一、背景
近些年,在各行业、各领域已经普遍使用了视频监控技术,强化对重点区域的监管。但是随着互联网技术的不断发展,在视频监控领域不断爆出信息安全事件,2018年安全公司Tenable的研究人员披露了一项涉及安全摄像头和监控设备的“零日漏洞”,编号为CVE-2018-1149,代号“Peekaboo”;2017年,红黄蓝事件中,经调取涉事班级监控视频存储硬盘,发现已有损坏;2015年CNCERT发布的 《2015年我国互联网网络安全态势综述》 中提到, “2015 年,CNVD通报了多款智能监控设备、路由器等存在被远程控制高危风险漏洞的安全事件,2015 年初,政府机关和公共行业广泛使用的某型号监控设备被曝存在高危漏洞,……。以上安全事件不但造成了用户经济利益的损失,也导致了不良的社会影响,因此,通过技术手段对视频系统进行安全加固,搭建稳定运行、安全可靠的视频监控系统,已经成为各行各业迫切需要解决的问题。
目前视频监控系统建设在信息安全方面普遍有所缺失,往往只能依赖于传统安全防护措施,比如:采用防火墙实现网络层准入与访问控制、采用数据防泄漏保证数据安全等。一方面:这些安全防控措施增加了建设成本;另一方面:这些传统基于网络层的安全手段,虽然在一定程度上提升了安全性,但是视频码流、控制指令交换等重要的业务数据仍然处于“裸奔”状态,无法从根本上解决目前的安全风险。更为重要的是,视频监控系统在信息安全建设方面缺少统一、规范、标准的技术指导,是导致视频监控安全建设缺失的主要原因之一。
2018年11月,国家强制性标准《GB 35114-2017公共安全视频监控联网信息安全技术要求》正式实施,它通过密码技术与视频技术的融合,为视频监控系统提供了完善的技术指导,已经成为各行业在安全视频监控系统建设的重要依据。GB35114以国产视频监控编解码标准与信令控制标准为基础,通过数字签名、加解密等基于国产密码算法的密码技术,即从根本上解决了视频监控的安全性问题,又确保了“自主可控”,能够为视频监控体系建立可靠安全屏障,已经成为了视频监控安全体系建设的重要依据。
公安视频监控业务的重点工作之一是在公安视频专网中构建层级化的视频联网体系,如下所示:
图1: 基础网络现状图
根据《全国公安机关图像信息联网总体技术方案》,建立省公安局、市公安分局、及县派出所为监控中心的分级防控系统,系统分为三级联网,分别是:
1、 一级监控中心:省厅视频监控指挥中心
省级平台包括视频管理系统、智能分析系统、安全支撑系统、大数据分析系统、联网网关、数据库服务器等模块,通过国标GB/T28181接入委办局、社会资源,并向联网平台提供基础视频资源,支撑省级公共安全视频管理业务高效开展。
2、 二级监控中心:各市级公安分局监控指挥中心
市级平台包括视频管理系统、智能分析系统、安全支撑系统、联网网关、设备接入网关、数据库服务器等模块,通过国标GB/T28181向上级联省级平台、接入委办局、社会资源,并向联网平台提供基础视频资源,支撑市级公共安全视频管理业务高效开展。
3、 三级监控中心:县级派出所分控中心
县级派包括视频管理系统、安全支撑系统、设备接入网关、数据库服务器等模块,接入各类型前端设备,通过国标GB/T28181向上级联市区级平台。
目前已经建设的视频监控系统普遍缺少针对性的信息安全防护措施,尤其在前端摄像机在收到图像信息之后进行编解码、码流传输、图像数据存储、视频信令交换等过程,面临着截获、篡改、恶意破坏、违规接入等安全风险。具体包括:
l 监控点位众多、分布广泛、多位于室外无人值守环境、网络节点多的情况下,物理安全完全缺失;
l 视频监控系统横跨:互联网、政务外网、专网、信息网多个安全区,各安全区域安全需求不同,安全要求迥异,无法在跨管理域、信任域的情况下实施统一的安全防护措施;
l 已经使用主要安全防护措施包括:采用网络准入实现设备认证、采用防火墙实施访问控制、采用数据防泄漏系统保证视频数据安全等,但是传统安全防护措施,无法从根本上解决视频监控风险。
对于目前公安图像信息联网体系来说,采用一套基于GB35114的视频监控安全解决方案,有效解决上述问题,降低公安视频专网的安全风险,已经迫在眉睫。
