網絡視頻監控系統安全策略方案探討（一）

　　前端接入端建議選用工業級交換機，系統平臺采用雙路由雙交換機配置，建立主備冗余或負載均衡機制，可增強安全可靠性。另一方面，對系統重要的交換機路由設備配置安全策略，如通過建立規則來實現過濾需求、基于端口的訪問許可、流量控制，加強設備網管SNMPV3及SSH安全登錄，交換機日志報送和看門狗開啟及固件映像等與安全有關的功能設置。

　　3、防火墻安全

　　防火墻指的是一個安全軟件和計算機硬件設備集成組合而成，其主要由服務訪問規則、驗證工具、包過濾和應用網關四個部分組成。通過防火墻設置訪問規則、配置不同安全等級，允許通過的端口服務、IP及協議數據來過濾數據，減少系統平臺服務器壓力。一般情況下，受防護墻性能的限制，視頻監控媒體流不做防火墻穿透業務，只對系統平臺的鑒權、認證等信令部分進行安全校驗以降低防火墻的壓力;

　　4、前端設備雙重認證接入

　　只有合法的前端設備才能注冊到系統。系統采用獨有的密碼發布機制，對通過身份ID認證的前端設備發布隨機密碼。系統通過身份ID和密碼雙重認證機制，能有效防御非法的或假冒的前端設備接入系統，以保證系統的安全性。

　　網絡安全

　　在承載網絡上采用傳輸層機制，保證網絡傳輸的安全性。利用專網隔離網絡視頻監控流量和其他流量，優先選擇監控專網（物理專網或VPN網）的組網方式可以保證網絡線路的安全性，但組建視頻監控專網相應的投資將大幅上升。

　　每一個監控采集的出口網絡連接可以考慮兩個不同方向，以建立兩條路由進行備份。平臺對外提供服務的設備，接入到防火墻的DMZ區中，通過防火墻接入到外部網絡（如城域網）。監控網絡關鍵設備規劃設計中，采用防火墻、漏洞掃描、入侵監測、VPN等網絡安全技術措施，實時監控整個網絡的運行狀態，保證系統安全可靠運行。