韓凱

摘要：目前，在監(jiān)獄監(jiān)控系統(tǒng)中視頻監(jiān)控技術有著非常廣泛地應用，其對系統(tǒng)的保密性也提出了越來越高的要求。文章在此基礎上，構建了基于保密網(wǎng)的監(jiān)獄監(jiān)控系統(tǒng)，從系統(tǒng)的整體構架、視頻監(jiān)控、保密網(wǎng)及安全性等多方面展開深入研究，為該方面的實踐工作者提供有價值的參考資料。

關鍵詞：保密網(wǎng)；監(jiān)獄視頻監(jiān)控：系統(tǒng)設計

1 保密網(wǎng)

與國家機關、黨政機關等工作秘密相關的計算機網(wǎng)絡被稱為保密網(wǎng)。由于涉密網(wǎng)與非涉密網(wǎng)兩者之間的管理要求不同，涉密程度不一樣，所需要的經(jīng)費也不同。因此，其具體的網(wǎng)絡構建也是不同的，根據(jù)涉密情況可以劃分為三類，即上層涉密且下層不涉密、少量涉密、大量涉密。保密網(wǎng)多具有集中性強、可擴展、可靠性高等特性。

2 保密網(wǎng)基礎上的監(jiān)獄監(jiān)控系統(tǒng)的整體設計

在大量數(shù)據(jù)分析與實證研究的基礎上，筆者認為監(jiān)獄監(jiān)控系統(tǒng)應符合如下相關要求：一是為了確保系統(tǒng)擁有非常高的可靠性，可以運用國際流行技術與先進構架。在開發(fā)的過程中，應遵質(zhì)量控制標準進行，只有這樣才能夠保障系統(tǒng)在7*24小時內(nèi)都能夠可靠地運行。二是運用分布式的架構，從而確保系統(tǒng)擁有非常良好的可擴展性能。三是擁有非常高的開放性，只有這樣系統(tǒng)才可以與各種設備有效對接，所有其應具備統(tǒng)一的設備接口。四是采用標準的HTTP協(xié)議、XML文件格式，在DES加密算法下，實現(xiàn)對AMR、MPEG4等編碼標準的支持。五是采用模塊化技術與SAN技術。這樣做系統(tǒng)能夠擁有良好的可擴展性，從而根據(jù)實際工作的需要及時進行模塊的增減與更新。六是擁有標準存儲設備支持功能，從而可以那些典型的的DAS與NAS設備，實現(xiàn)超長時間的錄像和超大容量的存儲。

依據(jù)監(jiān)控系統(tǒng)的需求狀況，控制軟件需具備如下功能：一是符合視頻顯控所需要的各種參數(shù)要求，涵蓋點播授權的前端現(xiàn)場監(jiān)控點圖像，對前端的多個監(jiān)控點能夠動態(tài)監(jiān)聽，能夠非常便捷地檢索與下載遠程存儲服務器上的有關視頻資料，可以進行語音對話，并對系統(tǒng)的時間進行及時校準。二是擁有電視墻控制功能。在IP矩陣解碼的作用下，監(jiān)控點數(shù)字編碼格式視頻能夠在液晶顯示屏上呈現(xiàn)。在客戶端運用數(shù)字信號VGA來實現(xiàn)傳輸，如果前端的顯示器上出現(xiàn)報警情況，相關工作人員能夠借助電視墻及時獲知。

在編制輪循方案的時候，主要有兩種模式，一種是組輪循方式，另一種是單通道輪循方式。

在上述有關功能下，工作人員只需要借助IE瀏覽器就可以實現(xiàn)對遠端中心管理服務器的控制，在獲得授權的情況下實現(xiàn)語音對講、監(jiān)聽及圖像質(zhì)量調(diào)控等。

3 系統(tǒng)信息安全建設

針對系統(tǒng)安全性能的需求，可以綜合運用防火墻、用戶身份認證與病毒網(wǎng)管等多種措施。在本文中，筆者將重點介紹系統(tǒng)數(shù)據(jù)加密與入侵防范兩方面的設計情況。