作为安防领域唯一信息安全技术标准,GB35114自2018年正式实施起,在2019年、2020年逐渐在业内得到广泛的认可,从视频监控平台、前端摄像机到NVR、解码器等主流厂商分别积极参与。截止到2019年底,通过公安部一所检测中心GB35114符合性检测的厂商400余份:
截止到2019年12月底,通过公安部一所检测中心检测符合GB35114标准的视频监控产品多个品类。上表中的所有产品均达到GB35114标准技术要求,分别能够在视频监控产品在功能上支持以下级别:
A级:设备认证、用户认证与信令认证;
B级:设备认证、用户认证、信令认证与视频签名;
C级:设备认证、用户认证、信令认证、视频签名与视频加密。
上述符合性产品的广泛应用,为GB35114落地实施奠定了坚实的基础,但是仅仅依靠视频监控产品是无法支撑GB35114密码功能的实现,需要采用合法、合规的密码产品与服务,才能真正达到对视频监控体系进行安全防护的目的。
为了进一步落实国家对密码应用创新发展的相关要求,2020年7月,公安部面向全国各省厅发文,开展视频监控密码专项试点征集工作。计划在2020年起,在广西、甘肃、山西、山东等多省厅以及10余市县开展GB35114密码专项试点工作,公安部、财政部、发改委、国家密码管理局等多个部委已经完成资金筹措、建设方案设计、专家审批等相关工作,
通过本次GB35114试点,将在全国范围内部署GB35114安全摄像机10余万,建设或改造安全视频监控平台20余个,这就为全面推进建设GB35114视频监控安全系统拉开了帷幕,可以想见,通过本次试点,GB35114解决方案落地实施将为未来公安视频监控系统建设的重要手段。
随着我国《网络安全法》与“等级保护制度”的出台,在维护网络空间主权和国家安全、社会公共利益,保护公民、法人和其他组织的合法权益等方面提供了基础法律支撑,各领域、各行业在信息化建设方面对网络与信息安全的重视程度逐步提升。而密码技术处于信息安全领域的核心地位,通过建设完备的密码应用体系提高信息安全防护水平,是新形势下信息化的发展趋势。密码技术应用的推进,也需要在国家法律法规与政策要求下开展,需要遵循国家与密码行业制定的技术标准,进行相关技术与管理评测。
《中华人民共和国密码法》2020年1月1日的正式颁布实施,该法律旨在规范密码应用和管理,促进密码事业发展,保障网络与信息安全,提升密码管理科学化、规范化、法治化水平,是我国密码领域的综合性、基础性法律,是确保密码技术应用的合规性、正确性、有效性的基础保障。
GB35114视频监控安全体系的建设,应以视频监控实际业务需求出发,遵循以上两部法律与等级保护制度的要求,尤其是《密码法》第二十七条中规定的:
“法律、行政法规和国家有关规定要求使用商用密码进行保护的关键信息基础设施,其运营者应当使用商用密码进行保护,自行或者委托商用密码检测机构开展商用密码应用安全性评估。商用密码应用安全性评估应当与关键信息基础设施安全检测评估、网络安全等级测评制度相衔接,避免重复评估、测评。”
这就对视频监控系统的运营者在密码技术应用方面奠定了坚实的法律基础。
公共安全视频监控联网信息安全系统由四部分构成,分别是视频安全密钥服务系统、视频安全监控管理平台、安全前端设备、安全用户终端。
视频安全密钥服务系统负责为设备和用户发放证书和密钥。该部分由上级机关统筹建设提供服务,本次建设(市级以下)不涉及。
提供视频监控前端设备注册、视频的采集、视频传输信令控制、实时视频点播、历史视频回放、视频存储等功能,实现对本域内用户及设备的识别、管理和身份认证,支持信令安全认证、视频可信鉴定、视频加解密以及加密视频传输、存储和解密播放等安全功能,保障接入设备和视频的信息安全。
支持A级包括用户认证模块、设备认证模块、视频密钥管理模块、视频目录等模块。支持B级需在A级基础上增加视频可信鉴定模块,支持C级需在B级基础上增加视频加解密模块。
能够支持设备身份认证、视频可信、信令安全以及视频加密等功能的安全前端设备,主要有安全摄像机和NVR等。
