【正文】 ......18 系統(tǒng)評(píng)價(jià) ...........................................................................................................186 系統(tǒng)建成預(yù)期效果 ..........................................................................................................197 安全技術(shù)展望 ..................................................................................................................19 1 / 231 項(xiàng)目背景互聯(lián)網(wǎng)、大數(shù)據(jù)時(shí)代雖然帶來(lái)了安防行業(yè)新的機(jī)遇與信息面貌，但是伴隨信息聚集性越來(lái)越高，云安全問(wèn)題也帶來(lái)了新的挑戰(zhàn)。信息安全任重而道遠(yuǎn)，千里之堤，毀于蟻穴。在今年的全國(guó)兩會(huì)上，中國(guó)移動(dòng)廣東公司總經(jīng)理鐘天華代表建議，加快制定網(wǎng)絡(luò)信息安全法，從監(jiān)管主體、設(shè)施安全、運(yùn)行安全、信息安全、法律責(zé)任等方面規(guī)范網(wǎng)絡(luò)信息安全。2 信息安全相關(guān)知識(shí)網(wǎng)絡(luò)信息安全是一個(gè)關(guān)系國(guó)家安全和主權(quán)、社會(huì)穩(wěn)定、民族文化繼承和發(fā)揚(yáng)的重要問(wèn)題。 2 / 23 信息安全服務(wù)與機(jī)制 安全服務(wù)信息安全服務(wù)產(chǎn)生的基礎(chǔ)是整個(gè)網(wǎng)絡(luò)系統(tǒng)需要規(guī)避安全風(fēng)險(xiǎn)、控制安全成本以及保障業(yè)務(wù)持續(xù)性。 訪問(wèn)控制服務(wù)（ access control）用于防止未授權(quán)用戶非法使用資源。 抗抵賴(lài)性服務(wù)（ norepudiation）防止發(fā)送方發(fā)送數(shù)據(jù)后否認(rèn)自己發(fā)送過(guò)此數(shù)據(jù)，接收方接收后否認(rèn)收到過(guò)此數(shù)據(jù)或偽造接收數(shù)據(jù)。信息的安全傳輸包括兩個(gè)基本部分：一是對(duì)發(fā)送的信息進(jìn)行安全轉(zhuǎn)換，如信息加密以便達(dá)到信息的保密性，附加一些特征碼以便進(jìn)行發(fā)送者身份驗(yàn)證等；二是發(fā)送雙方共享的某些秘密信息，如加密密鑰，除了對(duì)可信任的第三方外，對(duì)其他用戶是保密的。 運(yùn)行安全 信息安全 信息安全起因首先，視頻監(jiān)控網(wǎng)絡(luò)安全問(wèn)題是現(xiàn)實(shí)存在的，在互聯(lián)網(wǎng)傳輸中不加密問(wèn)題更甚。用戶對(duì)網(wǎng)絡(luò)安全重視程度不夠，缺乏安全意識(shí)，在安裝完監(jiān)控產(chǎn)品之后，沒(méi)有對(duì)密碼進(jìn)行修改，實(shí)際上只要用戶按照產(chǎn)品說(shuō)明書(shū)的說(shuō)明修改了初始默認(rèn)密碼，就能很大程度上避免網(wǎng)絡(luò)安全隱患。虛擬專(zhuān)用網(wǎng)通常是在公用網(wǎng)絡(luò)上建立的專(zhuān)用網(wǎng)絡(luò)，是為特別用戶設(shè)置的加密通訊網(wǎng)絡(luò)，而平安城市視頻監(jiān)控系統(tǒng)匯接的社會(huì)圖像資源是通過(guò)多種方式接入到各級(jí)共享平臺(tái)，雖然在接入時(shí)會(huì)采取一些安全接入措施，但仍很難避免被非法侵入。另外計(jì)算機(jī)使用的操作系統(tǒng)．比如說(shuō)目前仍普遍使用的微軟 windows 操作系統(tǒng)在設(shè)計(jì)上也存在 5 / 23安全漏洞，用戶經(jīng)常需要更新．