Ze wzglêdu na charakter pracy sieciowych systemów monitoringu wizyjnego zapewnienie odpowiedniego bezpieczeñstwa sieci jest jednym z kluczowych elementów podczas budowy tego typu instalacji dozorowych. Istnieje wiele sposobów zabezpieczenia sieci zarówno bezprzewodowych, jak i przewodowych. W sieciowych systemach monitoringu kontrolowane mo¿e byæ niemal wszystko, pocz±wszy od wysy³anych danych skoñczywszy na wykorzystaniu i dostêpno¶ci sieci.
Bezpieczeñstwo transmisji
Odpowiedni poziom zabezpieczeñ transmisji danych w sieciowych systemach monitoringu jest kluczowym elementem w jego sprawnym dzia³aniu. Tworzenie bezpiecznej komunikacji w tego typu instalacjach mo¿na podzieliæ na trzy podstawowe etapy:
Etap I - Uwierzytelnianie
Podstawowym etapem komunikacji w sieci IP jest identyfikacja u¿ytkownika lub urz±dzenia w sieci i u odbiorcy. Odbywa siê to na zasadzie okazania systemowi swojego rodzaju dowodu to¿samo¶ci, wystêpuj±cego np. w postaci nazwy u¿ytkownika i has³a dostêpu, certyfikatu SSL oraz wykorzystania standardu IEEE 802.1x.
Etap II – Autoryzacja
Autoryzacja i akceptowanie uwierzytelniania jest kolejnym etapem w tworzeniu bezpiecznej komunikacji w sieciowych systemach monitoringu IP. To w³a¶nie na tym etapie system sprawdza, czy podane przez u¿ytkownika dane w trakcie uwierzytelniania s± prawid³owe (porównanie z baz± danych). Po zakoñczeniu autoryzacji, je¶li wszystko jest poprawne u¿ytkownik jest przepuszczany dalej, w przeciwnym razie dostêp do systemu jest blokowany.
Etap III – Prywatno¶æ
Jest to ostatni etap, który wi±¿e siê z zastosowaniem wymaganego poziomy prywatno¶ci. Przewa¿nie odbywa siê z wykorzystaniem szyfrowanej komunikacji, która uniemo¿liwia osobom nieuprawnionym odczyt danych. Wybór standardu szyfrowania jest dosyæ istotny, gdy¿ niew³a¶ciwe wybranie metody szyfrowania mo¿e skutkowaæ znacznym spadkiem wydajno¶ci systemu.
Obecnie najpowszechniejszymi metodami szyfrowania komunikacji s± sieci VPN (ang. Virtual Private Network) i protokó³ SSL/TLS, znany równie¿ jako HTTPS.
Bezpieczeñstwo w sieciach bezprzewodowych
Natura sieci bezprzewodowych sprawia, ¿e ka¿da osoba lub urz±dzenie znajduj±ce siê w ich zasiêgu mo¿e korzystaæ z udostêpnianych przez sieæ bezprzewodow± us³ug. Ta charakterystyczna cecha komunikacji bezprzewodowej sprawia, ¿e wymaga siê wrêcz odpowiednich zabezpieczeñ, które nie pozwol± osobom trzecim na korzystanie z zasobów danej sieci. Jak ju¿ wcze¶niej wspomnia³em we wspó³czesnych sieciach bezprzewodowych stosuje siê dwa podstawowe standardy szyfrowania, mianowicie standard WEP i WPA. Ka¿dy z nich ma swoje wady i zalety, a wybór odpowiedniego standardu zabezpieczaj±cego zale¿y od wymagañ danego systemu.
Ochrona poszczególnych urz±dzeñ
Bezpieczeñstwo sieci nie ogranicza siê jedynie do szyfrowania danych oraz uwierzytelniania u¿ytkowników, to równie¿ odpowiednie zabezpieczenie poszczególnych urz±dzeñ sieciowych pracuj±cych w systemie. Ochrona urz±dzeñ najczê¶ciej wi±¿e siê z ich zabezpieczeniem przed w³amaniem (dostêp osób trzecich), wirusami oraz innymi elementami, których nie po¿±damy w systemie.
Dostêp do komputerów lub serwerów PC mo¿na zabezpieczyæ przy pomocy nazwy u¿ytkownika i has³a, którego d³ugo¶æ powinna sk³adaæ siê przynajmniej z 6 znaków, które s± zarówno cyframi, jak i literami (ma³e i du¿e). Im d³u¿sze has³o dostêpu tym lepiej, poniewa¿ trudniej je z³amaæ, a w przypadku d³ugich kombinacji cyfr i liter jest to praktycznie niemo¿liwe. Dodatkowym sposobem zabezpieczenia urz±dzenia mo¿e byæ równie¿ specjalne narzêdzie, np. w postaci czytnika linii papilarnych lub mikroprocesorowej karty dostêpowej.
