網(wǎng)絡(luò)視頻監(jiān)控系統(tǒng)安全策略方案探討（一）

　　前端接入端建議選用工業(yè)級(jí)交換機(jī)，系統(tǒng)平臺(tái)采用雙路由雙交換機(jī)配置，建立主備冗余或負(fù)載均衡機(jī)制，可增強(qiáng)安全可靠性。另一方面，對(duì)系統(tǒng)重要的交換機(jī)路由設(shè)備配置安全策略，如通過建立規(guī)則來實(shí)現(xiàn)過濾需求、基于端口的訪問許可、流量控制，加強(qiáng)設(shè)備網(wǎng)管SNMPV3及SSH安全登錄，交換機(jī)日志報(bào)送和看門狗開啟及固件映像等與安全有關(guān)的功能設(shè)置。

　　3、防火墻安全

　　防火墻指的是一個(gè)安全軟件和計(jì)算機(jī)硬件設(shè)備集成組合而成，其主要由服務(wù)訪問規(guī)則、驗(yàn)證工具、包過濾和應(yīng)用網(wǎng)關(guān)四個(gè)部分組成。通過防火墻設(shè)置訪問規(guī)則、配置不同安全等級(jí)，允許通過的端口服務(wù)、IP及協(xié)議數(shù)據(jù)來過濾數(shù)據(jù)，減少系統(tǒng)平臺(tái)服務(wù)器壓力。一般情況下，受防護(hù)墻性能的限制，視頻監(jiān)控媒體流不做防火墻穿透業(yè)務(wù)，只對(duì)系統(tǒng)平臺(tái)的鑒權(quán)、認(rèn)證等信令部分進(jìn)行安全校驗(yàn)以降低防火墻的壓力;

　　4、前端設(shè)備雙重認(rèn)證接入

　　只有合法的前端設(shè)備才能注冊(cè)到系統(tǒng)。系統(tǒng)采用獨(dú)有的密碼發(fā)布機(jī)制，對(duì)通過身份ID認(rèn)證的前端設(shè)備發(fā)布隨機(jī)密碼。系統(tǒng)通過身份ID和密碼雙重認(rèn)證機(jī)制，能有效防御非法的或假冒的前端設(shè)備接入系統(tǒng)，以保證系統(tǒng)的安全性。

　　網(wǎng)絡(luò)安全

　　在承載網(wǎng)絡(luò)上采用傳輸層機(jī)制，保證網(wǎng)絡(luò)傳輸?shù)陌踩?。利用專網(wǎng)隔離網(wǎng)絡(luò)視頻監(jiān)控流量和其他流量，優(yōu)先選擇監(jiān)控專網(wǎng)（物理專網(wǎng)或VPN網(wǎng)）的組網(wǎng)方式可以保證網(wǎng)絡(luò)線路的安全性，但組建視頻監(jiān)控專網(wǎng)相應(yīng)的投資將大幅上升。

　　每一個(gè)監(jiān)控采集的出口網(wǎng)絡(luò)連接可以考慮兩個(gè)不同方向，以建立兩條路由進(jìn)行備份。平臺(tái)對(duì)外提供服務(wù)的設(shè)備，接入到防火墻的DMZ區(qū)中，通過防火墻接入到外部網(wǎng)絡(luò)（如城域網(wǎng)）。監(jiān)控網(wǎng)絡(luò)關(guān)鍵設(shè)備規(guī)劃設(shè)計(jì)中，采用防火墻、漏洞掃描、入侵監(jiān)測(cè)、VPN等網(wǎng)絡(luò)安全技術(shù)措施，實(shí)時(shí)監(jiān)控整個(gè)網(wǎng)絡(luò)的運(yùn)行狀態(tài)，保證系統(tǒng)安全可靠運(yùn)行。