Вход    
Логин 
Пароль 
Регистрация  
 
Блоги   
Демотиваторы 
Картинки, приколы 
Книги   
Проза и поэзия 
Старинные 
Приключения 
Фантастика 
История 
Детективы 
Культура 
Научные 
Анекдоты   
Лучшие 
Новые 
Самые короткие 
Рубрикатор 
Персонажи
Новые русские
Студенты
Компьютерные
Вовочка, про школу
Семейные
Армия, милиция, ГАИ
Остальные
Истории   
Лучшие 
Новые 
Самые короткие 
Рубрикатор 
Авто
Армия
Врачи и больные
Дети
Женщины
Животные
Национальности
Отношения
Притчи
Работа
Разное
Семья
Студенты
Стихи   
Лучшие 
Новые 
Самые короткие 
Рубрикатор 
Иронические
Непристойные
Афоризмы   
Лучшие 
Новые 
Самые короткие 
Рефераты   
Безопасность жизнедеятельности 
Биографии 
Биология и химия 
География 
Иностранный язык 
Информатика и программирование 
История 
История техники 
Краткое содержание произведений 
Культура и искусство 
Литература  
Математика 
Медицина и здоровье 
Менеджмент и маркетинг 
Москвоведение 
Музыка 
Наука и техника 
Новейшая история 
Промышленность 
Психология и педагогика 
Реклама 
Религия и мифология 
Сексология 
СМИ 
Физкультура и спорт 
Философия 
Экология 
Экономика 
Юриспруденция 
Языкознание 
Другое 
Новости   
Новости культуры 
 
Рассылка   
e-mail 
Рассылка 'Лучшие анекдоты и афоризмы от IPages'
Главная Поиск Форум
Выбрать писателя: А Б В Г Д Е Ж З И К Л М Н О П Р С Т У Ф Х Ц Ч Ш Щ Э Ю Я
 
книги
Рефераты >> Информатика и программирование >> Назначение, функции и типы систем видеозащиты

Назначение, функции и типы систем видеозащиты

Скачать в архиве Скачать

Назначение, функции и типы систем видеозащиты

Иван Смирнов, ведущий инженер отдела информационной безопасности "Энвижн Груп"

Системы большого масштаба характеризуются территориальной распределенностью и иерархичностью уровней управления. Такие системы (в особенности технологического назначения) могут использовать корпоративные сети передачи данных и являться частью АСУ организаций. По указанным причинам к этим системам должны применяться требования по обеспечению ИБ корпоративной сети. На этапе проектирования системы видеонаблюдения необходимо сформулировать требования к ИБ и изучить техническую возможность использования существующих механизмов корпоративной ИБ, в качестве которых могут рассматриваться системы host IPS, средства обнаружения и защиты от DDoS-атак, механизмы организации демилитаризованных зон и Network Access Control.

По функциональной принадлежности все системы видеонаблюдения принято разделять на два типа: охранные и технологические.

Охранные системы функционируют в целях поддержания правопорядка на улицах города, в муниципальных и коммерческих организациях, на территории различных промышленных предприятий и т.д.

Они предоставляют оператору, осуществляющему мониторинг, изображение в масштабе настоящего времени или архивные материалы. Количество камер в системе может исчисляться десятками, сотнями и даже тысячами.

Системы технологического видеонаблюдения функционируют в целях оптимизации производственных процессов. Использование современных средств видеомониторинга позволяет ускорить выполнение работ и минимизировать количество задействованного персонала. На сегодняшний день системы используются в промышленности для наблюдения за производственными линиями, в автоматизированных системах контроля состояния товарных запасов. Использование тепловизионной техники позволяет решать ряд куда более специализированных задач, например, определение объема жидкости в железнодорожных цистернах. Также с помощью технологических систем возможно определение нарушений сотрудниками установленных правил и техники безопасности.

Рассмотрим вопросы обеспечения информационной безопасности в таких системах.

Механизмы обеспечения достоверности и целостности видеоматериалов

Основными критериями безопасности информационных систем являются: достоверность, целостность и доступность циркулирующей информации.

Модификация видеоматериалов с целью подлога и изменение указанных выше критериев встречается не часто. Однако использование полученного видео в качестве доказательной базы в судебном процессе потребует обязательной экспертизы, проводимой независимыми лабораториями в целях подтверждения оригинальности материалов. В случае отсутствия такого подтверждения, нечеткости формулировок, предоставленных лабораторией, или слишком длительного срока, прошедшего с момента предоставления материалов, их рассмотрение, вероятнее всего, будет трактоваться в пользу ответчика.

