網(wǎng)絡(luò)視頻監(jiān)控系統(tǒng)安全策略方案探討（二）

應(yīng)用系統(tǒng)安全

　　1、高效的認(rèn)證機制

　　登錄驗證機制：登錄時需要輸入系統(tǒng)分配的用戶名和密碼，連續(xù)輸入錯誤次數(shù)達(dá)到系統(tǒng)設(shè)定的次數(shù)，系統(tǒng)將鎖定該用戶賬戶，只有通過系統(tǒng)管理員才能進(jìn)行解鎖重置。同時，系統(tǒng)支持用戶安全卡（USBKEY）管理機制，利用軟件電子鑰匙的方法，只有持有該電子鑰匙的用戶才能正常啟動客戶端軟件或Web 插件，再配合加密的用戶名密碼對，通過雙重措施保障用戶訪問的安全。

　　管理人員訪問網(wǎng)絡(luò)視頻監(jiān)控系統(tǒng)時都將進(jìn)行身份認(rèn)證，認(rèn)證信息采用128位的DES加密處理，以判斷用戶是否有權(quán)使用此系統(tǒng)。認(rèn)證系統(tǒng)對用戶進(jìn)行安全認(rèn)證，身份驗證的資料來源于集中規(guī)劃的數(shù)據(jù)庫，數(shù)據(jù)庫管理著視頻監(jiān)控系統(tǒng)所有用戶的身份資料。

　　系統(tǒng)應(yīng)具有獨特的用戶名與MAC地址綁定功能，能夠限定某一用戶使用唯一指定的終端觀看其權(quán)限范圍內(nèi)的視頻信息，避免該用戶名、密碼被盜后，通過其它終端訪問系統(tǒng)造成視頻信息泄露，同時也可有效地監(jiān)督用戶的工作行為，防止非正常場所觀看秘密視頻信息。

　　2、嚴(yán)格的權(quán)限管理

　　授權(quán)機制：系統(tǒng)應(yīng)提供完善的授權(quán)機制，可以靈活地分配給用戶可以查看的監(jiān)控點、可執(zhí)行的功能模塊、可執(zhí)行的具體功能等。用戶只能查看權(quán)限范圍內(nèi)的監(jiān)控點和執(zhí)行被授予的功能。

　　管理人員登錄到監(jiān)控系統(tǒng)后，可以對監(jiān)控點的設(shè)備進(jìn)行管理和配置、實時查看監(jiān)控點的視頻圖像、錄像日程安排，管理、查看和檢索保存在存儲系統(tǒng)中的視頻文件。系統(tǒng)具有完善的權(quán)限管理系統(tǒng)，數(shù)據(jù)庫中記錄了各個管理人員對各監(jiān)控點的使用權(quán)限，權(quán)限管理系統(tǒng)根據(jù)這些數(shù)據(jù)對用戶使用權(quán)限進(jìn)行管理，并對用戶使用界面進(jìn)行定制，使用戶只能管理和使用具有相應(yīng)權(quán)限的監(jiān)控點的設(shè)備和視頻文件，而不能隨意查看，甚至管理其它監(jiān)控點的設(shè)備和視頻文件，以保障系統(tǒng)的安全性。

　　同一用戶名在同一時間內(nèi)，系統(tǒng)可嚴(yán)格限定只能有一人登陸使用系統(tǒng)，防止某一用戶名和密碼泄露后，其它人訪問監(jiān)控系統(tǒng)，造成視頻信息泄露。

　　3、完善的日志管理

　　系統(tǒng)詳細(xì)記錄用戶登錄、登出、控制視頻、瀏覽視頻等重要操作日志，便于查詢和統(tǒng)計;同時，在系統(tǒng)產(chǎn)生故障時，可以通過系統(tǒng)日志信息，作為分析、處理問題的一個重要依據(jù)。

　　4、軟件監(jiān)測技術(shù)

　　在系統(tǒng)應(yīng)用軟件建立主進(jìn)程和子進(jìn)程時，子進(jìn)程監(jiān)護(hù)主進(jìn)程，一旦主進(jìn)程在規(guī)定時間沒有心跳響應(yīng)，子進(jìn)程切換接替主進(jìn)程上線進(jìn)行服務(wù);有些服務(wù)可通過串口線建立心跳檢測;通過“看門狗”技術(shù)，避免系統(tǒng)業(yè)務(wù)軟件意外退出，保障系統(tǒng)正常工作。

　　通過服務(wù)器之間的主備或負(fù)載均衡機制，建立服務(wù)進(jìn)程狀態(tài)監(jiān)聽，如圖2。

　　在管理人員使用服務(wù)過程中，視頻流通過寬帶網(wǎng)絡(luò)傳輸?shù)揭曨l監(jiān)控系統(tǒng)平臺、再從系統(tǒng)平臺通過寬帶網(wǎng)絡(luò)將視頻流在用戶的監(jiān)控終端進(jìn)行播放。為防止視頻流被非法用戶截獲，可以對視頻文件進(jìn)行加密傳輸，對每個視頻流采用不同的密鑰加密，只有有權(quán)觀看此視頻流的用戶才擁有此密鑰，可以對視頻流進(jìn)行解密，保障視頻傳輸?shù)陌踩浴?/P>