40、網絡視頻監控系統有哪些安全因素需要考慮？

答案 :在監控安裝之前除了考慮監控安裝的位置、監控攝像機特定環境的特殊需求。視頻監控系統安全是一個廣泛的主題，它涉及到許多不同的區域（物理設備、互聯網絡、系統平臺、應用程序等），每個區域都有其相關的風險、威脅及解決方法。在任何實際的監控系統應用環境中，安全都只是相對的，沒有的安全，就像矛和盾的關系一樣。在網絡視頻監控系統中需要關注的安全因素主要有操作系統的安全、監控用戶信息的安全、應用軟件的安全，以及局域網網絡的安全等。

41、什么是 SSL 安全認證技術？

答案 :SSL 是 Secure socket Layer 的英文縮寫，它的中文意思是安全套接層協議，指使用公鑰和私鑰技術組合的安全網絡通訊協議。SSL 協議是網景公司（ Netscape ）推出的基于 WEB 應用的安全協議， SSL 協議了一種在應用程序協議（如 Http 、 Telenet 、 NMTP 和 FTP 等）和 TCP/IP 協議之間提供數據安全性分層的機制，它為 TCP/IP 連接提供數據加密、服務器認證、消息完整性以及可選的客戶機認證，主要用于提高應用程序之間數據的安全性，對傳送的數據進行加密和隱蔽，確保數據在傳送中不被改變，即確保數據的完整性。SSL 以對稱密碼技術和公開密碼技術相結合，可以實現如下三個通信目標：

1、秘密性： SSL 客戶機和服務器之間傳送的數據都經過了加密處理，網絡中的非法者所獲取的信息都將是無意義的密文信息。

2、完整性： SSL 利用密碼算法和散列（ HASH ）函數，通過對傳輸信息特征值的提取來保證信息的完整性，確保要傳輸的信息全部到達目的地，可以避免服務器和客戶機之間的信息受到破壞。

3、認證性：利用證書技術和可信的第三方認證，可以讓客戶機和服務區相互識別對方的身份。為了驗證證書持有者是其合法用戶（而不是冒名用戶）， SSL 要求證書持有者在握手時相互交換數字證書，通過驗證來保證對方身份的合法性。對于可靠性要求高的行業用戶，網絡視頻監控系統可以采用 SSL 協議對有關控制信令進行加密、身份認證、安全傳輸等，一般對視頻數據不采用 SSL.

42、MPLS VPN 如何保障網絡及信息安全？

答案 :MPLS 為每個 IP 包加上一個固定長度的標簽，并根據標簽值轉發數據包。 MPLS 實際上就是一種隧道技術，所以使用它來建立 VPN 隧道十分容易而高效。 MPLS VPN 采用路由隔離、地址隔離和信息隱藏等多種手段提供了抗攻擊和標記欺騙的手段。

1、路由隔離MPLS VPN 實現了 VPN 之間的路由隔離。每個 PE 路由器為每個所連接的 VPN 都維護一個獨立的虛擬路由轉發實例（ VFI ），每個 VFI 駐留來自同一 VPN 的路由 (靜態配置或在 PE 和 CE 之間運行路由協議 )。因為每個 VPN 都產生一個獨立的 VFI，因此不會受到該 PE 路由器上其它 VPN 的影響。在穿越 MPLS 核心到其它 PE 路由器時，這種隔離是通過為多協議 BGP（MP-BGP ）增加的 VPN 標志符（比如路由區分器）來實現的（這是在 BGP 方式下，虛擬路由的方式與此類似）。 MP-BGP 穿越核心網專門交換 VPN 路由，并保存在其它 PE 的特定 VPN 的 VFI 中，而不會把這些 BGP 信息重新分發給核心網絡。因此穿越MPLS 網絡的每個 VPN 的路由是相互隔離的。

2、隱藏 MPLS 核心結構出于安全考慮，運營商和終端用戶通常并不希望把它們的網絡拓撲暴露給外界，這可以使攻擊變得更加困難。如果知道了 IP 地址，一個潛在的攻擊者至少可以對該設備發起 Dos 攻擊。但由于使用了 “ 路由隔離 ” ， MPLS 不會將不必要的信息泄漏給外界，甚至是向客戶 VPN 。在不提供因特網接入服務的 “ 純粹 ”的 MPLS VPN 中， 信息隱藏的程度可以與幀中繼或 ATM 網絡相媲美， 因為它不會把任何編址信息泄漏給第三方或因特網。 因此當 MPLS網絡沒有和因特網互聯時，其安全性等價于幀中繼或 ATM 網絡。但如何客戶選擇通過 MPLS 核心網絡同時接入到因特網，那么運營商至少會把一個 IP 地址（對等 PE路由器的）暴露給下一個運營商或用戶，存在被攻擊的可能性。

