40、网络视频监控系统有哪些安全因素需要考虑？

答案 :在监控安装之前除了考虑监控安装的位置、监控摄像机特定环境的特殊需求。视频监控系统安全是一个广泛的主题，它涉及到许多不同的区域（物理设备、互联网络、系统平台、应用程序等），每个区域都有其相关的风险、威胁及解决方法。在任何实际的监控系统应用环境中，安全都只是相对的，没有的安全，就像矛和盾的关系一样。在网络视频监控系统中需要关注的安全因素主要有操作系统的安全、监控用户信息的安全、应用软件的安全，以及局域网网络的安全等。

41、什么是 SSL 安全认证技术？

答案 :SSL 是 Secure socket Layer 的英文缩写，它的中文意思是安全套接层协议，指使用公钥和私钥技术组合的安全网络通讯协议。SSL 协议是网景公司（ Netscape ）推出的基于 WEB 应用的安全协议， SSL 协议了一种在应用程序协议（如 Http 、 Telenet 、 NMTP 和 FTP 等）和 TCP/IP 协议之间提供数据安全性分层的机制，它为 TCP/IP 连接提供数据加密、服务器认证、消息完整性以及可选的客户机认证，主要用于提高应用程序之间数据的安全性，对传送的数据进行加密和隐蔽，确保数据在传送中不被改变，即确保数据的完整性。SSL 以对称密码技术和公开密码技术相结合，可以实现如下三个通信目标：

1、秘密性： SSL 客户机和服务器之间传送的数据都经过了加密处理，网络中的非法者所获取的信息都将是无意义的密文信息。

2、完整性： SSL 利用密码算法和散列（ HASH ）函数，通过对传输信息特征值的提取来保证信息的完整性，确保要传输的信息全部到达目的地，可以避免服务器和客户机之间的信息受到破坏。

3、认证性：利用证书技术和可信的第三方认证，可以让客户机和服务区相互识别对方的身份。为了验证证书持有者是其合法用户（而不是冒名用户）， SSL 要求证书持有者在握手时相互交换数字证书，通过验证来保证对方身份的合法性。对于可靠性要求高的行业用户，网络视频监控系统可以采用 SSL 协议对有关控制信令进行加密、身份认证、安全传输等，一般对视频数据不采用 SSL.

42、MPLS VPN 如何保障网络及信息安全？

答案 :MPLS 为每个 IP 包加上一个固定长度的标签，并根据标签值转发数据包。 MPLS 实际上就是一种隧道技术，所以使用它来建立 VPN 隧道十分容易而高效。 MPLS VPN 采用路由隔离、地址隔离和信息隐藏等多种手段提供了抗攻击和标记欺骗的手段。

1、路由隔离MPLS VPN 实现了 VPN 之间的路由隔离。每个 PE 路由器为每个所连接的 VPN 都维护一个独立的虚拟路由转发实例（ VFI ），每个 VFI 驻留来自同一 VPN 的路由 (静态配置或在 PE 和 CE 之间运行路由协议 )。因为每个 VPN 都产生一个独立的 VFI，因此不会受到该 PE 路由器上其它 VPN 的影响。在穿越 MPLS 核心到其它 PE 路由器时，这种隔离是通过为多协议 BGP（MP-BGP ）增加的 VPN 标志符（比如路由区分器）来实现的（这是在 BGP 方式下，虚拟路由的方式与此类似）。 MP-BGP 穿越核心网专门交换 VPN 路由，并保存在其它 PE 的特定 VPN 的 VFI 中，而不会把这些 BGP 信息重新分发给核心网络。因此穿越MPLS 网络的每个 VPN 的路由是相互隔离的。

2、隐藏 MPLS 核心结构出于安全考虑，运营商和终端用户通常并不希望把它们的网络拓扑暴露给外界，这可以使攻击变得更加困难。如果知道了 IP 地址，一个潜在的攻击者至少可以对该设备发起 Dos 攻击。但由于使用了 “ 路由隔离 ” ， MPLS 不会将不必要的信息泄漏给外界，甚至是向客户 VPN 。在不提供因特网接入服务的 “ 纯粹 ”的 MPLS VPN 中， 信息隐藏的程度可以与帧中继或 ATM 网络相媲美， 因为它不会把任何编址信息泄漏给第三方或因特网。 因此当 MPLS网络没有和因特网互联时，其安全性等价于帧中继或 ATM 网络。但如何客户选择通过 MPLS 核心网络同时接入到因特网，那么运营商至少会把一个 IP 地址（对等 PE路由器的）暴露给下一个运营商或用户，存在被攻击的可能性。

