Современные
информационные технологии/4. Информационная безопасность
Назаренко К.В.
ГВУЗ «Национальный горный университет»
Проблемы обеспечения безопасности в
системах IP-видеонаблюдения
В
современном мире развитие новых технологий не стоит на месте, инновации успешно
внедряются во всех сферах человеческой жизни. На первом месте среди критериев
целесообразности использования новых решений стоит, конечно, безопасность. И,
прежде всего, безопасность информационная. Новые системы безопасности, как
альтернативу уже существующим системам видеонаблюдения, СКУД, охранно-тревожной
сигнализации, придумать довольно сложно, а воплотить в жизнь и того сложнее.
Зато остается простор для совершенствования выше перечисленных систем, которые
технически представляют собой комплексную систему защиты информации.
Видеонаблюдение
в мировом сообществе имеет широкое распространение из-за наглядности,
надежности, простоты реализации и возможности совмещения с функционалом
охранной сигнализации. Основу систем видеонаблюдения составляют видеокамеры –
устройства для получения оптических образов снимаемых объектов, проще говоря,
«картинки», приспособленные для записи и передачи по каналам связи движущихся
изображений, то есть видео. Необходимо сказать, что до недавнего времени
подавляющее большинство систем видеонаблюдения были аналоговыми. Сейчас, по
мнению многих специалистов, наступил век цифровых технологий, поэтому сразу
начался поиск соответствующих решений и для систем CCTV (англ. Сlosed
Circuit
Television,
CCTV — система
замкнутого телевидения). Конечно, развитие аналоговых систем также не стоит на
месте, но практически аналоговые видеокамеры подходят к своему технологическому
пределу.
Широкое распространение телекоммуникационных
сетей на базе протокола IP привело к тому, что
появились цифровые системы видеонаблюдения, которые основываются на передаче
данных по каналам связи посредством IP-протокола. Кроме IP-камер,
в систему IP-видеонаблюдения входят
[3]:
·
IP-видеосервер (кодер) - устройство для
оцифровки (кодирования), сжатия и транслирования в сеть Ethernet видеосигнала с
аналоговых видео камер. Может обрабатывать одновременно изображения с
нескольких камер наблюдения.
·
IP-видеорегистратор - система, совмещающее в одном корпусе
устройство кодирования видеосигнала и его запись на жесткий диск.
·
IP-декодер - устройство для обратного преобразования
цифрового видеосигнала в аналоговый сигнал.
·
IP-декодер, совмещенный с IP-видеорегистратором – устройство,
сочетающее в себе преобразователь цифрового видеосигнала в аналоговый и
записывающее устройство.
Использование
коллективных сред передачи информации (витая пара) вместо специальных линий связи
(коаксиальный кабель) является главной предпосылкой появления систем IP-видеонаблюдения.
С точки
зрения информационной безопасности использование стандартного сетевого
оборудования и каналов связи уже существующей ЛВС составляет главную угрозу
безопасности. Все уязвимости компьютерной сети передаются системе
видеонаблюдения. То есть теперь доступ к информации CCTV может получить не
только злоумышленник, целью которого является «картинка», переданная
видеокамерами, но и злоумышленник, имеющий доступ к ЛВС. Поэтому важно
сотрудничество отдела безопасности, который также отвечает за безопасность
систем видеонаблюдения, и отдела информационных технологий, одной из функций
которого является защита ЛВС от НСД.
Для безопасности систем могут применяться
различные механизмы защиты:
1.
Парольная
защита, аутентификация пользователей. Разграничение доступа пользователей к
ресурсам компьютерной сети и сети видеонаблюдения.
2.
Защита
ЛС от физического вторжения.
3.
Защита
сетей (брандмауэры, антивирусы, антишпионы) от НСД.
4.
Шифрование
передаваемой информации, использование надежных алгоритмов шифрования.
Обеспечивает конфиденциальность передаваемых данных и/или информации о потоках
данных.
5.
Защита
активного сетевого оборудования.
6.
Защита
ПО. Архитектура программных средств
защиты информации должна включать:
§
контроль безопасности:
регистрации вхождения в систему, фиксацию в системном журнале, контроль
действий пользователя;
§
активную реакцию на
нарушение системы защиты контроля доступа к ресурсам сети;
§
контроль доступа;
§
контроль защищённости ОС;
§
контроль алгоритмов
защиты;
§
проверку и подтверждение
правильности функционирования технического и программного обеспечения.
7.
Проведение
аудита информационной безопасности.
8.
Регулярное
тестирование системы.
9.
Организационные
мероприятия.
Первые три
пункта по определению уже должны обеспечиваться в ЛВС. Последние три пункта не
представляют сложности для понимания.