3.1 數(shù)據(jù)加密的有關設計

在數(shù)據(jù)傳輸?shù)倪^程中，其安全性能需要借助信息傳輸兩端配置的VPN設備來達到。在VPN加密機中最為關鍵的技術包括隧道技術、身份認證技術與密鑰管理技術等。因為監(jiān)獄單位的特殊性，不適用于商用加密碼算法，應采用國家密碼管理局指定的密碼算法，最大限度地保護各種數(shù)據(jù)的機密性。一般情況下，監(jiān)獄在實現(xiàn)數(shù)據(jù)傳輸?shù)倪^程中，多借助電子政務網(wǎng)。所以，在數(shù)據(jù)加密設計的過程中，可以運用DES算法來達到加密目的。但從當前的實際情況來看，監(jiān)獄局與相關單位之間的數(shù)據(jù)傳輸大多是依靠不安全的電子政務網(wǎng)來進行的，所以運用安全等級非常高度額加解密技術是非常有必要的。在本次系統(tǒng)開發(fā)中，DES算法是借助64位密鑰來實現(xiàn)64位數(shù)據(jù)的加密算法。這一密碼應及時加以更新，加強安全防范工作，杜絕泄密的情況出現(xiàn)。一旦出現(xiàn)密碼外泄，將會帶來非常嚴重的后果。

針對監(jiān)獄單位與其他單位機關的具體狀況，可以在雙方的網(wǎng)絡出口都配置VPN安全服務，構建VPN加密傳輸專網(wǎng)，從而實現(xiàn)應用系統(tǒng)的訪問與各項數(shù)據(jù)信息的安全共享。在具體的構建過程中，還需要從監(jiān)獄單位的實際情況來選擇組網(wǎng)方式，一般選擇環(huán)型組網(wǎng)方式，這能夠最大限度地處理大規(guī)模網(wǎng)狀組問題，并實現(xiàn)多個單位的互相訪問，實現(xiàn)多單位的有效信息傳輸。這一原理主要為：在系統(tǒng)覆蓋的各個單位都配置VPN網(wǎng)關，使得每個網(wǎng)關都與別的單位網(wǎng)關組建IPSec隧道，所有相關單位的VPN加密機都可以遵循一定策略與其他VPN加密機構建隧道，并加以訪問與控制。

這類以保密網(wǎng)為基礎的監(jiān)獄監(jiān)控系統(tǒng)內(nèi)，應高度重視密鑰的管理工作，包括主密鑰的產(chǎn)生、初始密鑰的生產(chǎn)、分配、重置以及密鑰的存儲及申請等。主密鑰是其他密鑰的產(chǎn)生基礎，具有非常重要的地位，應確保其產(chǎn)生時的隨機性。在其產(chǎn)生的過程中，系統(tǒng)兩個主管應分別輸入兩個字符串，之后依據(jù)字符串內(nèi)的信息，擊鍵時間與擊鍵頻率來產(chǎn)生主密鑰。在這種運算方式下，即便是鍵入的字符串一樣，也會獲得不同的密鑰。在主密鑰的基礎上，系統(tǒng)主題會隨機生成初始密鑰。在加密處理之后，初始密鑰會被存放與軟盤內(nèi)，由專門的路徑來送達到指定的通訊節(jié)點處，并載入計算機中。當需要更新的時候，可以重復這一操作來再次獲得初始密碼。密鑰的產(chǎn)生。載入等程序都不存儲于硬盤，而是存放于軟盤中，并由專人負責，放置被跟蹤破譯。加密密鑰也是保護密鑰的重要方法之一。這一算法將多個密鑰變?yōu)橐唤M整數(shù)，密鑰由一個非常復雜且不可逆轉的算法隨機生成，其安全性能夠得到大幅度提升。在每次數(shù)據(jù)通訊的過程中，傳輸密鑰都是臨時的，在某一時間之后，系統(tǒng)也會要求再次申請密鑰。系統(tǒng)應及時更換初始密鑰。如因特殊原因而難以簽退或更新的初始密鑰，可以進行偽簽退操作，進行延期。針對密鑰進行科學化的管理，能夠提高密鑰的安全性，從而提高整個保密網(wǎng)的保密系數(shù)。

