韓凱

摘要：目前，在監(jiān)獄監(jiān)控系統(tǒng)中視頻監(jiān)控技術(shù)有著非常廣泛地應(yīng)用，其對(duì)系統(tǒng)的保密性也提出了越來(lái)越高的要求。文章在此基礎(chǔ)上，構(gòu)建了基于保密網(wǎng)的監(jiān)獄監(jiān)控系統(tǒng)，從系統(tǒng)的整體構(gòu)架、視頻監(jiān)控、保密網(wǎng)及安全性等多方面展開深入研究，為該方面的實(shí)踐工作者提供有價(jià)值的參考資料。

關(guān)鍵詞：保密網(wǎng)；監(jiān)獄視頻監(jiān)控：系統(tǒng)設(shè)計(jì)

1 保密網(wǎng)

與國(guó)家機(jī)關(guān)、黨政機(jī)關(guān)等工作秘密相關(guān)的計(jì)算機(jī)網(wǎng)絡(luò)被稱為保密網(wǎng)。由于涉密網(wǎng)與非涉密網(wǎng)兩者之間的管理要求不同，涉密程度不一樣，所需要的經(jīng)費(fèi)也不同。因此，其具體的網(wǎng)絡(luò)構(gòu)建也是不同的，根據(jù)涉密情況可以劃分為三類，即上層涉密且下層不涉密、少量涉密、大量涉密。保密網(wǎng)多具有集中性強(qiáng)、可擴(kuò)展、可靠性高等特性。

2 保密網(wǎng)基礎(chǔ)上的監(jiān)獄監(jiān)控系統(tǒng)的整體設(shè)計(jì)

在大量數(shù)據(jù)分析與實(shí)證研究的基礎(chǔ)上，筆者認(rèn)為監(jiān)獄監(jiān)控系統(tǒng)應(yīng)符合如下相關(guān)要求：一是為了確保系統(tǒng)擁有非常高的可靠性，可以運(yùn)用國(guó)際流行技術(shù)與先進(jìn)構(gòu)架。在開發(fā)的過(guò)程中，應(yīng)遵質(zhì)量控制標(biāo)準(zhǔn)進(jìn)行，只有這樣才能夠保障系統(tǒng)在7*24小時(shí)內(nèi)都能夠可靠地運(yùn)行。二是運(yùn)用分布式的架構(gòu)，從而確保系統(tǒng)擁有非常良好的可擴(kuò)展性能。三是擁有非常高的開放性，只有這樣系統(tǒng)才可以與各種設(shè)備有效對(duì)接，所有其應(yīng)具備統(tǒng)一的設(shè)備接口。四是采用標(biāo)準(zhǔn)的HTTP協(xié)議、XML文件格式，在DES加密算法下，實(shí)現(xiàn)對(duì)AMR、MPEG4等編碼標(biāo)準(zhǔn)的支持。五是采用模塊化技術(shù)與SAN技術(shù)。這樣做系統(tǒng)能夠擁有良好的可擴(kuò)展性，從而根據(jù)實(shí)際工作的需要及時(shí)進(jìn)行模塊的增減與更新。六是擁有標(biāo)準(zhǔn)存儲(chǔ)設(shè)備支持功能，從而可以那些典型的的DAS與NAS設(shè)備，實(shí)現(xiàn)超長(zhǎng)時(shí)間的錄像和超大容量的存儲(chǔ)。

依據(jù)監(jiān)控系統(tǒng)的需求狀況，控制軟件需具備如下功能：一是符合視頻顯控所需要的各種參數(shù)要求，涵蓋點(diǎn)播授權(quán)的前端現(xiàn)場(chǎng)監(jiān)控點(diǎn)圖像，對(duì)前端的多個(gè)監(jiān)控點(diǎn)能夠動(dòng)態(tài)監(jiān)聽，能夠非常便捷地檢索與下載遠(yuǎn)程存儲(chǔ)服務(wù)器上的有關(guān)視頻資料，可以進(jìn)行語(yǔ)音對(duì)話，并對(duì)系統(tǒng)的時(shí)間進(jìn)行及時(shí)校準(zhǔn)。二是擁有電視墻控制功能。在IP矩陣解碼的作用下，監(jiān)控點(diǎn)數(shù)字編碼格式視頻能夠在液晶顯示屏上呈現(xiàn)。在客戶端運(yùn)用數(shù)字信號(hào)VGA來(lái)實(shí)現(xiàn)傳輸，如果前端的顯示器上出現(xiàn)報(bào)警情況，相關(guān)工作人員能夠借助電視墻及時(shí)獲知。