Проводя расследование уголовного дела, спустя длительный период времени можно проанализировать видеоматериалы, получить идентификационные признаки правонарушителя и установить предполагаемое время события. Но как доказать достоверность предоставленной записи? Наиболее удачным и надежным решением проблемы является использование алгоритмов электронной цифровой подписи в соответствии с Федеральным законом об ЭЦП от 10. 01. 2002 г. В процессе регистрации видеоматериалов на цифровой носитель добавляется реквизит, полученный в результате криптографического преобразования информации с использованием закрытого ключа ЭЦП и позволяющий идентифицировать владельца сертификата ключа подписи, а также установить отсутствие искажения информации в исходном документе. Таким образом, запись, произведенная с использованием алгоритмов ЭЦП, является неопровержимым доказательством в суде. Обеспечение ИБ в системах телевизионного наблюдения Кроме видеоматериалов, в системах хранится большое количество сопутствующих данных, например: конфигурационные файлы, сведения о пользователях системы и их полномочиях, информация о системных событиях (от авторизации пользователей до типов выявленных неисправностей для отдельных устройств). Несанкционированный доступ и модификация указанной информации могут стать причиной вывода из строя целой системы. Таким образом, для корректной работы необходимо обеспечить доступность в соответствии с полномочиями для авторизованных пользователей, в то же время надежно ограничив доступ для всех остальных. В данном вопросе можно выделить ряд обобщенных рекомендаций, выполнение которых минимизирует риски преднамеренного вывода системы из строя. Стоит оговориться, что далее речь пойдет о системах, основанных на PC-based-оборудовании, с возможностями удаленного доступа к компонентам системы по локальной вычислительной сети. Классические системы, созданные на основе матричных коммутаторов и stand-alone-регистраторов, в существенной мере менее подвержены указанным рискам в силу специфичности используемых программно-аппаратных платформ и отсутствия механизмов удаленного сетевого доступа.

Для систем малого масштаба в целях повышения информационной безопасности целесообразно обратить внимание на настройку политик безопасности операционной системы. Как правило, средства реализации политики доступа ОС предшествуют программным средствам самой системы видеонаблюдения и при надлежащей настройке являются достаточно действенным механизмом на пути противодействия несанкционированному доступу и регистрации вносимых изменений в конфигурацию ОС. Эта рекомендация является универсальной и применима ко всем устройствам системы, будь то малый сетевой видеорегистратор, удаленная рабочая станция оператора или центральный сервер в распределенной клиентсерверной конфигурации. В системах с повышенными требованиями к авторизации пользователей возможно использование отдельных средств строгой аутентификации, которые представляют собой электронные устройства в виде USB-ключей или смарт-карт. Отсутствие такого ключа влечет за собой отказ в запуске системы, а внесение несанкционированного изменения в системную конфигурацию не остается незамеченным для авторизованного пользователя.

Следующим действенным этапом, не требующим существенных затрат, является конфигурация сетевых Access Control Lists (ACL) и Port Security. При создании систем безопасности, использующих ЛВС в целях передачи информации, рекомендуется применять вновь создаваемые сети. Однако, если такая возможность отсутствует или вложения в новую инфраструктуру представляются экономически неоправданными, возможно использование существующей ЛВС. В этом случае необходимо использовать виртуальную локальную вычислительную сеть или VLAN. С одной стороны, это позволит оградить общую сеть передачи данных от весьма внушительного трафика системы видеонаблюдения, с другой — изолировать на логическом уровне подсеть системы от общей ЛВС в целях обеспечения ИБ. Удаленный доступ к системе с использованием открытых каналов передачи данных должен сопровождаться установкой VPN-терминирующих устройств, осуществляющих шифрование передаваемых данных. Таким образом, затраты на обеспечение ИБ в системах малого масштаба невелики, а ее реализация определяется навыками и опытом специалистов компании-инсталлятора.

"Надо позаботиться о более широком применении в охране правопорядка технических средств, современных управленческих комплексов. Даже самые простые технические системы — видеонаблюдение, экстренная связь с милицией, мониторинг общественных зданий, мест пребывания граждан, школьных дворов — позволяют повысить уровень контроля за ситуацией в общественных местах".

(Президент РФ Путин В.В., 27 июня 2007 г.)

