从12306信息泄露、携程信息泄露,到近期某视频厂商曾出现监控设备安全隐患事件……种种迹象表明,对于正在大力发展信息经济与互联网经济的中国,网络信息安全保护问题已经迫在眉睫。用户在对数据的收集、存储、管理与使用等过程中均缺乏规范,更缺乏监管,安全隐患无处不在。其中,在随着近年来视频监控系统的快速发展,他带给人们生活上的方便之处越来越多。智能家居、智能楼宇、平安城市等现代化的视频监控系统改变了我们的生活方式,带给我们更加丰富多彩生活的同时,也存在着了一些幸福的烦恼,视频监控系统背后的数据安全隐患就是典型。在信息化不断发展的同时,信息数据的传输安全一直以来是人们关注的焦点,而应用在视频监控行业领域里,数据的安全问题也随之成为时下行业所要面对的新课题。
我们知道,如今视频监控系统在公安、银行、运营商、企事业集团等都得到了广泛应用,那么威胁数据安全的主要因素有哪些?如何保障视频监控系统的信息安全?有哪些数据安全的保护技术?……本文将从公安视频监控系统的数据安全特性出发,为大家提供一些建议性思考和启发。
视频监控的数据安全现状:
根据公安部“3111”工程“三区、三口”的建设意见和监控的部位要达到可以识别监控对象的面目特征和行为动态以及车牌号码识别的要求,对城市监控规划建设的摄像头,基本能覆盖城区主要路段。所有录像文件分散存储在辖区派出所(使用DVR存储/NVR),市局监控中心等。各中心使用磁盘阵列同步备份存储重点监控点的信息。对监控存储的视频文件有权限获取的用户可随意使用,容易造成敏感信息的扩散使用,甚至造成非法用户的盗用。对监控视频文件进行安全存储和受控使用,是目前平安城市信息化建设的重点工作之一,需要借助技术手段进行安全控制。
视频监控形成的视频数据多数是以文件的格式存储在远端的计算机中,通过专用的播放器进行查看,但对于视频文件的使用和流转,本身视频监控系统无法控制,容易造成敏感信息的扩散泄密。因此,数据在传输、存储过程中,如何确保信息或数据不被未授权的篡改或在篡改后能够被迅速发现。在前端视频流通过IP传输网络传输到视频存储系统,以及视频存储网络的各个环节都应考虑必要的防护措施。
数据安全面临的风险与威胁:
我们知道,存储设备物理损坏、操作失误、非法侵入、病毒感染、信息窃取、自然灾害、电源故障、电磁干扰、拒绝服务攻击、口令猜测、不安全远程传输视频数据等,是威胁数据安全的主要因素。但是在随着视频监控技术与计算机信息技术的不断融合中,视频监控系统的数据信息安全也成为产品研发、系统设计及实施过程必须认真考虑的环节之一。因而数据安全的泄密风险主要包括:
视频文件以明文形式存储(在脱离监控平台后处于非受控状态),视频文件的获取和使用无法控制,信息容易被其他不应获得者获取;
视频文件的使用无法知悉范围,无法控制指定用户使用;
视频文件的使用无法追踪,造成信息安全管理失控,视频监控系统中的系统日志文件和视频录像文件显而易见需要一套有效的防护手段;
数据安全的保护手段:
视频监控的文件存储容量越来越大,且越来越重要。以往对视频录像的忽视使得视频存储系统在整个视频监控系统的重要性不明显。随着社会形势的复杂多变和大数据时代的来临,对视频录像文件分析的需求越来越多。视频监控系统中也越来越多的使用了高级的数据存储设备和系统,而在应用软件保护层面,应重点考虑以下几点:
图:具体实现防护效果
① 访问控制:视频监控系统用户登录视频监控系统查看监控视频,可与亿赛通数据泄漏防护系统进行认证集成,允许安装亿赛通数据泄漏防护系统的用户正常登录,否则,禁止登录视频监控系统,实现用户身份强制认证。
② 动态加密:对视频监控文件进行强制加密处理,在硬盘中以密文形式存储。通过对监控数据进行全生命周期保护,确保监控数据只可在受控范围内正常、透明使用,通过任意方式将数据非法带离内部环境将无法正常使用。
③ 数据筛选:用户对监控的视频进行分类查询,检索视频信息,对敏感数据敏感信息进行防护;