在編制輪循方案的時(shí)候，主要有兩種模式，一種是組輪循方式，另一種是單通道輪循方式。

在上述有關(guān)功能下，工作人員只需要借助IE瀏覽器就可以實(shí)現(xiàn)對(duì)遠(yuǎn)端中心管理服務(wù)器的控制，在獲得授權(quán)的情況下實(shí)現(xiàn)語(yǔ)音對(duì)講、監(jiān)聽及圖像質(zhì)量調(diào)控等。

3 系統(tǒng)信息安全建設(shè)

針對(duì)系統(tǒng)安全性能的需求，可以綜合運(yùn)用防火墻、用戶身份認(rèn)證與病毒網(wǎng)管等多種措施。在本文中，筆者將重點(diǎn)介紹系統(tǒng)數(shù)據(jù)加密與入侵防范兩方面的設(shè)計(jì)情況。

3.1 數(shù)據(jù)加密的有關(guān)設(shè)計(jì)

在數(shù)據(jù)傳輸?shù)倪^(guò)程中，其安全性能需要借助信息傳輸兩端配置的VPN設(shè)備來(lái)達(dá)到。在VPN加密機(jī)中最為關(guān)鍵的技術(shù)包括隧道技術(shù)、身份認(rèn)證技術(shù)與密鑰管理技術(shù)等。因?yàn)楸O(jiān)獄單位的特殊性，不適用于商用加密碼算法，應(yīng)采用國(guó)家密碼管理局指定的密碼算法，最大限度地保護(hù)各種數(shù)據(jù)的機(jī)密性。一般情況下，監(jiān)獄在實(shí)現(xiàn)數(shù)據(jù)傳輸?shù)倪^(guò)程中，多借助電子政務(wù)網(wǎng)。所以，在數(shù)據(jù)加密設(shè)計(jì)的過(guò)程中，可以運(yùn)用DES算法來(lái)達(dá)到加密目的。但從當(dāng)前的實(shí)際情況來(lái)看，監(jiān)獄局與相關(guān)單位之間的數(shù)據(jù)傳輸大多是依靠不安全的電子政務(wù)網(wǎng)來(lái)進(jìn)行的，所以運(yùn)用安全等級(jí)非常高度額加解密技術(shù)是非常有必要的。在本次系統(tǒng)開發(fā)中，DES算法是借助64位密鑰來(lái)實(shí)現(xiàn)64位數(shù)據(jù)的加密算法。這一密碼應(yīng)及時(shí)加以更新，加強(qiáng)安全防范工作，杜絕泄密的情況出現(xiàn)。一旦出現(xiàn)密碼外泄，將會(huì)帶來(lái)非常嚴(yán)重的后果。

針對(duì)監(jiān)獄單位與其他單位機(jī)關(guān)的具體狀況，可以在雙方的網(wǎng)絡(luò)出口都配置VPN安全服務(wù)，構(gòu)建VPN加密傳輸專網(wǎng)，從而實(shí)現(xiàn)應(yīng)用系統(tǒng)的訪問(wèn)與各項(xiàng)數(shù)據(jù)信息的安全共享。在具體的構(gòu)建過(guò)程中，還需要從監(jiān)獄單位的實(shí)際情況來(lái)選擇組網(wǎng)方式，一般選擇環(huán)型組網(wǎng)方式，這能夠最大限度地處理大規(guī)模網(wǎng)狀組問(wèn)題，并實(shí)現(xiàn)多個(gè)單位的互相訪問(wèn)，實(shí)現(xiàn)多單位的有效信息傳輸。這一原理主要為：在系統(tǒng)覆蓋的各個(gè)單位都配置VPN網(wǎng)關(guān)，使得每個(gè)網(wǎng)關(guān)都與別的單位網(wǎng)關(guān)組建IPSec隧道，所有相關(guān)單位的VPN加密機(jī)都可以遵循一定策略與其他VPN加密機(jī)構(gòu)建隧道，并加以訪問(wèn)與控制。