3、抗攻擊性因為進行了路由隔離， 因此不可能從一個 VPN 攻擊另外一個 VPN 或核心網絡。 但從理論上講有可能利用路由協議對 PE 路由器進行 Dos 攻擊， 或者攻擊 MPLS 的信令信息。要相攻擊 PE 路由器就必須知道它的 IP 地址，但由于上面介紹的原因， IP 地址已經被隱蔽。另外，就算是攻擊者猜測到了 PE 的 IP 地址，也無法進行有效的攻擊，因為也進行了有效的 MPLS “路由隔離 ”。對于 MPLS 信令系統的攻擊，如果在所有 PE/CE 對等體上對路由協議使用 MD5 認證，就能夠有效防止虛假路由的問題。另外，很容易跟蹤這種潛在的對 PE 的 Dos 攻擊的源地址。

4、標記欺騙在 MPLS 網絡中，包的轉發不是基于 IP 目的地址，而是基于由 PE 路由器預先添加的標記。與 IP 欺騙攻擊時攻擊者替代包的 IP 源地址和目的地址相似，理論上有可能出現 MPLS 包的標記欺騙。任何 CE 路由器和它的對等 PE 路由器之間的接口主要是 IP 接口（也就是說沒有標記）。 CE 路由器不知道 MPLS 核心的存在，所有的 “ 標記”工作都應該是由 PE 完成的。因此出于安全考慮， PE 路由器應該不接受來自 CE 路由器的任何標記包。當然，發送到 MPLS 網絡中的包仍然存在 IP 地址欺騙的可能性，但這可以通過地址隔離來實現，使得屬于某個 VPN 的用戶只可能攻擊他自己的網絡，而無法攻擊別人的網絡。

河南元興網絡科技有限公司是一家從鄭州監控設計、鄭州監控安裝、鄭州網絡布線、鄭州光纖熔接、無線網絡覆蓋、光纖熔接、防盜報警等弱電系統銷售、安裝、維護于一體的現代化高科技企業，為廣大用戶提供監控設計、監控安裝、監控調試、監控培訓、監控維護的“”服務。 公司自成立以來，先后成功的安裝了各種大小型超市監控、防盜、公司門禁考勤系統工程，業績遍布金融系統、商貿酒店、學校、住宅小區、公誠的服務，為客戶創造更為舒適的辦公環境。

43、防火墻如何保障系統安全？

答案 :現在防火墻產品一般通過如下技術保障系統安全：

1、包過濾技術：其原理在于監視并過濾網絡上流入流出的包，拒絕發送那些可疑的包。由于包過濾技術無法有效地區分相同 IP 地址的不同用戶，安全性相對較差。

2、代理服務技術：其原理是在網關計算機上運行應用代理程序，運行時由兩部分連接構成：一部分是應用網關同內部網用戶計算機建立的連接，另一部分是代替原來的客戶程序與服務器建立的連接。通過代理服務，內部網用戶可以通過應用網關安全地使用 Internet 服務，而對于非法用戶的請求將予拒絕。代理服務技術與包過濾技術不同之處，在于內部網和外部網之間不存在直接連接，同時提供審計和日志服務。

3、網絡地址轉換技術：其原理如同電話交換總機，當不同的內部網絡用戶向外連接時，使用相同的 IP 地址（總機號碼） ;內部網絡對外部網絡來說是不可見的，防火墻能詳盡記錄個內部網計算機的通信，確保每個數據包的正確傳送。

4、虛擬專用網 VPN 技術：虛擬專用網（ VPN ）是局域網在廣域網上的擴展，是專用計算機網絡在 Internet 上的延伸。 VPN 通過專用隧道技術在公共網絡上仿真一條點到點的專線，實現安全的信息傳輸。雖然 VPN 不是真正的專用網絡，但卻能夠實現專用網絡的功能。5、審計技術：通過對網絡上發生的各種訪問過程進行記錄和產生日志，并對日志進行統計處理，從而對網絡資源的使用情況進行分析，對異常現象進行追蹤監視，對于異常用戶訪問網絡硬盤錄像機進行跟蹤、分析、處時處理。

6、信息加密技術：加密路由器對路由的信息進行加密處理，然后通過 Internet 傳輸到目的端進行解密，這樣監控系統圖像數據信息以密文的形式傳輸，使遠程監控得以在安全的環境中進行訪問。

44、網絡視頻監控系統系統中哪些地方需要部署防火墻？

答案 :網絡視頻監控系統系統主要在中心平臺，除分發服務器和存儲服務器以外的部分一般都需要部署防火墻，部署防火墻能有效阻止對視頻監控系統的攻擊。