林啟英 潘美蓮

（1、廣州金鵬電子信息機器有限公司，廣東 廣州 510000 2、廣州工程技術(shù)職業(yè)學(xué)院，廣東 廣州 510000）

2005年9月中國公安部正式啟動城市聯(lián)網(wǎng)報警與監(jiān)控系統(tǒng)建設(shè)，在全國范圍內(nèi)推動“平安城市”的建設(shè)步伐。目前各主要城市如北京、廣州、深圳、杭州已經(jīng)建設(shè)了大規(guī)模的城市視頻監(jiān)控系統(tǒng)。城市視頻監(jiān)控管理系統(tǒng)是衡量一個城市現(xiàn)代化管理水平的重要體現(xiàn)，是實現(xiàn)一個城市乃至整個國家安全和穩(wěn)定的重要措施。建立合理、有效的城市視頻監(jiān)控管理系統(tǒng)，才能夠使政府管理部門在第一時間發(fā)現(xiàn)問題，提出應(yīng)對措施及應(yīng)急預(yù)案。

城市視頻監(jiān)控系統(tǒng)有模擬視頻專網(wǎng)、模數(shù)結(jié)合和純數(shù)字視頻專網(wǎng)三種模式。其中城市數(shù)字視頻監(jiān)控系統(tǒng)涉及到應(yīng)用的公安信息網(wǎng)、公安視頻專網(wǎng)、市區(qū)政府部門、以及1~3類視頻資源，在整個架構(gòu)的邊界以及應(yīng)用系統(tǒng)的網(wǎng)絡(luò)安全上存在不少隱患，怎樣架構(gòu)網(wǎng)絡(luò)安全保護體系也成為了重中之重。

網(wǎng)絡(luò)安全系統(tǒng)是整個城市視頻監(jiān)控系統(tǒng)數(shù)字視頻專網(wǎng)建設(shè)的重要組成部分之一。它與各大子系統(tǒng)密切配合，多角度、多層次進行銜接，不但對數(shù)字視頻專網(wǎng)各個層面提供安全防御和保護，而且還對數(shù)字視頻專網(wǎng)之上的應(yīng)用系統(tǒng)提供安全性管理服務(wù)。

網(wǎng)絡(luò)安全系統(tǒng)需要對市區(qū)政府部門以及3類視頻接入的邊界、視頻專網(wǎng)市區(qū)局系統(tǒng)、市局公安信息網(wǎng)與視頻專網(wǎng)市局接入點的邊界提供有效的安全保障，并且對應(yīng)用用戶提供有效的CA認證體制，在認證用戶信息管理這一塊提供有效的同步更新機制。系統(tǒng)不但對視頻專網(wǎng)各個層面提供安全防御和保護，而且還對視頻專網(wǎng)之上的應(yīng)用系統(tǒng)提供安全服務(wù)。

從安全保障角度出發(fā)，網(wǎng)絡(luò)安全系統(tǒng)應(yīng)包括應(yīng)用安全、網(wǎng)絡(luò)安全、系統(tǒng)安全、物理安全及統(tǒng)一安全管理。通過這些安全措施向視頻專網(wǎng)和各類視頻應(yīng)用，提供相應(yīng)安全保障。

本系統(tǒng)采用邊界安全接入平臺、構(gòu)建CA中心、身份認證網(wǎng)關(guān)、VPN、入侵檢測、防病毒、漏洞掃描、系統(tǒng)補丁等技術(shù)手段，從物理安全、通信和網(wǎng)絡(luò)安全、運行安全以及信息安全四個層面，保證圖像虛擬網(wǎng)從前端接入到后端平臺的安全，實現(xiàn)與社會資源的圖像訪問采用綜合技術(shù)手段構(gòu)建城市監(jiān)控安全子系統(tǒng)，保證視頻專網(wǎng)與其它政府部門圖像共享及傳輸?shù)陌踩?、視頻專網(wǎng)到公安信息網(wǎng)進行跨網(wǎng)訪問的安全以及與社會資源圖像訪問的接入安全。