這類以保密網(wǎng)為基礎(chǔ)的監(jiān)獄監(jiān)控系統(tǒng)內(nèi)，應(yīng)高度重視密鑰的管理工作，包括主密鑰的產(chǎn)生、初始密鑰的生產(chǎn)、分配、重置以及密鑰的存儲(chǔ)及申請(qǐng)等。主密鑰是其他密鑰的產(chǎn)生基礎(chǔ)，具有非常重要的地位，應(yīng)確保其產(chǎn)生時(shí)的隨機(jī)性。在其產(chǎn)生的過(guò)程中，系統(tǒng)兩個(gè)主管應(yīng)分別輸入兩個(gè)字符串，之后依據(jù)字符串內(nèi)的信息，擊鍵時(shí)間與擊鍵頻率來(lái)產(chǎn)生主密鑰。在這種運(yùn)算方式下，即便是鍵入的字符串一樣，也會(huì)獲得不同的密鑰。在主密鑰的基礎(chǔ)上，系統(tǒng)主題會(huì)隨機(jī)生成初始密鑰。在加密處理之后，初始密鑰會(huì)被存放與軟盤內(nèi)，由專門的路徑來(lái)送達(dá)到指定的通訊節(jié)點(diǎn)處，并載入計(jì)算機(jī)中。當(dāng)需要更新的時(shí)候，可以重復(fù)這一操作來(lái)再次獲得初始密碼。密鑰的產(chǎn)生。載入等程序都不存儲(chǔ)于硬盤，而是存放于軟盤中，并由專人負(fù)責(zé)，放置被跟蹤破譯。加密密鑰也是保護(hù)密鑰的重要方法之一。這一算法將多個(gè)密鑰變?yōu)橐唤M整數(shù)，密鑰由一個(gè)非常復(fù)雜且不可逆轉(zhuǎn)的算法隨機(jī)生成，其安全性能夠得到大幅度提升。在每次數(shù)據(jù)通訊的過(guò)程中，傳輸密鑰都是臨時(shí)的，在某一時(shí)間之后，系統(tǒng)也會(huì)要求再次申請(qǐng)密鑰。系統(tǒng)應(yīng)及時(shí)更換初始密鑰。如因特殊原因而難以簽退或更新的初始密鑰，可以進(jìn)行偽簽退操作，進(jìn)行延期。針對(duì)密鑰進(jìn)行科學(xué)化的管理，能夠提高密鑰的安全性，從而提高整個(gè)保密網(wǎng)的保密系數(shù)。

3.2 網(wǎng)絡(luò)FA4曼的相關(guān)設(shè)計(jì)

為了提高系統(tǒng)的防入侵能力，在本次系統(tǒng)開發(fā)過(guò)程選擇了入侵防御系統(tǒng)隔離系統(tǒng)。在這一措施下，涉密辦公網(wǎng)絡(luò)數(shù)據(jù)能夠輕而易舉地傳輸?shù)奖O(jiān)控網(wǎng)絡(luò)上。該系統(tǒng)會(huì)有兩種工作狀態(tài)，即存儲(chǔ)與轉(zhuǎn)發(fā)。一般來(lái)說(shuō)，監(jiān)控中心會(huì)配置相應(yīng)的轉(zhuǎn)發(fā)服務(wù)器，由此將涉密辦公網(wǎng)絡(luò)所需要的各種視頻資料轉(zhuǎn)移到系統(tǒng)內(nèi)。在這種狀況下，其只與監(jiān)控專網(wǎng)轉(zhuǎn)發(fā)服務(wù)器相對(duì)接，采用文件的方式來(lái)獲取各種視頻資料，并將這些資料存儲(chǔ)在制定設(shè)備內(nèi)，進(jìn)而達(dá)到存儲(chǔ)的目的。在轉(zhuǎn)發(fā)工作狀態(tài)下，系統(tǒng)與涉密辦公網(wǎng)絡(luò)有效對(duì)接，將上述設(shè)備中存儲(chǔ)的相關(guān)視頻資料轉(zhuǎn)移到涉密網(wǎng)轉(zhuǎn)發(fā)服務(wù)器上。借助入侵防御系統(tǒng)，系統(tǒng)能夠?qū)崿F(xiàn)單項(xiàng)網(wǎng)絡(luò)連接，進(jìn)而確保數(shù)據(jù)能夠得到安全傳輸。除此之外，該方面的設(shè)計(jì)工作還應(yīng)該結(jié)合監(jiān)獄的具體布局情況而進(jìn)行，從而設(shè)計(jì)出合理的網(wǎng)絡(luò)安全隔離圖。