Комментарий эксперта

Главным привлекательным качеством охранного телевидения является возможность не только фиксировать нарушение режима охраны объекта, но и контролировать обстановку вокруг объекта, определять причины срабатывания охранной сигнализации, вести скрытое наблюдение и производить видеозапись охраняемого места или предмета, фиксируя движение нарушителя.

Но мало кто задумывается при этом, что изображение, передаваемое с камер видеонаблюдения и затем записываемое на те или иные материальные носители, можно вполне отнести к персональным данным субъекта, посещающего ту или иную организацию. По своей сути – это информация, которая относится "к определяемому или определенному на основании такой информации физическому лицу". А это значит, что любые манипуляции с таким видеоизображением подпадают под действие Федерального закона № 152–ФЗ "О персональных данных".

Знают ли об этом организации? Как обеспечивается сохранность видеоизображения? А самое главное – в курсе ли субъект персональных данных о том, что, переступив порог организации, он тем самым может попасть в ситуацию, когда без его ведома будет осуществлена видеозапись. И не факт, что его изображение не будет использовано в целях, ему не известных, или передано третьим лицам? Сколько организация может хранить такую запись? Вправе ли субъект персональных данных требовать подтверждения от организации, использующей такие системы, что полученное в ходе записи изображение будет затем уничтожено? В настоящее время к основным документам, регулирующим частную детективную и охранную деятельность в Российской Федерации, относится Закон от 11 марта 1992 г. № 2487-I "О частной детективной и охранной деятельности в Российской Федерации". В статье 11 охранным предприятиям предоставлено право использовать технические и иные средства, не причиняющие вреда жизни и здоровью граждан и окружающей среде, средства оперативной радио- и телефонной связи. Можем ли мы отнести системы охранного телевидения к таким средствам, и кто будет определять, был ли нанесен вред гражданам при их использовании, ведь ущерб может быть выражен не только в материальной, но и моральной форме? К кому предъявлять претензии, если, посетив медицинское учреждение и оказавшись зафиксированными камерами слежения, мы потом узнаем: это стало известно третьим лицам, что привело к увольнению с работы, срыву сделки? Ведь это прямое нарушение положений законодательства, касающегося защиты персональных данных субъектов.

Что делать? Надеяться на порядочность сотрудников службы безопасности, руководства охранных предприятий, осуществляющих видеосъемку в организации? Ответить на эти вопросы так же сложно, как и доказать, что именно использование информации, полученной в ходе работы системы охранного телевидения, нанесло ущерб субъекту персональных данных. Наверное, стоит над этим задуматься как законодателю, так организациям, использующим подобные системы.

***

ACL представляют собой набор правил, определяющих порты служб или имена доменов, доступных на узле со списком узлов или сетей, которым разрешен доступ к сервису. Сетевые ACL могут быть настроены как на обычном сервере, так и на сетевом маршрутизаторе и могут управлять как входящим, так и исходящим трафиком в качестве межсетевого экрана. Port Security позволит реализовать политику подключения доверенных IP- и MAC-адресов устройств.

Список литературы

Information Security №1, февраль-март 2009

Назначение, функции и типы систем видеозащиты

Иван Смирнов, ведущий инженер отдела информационной безопасности "Энвижн Груп"

Системы большого масштаба характеризуются территориальной распределенностью и иерархичностью уровней управления. Такие системы (в особенности технологического назначения) могут использовать корпоративные сети передачи данных и являться частью АСУ организаций. По указанным причинам к этим системам должны применяться требования по обеспечению ИБ корпоративной сети. На этапе проектирования системы видеонаблюдения необходимо сформулировать требования к ИБ и изучить техническую возможность использования существующих механизмов корпоративной ИБ, в качестве которых могут рассматриваться системы host IPS, средства обнаружения и защиты от DDoS-атак, механизмы организации демилитаризованных зон и Network Access Control.

По функциональной принадлежности все системы видеонаблюдения принято разделять на два типа: охранные и технологические.

Охранные системы функционируют в целях поддержания правопорядка на улицах города, в муниципальных и коммерческих организациях, на территории различных промышленных предприятий и т.д.

Они предоставляют оператору, осуществляющему мониторинг, изображение в масштабе настоящего времени или архивные материалы. Количество камер в системе может исчисляться десятками, сотнями и даже тысячами.

