網(wǎng)絡(luò )視頻監控系統安全策略方案探討（二）

應用系統安全

　　1、高效的認證機制

　　登錄驗證機制：登錄時(shí)需要輸入系統分配的用戶(hù)名和密碼，連續輸入錯誤次數達到系統設定的次數，系統將鎖定該用戶(hù)賬戶(hù)，只有通過(guò)系統管理員才能進(jìn)行解鎖重置。同時(shí)，系統支持用戶(hù)安全卡（USBKEY）管理機制，利用軟件電子鑰匙的方法，只有持有該電子鑰匙的用戶(hù)才能正常啟動(dòng)客戶(hù)端軟件或Web 插件，再配合加密的用戶(hù)名密碼對，通過(guò)雙重措施保障用戶(hù)訪(fǎng)問(wèn)的安全。

　　管理人員訪(fǎng)問(wèn)網(wǎng)絡(luò )視頻監控系統時(shí)都將進(jìn)行身份認證，認證信息采用128位的DES加密處理，以判斷用戶(hù)是否有權使用此系統。認證系統對用戶(hù)進(jìn)行安全認證，身份驗證的資料來(lái)源于集中規劃的數據庫，數據庫管理著(zhù)視頻監控系統所有用戶(hù)的身份資料。

　　系統應具有獨特的用戶(hù)名與MAC地址綁定功能，能夠限定某一用戶(hù)使用唯一指定的終端觀(guān)看其權限范圍內的視頻信息，避免該用戶(hù)名、密碼被盜后，通過(guò)其它終端訪(fǎng)問(wèn)系統造成視頻信息泄露，同時(shí)也可有效地監督用戶(hù)的工作行為，防止非正常場(chǎng)所觀(guān)看秘密視頻信息。

　　2、嚴格的權限管理

　　授權機制：系統應提供完善的授權機制，可以靈活地分配給用戶(hù)可以查看的監控點(diǎn)、可執行的功能模塊、可執行的具體功能等。用戶(hù)只能查看權限范圍內的監控點(diǎn)和執行被授予的功能。

　　管理人員登錄到監控系統后，可以對監控點(diǎn)的設備進(jìn)行管理和配置、實(shí)時(shí)查看監控點(diǎn)的視頻圖像、錄像日程安排，管理、查看和檢索保存在存儲系統中的視頻文件。系統具有完善的權限管理系統，數據庫中記錄了各個(gè)管理人員對各監控點(diǎn)的使用權限，權限管理系統根據這些數據對用戶(hù)使用權限進(jìn)行管理，并對用戶(hù)使用界面進(jìn)行定制，使用戶(hù)只能管理和使用具有相應權限的監控點(diǎn)的設備和視頻文件，而不能隨意查看，甚至管理其它監控點(diǎn)的設備和視頻文件，以保障系統的安全性。

　　同一用戶(hù)名在同一時(shí)間內，系統可嚴格限定只能有一人登陸使用系統，防止某一用戶(hù)名和密碼泄露后，其它人訪(fǎng)問(wèn)監控系統，造成視頻信息泄露。

　　3、完善的日志管理

　　系統詳細記錄用戶(hù)登錄、登出、控制視頻、瀏覽視頻等重要操作日志，便于查詢(xún)和統計;同時(shí)，在系統產(chǎn)生故障時(shí)，可以通過(guò)系統日志信息，作為分析、處理問(wèn)題的一個(gè)重要依據。

　　4、軟件監測技術(shù)

　　在系統應用軟件建立主進(jìn)程和子進(jìn)程時(shí)，子進(jìn)程監護主進(jìn)程，一旦主進(jìn)程在規定時(shí)間沒(méi)有心跳響應，子進(jìn)程切換接替主進(jìn)程上線(xiàn)進(jìn)行服務(wù);有些服務(wù)可通過(guò)串口線(xiàn)建立心跳檢測;通過(guò)“看門(mén)狗”技術(shù)，避免系統業(yè)務(wù)軟件意外退出，保障系統正常工作。

　　通過(guò)服務(wù)器之間的主備或負載均衡機制，建立服務(wù)進(jìn)程狀態(tài)監聽(tīng)，如圖2。

　　在管理人員使用服務(wù)過(guò)程中，視頻流通過(guò)寬帶網(wǎng)絡(luò )傳輸到視頻監控系統平臺、再從系統平臺通過(guò)寬帶網(wǎng)絡(luò )將視頻流在用戶(hù)的監控終端進(jìn)行播放。為防止視頻流被非法用戶(hù)截獲，可以對視頻文件進(jìn)行加密傳輸，對每個(gè)視頻流采用不同的密鑰加密，只有有權觀(guān)看此視頻流的用戶(hù)才擁有此密鑰，可以對視頻流進(jìn)行解密，保障視頻傳輸的安全性。