3.3 系統(tǒng)日志的有關(guān)設(shè)計(jì)

系統(tǒng)當(dāng)前使用的日志文件被稱為聯(lián)機(jī)日志文件，其能夠有效保護(hù)自上一次數(shù)據(jù)庫(kù)一致狀態(tài)之后的相關(guān)事務(wù)信息。當(dāng)系統(tǒng)出現(xiàn)異常情況，其能夠依據(jù)聯(lián)機(jī)日志文件來(lái)有效恢復(fù)。隨著時(shí)間的增多，日志文件不斷被新的日志信息所覆蓋，當(dāng)完全副高后，將形成最久的日志文件。數(shù)據(jù)庫(kù)管理系統(tǒng)涵蓋歸檔與不歸檔兩大模式。在系統(tǒng)運(yùn)用聯(lián)機(jī)日志文件的時(shí)候，聯(lián)機(jī)日志如果被拷貝，就生產(chǎn)歸檔日志文件。這種方式會(huì)對(duì)系統(tǒng)的性能帶來(lái)一定影響，但是其安全性更高，很少會(huì)出現(xiàn)數(shù)據(jù)丟失的情況。如果沒有歸檔日志文件，一旦系統(tǒng)故障，那么系統(tǒng)就只能依據(jù)備份來(lái)進(jìn)行恢復(fù)。網(wǎng)絡(luò)日志涵蓋系統(tǒng)的訪問(wèn)信息與錯(cuò)誤信息記錄，其能夠顯示系統(tǒng)是否收到外來(lái)攻擊，對(duì)于網(wǎng)絡(luò)監(jiān)控具有重要意義。

日志分析工作意義重大，相關(guān)工作人員借此可及時(shí)獲得關(guān)鍵資料。在具體的使用過(guò)程中可以遵循如下步驟：一是將日志信息進(jìn)行集中。構(gòu)建日志收集服務(wù)器，匯總各個(gè)系統(tǒng)的日志文件。二是對(duì)日志進(jìn)行科學(xué)化的管理，包括分類、存儲(chǔ)等。三是對(duì)日志加以分析，及時(shí)獲得事件的真相，相關(guān)人員可以第一時(shí)間采取應(yīng)對(duì)措施。

4 系統(tǒng)安全狀況

在本次系統(tǒng)開發(fā)的過(guò)程中，筆者運(yùn)用DES算法進(jìn)行加密，并構(gòu)建了入侵防御系統(tǒng)，這樣做能夠全面提升系統(tǒng)的保密性能。數(shù)據(jù)在傳輸?shù)倪^(guò)程中，無(wú)論是接受環(huán)節(jié)，還是發(fā)送環(huán)節(jié)，都進(jìn)行了加密處理。數(shù)據(jù)在傳輸?shù)倪^(guò)程中，還需要經(jīng)過(guò)VPN加密機(jī)再次進(jìn)行加密處理。這樣一來(lái)，即便是數(shù)據(jù)在傳輸?shù)臅r(shí)候被泄露，竊取數(shù)據(jù)的人也難以了解數(shù)據(jù)的真實(shí)內(nèi)容。

入侵防御系統(tǒng)可以實(shí)現(xiàn)動(dòng)態(tài)防護(hù)的目標(biāo)，其多是針對(duì)網(wǎng)絡(luò)中可能存在的各種病毒與攻擊情況進(jìn)行有效阻斷來(lái)實(shí)現(xiàn)防護(hù)功能的。從組件方面，其主要包括網(wǎng)絡(luò)引擎、控制臺(tái)與在線更新服務(wù)三大部分。其能夠適應(yīng)多種網(wǎng)絡(luò)環(huán)境，均可以實(shí)現(xiàn)有效管理。在控制臺(tái)的作用下，可以實(shí)現(xiàn)集中管理，進(jìn)而提供必要的安全策略與引擎控制。除了這些之外，入侵防護(hù)系統(tǒng)在吞吐量方面也非常驚人，吞吐量非常大，其具備非常高的可用性和強(qiáng)大的入侵防御能力。