Mirasys White Logo Web

Mirasys VMS V.8

A Mirasys VMS V8 egy jelentős szoftverfrissítés mellyel számos meghatározó termékváltozás jár együtt.

A Mirasys VMS V8  – verz. V8.0 néven korlátozott elérhetőséggel – először 2017 tavaszán jelent meg majd ezt követte a verz. V8.1.  a nyár folyamán.

Verz 8.0

Verz. 8.0 új jellemzők és funkcionalitás:

  • A Windows Spotter és a System Manager külsőre megújulnak;
    • Új TruStream dinamikus stream választás funkció
    • Activity Data gyorsítótár
    • Többszörösen dedikált riasztási monitorok
    • 360° kamera de-warping támogatás
  • ÚJ Mirasys TruStore tárolási architektúra
  • H.265/HEVC és Mobotix MxPEG videódekódolás támogatás
  • Kompatibilitás a V7 / V6 hálózati VMS szerverekkel

Megjegyzés: V8.0-tól kezdődően a Mirasys VMS kizárólag 64-bites verzióban működik. A 32bit-es verziót támogató környezetbe az utolsó, V7.5-öt javasoljuk használni.

Verz 8.1

Verz.  8.1 új jellemzők és funkcionalitás:

  • Többszörös Mesterszerver belépés különálló, PC-n futó Spotterről
  • Dinamikus kamera és driver beállítási konfiguráció
  • Tömörített és titkosított ügyfél-szerver illetve szerver-szerver kommunikáció egy kapcsolat-specifikus kulccsal (256 bit AES) a meglévő érzékeny adattikosítás (256 bit AES) mellett
    • A V7.5-ös és a legutóbbi V6.4-es karbantartó kiadásban is

Verzió 8.4

Verz. 8.4 előkészületben van, 2017 negyedik negyedévben esedékes még meghatározóbb frissítésekkel:

  • Egységes rendszer-szintű szoftverlicensz a hálózatba szervezett összes szerver számára
  • Új HTML5 webes ügyfél applikáció PC-re, tablet és mobil használat
  • Új HTML5 ügyfél adminisztrációs előnézet
  • Új HTTP REST Applikáció interface programozáshoz, rendszer integrációs fejlesztésekhez

 

MIRASYS VMS BIZTONSÁGI INFORMÁCIÓ

Videóátviteli Biztonság

IP-kamera konfigurációhoz a legtöbb IP-kamera és videószerver támogatja a  parancs interfaceket HTTP-n vagy a SSL / TLS biztonsági változatán keresztül, HTTPS a titkosított kommunikációhoz.

Amikor a HTTP van használatban, a kommunikáció nem titkosított, és ha a kamera használja, az un. “basic” hitelesítés módszert a kamera felhasználónév/jelszó párosítása szöveg formájában kering a hálózaton. HTTPS és az ún. kivonatos hitelesítési módszer (amennyiben a kamera és a driver támogatja azt) biztonságossá teszi a felhasználónév/jelszó párosítást. A kivonatos hitelesítési módszer használható HTTP-vel vagy HTTPS-el.

Néhány kameragyártónak is van saját, alacsonyabb szintű, TCP-s interfész parancssora és nem használnak HTTP/HTTPS-t. Ebben az esetben egyáltalán nincs titkosított kapcsolat.

Jelenleg, ha egy kameragyártó által támogatott a HTTP, rendszerint a HTTPS is támogatott. (a HTTP támogatott kamerák megtalálhatók a “HTTPS Support” oszlopban a Mirasys VMS által támogatott kameralistában)

Megjegyzés: Ha az eszközök a gyártó alapértelmezett felhasználónév/jelszó párosítással maradnak, akkor nem számít, hogy a kapcsolat biztonságos-e vagy sem, mivel a felhasználónevek és a jelszavak ismertek és egyszerűen elérhetők a gyártó telepítési dokumentációjában.

