Панков М.А.
Любченко В.И.
Вихман В.В.
Новосибирский государственный технический университет
Россия, г. Новосибирск
ПОСТРОЕНИЕ ЗАЩИЩЕННОЙ СИСТЕМЫ ВИДЕОНАБЛЮДЕНИЯ
В настоящее время системы видеонаблюдения строятся по трем основным схемам. В первой схеме применяются аналоговые камеры, подключаемые к серверам хранения с помощью плат видеозахвата. Второй тип систем видеонаблюдения строится на основе IP-сети с использованием IP-камер и коммутационного оборудования. В третьем типе систем используется сеть распределенных видеорегистраторов с подключаемыми к ним видеокамерами. При этом, в случае использования гибридных видеорегистраторов, в такую систему можно включать одновременно аналоговые и IP-камеры.
В незащищенной сети видеонаблюдения возможны различные нарушения безопасности. Например, зачастую кабели, по которым передаются видеоданные, проложены в неохраняемых общедоступных кабельных каналах, и отличить их от кабелей других сетей не составляет большого труда. Нарушитель может скрытно подключиться к такой сети в любой точке и получить возможность просматривать и записывать происходящее со всех камер видеонаблюдения, подменять видеосигнал на ранее записанный, блокировать доступ посредством DDoS-атак.
Вопреки широко распространенному заблуждению, волоконно-оптические линии связи также не гарантируют конфиденциальность. Оптоволоконный кабель несложно разломить и затем снова соединить с помощью оптического разветвителя, который позволит получить доступ к передаваемой в сети информации. Чтобы выявить такое подключение, необходимо периодически снимать рефлектограммы сети и сравнивать их с исходными, полученными при построении СКС. Однако, как часто следует проводить такие проверки, чтобы быть уверенным в отсутствии несанкционированных подключений? И даже если такие проверки будут проводиться регулярно, все равно остается угроза подключения к линии.
Основных путей защиты от несанкционированного подключения к сети видеонаблюдения два. Первый из них - защита каналов связи с помощью VPN. Использование криптозащиты позволит быть уверенным в конфиденциальности и достоверности видеосигналов, при условии правильной настройки и администрирования VPN. Второй путь -обеспечение физической защиты линий связи с возможностью контроля целостности защитных устройств. Вариантом реализации второго пути защиты может быть, например, прокладка кабелей от камер видеонаблюдения внутри труб с датчиками давления, срабатывающих при разгерметизации трубы. Такая мера защиты позволит предупредить службу
безопасности при попытке подключения к сети, и, кроме того, защитит линии связи от случайного или умышленного повреждения.
В любом случае, независимо от способа защиты каналов связи от НСД, системы видеонаблюдения с прямым подключением видеокамер к серверу будут, несомненно, дороже, чем при использовании систем IP-камер или распределенных видеорегистраторов. Таким образом, фактор конфиденциальности и достоверности однозначно исключает применимость систем видеонаблюдения, строящихся по первой схеме, в крупных организациях.
Несанкционированный доступ может быть осуществлен и к серверу видеонаблюдения, на котором хранится видеоархив. В таком случае возможно удаление, подмена или копирование файлов видеоархива. Поэтому в подсистему безопасности системы видеонаблюдения следует включать средства предотвращения утечек информации. Применение таких средств позволит отслеживать и блокировать неразрешенные действия, производимые пользователями в системе, а также быть уверенным в конфиденциальности хранимой информации.
Одна из главных проблем системы видеонаблюдения - надежность и непрерывность видеозаписи. Основные уязвимости связаны с сетью связи и центральным сервером. Сервер хранения можно защитить с помощью средств резервного копирования. Но как быть с сетью передачи данных? Может оказаться так, что сервер потеряет доступ к сети. Например, из-за физического обрыва линий связи, либо по причине пакетного «шторма» или использования динамических техник обхода. Таким образом, отсутствие канала связи, либо изощренный пакетный «шторм» в сети, защита от которого весьма сложна, приведет к тому, что при исправном оборудовании системы на сервер ничего не запишется. Решение этой проблемы -осуществление резервной записи, желательно, в самой камере наблюдения. В принципе, возможен вариант использования IP-камер с осуществлением резервной записи на SD-карты. Но здесь опять же встает вопрос надежности и удобства такого резервирования. Более рациональным является использование HDD, подключаемых напрямую к видеорегистраторам, в качестве носителей информации для резервной видеозаписи. Также имеет смысл подключать рядом расположенные видеокамеры к различным видеорегистраторам, тем самым достигая резервирования самих видеокамер.
В итоге, такая распределенная схема с криптозащитой каналов связи на основе VPN, а также их физической защитой, в сочетании с резервированием видеозаписи, как на сервере, так и на видеорегистраторах, и применении DLP-системы для контроля за действиями пользователей позволит обезопасить систему видеонаблюдения от наиболее вероятных угроз информационной безопасности.