Системы технологического видеонаблюдения функционируют в целях оптимизации производственных процессов. Использование современных средств видеомониторинга позволяет ускорить выполнение работ и минимизировать количество задействованного персонала. На сегодняшний день системы используются в промышленности для наблюдения за производственными линиями, в автоматизированных системах контроля состояния товарных запасов. Использование тепловизионной техники позволяет решать ряд куда более специализированных задач, например, определение объема жидкости в железнодорожных цистернах. Также с помощью технологических систем возможно определение нарушений сотрудниками установленных правил и техники безопасности.

Рассмотрим вопросы обеспечения информационной безопасности в таких системах.

Механизмы обеспечения достоверности и целостности видеоматериалов

Основными критериями безопасности информационных систем являются: достоверность, целостность и доступность циркулирующей информации.

Модификация видеоматериалов с целью подлога и изменение указанных выше критериев встречается не часто. Однако использование полученного видео в качестве доказательной базы в судебном процессе потребует обязательной экспертизы, проводимой независимыми лабораториями в целях подтверждения оригинальности материалов. В случае отсутствия такого подтверждения, нечеткости формулировок, предоставленных лабораторией, или слишком длительного срока, прошедшего с момента предоставления материалов, их рассмотрение, вероятнее всего, будет трактоваться в пользу ответчика.

Проводя расследование уголовного дела, спустя длительный период времени можно проанализировать видеоматериалы, получить идентификационные признаки правонарушителя и установить предполагаемое время события. Но как доказать достоверность предоставленной записи? Наиболее удачным и надежным решением проблемы является использование алгоритмов электронной цифровой подписи в соответствии с Федеральным законом об ЭЦП от 10. 01. 2002 г. В процессе регистрации видеоматериалов на цифровой носитель добавляется реквизит, полученный в результате криптографического преобразования информации с использованием закрытого ключа ЭЦП и позволяющий идентифицировать владельца сертификата ключа подписи, а также установить отсутствие искажения информации в исходном документе. Таким образом, запись, произведенная с использованием алгоритмов ЭЦП, является неопровержимым доказательством в суде. Обеспечение ИБ в системах телевизионного наблюдения Кроме видеоматериалов, в системах хранится большое количество сопутствующих данных, например: конфигурационные файлы, сведения о пользователях системы и их полномочиях, информация о системных событиях (от авторизации пользователей до типов выявленных неисправностей для отдельных устройств). Несанкционированный доступ и модификация указанной информации могут стать причиной вывода из строя целой системы. Таким образом, для корректной работы необходимо обеспечить доступность в соответствии с полномочиями для авторизованных пользователей, в то же время надежно ограничив доступ для всех остальных. В данном вопросе можно выделить ряд обобщенных рекомендаций, выполнение которых минимизирует риски преднамеренного вывода системы из строя. Стоит оговориться, что далее речь пойдет о системах, основанных на PC-based-оборудовании, с возможностями удаленного доступа к компонентам системы по локальной вычислительной сети. Классические системы, созданные на основе матричных коммутаторов и stand-alone-регистраторов, в существенной мере менее подвержены указанным рискам в силу специфичности используемых программно-аппаратных платформ и отсутствия механизмов удаленного сетевого доступа.

Для систем малого масштаба в целях повышения информационной безопасности целесообразно обратить внимание на настройку политик безопасности операционной системы. Как правило, средства реализации политики доступа ОС предшествуют программным средствам самой системы видеонаблюдения и при надлежащей настройке являются достаточно действенным механизмом на пути противодействия несанкционированному доступу и регистрации вносимых изменений в конфигурацию ОС. Эта рекомендация является универсальной и применима ко всем устройствам системы, будь то малый сетевой видеорегистратор, удаленная рабочая станция оператора или центральный сервер в распределенной клиентсерверной конфигурации. В системах с повышенными требованиями к авторизации пользователей возможно использование отдельных средств строгой аутентификации, которые представляют собой электронные устройства в виде USB-ключей или смарт-карт. Отсутствие такого ключа влечет за собой отказ в запуске системы, а внесение несанкционированного изменения в системную конфигурацию не остается незамеченным для авторизованного пользователя.

