网络视频监控系统安全策略方案探讨（一）

　　前端接入端建议选用工业级交换机，系统平台采用双路由双交换机配置，建立主备冗余或负载均衡机制，可增强安全可靠性。另一方面，对系统重要的交换机路由设备配置安全策略，如通过建立规则来实现过滤需求、基于端口的访问许可、流量控制，加强设备网管SNMPV3及SSH安全登录，交换机日志报送和看门狗开启及固件映像等与安全有关的功能设置。

　　3、防火墙安全

　　防火墙指的是一个安全软件和计算机硬件设备集成组合而成，其主要由服务访问规则、验证工具、包过滤和应用网关四个部分组成。通过防火墙设置访问规则、配置不同安全等级，允许通过的端口服务、IP及协议数据来过滤数据，减少系统平台服务器压力。一般情况下，受防护墙性能的限制，视频监控媒体流不做防火墙穿透业务，只对系统平台的鉴权、认证等信令部分进行安全校验以降低防火墙的压力;

　　4、前端设备双重认证接入

　　只有合法的前端设备才能注册到系统。系统采用独有的密码发布机制，对通过身份ID认证的前端设备发布随机密码。系统通过身份ID和密码双重认证机制，能有效防御非法的或假冒的前端设备接入系统，以保证系统的安全性。

　　网络安全

　　在承载网络上采用传输层机制，保证网络传输的安全性。利用专网隔离网络视频监控流量和其他流量，优先选择监控专网（物理专网或VPN网）的组网方式可以保证网络线路的安全性，但组建视频监控专网相应的投资将大幅上升。

　　每一个监控采集的出口网络连接可以考虑两个不同方向，以建立两条路由进行备份。平台对外提供服务的设备，接入到防火墙的DMZ区中，通过防火墙接入到外部网络（如城域网）。监控网络关键设备规划设计中，采用防火墙、漏洞扫描、入侵监测、VPN等网络安全技术措施，实时监控整个网络的运行状态，保证系统安全可靠运行。