3、抗攻击性因为进行了路由隔离， 因此不可能从一个 VPN 攻击另外一个 VPN 或核心网络。 但从理论上讲有可能利用路由协议对 PE 路由器进行 Dos 攻击， 或者攻击 MPLS 的信令信息。要相攻击 PE 路由器就必须知道它的 IP 地址，但由于上面介绍的原因， IP 地址已经被隐蔽。另外，就算是攻击者猜测到了 PE 的 IP 地址，也无法进行有效的攻击，因为也进行了有效的 MPLS “路由隔离 ”。对于 MPLS 信令系统的攻击，如果在所有 PE/CE 对等体上对路由协议使用 MD5 认证，就能够有效防止虚假路由的问题。另外，很容易跟踪这种潜在的对 PE 的 Dos 攻击的源地址。

4、标记欺骗在 MPLS 网络中，包的转发不是基于 IP 目的地址，而是基于由 PE 路由器预先添加的标记。与 IP 欺骗攻击时攻击者替代包的 IP 源地址和目的地址相似，理论上有可能出现 MPLS 包的标记欺骗。任何 CE 路由器和它的对等 PE 路由器之间的接口主要是 IP 接口（也就是说没有标记）。 CE 路由器不知道 MPLS 核心的存在，所有的 “ 标记”工作都应该是由 PE 完成的。因此出于安全考虑， PE 路由器应该不接受来自 CE 路由器的任何标记包。当然，发送到 MPLS 网络中的包仍然存在 IP 地址欺骗的可能性，但这可以通过地址隔离来实现，使得属于某个 VPN 的用户只可能攻击他自己的网络，而无法攻击别人的网络。

河南元兴网络科技有限公司是一家从郑州监控设计、郑州监控安装、郑州网络布线、郑州光纤熔接、无线网络覆盖、光纤熔接、防盗报警等弱电系统销售、安装、维护于一体的现代化高科技企业，为广大用户提供监控设计、监控安装、监控调试、监控培训、监控维护的“”服务。 公司自成立以来，先后成功的安装了各种大小型超市监控、防盗、公司门禁考勤系统工程，业绩遍布金融系统、商贸酒店、学校、住宅小区、公诚的服务，为客户创造更为舒适的办公环境。

43、防火墙如何保障系统安全？

答案 :现在防火墙产品一般通过如下技术保障系统安全：

1、包过滤技术：其原理在于监视并过滤网络上流入流出的包，拒绝发送那些可疑的包。由于包过滤技术无法有效地区分相同 IP 地址的不同用户，安全性相对较差。

2、代理服务技术：其原理是在网关计算机上运行应用代理程序，运行时由两部分连接构成：一部分是应用网关同内部网用户计算机建立的连接，另一部分是代替原来的客户程序与服务器建立的连接。通过代理服务，内部网用户可以通过应用网关安全地使用 Internet 服务，而对于非法用户的请求将予拒绝。代理服务技术与包过滤技术不同之处，在于内部网和外部网之间不存在直接连接，同时提供审计和日志服务。

3、网络地址转换技术：其原理如同电话交换总机，当不同的内部网络用户向外连接时，使用相同的 IP 地址（总机号码） ;内部网络对外部网络来说是不可见的，防火墙能详尽记录个内部网计算机的通信，确保每个数据包的正确传送。

4、虚拟专用网 VPN 技术：虚拟专用网（ VPN ）是局域网在广域网上的扩展，是专用计算机网络在 Internet 上的延伸。 VPN 通过专用隧道技术在公共网络上仿真一条点到点的专线，实现安全的信息传输。虽然 VPN 不是真正的专用网络，但却能够实现专用网络的功能。5、审计技术：通过对网络上发生的各种访问过程进行记录和产生日志，并对日志进行统计处理，从而对网络资源的使用情况进行分析，对异常现象进行追踪监视，对于异常用户访问网络硬盘录像机进行跟踪、分析、处时处理。

6、信息加密技术：加密路由器对路由的信息进行加密处理，然后通过 Internet 传输到目的端进行解密，这样监控系统图像数据信息以密文的形式传输，使远程监控得以在安全的环境中进行访问。

44、网络视频监控系统系统中哪些地方需要部署防火墙？

答案 :网络视频监控系统系统主要在中心平台，除分发服务器和存储服务器以外的部分一般都需要部署防火墙，部署防火墙能有效阻止对视频监控系统的攻击。