用户终端主要完成视频的点播、跨域点播以及历史安全视频回放等功能。在用户终端需配置硬件密码模块,实现终端用户的身份认证、视频的解密和安全传输等安全控制。
根据安全保护强弱,具有安全功能的前端设备安全能力可分为三个等级,由弱到强分别是A级、B级、C级。
A级:支持基于数字证书与管理平台双向身份认证的能力,可达到身份真实目标。前端设备通过配备TF卡等密码模块支持A级功能。
B级:具备基于数字证书与管理平台双向身份认证的能力和对视频数据签名的能力,达到身份真实和视频来源于真实设备,能够校验视频内容是否遭到篡改的目标。前端设备通过配备TF卡等密码模块支持B级功能。
C级:具备基于数字证书与管理平台双向身份认证的能力、视频数据签名能力和视频数据加密能力,达到身份真实和视频来源于真实设备,能够校验视频内容是否遭到篡改,能够达到对视频内容加密保护目标。前端设备通过配备TF卡等密码模块支持C级功能。
针对设备分级,可汇总为下表:
| 身份认证 | 视频签名 | 视频加密 |
A级 | √ |
|
|
B级 | √ | √ |
|
C级 | √ | √ | √ |
本期建设符合GB35114技术要求,涉及的功能有身份认证、访问控制、控制信令认证、授权图像实时点播、历史图像录制、检索和回放、设备管理、用户管理、对称密钥管理、日志管理功能。
1、 身份认证
身份认证功能用于接入设备、用户、平台的身份鉴定。系统所支持的身份认证速度能够满足大量设备和用户并发注册的需要。
2、 前端设备认证
视频安全监控管理平台支持对接入的安全前端设备进行基于数字证书的身份认证,用于身份鉴定。
3、 用户认证
视频安全监控管理平台支持对接入的安全用户终端进行基于数字证书的身份认证,用于身份鉴定。
4、 平台间认证
视频安全监控管理平台支持对级联、互联的安全管理平台进行基于数字证书的身份认证,用于身份鉴定。
5、 访问控制
视频监控系统对用户的访问进行控制,根据角色对用户进行分组并授权,根据权限访问功能和数据。
6、 控制信令认证
管理平台和安全前端间支持采用带密钥的杂凑算法SM3对SIP控制信令做认证。经授权的用户能够通过手动或自动操作,对前端设备进行安全遥控。
7、 授权图像实时点播
经授权的用户能够按照指定设备、指定通道进行图像的实时点播,支持点播图像的显示、缩放和抓拍,支持多用户对同一图像资源的同时点播。
8、 历史图像的录制、检索和回放
经授权的用户能够选择指定设备、指定通道进行实时图像的录制,形成历史图像。经授权的用户能够按照指定设备、通道、时间、报警信息等要素检索联网设备历史图像资料并回放和下载,回放支持正常播放、快速播放、慢速播放、画面暂停、图像抓拍、缩放显示等。
9、 设备管理
对本级平台联网设备进行管理,支持数字证书和摄像机属性的绑定管理;支持设备进入联网系统时向管理平台进行注册登记并进行基于数字证书的设备认证。
10、 用户管理
具备用户注册、身份认证、权限管理、访问控制等功能。
11、 对称密钥管理
系统支持对所使用的对称密钥进行完整生命周期的管理,可管理的密钥容量能够满足录像长时间存储的需要。
视频密钥分发速度能够满足大量设备并发上线的需要。
12、 日志管理
包括记录系统运行状态的运行日志以及记录操作人员操作情况的操作日志,支持日志信息查询和导出等功能。
13、 加密视频实时点播
经授权的用户能够按照指定设备、指定通道对安全前端设备图像实时点播,支持点播图像的显示、缩放和抓拍。
14、 加密历史图像的录制、检索和回放
经授权的用户能够选择指定安全设备、指定通道进行实时图像的安全录制,形成加密历史图像。
经授权的用户能够按照指定设备、通道、时间、报警信息等要素检索联网安全设备加密历史图像资料并回放和下载等。
15、 安全解码输出
能够按照指定设备、指定通道进行图像实时解码,能够输出视频信号上墙显示。能够在安全用户终端调看加密视频,前提是视频安全前端设备在采集到视频数据后,对数据进行加密。
16、 视频可信鉴定
视频可信鉴定是验证视频安全前端设备采集的视频数据的完整性和不可否认性,确保视频安全。视频可信鉴定的前提是视频安全前端设备在采集到视频数据后,对数据进行签名。