Bardzo wa¿ne jest odpowiednie zabezpieczenie urz±dzeñ sieciowych przed wirusami komputerowymi i z³o¶liwymi aplikacjami (np. trojany). Najlepiej stosowaæ profesjonalne skanery antywirusowe renomowanych firm, które czêsto s± aktualizowane w nowe bazy wirusów.
Kolejnym istotnym zabezpieczeniem podczas pod³±czenia urz±dzeñ sieciowych do sieci lokalnej LAN lub globalnej Internet jest zastosowanie odpowiedniej zapory Firewall, której zadaniem jest blokowanie lub ograniczanie okre¶lonego ruchu pochodz±cego z sieci. Ponadto, mo¿e równie¿ pe³niæ filtra, który kontroluje przechodz±ce przez sieæ dane lub je ogranicza.
Jako¶æ us³ugi – QoS (ang. Quality of Service)
Dynamiczny rozwój technologii bazuj±cych na protokole IP sprawia, ¿e obecnie zupe³nie ró¿ne sieci ³±cz± siê w jedn± sieæ komputerow±. Mo¿na zwa¿yæ niezwykle szybk± migracjê sieci telefonicznych i telewizyjnych (CCTV) ku rozwi±zaniom korzystaj±cym z protoko³u sieciowego IP. £±czenie ró¿nych sieci i rozwi±zañ sprawia, ¿e konieczna jest kontrola sposobu udostêpniania zasobów w celu spe³nienia wymagañ u¿ytkowych. Podstawowym standardem kontroli jako¶ci ¶wiadczonych us³ug jest QoS, który pozwala na wspó³istnienie ró¿nych aplikacji sieciowych w tym samym systemie.
QoS (ang. Quality of Service – jako¶æ us³ug) – wymagania na³o¿one na po³±czenie komunikacyjne, realizowane przez dan± sieæ telekomunikacyjn±, w celu zapewnienia okre¶lonej jako¶ci ró¿nych us³ug w sieci komputerowej. Jako¶ci± us³ugi mo¿e byæ przyk³adowo: zachowany poziom przepustowo¶ci sieci czy te¿ brak utraty pakietów danych.
W celu zapewnienia QoS stosuje siê nastêpuj±ce mechaniczny:
QoS w sieciowych systemach monitoringu
Aby mo¿na by³o w sieciowym systemie monitoringu zastosowaæ mechanizm jako¶ci us³ug QoS, system musz± byæ spe³niona dwa podstawowe warunki:
Sieæ zwyk³a bez mechanizmu QoS
Na przedstawionym powy¿ej schemacie PC1 jest odpowiedzialny za kontrolê dwóch strumieni wizyjnych pochodz±cych z kamera 1 i kamera 2. Obie kamery transmituj± sygna³ wizyjny z prêdko¶ci± 2,5Mb/s, co ³±cznie daje wykorzystanie pasma na poziomie 5Mb/s. W trakcie pracy kamer 1,2 i PC1 nagle rozpoczyna siê transfer plików z PC2 na PC3. W takim scenariuszu transfer plików bêdzie chcia³ wykorzystaæ pe³n± przepustowo¶æ dostêpnego ³±cza miêdzy routerami 1 i 2, natomiast strumienie danych bêd± chcia³y zachowaæ swoj± pierwotn± prêdko¶æ transmisji która ³±cznie wynosi 5Mb/s. W takim przypadku przepustowo¶æ przypisana dla systemu monitoringu nie mo¿e byæ zagwarantowana, a liczba klatek na sekundê z jak± odbywa siê przesy³ obrazu z ca³± pewno¶ci± zmaleje. W najgorszym scenariuszu ruch miêdzy PC2 i PC3 mo¿e wykorzystaæ ca³± dostêpn± przepustowo¶æ, co zaowocuje zaniechaniem transmisji wizji z kamery 1 i 2.
Sieæ z obs³uga mechanizmu QoS
Na przedstawionym powy¿ej schemacie Router 1 zosta³ skonfigurowany w taki sposób, aby przeznaczyæ maksymalnie 5 Mb/s na transmisjê sygna³u wizyjnego z dostêpnych 10 Mb/s do przesy³u danych. Na ruch FTP zosta³o zarezerwowane maksymalnie 2 Mb/s, za¶ dla pozosta³ego ruchu np. HTTP pozosta³e 3 Mb/s z dostêpnych 10 Mb/s. Takie rozwi±zanie gwarantuje zachowanie optymalnego pasma dla transmisji sygna³ów wizyjnych z kamery 1 i 2. Na transfer plików zosta³a przeznaczona mniejsza przepustowo¶æ, poniewa¿ jest uznawany za mniej wa¿ny od transmisji strumieni video. Warto równie¿ zwróciæ uwagê, ¿e te warto¶ci maksymalne maj± jedynie zastosowanie w sytuacjach przeci±¿enia sieci, natomiast je¿eli czê¶æ dostêpnej przepustowo¶ci nie jest wykorzystywana, mo¿e zostaæ wykorzystana przez inny typ ruchu sieciowego.