下載它的安全補(bǔ)?。孕扪a(bǔ)它的安全漏洞。缺乏健全的額管理制度或制度執(zhí)行不力，給內(nèi)部人員違規(guī)或犯罪留下機(jī)會(huì)。?社會(huì)問(wèn)題、道德問(wèn)題和立法問(wèn)題。下面列舉一些黑客常用攻擊手段： 口令攻擊口令攻擊就是通過(guò)竊取口令的方式進(jìn)行破壞的活動(dòng)，口令攻擊是比較常用的一種攻擊方式?；蛘呷绻脩舻目诹钤O(shè)置缺乏安全性．可能被輕易地被“字典攻擊”猜到用戶 6 / 23的 El 令。這三個(gè)漏洞均為監(jiān)控設(shè)備對(duì) RTSP 請(qǐng)求處理不當(dāng)導(dǎo)致的緩沖區(qū)溢出漏洞。此次媒體報(bào)道中提及的弱口令問(wèn)題主要是由于未修改設(shè)備初始密碼或設(shè)備密碼過(guò)于簡(jiǎn)單導(dǎo)致的安全問(wèn)題。各個(gè)硬件廠商和軟件廠商，包括微軟在內(nèi)．都在不斷地發(fā)布自己的補(bǔ)?。@要求用戶及時(shí)的去下載這些補(bǔ)丁．進(jìn)行系統(tǒng)更新操作。比如說(shuō)．在程序開(kāi)發(fā)階段，程序員可能會(huì)設(shè)置一些后門(mén)．以便于測(cè)試、修改和增強(qiáng)模塊功能。所有暴露在互聯(lián)網(wǎng)環(huán)境下的設(shè)備都會(huì)面臨黑客攻擊的風(fēng)險(xiǎn)，很多用戶缺乏安全意識(shí)，在安全上考慮不足也導(dǎo)致容易出現(xiàn)安全漏洞。比如說(shuō)．政府部門(mén)內(nèi)部的普通工作人員．如果通過(guò)內(nèi)部網(wǎng)絡(luò)竊聽(tīng)手段。比如說(shuō)．黑客在被攻擊主機(jī)上啟動(dòng)一個(gè)可執(zhí)行程序．該程序顯示一個(gè)偽造的登錄界面。 8 / 23 病毒攻擊計(jì)算機(jī)病毒實(shí)際上是一段可執(zhí)行程序，為什么稱(chēng)之為病毒，主要是因?yàn)樗同F(xiàn)實(shí)世界的病毒一樣具有傳染性．潛伏性和破壞性。以前病毒的傳播方式主要是單機(jī)之問(wèn)通過(guò)軟盤(pán)介質(zhì)傳染．而現(xiàn)在病毒可以更迅速地通過(guò)網(wǎng)絡(luò)共享文件、電子郵件及互聯(lián)網(wǎng)在全世界范圍內(nèi)傳播 拒絕服務(wù)攻擊DOS(denialofservice)攻擊，簡(jiǎn)稱(chēng) DoS 攻擊．是通過(guò)向攻擊目標(biāo)施加超強(qiáng)力的服務(wù)要求．要求被攻擊目標(biāo)提供超出它能力范圉的服務(wù)，從而引起的攻擊目標(biāo)對(duì)正常服務(wù)的拒絕或服務(wù)性能大大降低。服務(wù)器切斷連接時(shí)．黑客再度傳送新一批需要確認(rèn)的信息，這個(gè)過(guò)程周而復(fù)始．最終導(dǎo)致服務(wù)器資源耗盡而癱瘓。?破壞計(jì)算機(jī)的硬件系統(tǒng)，比如說(shuō)磁盤(pán)系統(tǒng)．從而造成文件永久丟失。加密過(guò)程需要用到公鑰。公鑰密碼體制的公鑰和算法都是公開(kāi)的(這是為什么叫公鑰密碼體制的原因)，私鑰是保密的。CA 中心為每個(gè)使用公開(kāi)密鑰的用戶發(fā)放一個(gè)數(shù)字證書(shū)，數(shù)字證書(shū)的作用是證明證書(shū)中列出的用戶合法擁有證書(shū)中列出的公開(kāi)密鑰。CA 是負(fù)責(zé)簽發(fā)證書(shū)、認(rèn)證證書(shū)、管理已頒發(fā)證書(shū)的機(jī)關(guān)。如果用戶想得到一份屬于自己的證書(shū)，他應(yīng)先向 CA 提出申請(qǐng)。證書(shū)的內(nèi)容包括：電子簽證機(jī)關(guān)的信息、公鑰用戶信息、公鑰、權(quán)威機(jī)構(gòu)的簽字和有效期等等。數(shù)字證書(shū)為實(shí)現(xiàn)雙方安全通信提供了電子認(rèn)證。公鑰是密鑰對(duì)的一部分，另一部分是私鑰。為確保只有某個(gè)人才能閱讀自己的信件，發(fā)送者要用收件人的公鑰加密信件；收件人便可用自己的私鑰解密信件。有了數(shù)字證書(shū)網(wǎng)上安全才得以實(shí)現(xiàn)，電子郵件、在線交易和信用卡購(gòu)物的安全才能得到保證。