④ 终端防护:在终端机器上打开监控视频文件,安装亿赛通数据泄漏防护系统的用户可正常打开使用,否则无法打开或打开后也是加密数据。
⑤ 安全集成:不改变视频系统部署架构,不改变应用系统后台数据存储形态和规则,不改变用户访问视频监控系统的工作方式和习惯。
⑥ 日志审计:根据操作类别、操作对象、操作时间、操作动作等组合条件进行日志审计,支持用户自定义组合条件进行日志查询,所有信息将上传至后台数据库进行集中存储。
视频监控系统的安全性是个复杂的体系,要保证视频监控的安全运行,还需要考虑多级安全认证机制、关键数据容灾,备份、网络私密保护、网元自动化运行管理等多种因素。而在数据安全保护层面,亿赛通作为数据安全专家,则采用链路加密技术,有效防止视频在传输过程中被窃取,可对用户的“有意”、“无意”两种数据泄漏进行统一防护,采用“事前主动防御,事中实时控制,事后及时追踪,全面防止泄密”的设计思路,融合“数据加密”、“规范访问控制”为核心技术,结合身份识别、应用集成、安全接入以及行为审计等功能,形成一套视频监控数据的全新解决方案,最终实现“带不走、打不开、读不懂”的控制目标及效果。做到视频数据通过信息源头进行加密控制,即使被非法泄露也无法读取到任何有价值内容,全面整合管理手段和管理措施,有效满足视频监控内的数据安全需求。
加密技术:
数据加密(DataEncryption)技术是指将一个信息(或称明文,plaintext)经过加密钥匙(Encryptionkey)及加密函数转换,变成无意义的密文(cipher text),而接收方则将此密文经过解密函数、解密钥匙(Decryption key)还原成明文。加密技术是数据安全技术的基石。文件加密是一种常见的密码学应用。文件加密技术是下面三种技术的结合:
密码技术:包括对称密码和非对称密码,可能是分组密码,也可能采用序列密码文件加密的底层技术是数据加密。
操作系统:文件系统是操作系统的重要组成部分。对文件的输入输出操作或文件的组织和存储形式进行加密也是文件加密的常用于段。对动态文件进行加密尤其需要熟悉文件系统的细节。文件系统与操作系统其他部分的关联,如设备管理、进程管理和内存管理等,都可被用于文件加密。
文件分析技术:不同的文件类型的语义操作体现在对该文件类型进行操作的应用程序中,通过分析文件的语法结构和关联的应用程序代码而进行一些置换和替换,在实际应用中经常可以达到一定的文件加密效果。
利用以上技术文件加密主要包括以下内容。
文件的内容加密通常采用二进制加密的方法
文件的属性加密
文件的输入输出和操作过程的加密,即动态文件加密
透明加密技术是近年来针对企业文件保密需求应运而生的一种文件加密技术。所谓透明,是指对使用者来说是未知的。当使用者在打开或编辑指定文件时,系统将自动对未加密的文件进行加密,对已加密的文件自动解密。文件在硬盘上是密文,在内存中是明文。一旦离开使用环境,由于应用程序无法得到自动解密的服务而无法打开,从而起来保护文件内容的效果。透明加密有以下特点:
强制加密:安装系统后,所有指定类型文件都是强制加密的;
使用方便:不影响原有操作习惯,不需要限止端口;
于内无碍:内部交流时不需要作任何处理便能交流;
对外受阻:一旦文件离开使用环境,文件将自动失效,从而保护知识产权;
总结:
在视频监控技术日新月异的变化同时,我们不能忽视背后所存在的信息安全隐患,本文揭示了视频监控系统中最关键的数据安全防护手段,解读了视频监控系统的安全特性。因此,在这里我们呼吁,各行各业在应用视频监控系统中应加强监督机制,加强实质可操作性,选择优秀、适合的解决方案势在必行。纵观未来监控市场,不仅一些特殊环境(如军事观察、政府机关、银行、机场等)需要视频监控系统,诸如厂房、零售商店、酒店、学校、办公室等普通场所也逐步实现整个场景监控管理。因此,数据安全、信息安全建设这一特殊使命任重而道远。