基于保密网的监狱视频监控系统设计

韩凯

摘要：目前，在监狱监控系统中视频监控技术有着非常广泛地应用，其对系统的保密性也提出了越来越高的要求。文章在此基础上，构建了基于保密网的监狱监控系统，从系统的整体构架、视频监控、保密网及安全性等多方面展开深入研究，为该方面的实践工作者提供有价值的参考资料。

关键词：保密网；监狱视频监控：系统设计

1 保密网

与国家机关、党政机关等工作秘密相关的计算机网络被称为保密网。由于涉密网与非涉密网两者之间的管理要求不同，涉密程度不一样，所需要的经费也不同。因此，其具体的网络构建也是不同的，根据涉密情况可以划分为三类，即上层涉密且下层不涉密、少量涉密、大量涉密。保密网多具有集中性强、可扩展、可靠性高等特性。

2 保密网基础上的监狱监控系统的整体设计

在大量数据分析与实证研究的基础上，笔者认为监狱监控系统应符合如下相关要求：一是为了确保系统拥有非常高的可靠性，可以运用国际流行技术与先进构架。在开发的过程中，应遵质量控制标准进行，只有这样才能够保障系统在7*24小时内都能够可靠地运行。二是运用分布式的架构，从而确保系统拥有非常良好的可扩展性能。三是拥有非常高的开放性，只有这样系统才可以与各种设备有效对接，所有其应具备统一的设备接口。四是采用标准的HTTP协议、XML文件格式，在DES加密算法下，实现对AMR、MPEG4等编码标准的支持。五是采用模块化技术与SAN技术。这样做系统能够拥有良好的可扩展性，从而根据实际工作的需要及时进行模块的增减与更新。六是拥有标准存储设备支持功能，从而可以那些典型的的DAS与NAS设备，实现超长时间的录像和超大容量的存储。

依据监控系统的需求状况，控制软件需具备如下功能：一是符合视频显控所需要的各种参数要求，涵盖点播授权的前端现场监控点图像，对前端的多个监控点能够动态监听，能够非常便捷地检索与下载远程存储服务器上的有关视频资料，可以进行语音对话，并对系统的时间进行及时校准。二是拥有电视墙控制功能。在IP矩阵解码的作用下，监控点数字编码格式视频能够在液晶显示屏上呈现。在客户端运用数字信号VGA来实现传输，如果前端的显示器上出现报警情况，相关工作人员能够借助电视墙及时获知。

在编制轮循方案的时候，主要有两种模式，一种是组轮循方式，另一种是单通道轮循方式。

在上述有关功能下，工作人员只需要借助IE浏览器就可以实现对远端中心管理服务器的控制，在获得授权的情况下实现语音对讲、监听及图像质量调控等。

3 系统信息安全建设

针对系统安全性能的需求，可以综合运用防火墙、用户身份认证与病毒网管等多种措施。在本文中，笔者将重点介绍系统数据加密与入侵防范两方面的设计情况。

3.1 数据加密的有关设计

在数据传输的过程中，其安全性能需要借助信息传输两端配置的VPN设备来达到。在VPN加密机中最为关键的技术包括隧道技术、身份认证技术与密钥管理技术等。因为监狱单位的特殊性，不适用于商用加密码算法，应采用国家密码管理局指定的密码算法，最大限度地保护各种数据的机密性。一般情况下，监狱在实现数据传输的过程中，多借助电子政务网。所以，在数据加密设计的过程中，可以运用DES算法来达到加密目的。但从当前的实际情况来看，监狱局与相关单位之间的数据传输大多是依靠不安全的电子政务网来进行的，所以运用安全等级非常高度额加解密技术是非常有必要的。在本次系统开发中，DES算法是借助64位密钥来实现64位数据的加密算法。这一密码应及时加以更新，加强安全防范工作，杜绝泄密的情况出现。一旦出现密码外泄，将会带来非常严重的后果。

针对监狱单位与其他单位机关的具体状况，可以在双方的网络出口都配置VPN安全服务，构建VPN加密传输专网，从而实现应用系统的访问与各项数据信息的安全共享。在具体的构建过程中，还需要从监狱单位的实际情况来选择组网方式，一般选择环型组网方式，这能够最大限度地处理大规模网状组问题，并实现多个单位的互相访问，实现多单位的有效信息传输。这一原理主要为：在系统覆盖的各个单位都配置VPN网关，使得每个网关都与别的单位网关组建IPSec隧道，所有相关单位的VPN加密机都可以遵循一定策略与其他VPN加密机构建隧道，并加以访问与控制。