Следующим действенным этапом, не требующим существенных затрат, является конфигурация сетевых Access Control Lists (ACL) и Port Security. При создании систем безопасности, использующих ЛВС в целях передачи информации, рекомендуется применять вновь создаваемые сети. Однако, если такая возможность отсутствует или вложения в новую инфраструктуру представляются экономически неоправданными, возможно использование существующей ЛВС. В этом случае необходимо использовать виртуальную локальную вычислительную сеть или VLAN. С одной стороны, это позволит оградить общую сеть передачи данных от весьма внушительного трафика системы видеонаблюдения, с другой — изолировать на логическом уровне подсеть системы от общей ЛВС в целях обеспечения ИБ. Удаленный доступ к системе с использованием открытых каналов передачи данных должен сопровождаться установкой VPN-терминирующих устройств, осуществляющих шифрование передаваемых данных. Таким образом, затраты на обеспечение ИБ в системах малого масштаба невелики, а ее реализация определяется навыками и опытом специалистов компании-инсталлятора.

"Надо позаботиться о более широком применении в охране правопорядка технических средств, современных управленческих комплексов. Даже самые простые технические системы — видеонаблюдение, экстренная связь с милицией, мониторинг общественных зданий, мест пребывания граждан, школьных дворов — позволяют повысить уровень контроля за ситуацией в общественных местах".

(Президент РФ Путин В.В., 27 июня 2007 г.)

Комментарий эксперта

Главным привлекательным качеством охранного телевидения является возможность не только фиксировать нарушение режима охраны объекта, но и контролировать обстановку вокруг объекта, определять причины срабатывания охранной сигнализации, вести скрытое наблюдение и производить видеозапись охраняемого места или предмета, фиксируя движение нарушителя.

Но мало кто задумывается при этом, что изображение, передаваемое с камер видеонаблюдения и затем записываемое на те или иные материальные носители, можно вполне отнести к персональным данным субъекта, посещающего ту или иную организацию. По своей сути – это информация, которая относится "к определяемому или определенному на основании такой информации физическому лицу". А это значит, что любые манипуляции с таким видеоизображением подпадают под действие Федерального закона № 152–ФЗ "О персональных данных".

Знают ли об этом организации? Как обеспечивается сохранность видеоизображения? А самое главное – в курсе ли субъект персональных данных о том, что, переступив порог организации, он тем самым может попасть в ситуацию, когда без его ведома будет осуществлена видеозапись. И не факт, что его изображение не будет использовано в целях, ему не известных, или передано третьим лицам? Сколько организация может хранить такую запись? Вправе ли субъект персональных данных требовать подтверждения от организации, использующей такие системы, что полученное в ходе записи изображение будет затем уничтожено? В настоящее время к основным документам, регулирующим частную детективную и охранную деятельность в Российской Федерации, относится Закон от 11 марта 1992 г. № 2487-I "О частной детективной и охранной деятельности в Российской Федерации". В статье 11 охранным предприятиям предоставлено право использовать технические и иные средства, не причиняющие вреда жизни и здоровью граждан и окружающей среде, средства оперативной радио- и телефонной связи. Можем ли мы отнести системы охранного телевидения к таким средствам, и кто будет определять, был ли нанесен вред гражданам при их использовании, ведь ущерб может быть выражен не только в материальной, но и моральной форме? К кому предъявлять претензии, если, посетив медицинское учреждение и оказавшись зафиксированными камерами слежения, мы потом узнаем: это стало известно третьим лицам, что привело к увольнению с работы, срыву сделки? Ведь это прямое нарушение положений законодательства, касающегося защиты персональных данных субъектов.

Что делать? Надеяться на порядочность сотрудников службы безопасности, руководства охранных предприятий, осуществляющих видеосъемку в организации? Ответить на эти вопросы так же сложно, как и доказать, что именно использование информации, полученной в ходе работы системы охранного телевидения, нанесло ущерб субъекту персональных данных. Наверное, стоит над этим задуматься как законодателю, так организациям, использующим подобные системы.

***

ACL представляют собой набор правил, определяющих порты служб или имена доменов, доступных на узле со списком узлов или сетей, которым разрешен доступ к сервису. Сетевые ACL могут быть настроены как на обычном сервере, так и на сетевом маршрутизаторе и могут управлять как входящим, так и исходящим трафиком в качестве межсетевого экрана. Port Security позволит реализовать политику подключения доверенных IP- и MAC-адресов устройств.

Список литературы

Information Security №1, февраль-март 2009


 

Анекдот 
В штабе ракетных войск идёт совещание.
С вступительным словом выступает командир:
"Так, на повестке дня только один вопрос - сокращение штатов.
Какие будут предложения?"
За столом молчание...
"Ну что ж если предложений нет, то я думаю стоит начать с техасса."
показать все
    Профессиональная разработка и поддержка сайтов Rambler's Top100