A valós videostream általában nem HTTP-t vagy HTTPS-t használ. Az IP kamerás videostream elsősorban két hálózati protokoll használatával történik:

  • RTSP –  egy streamkontroll protokoll
  • RTP  –  az aktuális streaming protokoll

Az RTP protokoll az aktuális videostreaming-hez szükséges és elküldhető különböző alacsonyabb szintű küldöprotokoll segítségével:

  • RTP – RTSP-n keresztül
  • RTP – TCP-n keresztül
  • RTP – UDP-n keresztül

Általánosságban, ha teljes körű kommunikációs biztonságra van szükség a nem biztonságos hálózatokon belül, egy külön VPN virtuális magánhálózat használata a legegyszerűbb megoldás. (anélkül, hogy az IP-kamerákra szükség volna).

Általános Mirasys VMS Biztonság

A Mirasys azt ajánlja, hogy a rendszerek a legfrissebb szoftververziókkal és biztonsági frissítésekkel mindig naprakészek legyenek.

A Mirasys VMS rendszerek általában saját magánhálózatukban (fizikai hálózatok vagy VLAN-k, virtuális LAN-k) léteznek, külső kapcsolatok nélkül.

A Mirasys rendszerek telepítése esetében ajánljuk, hogy a szokásos megfigyelő kamerák egy külön kamerarendszerben legyenek elkülönítve, ahol a közvetlen kamerakommunikáció kizárólag a kamera hálózatán belül történik, és a VMS-szerverek által elkülönülnek a megtekintési/hozzáférési hálózattól (amelyek mindkét hálózathoz csatlakoznak).

Hálózatos, több helyszínes környezetben a telepítések általában privát vállalati hálózatokban történnek és a távoli kapcsolat a hálózatüzemeltetők, az internetszolgáltatók vagy a vállalati VPN-ek biztonságos kapcsolatai révén zajlik.

A kiszolgáló-kiszolgáló és az ügyfél-kiszolgáló „remote” esetében az adatkommunikáció – az érzékeny adatok (például a felhasználónevek, jelszavak és hasonlók) számára – az alapértelmezés szerint tömörített és titkosított.

Opcionálisan a Mirasys VMS 7.5-es és 8.1-es verzióiban is külön kiegészítő, teljes jelzés-titkosítást lehet bekapcsolni (ez a CPU-teljesítményhatást veszi figyelembe).

A teljes jelátviteli csatorna tömörítése és titkosítása a Mirasys Partner Web (Extranet) weboldalán elérhető 6.4-es változat (V6.4.6) karbantartási kiadásánál is elérhető, és olyan környezetben ajánlott, ahol a hálózat egyébként nincs biztosítva.

Csatornatitkosítás

A teljes távoli csatornatitkosítás engedélyezhető.  A biztonsági környezet beállítása a hívás szintjén történik a titkosított (új kiszolgálókkal szemben) és nem titkosított (régebbi kiszolgálókhoz) kapcsolatok támogatására.

Az alkalmazott titkosítási algoritmus egy zéróbiztos engedélyezési algoritmus, ahol:

  1. Az ügyfél vagy a kiszolgáló kezdeményezi a Biztonsági munkamenet létrehozását.
  2. A kiszolgáló egy változó hosszúságú, önkényes szekvenciát generál és elküldi az ügyfélnek. A szekvencia hossza 128 és 256 bájt között változik.
  3. Az ügyfél megkapja a szekvenciát és kiszámítja a HMAC-SHA1 (160 bites) kulcsos „hash” összeget a jelszó és a kapott sorrend alapján. Az eredmény és a soros bejelentkezés elküldésre kerül a szerverre.
  4. A szerver kiszámítja ugyanazt a „hash”összeget és összehasonlítja a számított értéket a fogadott szekvenciával. Ha a bájtszekvenciák egyenlõek az úgy tekinthető, hogy az ügyfélt bizonyította jelszóval kapcsolatos ismereteit.
  5. Az ügyfél és a kiszolgáló is egy 256 bites kulcsot és egy 128 bites IV vektort hoz létre a jelszó alapján a szimmetrikus titkosítás érdekében (Rijndael / AES titkosítás) és egy 192 bites kulcsot a tartalom integritásának ellenőrzéséhez.