Оборудование с поддержкой
шифрования данных, которые передаются по сети, с поддержкой технологий VPN, необходимо применять, если система IP-видеонаблюдения является распределенной или
использует такие участки сети, где невозможно применить остальные механизмы и
меры защиты. VPN (англ. Virtual Private Network — виртуальная частная сеть) — обобщённое название
технологий, позволяющих обеспечить одно или несколько сетевых соединений
(логическую сеть) поверх другой сети (например, Интернет) [1, B]. Несмотря на
то, что коммуникации осуществляются по сетям с меньшим неизвестным уровнем
доверия, уровень доверия к построенной логической сети не зависит от уровня
доверия к базовым сетям благодаря использованию средств криптографии (шифрования,
аутентификации, инфраструктуры открытых ключей, средств для защиты от повторов
и изменения передаваемых по логической сети сообщений). Кроме шифрования, для
лучшей защиты оборудование использует модуль контроля целостности передаваемой
информации и защиту от искажений (изменений, удалений). Применяются протоколы
IPSec, SSL, MPLS. Сеть VPN может
включать в себя различные узлы (все узлы системы IP-видеонаблюдения), независимо от географического
(физического) расположения. VPN поддерживает
алгоритмы шифрования AES и TripleDES, которые являются достаточно криптостойкими для
защиты сетей IP-видеонаблюдения [1, B]. Более высокого уровня конфиденциальности передаваемых
данных можно достигнуть с помощью шифрования по протоколу HTTPS[4]. HTTPS
(Hypertext Transfer Protocol Secure) — расширение протокола HTTP, поддерживающее шифрование. Данные, передаваемые по протоколу HTTPS, зашифровываются
криптографическим протоколом SSL или TLS,
тем самым обеспечивается защита этих данных. Система была разработана компанией
Netscape Communications Corporation, чтобы
обеспечить аутентификацию и защищённое соединение. HTTPS
широко используется в мире Веб для приложений, в которых важна
безопасность соединения. HTTPS поддерживается всеми популярными браузерами [1, C].
Механизмы обеспечения безопасности в протоколах SSL и TLS [4]:
Многие продукты сетевого видео имеют
встроенную поддержку протокола HTTPS, что позволяет безопасно просматривать
видеоизображение через браузер Web [4].
Одним из
механизмов защиты от внешних угроз является применение технологии VLAN
(от англ. Virtual Local Area Network). Это виртуальная локальная компьютерная сеть,
представляющая собой группу выделенных адресов сети с общим набором требований,
взаимодействующих независимо от физического местонахождения [1, A].
С помощью VLAN систему IP-видеонаблюдения (камеры
и другое активное сетевое оборудование) можно выделить в отдельную сеть VLAN,
доступа к которой не имеют остальные пользователи данной ЛВС.
Также необходимо
использовать функции защиты от сетевых атак (то есть защиту внутри сети),
например, Port-security. Эти функции
связаны с защитой портов оборудования от подключения неавторизованных устройств
[2].
Еще
один важный момент – контроль сетевых подключений с помощью паролей,
осуществляется протоколом 802.1x.
Стандарт 'IEEE
802.1X' определяет процесс инкапсуляции данных EAP, передаваемых между
запрашивающими устройствами (клиентами), системами, проверяющими подлинность (точками беспроводного доступа), и
серверами проверки подлинности (RADIUS). Стандарт IEEE 802.1x определяет протокол контроля
доступа и аутентификации, который ограничивает права неавторизованных
компьютеров, подключенных к коммутатору. Сервер аутентификации проверяет каждый
компьютер перед тем, как тот сможет воспользоваться сервисами, который
предоставляет ему коммутатор. До того, как компьютер аутентифицировался, он
может использовать только протокол EAPOL (Extendible Authentication Protocol
over LAN) и только после успешного «логина» весь остальной трафик сможет
проходить через тот порт коммутатора, к которому подключен данный компьютер [2].
Также
довольно серьезным механизмом является фильтрация IP-адресов. Заключается в предоставлении доступа только
определенным адресам [4].
Рассмотрено несколько
механизмов и мер обеспечения безопасности систем IP-видеонаблюдения, которые в комплексе вполне смогут
защитить сеть видеонаблюдения. Конечно, вариантов обеспечения безопасности
может быть множество и это лишь один из них. Разрабатывая систему безопасности,
следует учитывать важность ИсОД, циркулирующей в конкретной сети
видеонаблюдения, рациональность и целесообразность применения тех или иных
методов защиты, оптимальность отношения цена-качество. Так как IP-видеонаблюдение – сравнительно новая технология,
нужно внимательно подбирать оборудование, оно должно быть совместимо друг с
другом. Еще раз нужно остановиться на том, что лучшим вариантом является пусть
не физическое, но логическое разделение ЛВС, функционирующей на предприятии и
сети, обрабатывающей сигналы системы видеонаблюдения. Также важным критерием
является наличие опытных квалифицированных специалистов. Какой бы отличной не
была система, должен быть человек, который сумеет администрировать и
обеспечивать работоспособность всех компонентов системы видеонаблюдения,
устранять неполадки и исправлять возникающие ошибки.
Системы IP-видеонаблюдения дают массу положительных возможностей
и ряд дополнительных функций, но при их установке не стоит забывать о
безопасности систем, так как безопасность – это один из основных критериев,
которые учитываются при выборе систем видеонаблюдения, построенных на базе
протокола IP.
Литература:
1.
Википедия – свободная
энциклопедия (Электронный ресурс) / URL: http://ru.wikipedia.org:
A. http://ru.wikipedia.org/wiki/Vlan
B. http://ru.wikipedia.org/wiki/VPN
C. http://ru.wikipedia.org/wiki/HTTPS
3.
Видеонаблюдение переходит на IP. (Электронный ресурс) / URL: http://www.opta.com.ua/artext.asp?id=146&mm=0
4.
Безопасность
видеонаблюдения на базе IP - №09, 2009 (Электронный
ресурс) / URL: http://www.osp.ru/lan/2009/09/10534599/