此外，還有代碼簽名數(shù)字證書(shū)，是簽發(fā)給軟件提供者的數(shù)字證書(shū)，包含了軟件提供者的身份信息及其公鑰，主要用于證明軟件發(fā)布者所發(fā)行的軟件代碼來(lái)源于一個(gè)真實(shí)軟件發(fā)布者，可以有效防止軟件代碼被篡改。身份認(rèn)證一般與授權(quán)控制是相互聯(lián)系的，授權(quán)控制是指一旦用戶的身份通過(guò)認(rèn)證以后，確定哪些資源該用戶可以訪問(wèn)、可以進(jìn)行何種方式的訪問(wèn)操作等問(wèn)題。身份認(rèn)證必須 13 / 23做到準(zhǔn)確無(wú)誤地將對(duì)方辨認(rèn)出來(lái)，同時(shí)還應(yīng)該提供雙向的認(rèn)證。根據(jù)在認(rèn)證中采用的因素的多少，可以分為單因素認(rèn)證、雙因素認(rèn)證、多因素認(rèn)證等方法。最常采用的身份認(rèn)證方式是基于靜態(tài)口令的認(rèn)證方式，它是最簡(jiǎn)單、目前應(yīng)用最普遍的一種身份認(rèn)證方式。在認(rèn) 14 / 23證過(guò)程中，用戶口令不在網(wǎng)絡(luò)上傳輸，不直接用于驗(yàn)證用戶的身份。從本質(zhì)上講，這種機(jī)制實(shí)際上也是一次性口令的一種。EAP 實(shí)際是一個(gè)認(rèn)證框架，不是一個(gè)特殊的認(rèn)證機(jī)制。IETF 的 RFC 中定義的方法包括 EAPMDEAPOTP、EAPGTC、EAPTLS、EAPSIM 和 EAPAKA 等。這種情況下，公鑰認(rèn)證機(jī)制就顯示出它獨(dú)特的優(yōu)越性。公鑰認(rèn)證機(jī)制中要驗(yàn)證用戶的身份，必須擁有用戶的公鑰，而用戶公鑰是否正確，是否是所聲稱(chēng)擁有人的真實(shí)公鑰，在認(rèn)證體系中是一個(gè)關(guān)鍵問(wèn)題。RADIUS 和 TACACS 通常用在撥號(hào)環(huán)境中，Kerberos 是在校園網(wǎng)中用的比較多的協(xié)議。RADIUS 協(xié)議認(rèn)證機(jī)制靈活，能夠支持各種認(rèn)證方法對(duì)用戶進(jìn)行認(rèn)證。采用 UDP 的基本考慮是因?yàn)?NAS 和 RADIUS 服務(wù)器大多在同一個(gè)局域網(wǎng)中，使用 UDP 更加快捷方便。由于 TACACS+的認(rèn)證與其他服務(wù)是分開(kāi)的，所以認(rèn)證不是強(qiáng)制的，這點(diǎn)與 RADIUS 是不同的。網(wǎng)絡(luò)上的 Kerberos服務(wù)起著可信仲裁者的作用，可提供安全的網(wǎng)絡(luò)認(rèn)證。Kerberos 中還有一個(gè) 17 / 23票據(jù)授予服務(wù)器（TGS） ，TGS 向 AS 的可靠用戶發(fā)出票據(jù)。與 不同，LDAP 支持 TCP/IP，這對(duì)訪問(wèn) Inter 是必須的。例如 Microsoft 的 Windows 操作系統(tǒng)就使用了 Active Directory Server 來(lái)保存操作系統(tǒng)的用戶、用戶組等信息，用于用戶登錄 Windows 時(shí)的認(rèn)證和授權(quán)。3 聯(lián)網(wǎng)視頻信息的特點(diǎn) 系統(tǒng)多級(jí)架構(gòu) 網(wǎng)絡(luò)狀況復(fù)雜 視頻數(shù)據(jù)量大4 視頻系統(tǒng)信息安全分類(lèi)通常，視頻監(jiān)控系統(tǒng)業(yè)務(wù)數(shù)據(jù)和媒體數(shù)據(jù)采用分離的通道進(jìn)行操作，其傳輸通道類(lèi)型可分為信令流和媒體流。視頻傳輸系統(tǒng)應(yīng)具備視頻協(xié)議安全控制功能，對(duì)所有視頻監(jiān)控交互指令進(jìn)行嚴(yán)格安全過(guò)濾，阻斷非法數(shù)據(jù)傳輸和網(wǎng)絡(luò)攻擊的入侵。5 安全系統(tǒng)的實(shí)現(xiàn) 認(rèn)證中心 19 / 23 視頻安全平臺(tái) 系統(tǒng)評(píng)價(jià)6 系統(tǒng)建成預(yù)期效果7 安全技術(shù)展望