林啟英 潘美蓮
(1、廣州金鵬電子信息機(jī)器有限公司,廣東 廣州 510000 2、廣州工程技術(shù)職業(yè)學(xué)院,廣東 廣州 510000)
2005年9月中國(guó)公安部正式啟動(dòng)城市聯(lián)網(wǎng)報(bào)警與監(jiān)控系統(tǒng)建設(shè),在全國(guó)范圍內(nèi)推動(dòng)“平安城市”的建設(shè)步伐。目前各主要城市如北京、廣州、深圳、杭州已經(jīng)建設(shè)了大規(guī)模的城市視頻監(jiān)控系統(tǒng)。城市視頻監(jiān)控管理系統(tǒng)是衡量一個(gè)城市現(xiàn)代化管理水平的重要體現(xiàn),是實(shí)現(xiàn)一個(gè)城市乃至整個(gè)國(guó)家安全和穩(wěn)定的重要措施。建立合理、有效的城市視頻監(jiān)控管理系統(tǒng),才能夠使政府管理部門(mén)在第一時(shí)間發(fā)現(xiàn)問(wèn)題,提出應(yīng)對(duì)措施及應(yīng)急預(yù)案。
城市視頻監(jiān)控系統(tǒng)有模擬視頻專網(wǎng)、模數(shù)結(jié)合和純數(shù)字視頻專網(wǎng)三種模式。其中城市數(shù)字視頻監(jiān)控系統(tǒng)涉及到應(yīng)用的公安信息網(wǎng)、公安視頻專網(wǎng)、市區(qū)政府部門(mén)、以及1~3類視頻資源,在整個(gè)架構(gòu)的邊界以及應(yīng)用系統(tǒng)的網(wǎng)絡(luò)安全上存在不少隱患,怎樣架構(gòu)網(wǎng)絡(luò)安全保護(hù)體系也成為了重中之重。
網(wǎng)絡(luò)安全系統(tǒng)是整個(gè)城市視頻監(jiān)控系統(tǒng)數(shù)字視頻專網(wǎng)建設(shè)的重要組成部分之一。它與各大子系統(tǒng)密切配合,多角度、多層次進(jìn)行銜接,不但對(duì)數(shù)字視頻專網(wǎng)各個(gè)層面提供安全防御和保護(hù),而且還對(duì)數(shù)字視頻專網(wǎng)之上的應(yīng)用系統(tǒng)提供安全性管理服務(wù)。
網(wǎng)絡(luò)安全系統(tǒng)需要對(duì)市區(qū)政府部門(mén)以及3類視頻接入的邊界、視頻專網(wǎng)市區(qū)局系統(tǒng)、市局公安信息網(wǎng)與視頻專網(wǎng)市局接入點(diǎn)的邊界提供有效的安全保障,并且對(duì)應(yīng)用用戶提供有效的CA認(rèn)證體制,在認(rèn)證用戶信息管理這一塊提供有效的同步更新機(jī)制。系統(tǒng)不但對(duì)視頻專網(wǎng)各個(gè)層面提供安全防御和保護(hù),而且還對(duì)視頻專網(wǎng)之上的應(yīng)用系統(tǒng)提供安全服務(wù)。
從安全保障角度出發(fā),網(wǎng)絡(luò)安全系統(tǒng)應(yīng)包括應(yīng)用安全、網(wǎng)絡(luò)安全、系統(tǒng)安全、物理安全及統(tǒng)一安全管理。通過(guò)這些安全措施向視頻專網(wǎng)和各類視頻應(yīng)用,提供相應(yīng)安全保障。
本系統(tǒng)采用邊界安全接入平臺(tái)、構(gòu)建CA中心、身份認(rèn)證網(wǎng)關(guān)、VPN、入侵檢測(cè)、防病毒、漏洞掃描、系統(tǒng)補(bǔ)丁等技術(shù)手段,從物理安全、通信和網(wǎng)絡(luò)安全、運(yùn)行安全以及信息安全四個(gè)層面,保證圖像虛擬網(wǎng)從前端接入到后端平臺(tái)的安全,實(shí)現(xiàn)與社會(huì)資源的圖像訪問(wèn)采用綜合技術(shù)手段構(gòu)建城市監(jiān)控安全子系統(tǒng),保證視頻專網(wǎng)與其它政府部門(mén)圖像共享及傳輸?shù)陌踩?、視頻專網(wǎng)到公安信息網(wǎng)進(jìn)行跨網(wǎng)訪問(wèn)的安全以及與社會(huì)資源圖像訪問(wèn)的接入安全。