Ennek eredményeként rendelkezünk egy biztonsági szolgáltatóval mely

  • nem küld semmilyen titkosítatlan adatot a hálózaton keresztül. Csak „hash”összegek kerülnek küldésre. Minden egyes létrehozott kapcsolat és biztonsági kapcsolat egyedi.
  • 256 bites Rijndael / AES szimmetrikus titkosítást hajt végre CBC vagy EBC láncolási módokban a kért titkosítási funkcióktól függően. A gombok minden kapcsolathoz és biztonsági munkamenethez egyediek. A kulcsokat nem küldi el a hálózaton keresztül.
  • A tartalom-integritást ellenőrzi a MAC-3DES-CBC (64 bites) kulcsos hash algoritmus vagy a HMAC-SHA1 (160 bites) kulcsos hash algoritmus alapján, a kért funkcióktól függően. A kulcsokat nem küldi át.

Csatorna Tömörítés

A megoldás a kimenő csomagok tömörítésére a SharpZipLib könyvtárat használja. A tömörítési arány nagymértékben függ a küldött tartalomtól. Általánosan a tömörítés használatával 5x-10x csökkenthető a forgalom a nagy szövegek esetében és DataSet értékekre. Az ASCII formátumú angol szöveget általában hamadával tömöríti össze. A UNICODE szöveget általában 4-től 6-ig tömöríti. Ez jelentősen növeli a tömörítés arányát.

Az általános IT rendszer készenléti tervezése

Egy szervezetnek képesnek kell lennie arra, hogy minden veszélynek ellenálljon és fenntartsa küldetését a környezeti változások közepette. Ahelyett, hogy csak a fenyegetések, sebezhetőségek és kockázatok azonosítására és mérséklésére törekedne, a szervezetek törekedhetnek egy rugalmas infrastruktúra kiépítésére, minimálisra csökkentve így a kritikus funkciók esetleges zavarait.

A rugalmasság az a képesség, amely gyors alkalmazkodást tesz lehetővé minden ismert vagy ismeretlen változáshoz illetve a működés helyreállításához.

Az objektív biztonsági iránymutatások általános képletének meghatározása az információk és az információs rendszerek szervezeti működésre és eszközeire, az egyénekre valamint más szervezetekre gyakorolt hatására:

  • A titoktartás megőrzi az információhoz való hozzáférésre és a nyilvánosságra-hozatalra vonatkozó engedélyezett korlátozásokat, beleértve a személyes adatok védelmét és a tulajdonosi információkat.
  • Az integritás védelmet nyújt a helytelen információ-módosítás vagy megsemmisítés ellen és magában foglalja az információ megtagadását és hitelességét.
  • Az elérhetőség biztosítja az időben történő, megbízható hozzáférést és az információk felhasználását.

Az információs rendszer készenléti tervezése egy sokkal szélesebb biztonsági és vészhelyzeti menedzsment-erőfeszítésbe illeszkedik, amely magában foglalja a szervezeti és az üzleti folyamatok folytonosságát, a katasztrófa-helyreállítási tervezést és az eseménykezelést.

Végezetül egy szervezetnek rendelkeznie kell egy olyan tervvel, amely saját információs rendszereit, küldetését, üzleti folyamatait, személyi állományát és létesítményét érintő zavarokra megfelelő reagálási, helyreállítási és folytonossági válaszokkal tud szolgálni

A folyamatosság és a vészhelyzeti tervezés a vészhelyzeti menedzsment és a szervezeti rugalmasság kritikus elemei, de gyakran összetévesztik őket használatuk során:

  • A folytonossági tervezés általában az üzleti tevékenységre vonatkozik; a kritikus funkciók és folyamatok folytatásának képessége a sürgősségi esemény alatt és után.
  • A vészhelyzeti tervezés rendszerint az információs rendszerekre vonatkozik, és megadja azokat a lépéseket, amelyek a kijelölt információs rendszerek egészének vagy egy részének a vészhelyzetben már létező vagy új helyre történő helyreállításához szükségesek.
  • A „Cyber Incident Response Planning” egy olyan típusú terv, amely rendszerint a számítógépes biztonsági eseményekre vagy eseményekre történő felderítésre, válaszra és helyreállításra összpontosít.