一、系统安全需求分析

　　随着视频监控系统的大量建设并投入使用，系统的安全问题也越来越突出，如何解决室外设备、传输系统、管理平台等成为重要的问题。

　　1）在系统建设时，采用防火墙隔离、入侵检测、病毒防范等多种安全技术手段；

　　2）建立用户安全鉴权和认证机制，并采用安全协议保护数据安全；

　　3）对信息（报警信息和图像信息）进行存储备份，配置双机热备份存储系统；

　　4）建立完善的管理制度，包括安全技术管理、安全制度管理、安全监控等；

　　5）建立运行日志和日志维护机制，保证系统安全运行。

　　为实现上述要求，建议视频监控管理系统中设计完善的安全性机制，从多方面保证系统的安全性。

　　二、物理环境安全

　　1.前端监控点设备安全保障

　　对于安装在特定场所的室外摄像机，安装位置较低，容易遭受人为破坏的场所，建议采用防暴摄像机，配有高强度防护罩，有效地防止力量损坏。在光端机安装在室外时，配备高强度室外专业安装箱，除了具备抵御较强的外界暴力破坏外，安装箱还能够自动控制箱内温度，具有良好的防尘、防潮功能，保证现场光端机的正常工作。在视频、电源及信号线等传输线缆处理方面，采用质量优良的PVC管进行保护，并且隐藏在安装支架内部，避免传输线路遭受破坏。

　　2.指挥中心设备安全保障

　　指挥中心设备统一安装在指挥中心的专用机架内，具有良好的物理环境。主要做好指挥中心设备供电、通讯等线路的施工工作，布线合理、整齐，提示标示明确，避免工作人员意外碰撞设备或线路，造成设备坏损或者线路中断。

　　三、网络视频监控平台自身的安全性

　　1.安全隔离网闸

　　采用安全隔离网闸，把专网与公网从物理上隔离开，这是最切实有效的安全措施。在安全隔离网闸的体系结构中，内外网进行信息交换的唯一途径是通过数据暂存区交换文件。在这样的设计中，即使外部处理单元完全被黑客侵占，也只能通过在数据暂存区中存放文件以试图入侵办公网络，而这些被存入的文件首先会被办公网络中的扫描引擎进行扫描，有害数据将会被清除，并且，这些文件在系统中永远不会被执行。另外，系统中的外部处理单元不提供任何服务，无需打开任何服务端口。最后，系统的内外部处理单元都采用了专用的安全增强的技术，能够很好的保护主机自身的安全性。由此可见，安全隔离网闸在安全隔离的基础上集成各种安全模块，从硬件到软件在多个层次上采取多种安全技术很好的满足了视频监控系统对于安全隔离与信息交换的需求。

　　2.防火墙技术

　　防火墙是一种重要的安全技术，其特征是通过在网络边界上建立相应的网络通信监控系统，达到保障网络安全的目的。防火墙型安全保障技术假设被保护网络具有明确定义的边界和服务，并且网络安全的威胁仅来自外部网络，进而通过监测、限制、更改跨越"防火墙"的数据流，通过尽可能地对外部网络屏蔽有关被保护网络的信息、结构，实现对网络的安全保护。在监控系统中，建议应用防火墙技术，通过对网络作拓扑结构和服务类型上的隔离来加强网络安全。同时，建立过滤规则和其它安全策略。由于需要处理实时视频数据流，应该采用高性能的硬件防火墙。

　　3.防病毒技术

　　病毒是目前计算机网络系统的最大风险之一，因此部署强有力的防病毒系统是非常必要的。该防病毒系统应该能够提供高性能的防护和灵活性，保护网关、服务器和工作站的安全；它应该是一个完善的安全解决方案，提供先进技术来保护网络中的各个层次；它应该能够提供集中化的策略管理，为各种服务器提供可扩展、跨平台的病毒防护。

　　四、网络安全

　　对于监控实时要求较高的应用，可以在承载网络上，采用传输层的机制，保证网络传输的安全性，通过有效的机制使得网络线路更具有稳定性、安全性。在网络连接上，每一个监控采集的出口网络连接可以考虑两个不同方向，以建立两条路由进行备份。

　　五、应用系统安全

　　1.唯一的终端管理

　　应具有用户名与MAC地址绑定功能，能够限定某一用户使用唯一指定的终端观看其权限范围内的视频信息，避免该用户名、密码被盗后，通过其它终端访问系统，造成视频信息泄露；同时，也有效地监督用户的工作行为，防止非正常场所观看秘密视频信息。

　　2.用户唯一性限制

　　对于同一个用户名，在同一时间内，系统严格限定只能有一个人登陆使用监控系统，防止某一用户名和密码泄露后，其它人访问监控系统，造成视频信息泄露。

　　3.授权机制

　　应有完善的授权机制，可以灵活地分配用户可以查看的摄像机、可执行的功能模块，可执行的具体功能等。因而用户只能查看权限范围内的摄像机和执行被授予的功能。

　　用户监控人员访问网络视频监控系统时要进行身份认证，用户输入用户名和密码后，认证系统对其进行验证，以判断用户是否有权限使用此系统。认证系统对用户进行安全认证，身份验证的资料来源于集中规划的数据库，数据库管理着视频监控管理系统的所有用户的身份资料。用户使用用户名和密码正确登录门户系统后，门户将会维护该用户的会话信息，用户由此使用系统提供的视频监控服务。高效的认证机制使非法用户无权使用视频监控系统。

　　4.完善的日志管理

　　对于用户的登录、登出信息、控制视频、浏览视频等重要操作信息，系统将详细记录日志，并于用户查询和统计；同时，在系统产生故障或者重要视频信息遗漏等问题时，可以通过系统日志信息，作为分析、处理问题的一个重要依据。

　　六、视频流传输的安全性

　　传输通信安全机制：在网络通信时，系统提供端到端（用户端-系统平台-设备固件）的SSL验证和数据加密。在用户监控人员使用视频监控服务过程中，视频流通过IP网络传输到网络视频监控平台、在从监控平台通过IP网络将视频流发送到用户端进行播放。为防止视频流被非法用户截获，可以对视频文件进行加密传输，一般可以采用对称密钥体系进行加密，对每个视频流采用不同的密钥加密，只有有权观看此视频流的用户才拥有此密钥，可以对视频流进行解密，保障视频传输的安全性。

　　七、视频数据存放的安全性

　　系统的设置参数和录像资料均可以导出用于长期安全保存。在需要时又可以重新将其恢复到系统中。对视频图像进行录像后，生成视频文件存放在存储系统中，通过权限管理可以保障只有具有一定权限的用户才可以访问和查看相应的文件，视频文件存放在具有冗余备份功能的服务器上，保证了数据存放的安全性。