这类以保密网为基础的监狱监控系统内，应高度重视密钥的管理工作，包括主密钥的产生、初始密钥的生产、分配、重置以及密钥的存储及申请等。主密钥是其他密钥的产生基础，具有非常重要的地位，应确保其产生时的随机性。在其产生的过程中，系统两个主管应分别输入两个字符串，之后依据字符串内的信息，击键时间与击键频率来产生主密钥。在这种运算方式下，即便是键入的字符串一样，也会获得不同的密钥。在主密钥的基础上，系统主题会随机生成初始密钥。在加密处理之后，初始密钥会被存放与软盘内，由专门的路径来送达到指定的通讯节点处，并载入计算机中。当需要更新的时候，可以重复这一操作来再次获得初始密码。密钥的产生。载入等程序都不存储于硬盘，而是存放于软盘中，并由专人负责，放置被跟踪破译。加密密钥也是保护密钥的重要方法之一。这一算法将多个密钥变为一组整数，密钥由一个非常复杂且不可逆转的算法随机生成，其安全性能够得到大幅度提升。在每次数据通讯的过程中，传输密钥都是临时的，在某一时间之后，系统也会要求再次申请密钥。系统应及时更换初始密钥。如因特殊原因而难以签退或更新的初始密钥，可以进行伪签退操作，进行延期。针对密钥进行科学化的管理，能够提高密钥的安全性，从而提高整个保密网的保密系数。

3.2 网络FA4曼的相关设计

为了提高系统的防入侵能力，在本次系统开发过程选择了入侵防御系统隔离系统。在这一措施下，涉密办公网络数据能够轻而易举地传输到监控网络上。该系统会有两种工作状态，即存储与转发。一般来说，监控中心会配置相应的转发服务器，由此将涉密办公网络所需要的各种视频资料转移到系统内。在这种状况下，其只与监控专网转发服务器相对接，采用文件的方式来获取各种视频资料，并将这些资料存储在制定设备内，进而达到存储的目的。在转发工作状态下，系统与涉密办公网络有效对接，将上述设备中存储的相关视频资料转移到涉密网转发服务器上。借助入侵防御系统，系统能够实现单项网络连接，进而确保数据能够得到安全传输。除此之外，该方面的设计工作还应该结合监狱的具体布局情况而进行，从而设计出合理的网络安全隔离图。

3.3 系统日志的有关设计

系统当前使用的日志文件被称为联机日志文件，其能够有效保护自上一次数据库一致状态之后的相关事务信息。当系统出现异常情况，其能够依据联机日志文件来有效恢复。随着时间的增多，日志文件不断被新的日志信息所覆盖，当完全副高后，将形成最久的日志文件。数据库管理系统涵盖归档与不归档两大模式。在系统运用联机日志文件的时候，联机日志如果被拷贝，就生产归档日志文件。这种方式会对系统的性能带来一定影响，但是其安全性更高，很少会出现数据丢失的情况。如果没有归档日志文件，一旦系统故障，那么系统就只能依据备份来进行恢复。网络日志涵盖系统的访问信息与错误信息记录，其能够显示系统是否收到外来攻击，对于网络监控具有重要意义。

日志分析工作意义重大，相关工作人员借此可及时获得关键资料。在具体的使用过程中可以遵循如下步骤：一是将日志信息进行集中。构建日志收集服务器，汇总各个系统的日志文件。二是对日志进行科学化的管理，包括分类、存储等。三是对日志加以分析，及时获得事件的真相，相关人员可以第一时间采取应对措施。

4 系统安全状况

在本次系统开发的过程中，笔者运用DES算法进行加密，并构建了入侵防御系统，这样做能够全面提升系统的保密性能。数据在传输的过程中，无论是接受环节，还是发送环节，都进行了加密处理。数据在传输的过程中，还需要经过VPN加密机再次进行加密处理。这样一来，即便是数据在传输的时候被泄露，窃取数据的人也难以了解数据的真实内容。

入侵防御系统可以实现动态防护的目标，其多是针对网络中可能存在的各种病毒与攻击情况进行有效阻断来实现防护功能的。从组件方面，其主要包括网络引擎、控制台与在线更新服务三大部分。其能够适应多种网络环境，均可以实现有效管理。在控制台的作用下，可以实现集中管理，进而提供必要的安全策略与引擎控制。除了这些之外，入侵防护系统在吞吐量方面也非常惊人，吞吐量非常大，其具备非常高的可用性和强大的入侵防御能力。