技術領域

本發明涉及一種視頻監控系統信息安全防護系統和方法，通過對視頻監控中心、視頻監控中心的網絡和用戶終端三個部分的安全防護，實現對視頻監控系統的整體防護，以避免數據泄露的可能。

縮略語及名詞解釋：

監控中心：視頻監控系統內特定的信息匯集、處理、共享節點

用戶終端：經視頻監控系統注冊并授權的、對系統內的數據和/或設備有操作需求的客戶端設備

背景技術

隨著視頻監控技術的不斷發展和應用，視頻監控系統中存儲著著大量的敏感數據文件，而這些視頻文件一旦泄密，將造成不可估量的損失。然而目前對于視頻監控系統的防泄密安全防護僅局限在網絡安全傳輸的層面，通過采用安全加密通道傳輸或對視頻數據加密傳輸的技術手段防止通過網絡數據竊取防止數據泄密，但對于視頻監控終端的防護卻存在嚴重缺失：

1、視頻監控終端可實時監視視頻錄像，在監視過程中，操作人員可輕易通過抓圖、截屏或屏幕錄像等操作方式獲取視頻數據；

2、視頻監控終端可隨意調取視頻錄像，并通過進行下載、導出等操作將視頻錄像文件保存到終端計算機中，對于這些文件，操作人員可輕易的拷貝，或被病毒、黑客獲取，造成信息泄密；

3、視頻監控系統無法預知自身的安全狀況，例如網絡的連接狀態、操作員的非法操作等，無法進行及時的告警和日志記錄，對于安全隱患的防治和事后追查毫無辦法。

發明內容

本發明提供了一種視頻監控系統信息安全防護系統和方法，通過對視頻監控中心、視頻監控中心的網絡和用戶終端三個部分的安全防護，實現對視頻監控系統的整體防護，以避免數據泄露的可能。

本發明所述的視頻監控系統信息安全防護系統，彌補了視頻監控系統的安全防護缺失，大大提升了視頻監控系統的防泄密安全。

圖1為本發明所述的視頻監控系統信息安全防護系統，其中包括：服務器管理模塊，內置防護模塊、USB防護模塊、網絡防護模塊和操作席防護模塊。

服務器管理模塊：

可制定安全管理策略，并通過和內置防護模塊、USB防護模塊、網絡防護模塊和操作席防護模塊的通信，下發安全管理策略，指導內置防護模塊、USB防護模塊、網絡防護模塊和操作席防護模塊的工作。

通過和內置防護模塊、USB防護模塊、網絡防護模塊和操作席防護模塊的通信，收集各個模塊的日志記錄，并進行統一管理。并對各個模塊日志的實時監測，一旦發現視頻監控中心的網絡狀態不正常，出現有用戶非法操作，則立即向管理員或上級監管平臺進行告警。

內置防護模塊：

部署在視頻監控中心中，通過操作系統內核層的動態加解密技術，實現對視頻監控中心中的視頻數據文件和通過視頻監控軟件抓圖所獲得的圖片文件進行及時加密處理，加密文件在視頻監控系統中被正常使用時，能夠自動解密使用，一旦脫離視頻監控中心，則無法被使用。同時針對監控中心中的IO端口進行實時監管，一旦發現有通過IO端口傳輸重要文件的操作，則將重要文件進行加密。例如，當通過USB存儲設備或刻錄光盤復制重要文件時，存儲到USB存儲設備和刻錄光盤中的重要文件自動加密。

內置防護模塊對用戶在監控中心上的截屏、錄屏、打印操作的安全管控，可以禁止用戶在監控中心上的截屏、錄屏、打印操作。并且將監控中心上的用戶操作以日志形式發送給服務器管理模塊。

USB防護模塊：

對被保護的視頻監控中心中用于視頻數據備份的USB接口進行管控；只有經過合法授權的情況下，才可同構視頻監控中心的USB接口進行備份；否則，USB防護模塊可終止視頻數據通過USB接口進行備份。

網絡防護模塊：

提供雙向監控服務，一方面實時監視視頻監控中心的網絡連接狀況，一旦出現異常，立即記錄日志；另一方面，實時監視連接視頻監控中心的用戶終端，當有用戶終端訪問視頻監控系統時，網絡防護模塊會對用戶終端的合法性進行認證，通過認證的用戶終端可正常訪問視頻監控中心，反之，則禁止訪問視頻監控中心。

網絡防護模塊偵聽所有鏈接監控中心的計算機的網絡數據包，當計算機部署了操作席防護模塊，則可以通過網絡防護模塊的合法性認證，允許連接監控中心，否則，網絡防護模塊將阻斷連接。

操作席防護模塊：

部署在視頻監控的用戶終端中，通過操作系統內核層的動態加解密技術，實現對用戶終端中的視頻數據文件和通過視頻監控軟件抓圖所獲得的圖片文件進行及時加密處理，加密文件在視頻監控系統中被正常使用時，能夠自動解密使用，一旦脫離視頻監控操作席計算機，則無法被使用。