結(jié)合公安部城市報(bào)警與監(jiān)控系統(tǒng)建設(shè)規(guī)范性文件匯編、地方標(biāo)準(zhǔn),安全平臺(tái)系統(tǒng)的設(shè)計(jì)應(yīng)考慮如下幾個(gè)方面:
視頻專網(wǎng)傳輸和存儲(chǔ)大量敏感信息,為此須配置相應(yīng)的安全措施,確保視頻專網(wǎng)信息的的保密性、完整性、可用性、可查性和可控性。視頻專網(wǎng)依托公安局的專網(wǎng)傳輸網(wǎng)作為網(wǎng)絡(luò)承載平臺(tái),并且與公安信息網(wǎng)圖像中心等有著應(yīng)用交換,鑒于對(duì)公安信息網(wǎng)信息安全的敏感性,必須從技術(shù)和管理兩個(gè)層面上保障視頻專網(wǎng)和公安信息網(wǎng)的安全。其一是對(duì)于涉及國(guó)家秘密的信息不能在網(wǎng)上處理、存儲(chǔ)與傳輸;其二是采取相應(yīng)的安全物理隔離手段,保證視頻專網(wǎng)和公安信息網(wǎng)之間的安全可控的視頻圖像信息交換。
由于視頻專網(wǎng)涉及的人員眾多,層次復(fù)雜。包括市局、分局各級(jí)領(lǐng)導(dǎo)、系統(tǒng)管理人員、系統(tǒng)操作人員、分局和派出所的警務(wù)人員,以及其它政府部門(mén)的用戶等。人員的工作范圍、工作職責(zé)不同,必須建立一種信任及信任驗(yàn)證機(jī)制,保證用戶身份唯一性,保證認(rèn)證的權(quán)威性,這就需要建立一套CA安全認(rèn)證體系來(lái)實(shí)現(xiàn)。為了保證視頻專網(wǎng)及公安信息網(wǎng)的安全,對(duì)其它政府部門(mén)用戶要有網(wǎng)絡(luò)接入控制、用戶入網(wǎng)控制、基于角色的用戶訪問(wèn)權(quán)限控制等措施。通過(guò)對(duì)各種訪問(wèn)控制,保證視頻專網(wǎng)的運(yùn)行安全。
由于視頻專網(wǎng)具有操作系統(tǒng)和數(shù)據(jù)庫(kù)軟件等產(chǎn)品,對(duì)存在的系統(tǒng)安全問(wèn)題,實(shí)施被動(dòng)防御的同時(shí)還需要采用主動(dòng)防御手段如通過(guò)安全漏洞掃描程序、主機(jī)防護(hù)和加固系統(tǒng)、數(shù)據(jù)庫(kù)防護(hù)系統(tǒng),來(lái)查找和防止系統(tǒng)的安全隱患,未雨綢繆,遏制安全問(wèn)題的發(fā)生。建立跨平臺(tái)全網(wǎng)分布式防病毒系統(tǒng)對(duì)視頻專網(wǎng)進(jìn)行的統(tǒng)一的病毒防范控制和管理,及時(shí)對(duì)操作系統(tǒng)漏洞及病毒庫(kù)提供更新及分發(fā)。能對(duì)可能出現(xiàn)的緊急情況做出及時(shí)反應(yīng)并恢復(fù)。
視頻專網(wǎng)依托于公安信息網(wǎng),并與之直接相連。同時(shí),政府其他部門(mén)如城管、行政執(zhí)法、環(huán)保、工商、司法、國(guó)安、水利、省政府等將接入視頻專網(wǎng),共享視頻資源。為實(shí)現(xiàn)社會(huì)治安動(dòng)態(tài)監(jiān)控,通過(guò)運(yùn)營(yíng)商視頻專網(wǎng)還將采集商場(chǎng)、學(xué)校、工廠等社會(huì)圖像資源來(lái)擴(kuò)大監(jiān)控面。當(dāng)這些外部網(wǎng)絡(luò)與視頻專網(wǎng)相互連接,在共享視頻圖像資源的同時(shí),確保視頻專網(wǎng),尤其是公安信息網(wǎng)的安全性顯得非常重要。因此,在邊界接入中,需要考慮接入終端、接入鏈路、網(wǎng)絡(luò)傳輸,以及接入用戶的身份認(rèn)證和訪問(wèn)控制。
應(yīng)對(duì)視頻專網(wǎng)的全網(wǎng)安全進(jìn)行集中監(jiān)控與審計(jì),實(shí)現(xiàn)對(duì)視頻專網(wǎng)的的安全監(jiān)控,管理與審計(jì)功能。
