备份是数据容灾的基础,是指将本地存储设备里的信息复制到别的存储器中,防止人为操作失误或者是系统故障而导致数据损毁或丢失[2]。
在公共安全视频监控系统联网建设中,对视频信息进行数据备份是一件非常重要的工作,如今大部分前端采集的摄像机都是高清晰度的,在带来成像效果好的同时,其采集数据的体积也是庞大的,一般单路1080P摄像机一天的数据量大概是在50GB左右,可想而知一个城市视频信息数据量是巨大的,所以仅用传统的数据备份方式进行备份,出现了数据损毁或丢失的故障,恢复的时间会很慢,这对公安工作的实时性有很大影响。所以系统联网建设在数据备份方式的选择上要慎之又慎。
1.4 人员管理
信息安全的维护,不仅仅需要对数据、系统进行严格的管理和维护,人员管理也是维护信息安全的是重中之重。
在监控系统联网投入使用之前,应该对使用系统的人员进行培训,大多数案例表明信息泄漏、系统故障是人为导致的。有些是操作的失误;有些则是使用人员不能够遵守系统使用的规章制度,随意的将系统内部信息发布到互联网上;有的甚至是利用职务之便获取信息并倒卖出去。因此对使用系统的人员进行严格的纪律培训和操作培训,防微杜渐,系统的信息安全才能得到更好的保障。
网络安全是指利用网络技术手段保护网络数据、软件和硬件,防止遭受到偶然或是恶意的泄漏、篡改或破坏,保证整个系统可以连续可靠的运行。目前有以下几个方面需要考虑:
2.1 防火墙
防火墙技术是常见的网络安全技术。常见的防火墙技术有三种:包过滤防火墙、代理服务器式防火墙、以及基于状态检测的防火墙[3]。其中包过滤防火墙主要针对OSI模型中的网络层和传输层的信息进行分析,代理服务器式防火墙是对第四层到第七层的数据进行检查,与包过滤防火墙相比较,需要更高的开销,运行速度也会比较慢,基于状态检测的防火墙是检测每一个TCP、UDP之类的会话连接。
因此,在视频监控系统联网建设时,选用的防火墙应从安全性、复杂环境适应性、安全审计、配置管理方便性等方面考虑,性能指标要满足联网的发展需求。
2.2 病毒防范
网络病毒是能够自我复制、感染性强、具有潜伏性的人为编写的特制程序,局域网络中只要有一台计算机感染了网络病毒,那么局域网中的其它主机也会在短时间内相继感染病毒,网络病毒轻则破坏计算机内部数据,重则使整个网络内部的计算机系统全部瘫痪。
通常局域网内部计算机感染网络病毒是被U盘、移动硬盘等移动介质所携带的病毒感染,然后相继传染其它主机。另一种情况则是局域网内某台主机连上外部网络,从而将网络病毒引入内部局域网中。
因此,视频监控系统联网建设在防范网络病毒时,应安装正版的杀毒软件,定期对网络内部的主机进行扫描、清除病毒库中存在的网络病毒,也要及时的更新网络病毒库,防止新型网络病毒进入网络内部,同时要提高系统工作人员的安全意识,严禁将不明来历的光盘、U盘等移动设备接入内部网络,才能防止网络病毒危害整个系统。
2.3 物理隔离
物理隔离即将公共网络与内部网络用物理手段隔离开来,防止内部网络受到外部网络上的入侵和攻击[4]。
由于网络应用的普及深入,网络入侵和攻击日益猖獗,因此在公共安全视频监控系统联网建设时,必须保证内部视频监控网络与公共网络物理隔离,不得将视频信息传输通道与连接外部网络的主机连接在一起,严禁工作人员将内部主机连上外部网络,进行浏览网页或发收电子邮件等违规行为。此外,当内外网络进行切换时,须重新启动计算机,防止内存上残留的信息传入外部网络。
如今,视频监控逐渐成为公安各警种的重要技术支撑,因此在公共视频监控系统联网建设中,要重视视频监控联网的安全建设,但安全建设绝非一朝一夕,不仅需要技术方面的支持,更要制定出与技术相对应安全管理制度,做到技术与制度相辅相成,使得公共安全视频系统联网的安全性更高,为进一步提高视频监控技术的战斗力奠定夯实的基础。
[1]方艾芬,徐其权.智能视频巡逻在交通巡逻中的深入应用[J].中国安防,2015.
[2]吕燕.浅议企业核心数据灾备系统建设方案[J].有线电视技术,2013.
[3]刘丽君.基于防火墙的网络安全策略[J].科技创新与应用,2015.
[4]许乃利.网络终端设备的双网物理隔离方法研究[D].安徽大学,2011.