3.2 網(wǎng)絡FA4曼的相關設計

為了提高系統(tǒng)的防入侵能力，在本次系統(tǒng)開發(fā)過程選擇了入侵防御系統(tǒng)隔離系統(tǒng)。在這一措施下，涉密辦公網(wǎng)絡數(shù)據(jù)能夠輕而易舉地傳輸?shù)奖O(jiān)控網(wǎng)絡上。該系統(tǒng)會有兩種工作狀態(tài)，即存儲與轉發(fā)。一般來說，監(jiān)控中心會配置相應的轉發(fā)服務器，由此將涉密辦公網(wǎng)絡所需要的各種視頻資料轉移到系統(tǒng)內(nèi)。在這種狀況下，其只與監(jiān)控專網(wǎng)轉發(fā)服務器相對接，采用文件的方式來獲取各種視頻資料，并將這些資料存儲在制定設備內(nèi)，進而達到存儲的目的。在轉發(fā)工作狀態(tài)下，系統(tǒng)與涉密辦公網(wǎng)絡有效對接，將上述設備中存儲的相關視頻資料轉移到涉密網(wǎng)轉發(fā)服務器上。借助入侵防御系統(tǒng)，系統(tǒng)能夠實現(xiàn)單項網(wǎng)絡連接，進而確保數(shù)據(jù)能夠得到安全傳輸。除此之外，該方面的設計工作還應該結合監(jiān)獄的具體布局情況而進行，從而設計出合理的網(wǎng)絡安全隔離圖。

3.3 系統(tǒng)日志的有關設計

系統(tǒng)當前使用的日志文件被稱為聯(lián)機日志文件，其能夠有效保護自上一次數(shù)據(jù)庫一致狀態(tài)之后的相關事務信息。當系統(tǒng)出現(xiàn)異常情況，其能夠依據(jù)聯(lián)機日志文件來有效恢復。隨著時間的增多，日志文件不斷被新的日志信息所覆蓋，當完全副高后，將形成最久的日志文件。數(shù)據(jù)庫管理系統(tǒng)涵蓋歸檔與不歸檔兩大模式。在系統(tǒng)運用聯(lián)機日志文件的時候，聯(lián)機日志如果被拷貝，就生產(chǎn)歸檔日志文件。這種方式會對系統(tǒng)的性能帶來一定影響，但是其安全性更高，很少會出現(xiàn)數(shù)據(jù)丟失的情況。如果沒有歸檔日志文件，一旦系統(tǒng)故障，那么系統(tǒng)就只能依據(jù)備份來進行恢復。網(wǎng)絡日志涵蓋系統(tǒng)的訪問信息與錯誤信息記錄，其能夠顯示系統(tǒng)是否收到外來攻擊，對于網(wǎng)絡監(jiān)控具有重要意義。

日志分析工作意義重大，相關工作人員借此可及時獲得關鍵資料。在具體的使用過程中可以遵循如下步驟：一是將日志信息進行集中。構建日志收集服務器，匯總各個系統(tǒng)的日志文件。二是對日志進行科學化的管理，包括分類、存儲等。三是對日志加以分析，及時獲得事件的真相，相關人員可以第一時間采取應對措施。

4 系統(tǒng)安全狀況

在本次系統(tǒng)開發(fā)的過程中，筆者運用DES算法進行加密，并構建了入侵防御系統(tǒng)，這樣做能夠全面提升系統(tǒng)的保密性能。數(shù)據(jù)在傳輸?shù)倪^程中，無論是接受環(huán)節(jié)，還是發(fā)送環(huán)節(jié)，都進行了加密處理。數(shù)據(jù)在傳輸?shù)倪^程中，還需要經(jīng)過VPN加密機再次進行加密處理。這樣一來，即便是數(shù)據(jù)在傳輸?shù)臅r候被泄露，竊取數(shù)據(jù)的人也難以了解數(shù)據(jù)的真實內(nèi)容。

入侵防御系統(tǒng)可以實現(xiàn)動態(tài)防護的目標，其多是針對網(wǎng)絡中可能存在的各種病毒與攻擊情況進行有效阻斷來實現(xiàn)防護功能的。從組件方面，其主要包括網(wǎng)絡引擎、控制臺與在線更新服務三大部分。其能夠適應多種網(wǎng)絡環(huán)境，均可以實現(xiàn)有效管理。在控制臺的作用下，可以實現(xiàn)集中管理，進而提供必要的安全策略與引擎控制。除了這些之外，入侵防護系統(tǒng)在吞吐量方面也非常驚人，吞吐量非常大，其具備非常高的可用性和強大的入侵防御能力。