視頻專網(wǎng)運(yùn)行后,重要的視頻數(shù)據(jù)將主要存儲(chǔ)各級(jí)存儲(chǔ)系統(tǒng),保證存儲(chǔ)系統(tǒng)數(shù)據(jù)和數(shù)據(jù)庫(kù),不因各種情況和災(zāi)難的發(fā)生而造成數(shù)據(jù)的丟失,是數(shù)據(jù)安全需要考慮的問(wèn)題。
網(wǎng)絡(luò)安全系統(tǒng)的建設(shè)實(shí)施,如下圖。
城市數(shù)字視頻監(jiān)控系統(tǒng)的網(wǎng)絡(luò)安全系統(tǒng)主要包含邊界安全、視頻專網(wǎng)的內(nèi)網(wǎng)安全和融合視頻監(jiān)控系統(tǒng)各類應(yīng)用和管理的CA認(rèn)證中心。
邊界安全系統(tǒng)包括:
(1)市公安局視頻專網(wǎng)與市級(jí)部門(mén)、其他移動(dòng)視頻應(yīng)用的接入邊界安全,通過(guò)防火墻、邊界網(wǎng)關(guān)物理隔離網(wǎng)閘實(shí)現(xiàn);(2)市公安局信息網(wǎng)與視頻專網(wǎng)間的邊界安全;(3)視頻專網(wǎng)中的各區(qū)公安分局與區(qū)級(jí)政府部門(mén)、三類監(jiān)控應(yīng)用的接入邊界安全。
內(nèi)網(wǎng)安全包括:漏洞掃描系統(tǒng)、網(wǎng)絡(luò)防病毒系統(tǒng)、內(nèi)網(wǎng)安全與系統(tǒng)補(bǔ)丁分發(fā)系統(tǒng)。
CA認(rèn)證中心包括:
(1)安全區(qū)-RA注冊(cè)、CA認(rèn)證系統(tǒng)一體、相關(guān)簡(jiǎn)化的LDAP目錄服務(wù);(2)服務(wù)區(qū)-主目錄(LDAP)和統(tǒng)一用戶管理系統(tǒng),目錄服務(wù)系統(tǒng)主要提供數(shù)字證書(shū)、證書(shū)注銷列標(biāo)的發(fā)布,用戶通過(guò)訪問(wèn)目錄服務(wù)系統(tǒng)可以實(shí)現(xiàn)數(shù)字證書(shū)、根證書(shū)、證書(shū)注銷列表的下載。統(tǒng)一用戶管理系統(tǒng)能夠統(tǒng)一管理視頻專網(wǎng)中各個(gè)系統(tǒng)的用戶的公共信息;能夠采用各種查詢條件方便地查詢用戶信息;能夠?qū)崿F(xiàn)部門(mén)分級(jí)維護(hù)、人員按各種分類方式方便地管理。通過(guò)對(duì)用戶信息的集中管理,企業(yè)內(nèi)部的系統(tǒng)可以共享這些信息,解除各個(gè)系統(tǒng)中信息的冗余,實(shí)現(xiàn)系統(tǒng)內(nèi)部各個(gè)系統(tǒng)的單點(diǎn)登錄。它不僅具有豐富、靈活的系統(tǒng)功能,而且有完善的安全管理措施,對(duì)于不同權(quán)限級(jí)別的用戶和管理員都有不同的系統(tǒng)功能和數(shù)據(jù)訪問(wèn)范圍;并采用LDAP系統(tǒng)與PKI體系結(jié)合,增強(qiáng)體系的安全性。(3)從目錄系統(tǒng)和RA注冊(cè)管理中心客戶端,備份目錄服務(wù)和實(shí)現(xiàn)CA證書(shū)的發(fā)放和更新管理。
[1]GA/T669.2-2008.城市監(jiān)控報(bào)警聯(lián)網(wǎng)系統(tǒng)技術(shù)標(biāo)準(zhǔn)第2部分:安全技術(shù)要求.
[2]公安信息通信網(wǎng)邊界接入平臺(tái)安全規(guī)范.
[3]宋西軍.計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)[M].北京:北京大學(xué)出版社,2009-9-7.
[4]張世永.網(wǎng)絡(luò)安全原理與應(yīng)用[M].科學(xué)出版社,2003-5.