视频监控系统安全防护技术浅析-环境监控系统

根据监控系统的组成情况，针对监控系统安全防护也可分为前端区域、管理平台区域以及客户端区域三部分。

据了解，根据安全保护能力的强弱，GB35114-2017标准将安全前端（摄像机）的安全能力分为3个等级，由弱到强分别是A级、B级、C级。原视频监控系统要支持GB35114-2017，需要在前端设备、用户终端、视频监控管理平台各个模块增加安全功能，增加专门的视频安全密钥服务系统。

一、监控前端设备安全性

前端摄像机。现有安装摄像机可以通过增加符合国密标准的TF卡、软件密码模块，升级软件方式实现对GB35114-2017的支持，普通摄像机可以支持A级安全等级。但符合公共安全SVAC2.0国家标准的摄像机可以达到支持B级和C级安全等级。

监控前端设备可以采取以下安全措施：

(1)系统对前端设备进行统一编码和管理,前端设备接入系统时,系统会对前端设备进行接入认证,通过对前端设备的注册和保活管理(即定时向前端设备发送信息,以确认前端的状态),保证视频源的合法性和安全性。

(2)解码设备只接收服务器指定编码设备发送的媒体流,防止恶意假造媒体流。系统设备对前端设备进行业务访问时,也需要携带相关的鉴权信息,以供前端设备进行检查和认证,编解码设备只接受合法管理服务器的控制命令,以防止被非法控制。

(3)如果前端视频服务器被盗,要保证里面存储的图像不泄密。前端视频服务器操作系统对系统账号的保护等级很高,很难轻易破解并登录。同时里面存储的图像文件系统采用专用的文件系统和读写操作指令,必须使用专用的客户端播放器和USB-KEY才能下载观看。

(4)前端设备安全认证,应对系统中的前端设备进行接入认证,可采用数字证书的认证方式,或者基于设备的物理标识。对于非IP设备,可以通过前端接入网关来进行认证。在采用数字证书认证方式时,前端设备或前端接入网关应提供安全模块。安全模块应具备的安全功能有:安全认证功能、密钥管理功能、信道加密功能。

二、用户终端加密保护

用户终端需要升级客户端软件，并增加Ukey或加密卡，实现GB35114-2017规范里要求的基于数字证书的设备身份认证、视频签名的验签和加密视频的解密功能。

监控业务客户端采用专用程序,并结合带有用户信息的硬件加密狗(USB-KEY),防止用户程序的非法拷贝和使用。"加密狗"是一种插在计算机UsB接口上的软硬件结合的加密产品,一般都有几十或儿百字节的非易失性存储空间可供读写,较新的"加密狗"内部还包含单片机。

客户端程序通过调用USB-KEY的接口模块对其进行操作,USB-KEY响应该操作,并通过接口模块将相应的用户数据返回给客户端程序。客户端程序可以对返回值进行判定,并采取相应的动作。如果返回无效的响应,表明为非法或无授权的用户,客户端程序可以将应用程序终止运行。

硬件加密狗主要特点如下：

(1)加密算法:针对不同用户任意选择加密算法,并且可以自定义加密算法因子(256种算法,24位算法因子,共有1600万种因子变化可供选择)。

(2)单片机:USB-KEY硬件内置单片机,单片机程序用特殊方法一次性写入。固化的单片机程序不可读出或改写,从而保证USB-KEY不可被仿制。

(3)数据交换随机噪声技术:有效地对抗逻辑分析仪及各种调试工具的攻击,完全禁止软件仿真程序模拟并口或USB接口的数据。

(4)迷宫技术:在USB=KEY函数入口和出口之间包含大量复杂的判断跳转干扰代码,动态改变执行次序,提升USB-KEY的抗跟踪能力。

(5)时间闸:USB-KEY内部设有时间闸,各种操作必须在规定的时间内完成。UsBKEY正常操作用时很短,但跟踪时用时较长,超过规定时间,USB-KEY将返回错误结果。

(6)AS技术:内嵌式加密(APD)与外壳加密(SHEL)相结合的方式,能够到达极高的加密强度,即使外壳被破坏,加密程序仍然能正常运行。

(7)抗共享:硬件内置对抗并口共享器。

(8)密码保护:密码错误将不能对UsB-KEY存储区进行读写。

(9)存储器:对数据存储区存放的关键数据、配置参数等信息提供掉电保持。

(10)流水号:每只USB-KEY都有唯一的序号,即流水号,可以通过读流水号以区分每一只USB-KEY。

(11)新一代外壳技术:新一代外壳工具在极大提高加密软件安全性的基础上,同时改善其易用性、兼容性和适用范围。

三、监控平台安全性

视频监控管理平台。需要与视频安全密钥管理系统对接，升级软件实现GB35114-2017规范里要求的基于数字证书的设备身份认证流程，基于数字证书的客户端身份认证流程，实现视频会话过程中VKEK密钥分发等功能。

监控平台涉及非常重要的客户信息、设备配置信息、路由信息、网络管理信息系统在电信级监控平台中,大量采用Uni/Linux操作系统作为核心平台软件承载,为了减少安全问题,一般系统可通过如下手段加固。

(1)通过ssH协议远程管理设备,SsH采用加密协议,网络中的嗅探器无法获取设备密码。

(2)尽量关闭除ROOT账号以外的其他账号,对一些应用程序定义的用户,应对特定应用进行正确用户授权,并且这些为应用程序而设的用户不应正常通过SSH登录系统删除其正常的"HOME"目录。

(3)对于一些程序需要使用高杈限进行系统操作时,应对应用程序设置SETD临时提高程序权限。

(4)关闭不必要的系统服务,如FTP等,经常查看系统日志,或将系统日志定期发送到网络管理软件上,方便管理。

(5)定期为系统升级

(6)从安全性角度考虑,系统设备层采用一定的冗余备份方案,对于客户资料、费用资料等重要数据要有可靠的存储方案。

(7)监控中心平台放置防火墙之内,以保证系统的安全性。

（8)监控访问控制策略,设备控制权限划分到对每个摄像机、报警探头、电视墙的控制。对于每个摄像机分为实时视频查看、历史资料检索、远程云镜控制、参数设置等不同控制权限能力。系统对使用者的权限管理可以分为不同层次。

视频安全密钥管理系统包括数字认证系统和密钥管理系统，实现数字证书的生成，结合视频监控系统特性对密钥进行管理，支持适合监控业务的密钥查询功能。升级后的视频监控系统可以同时支持原有前端摄像机的接入等工作、解决系统在过渡期的兼容性问题。

来源：机房动力环境监控系统 http://www.create-china.com.cn   本文采集于网络，如有问题有联系删除