網絡視頻監(jiān)控系統(tǒng)安全策略方案探討(一)
前端接入端建議選用工業(yè)級交換機,系統(tǒng)平臺采用雙路由雙交換機配置,建立主備冗余或負載均衡機制,可增強安全可靠性。另一方面,對系統(tǒng)重要的交換機路由設備配置安全策略,如通過建立規(guī)則來實現過濾需求、基于端口的訪問許可、流量控制,加強設備網管SNMPV3及SSH安全登錄,交換機日志報送和看門狗開啟及固件映像等與安全有關的功能設置。
3、防火墻安全
防火墻指的是一個安全軟件和計算機硬件設備集成組合而成,其主要由服務訪問規(guī)則、驗證工具、包過濾和應用網關四個部分組成。通過防火墻設置訪問規(guī)則、配置不同安全等級,允許通過的端口服務、IP及協(xié)議數據來過濾數據,減少系統(tǒng)平臺服務器壓力。一般情況下,受防護墻性能的限制,視頻監(jiān)控媒體流不做防火墻穿透業(yè)務,只對系統(tǒng)平臺的鑒權、認證等信令部分進行安全校驗以降低防火墻的壓力;
4、前端設備雙重認證接入
只有合法的前端設備才能注冊到系統(tǒng)。系統(tǒng)采用獨有的密碼發(fā)布機制,對通過身份ID認證的前端設備發(fā)布隨機密碼。系統(tǒng)通過身份ID和密碼雙重認證機制,能有效防御非法的或假冒的前端設備接入系統(tǒng),以保證系統(tǒng)的安全性。
網絡安全
在承載網絡上采用傳輸層機制,保證網絡傳輸的安全性。利用專網隔離網絡視頻監(jiān)控流量和其他流量,優(yōu)先選擇監(jiān)控專網(物理專網或VPN網)的組網方式可以保證網絡線路的安全性,但組建視頻監(jiān)控專網相應的投資將大幅上升。
每一個監(jiān)控采集的出口網絡連接可以考慮兩個不同方向,以建立兩條路由進行備份。平臺對外提供服務的設備,接入到防火墻的DMZ區(qū)中,通過防火墻接入到外部網絡(如城域網)。監(jiān)控網絡關鍵設備規(guī)劃設計中,采用防火墻、漏洞掃描、入侵監(jiān)測、VPN等網絡安全技術措施,實時監(jiān)控整個網絡的運行狀態(tài),保證系統(tǒng)安全可靠運行。
評論