網絡視頻監(jiān)控系統安全策略方案探討（二）

應用系統安全

　　1、高效的認證機制

　　登錄驗證機制：登錄時需要輸入系統分配的用戶名和密碼，連續(xù)輸入錯誤次數達到系統設定的次數，系統將鎖定該用戶賬戶，只有通過系統管理員才能進行解鎖重置。同時，系統支持用戶安全卡（USBKEY）管理機制，利用軟件電子鑰匙的方法，只有持有該電子鑰匙的用戶才能正常啟動客戶端軟件或Web 插件，再配合加密的用戶名密碼對，通過雙重措施保障用戶訪問的安全。

　　管理人員訪問網絡視頻監(jiān)控系統時都將進行身份認證，認證信息采用128位的DES加密處理，以判斷用戶是否有權使用此系統。認證系統對用戶進行安全認證，身份驗證的資料來源于集中規(guī)劃的數據庫，數據庫管理著視頻監(jiān)控系統所有用戶的身份資料。

　　系統應具有獨特的用戶名與MAC地址綁定功能，能夠限定某一用戶使用唯一指定的終端觀看其權限范圍內的視頻信息，避免該用戶名、密碼被盜后，通過其它終端訪問系統造成視頻信息泄露，同時也可有效地監(jiān)督用戶的工作行為，防止非正常場所觀看秘密視頻信息。

　　2、嚴格的權限管理

　　授權機制：系統應提供完善的授權機制，可以靈活地分配給用戶可以查看的監(jiān)控點、可執(zhí)行的功能模塊、可執(zhí)行的具體功能等。用戶只能查看權限范圍內的監(jiān)控點和執(zhí)行被授予的功能。

　　管理人員登錄到監(jiān)控系統后，可以對監(jiān)控點的設備進行管理和配置、實時查看監(jiān)控點的視頻圖像、錄像日程安排，管理、查看和檢索保存在存儲系統中的視頻文件。系統具有完善的權限管理系統，數據庫中記錄了各個管理人員對各監(jiān)控點的使用權限，權限管理系統根據這些數據對用戶使用權限進行管理，并對用戶使用界面進行定制，使用戶只能管理和使用具有相應權限的監(jiān)控點的設備和視頻文件，而不能隨意查看，甚至管理其它監(jiān)控點的設備和視頻文件，以保障系統的安全性。

　　同一用戶名在同一時間內，系統可嚴格限定只能有一人登陸使用系統，防止某一用戶名和密碼泄露后，其它人訪問監(jiān)控系統，造成視頻信息泄露。

　　3、完善的日志管理

　　系統詳細記錄用戶登錄、登出、控制視頻、瀏覽視頻等重要操作日志，便于查詢和統計;同時，在系統產生故障時，可以通過系統日志信息，作為分析、處理問題的一個重要依據。

　　4、軟件監(jiān)測技術

　　在系統應用軟件建立主進程和子進程時，子進程監(jiān)護主進程，一旦主進程在規(guī)定時間沒有心跳響應，子進程切換接替主進程上線進行服務;有些服務可通過串口線建立心跳檢測;通過“看門狗”技術，避免系統業(yè)務軟件意外退出，保障系統正常工作。

　　通過服務器之間的主備或負載均衡機制，建立服務進程狀態(tài)監(jiān)聽，如圖2。

　　在管理人員使用服務過程中，視頻流通過寬帶網絡傳輸到視頻監(jiān)控系統平臺、再從系統平臺通過寬帶網絡將視頻流在用戶的監(jiān)控終端進行播放。為防止視頻流被非法用戶截獲，可以對視頻文件進行加密傳輸，對每個視頻流采用不同的密鑰加密，只有有權觀看此視頻流的用戶才擁有此密鑰，可以對視頻流進行解密，保障視頻傳輸的安全性。