結(jié)合公安部城市報警與監(jiān)控系統(tǒng)建設(shè)規(guī)范性文件匯編、地方標(biāo)準(zhǔn)，安全平臺系統(tǒng)的設(shè)計應(yīng)考慮如下幾個方面：

1 安全保密

視頻專網(wǎng)傳輸和存儲大量敏感信息，為此須配置相應(yīng)的安全措施，確保視頻專網(wǎng)信息的的保密性、完整性、可用性、可查性和可控性。視頻專網(wǎng)依托公安局的專網(wǎng)傳輸網(wǎng)作為網(wǎng)絡(luò)承載平臺，并且與公安信息網(wǎng)圖像中心等有著應(yīng)用交換，鑒于對公安信息網(wǎng)信息安全的敏感性，必須從技術(shù)和管理兩個層面上保障視頻專網(wǎng)和公安信息網(wǎng)的安全。其一是對于涉及國家秘密的信息不能在網(wǎng)上處理、存儲與傳輸；其二是采取相應(yīng)的安全物理隔離手段，保證視頻專網(wǎng)和公安信息網(wǎng)之間的安全可控的視頻圖像信息交換。

2 安全認證和訪問控制

由于視頻專網(wǎng)涉及的人員眾多，層次復(fù)雜。包括市局、分局各級領(lǐng)導(dǎo)、系統(tǒng)管理人員、系統(tǒng)操作人員、分局和派出所的警務(wù)人員，以及其它政府部門的用戶等。人員的工作范圍、工作職責(zé)不同，必須建立一種信任及信任驗證機制，保證用戶身份唯一性，保證認證的權(quán)威性，這就需要建立一套CA安全認證體系來實現(xiàn)。為了保證視頻專網(wǎng)及公安信息網(wǎng)的安全，對其它政府部門用戶要有網(wǎng)絡(luò)接入控制、用戶入網(wǎng)控制、基于角色的用戶訪問權(quán)限控制等措施。通過對各種訪問控制，保證視頻專網(wǎng)的運行安全。

3 病毒防治、漏洞掃描和補丁

由于視頻專網(wǎng)具有操作系統(tǒng)和數(shù)據(jù)庫軟件等產(chǎn)品，對存在的系統(tǒng)安全問題，實施被動防御的同時還需要采用主動防御手段如通過安全漏洞掃描程序、主機防護和加固系統(tǒng)、數(shù)據(jù)庫防護系統(tǒng)，來查找和防止系統(tǒng)的安全隱患，未雨綢繆，遏制安全問題的發(fā)生。建立跨平臺全網(wǎng)分布式防病毒系統(tǒng)對視頻專網(wǎng)進行的統(tǒng)一的病毒防范控制和管理，及時對操作系統(tǒng)漏洞及病毒庫提供更新及分發(fā)。能對可能出現(xiàn)的緊急情況做出及時反應(yīng)并恢復(fù)。

4 邊界接入安全

視頻專網(wǎng)依托于公安信息網(wǎng)，并與之直接相連。同時，政府其他部門如城管、行政執(zhí)法、環(huán)保、工商、司法、國安、水利、省政府等將接入視頻專網(wǎng)，共享視頻資源。為實現(xiàn)社會治安動態(tài)監(jiān)控，通過運營商視頻專網(wǎng)還將采集商場、學(xué)校、工廠等社會圖像資源來擴大監(jiān)控面。當(dāng)這些外部網(wǎng)絡(luò)與視頻專網(wǎng)相互連接，在共享視頻圖像資源的同時，確保視頻專網(wǎng)，尤其是公安信息網(wǎng)的安全性顯得非常重要。因此，在邊界接入中，需要考慮接入終端、接入鏈路、網(wǎng)絡(luò)傳輸，以及接入用戶的身份認證和訪問控制。

5 安全審計和集中管理

應(yīng)對視頻專網(wǎng)的全網(wǎng)安全進行集中監(jiān)控與審計，實現(xiàn)對視頻專網(wǎng)的的安全監(jiān)控，管理與審計功能。

6 數(shù)據(jù)備份和災(zāi)難恢復(fù)

視頻專網(wǎng)運行后，重要的視頻數(shù)據(jù)將主要存儲各級存儲系統(tǒng)，保證存儲系統(tǒng)數(shù)據(jù)和數(shù)據(jù)庫，不因各種情況和災(zāi)難的發(fā)生而造成數(shù)據(jù)的丟失，是數(shù)據(jù)安全需要考慮的問題。

網(wǎng)絡(luò)安全系統(tǒng)的建設(shè)實施，如下圖。

城市數(shù)字視頻監(jiān)控系統(tǒng)的網(wǎng)絡(luò)安全系統(tǒng)主要包含邊界安全、視頻專網(wǎng)的內(nèi)網(wǎng)安全和融合視頻監(jiān)控系統(tǒng)各類應(yīng)用和管理的CA認證中心。

邊界安全系統(tǒng)包括：

（1）市公安局視頻專網(wǎng)與市級部門、其他移動視頻應(yīng)用的接入邊界安全，通過防火墻、邊界網(wǎng)關(guān)物理隔離網(wǎng)閘實現(xiàn)；（2）市公安局信息網(wǎng)與視頻專網(wǎng)間的邊界安全；（3）視頻專網(wǎng)中的各區(qū)公安分局與區(qū)級政府部門、三類監(jiān)控應(yīng)用的接入邊界安全。

內(nèi)網(wǎng)安全包括：漏洞掃描系統(tǒng)、網(wǎng)絡(luò)防病毒系統(tǒng)、內(nèi)網(wǎng)安全與系統(tǒng)補丁分發(fā)系統(tǒng)。

CA認證中心包括：

（1）安全區(qū)-RA注冊、CA認證系統(tǒng)一體、相關(guān)簡化的LDAP目錄服務(wù)；（2）服務(wù)區(qū)-主目錄（LDAP）和統(tǒng)一用戶管理系統(tǒng)，目錄服務(wù)系統(tǒng)主要提供數(shù)字證書、證書注銷列標(biāo)的發(fā)布，用戶通過訪問目錄服務(wù)系統(tǒng)可以實現(xiàn)數(shù)字證書、根證書、證書注銷列表的下載。統(tǒng)一用戶管理系統(tǒng)能夠統(tǒng)一管理視頻專網(wǎng)中各個系統(tǒng)的用戶的公共信息；能夠采用各種查詢條件方便地查詢用戶信息；能夠?qū)崿F(xiàn)部門分級維護、人員按各種分類方式方便地管理。通過對用戶信息的集中管理，企業(yè)內(nèi)部的系統(tǒng)可以共享這些信息，解除各個系統(tǒng)中信息的冗余，實現(xiàn)系統(tǒng)內(nèi)部各個系統(tǒng)的單點登錄。它不僅具有豐富、靈活的系統(tǒng)功能，而且有完善的安全管理措施，對于不同權(quán)限級別的用戶和管理員都有不同的系統(tǒng)功能和數(shù)據(jù)訪問范圍；并采用LDAP系統(tǒng)與PKI體系結(jié)合，增強體系的安全性。（3）從目錄系統(tǒng)和RA注冊管理中心客戶端，備份目錄服務(wù)和實現(xiàn)CA證書的發(fā)放和更新管理。

[1]GA/T669.2-2008.城市監(jiān)控報警聯(lián)網(wǎng)系統(tǒng)技術(shù)標(biāo)準(zhǔn)第2部分：安全技術(shù)要求.

[2]公安信息通信網(wǎng)邊界接入平臺安全規(guī)范.

[3]宋西軍.計算機網(wǎng)絡(luò)安全技術(shù)[M].北京：北京大學(xué)出版社，2009-9-7.

[4]張世永.網(wǎng)絡(luò)安全原理與應(yīng)用[M].科學(xué)出版社，2003-5.