视频监控联网应用普遍具有规模大、分布广、结构复杂、各项监控要求严格等特点。可以说,中国目前具有全球最大的视频监控网络。特别是以“雪亮工程”为代表的大型视频监控网络。在市场不断快速升温的同时,背后的安全隐患也不能忽视。为了保障视频监控联网应用平台不被破坏,监控数据不被泄漏或篡改,视频监控联网应用在建设的同时,还需要具备相应的整体安全防护能力。
安全牛作为信息安全领域的专业媒体和咨询机构,联合慧盾安全、迪普科技、天懋信息和金盾软件四家业内拥有优秀 “视频监控安全解决方案和能力” 的厂商,从前端安全、传输安全、后端安全和数据安全四个角度,针对不同规模的视频监控应用场景,提供场景的需求分析,关键技术以及解决方案参考。本周四下午(3月21日),安全牛正式发布了业内首个《视频监控安全(应用指南)》。
国内视频监控联网系统覆盖面大,系统入侵、数据泄漏时有发生;提升视频监控系统的安全态势感知和应急处置能力,保障视频数据安全可控,是目前的迫切需求。
——公安大学网络安全空间与法治协同创新中心秘书长 杜彦辉
首先介绍下此次发布报告的三大亮点内容。
亮点一:视频监控联网系统需要场景化的安全解决方案
视频监控联网系统技术架构,可以依据其覆盖范围、用途、规模来分为个人(家庭)、小型(社区、酒店、医疗机构等)、中型(银行、教育机构、检察院、法院等)、大型(城市、公共安全)四种不同复杂度级别应用场景类型。其中,以 “全域覆盖、全网共享、全时可用、全程可控” 为最终建设目标的雪亮工程就是大型视频监控联网应用的典型。
常见视频监控系统架构
不同应用场景,技术架构复杂度不同,面临的安全风险及严重程度不同,对应的安全解决方案和关键技术能力也不同。无论是个人还是大型(城市级别)的视频监控系统,总体风险控制的基本要求基本包括:监控网络不被攻破、视频数据不被损毁、重要内容不被泄密、安全事件能够溯源、流转数据不被篡改。
基于对客户的走访和厂商方案能力的调研,报告提出,现有的视频监控安全架构,主要由终端安全准入网关、汇聚安全接入网关、视频结构化数据安全系统、统一安全监控平台和运行环境构成。方案能力方面,强调能够快速定位与发现风险。
视频监控安全解决方案应主要从下面四个角度切入:
- 前端安全——摄像头自身安全隐患(漏洞)、用户安全意识、缺乏有效身份识别和可信管理手段;
- 传输安全——明文数据传输、数据监听/劫持/篡改;
- 后端安全——视频监控运维专业技术人员缺乏、及时发现/处置/取证非法活动、从互联网对监控设备和平台发起的攻击等恶意行为;
- 数据安全——(跨部门视频数据共享时)数据泄漏、隐私保护。
除此以外,一旦防护场景进入到海量视频数据的大型视频监控系统,视频监控安全解决方案,还将面临来自海量数据分析能力、攻击溯源与跟踪能力、法律法规等全方位的挑战。
亮点二:雪亮工程配套安全方案全剖析
雪亮工程是视频监控联网系统中较为复杂的案例。
2016到2018这三年是以“雪亮工程”为代表的公共安全视频监控联网应用建设项目,快速、持续升温的三年。据统计,2018年的290个真实“雪亮工程”中标信息显示,千万级以上的项目占到“雪亮工程”总数近1/3。据预测,到2020年,“雪亮工程”250个示范城市将拨款100亿元,计划带动地方1000亿元的项目投资。
报告认为,雪亮工程作为关乎公共安全的重要视频监控联网应用,不仅具备规模大、分布广、结构复杂等特点,还有严格复杂的合规要求。《关于加强公安视频监控安全管理工作的通知》中明确提出“严控边界、纵深防御、主动监测、全面审计”十六字安全方针; 《公共安全视频监控联网信息安全技术要求》、《公安视频传输网建设指南》等要求按照等级保护三级标准以上进行安全能力建设。这意味着,雪亮工程要建设与之匹配的综合性视频监控安全保障体系。
雪亮工程对于信息安全的需求可以概括如下:
- 入网设备需要统一管控
- 全网资产实时统计、识别接入终端合法性
- 业务流量全面审计,实时处置非法业务
- 视频数据防泄密管理与溯源
- 安全风险自动发现
涉及的关键技术包括:
- 前端设备信息采集与管理
- 前端设备准入控制
- 监控终端防泄密
- 指挥大屏防泄密
- 存储设备防泄密
- 监控服务器访问控制
- 视频数据共享防护
- 通信安全(加密)
- 视频风险自动发现及可视化
概括来讲,雪亮工程作为大型视频监控专网,对应需要具备资产监控、准入控制、攻击防御、数据防泄漏这四项基本能力的安全解决方案。迪普科技、金盾软件、慧盾安全、天懋信息这四家在“雪亮工程-视频监控安全解决方案”上,均有各自的特点和优势。同时,各家的应用实例,也已在完整报告中提供,供业界参考。
亮点三:视频监控安全准入是技术方向 未来竞争在处理速度和质量
视频监控技术从原本的模拟监控、模数结合向网络化、数字化、规模化,甚至智能化发展。视频图像也从传统的“看得清”发展到“看的懂”,事件处理也更加及时,预警更为准确。
报告认为,视频监控安全属于物联网安全范畴。物联网安全备目前普遍存在着通信协议不统一、没有强制执行的安全开发标准、自身计算资源受限等安全问题,所以,如何解决准入安全,是重要的技术解决方向。目前国内主流视频监控设备厂商,如海康威视、大华等产品相对集中,接入标准难度降低,这是目前物联网安全解决方案中能够实际落地场景的重要原因。因此未来准入安全技术竞争优势将会集中在处理速度、处理质量方向。
另外一个重要方向是如何从视频数据中挖掘出未知的安全风险。随着AI技术应用的日趋成熟,如果能够视频安全领域真正形成对未知风险的感知和判断能力,未来整个视频监控安全领域将会迎来新一轮的变革。
除了上文提及的三大报告亮点内容外,此次《视频监控安全(应用指南)》报告的线下发布会,还有来自迪普科技、慧盾安全和万物安全的精彩议题分享。
1. 迪普科技
据迪普科技视频专网拓展部部长李成认为,视频监控网络目前主要的风险来源是前端设备和网络管道的失控。弱口令的暴力破解和命令执行漏洞,占到视频监控网络安全事件的7成。
迪普科技视频专网拓展部部长 李成
视频监控联网应用的特点是终端难以安装安全防护软件,同时网络中的行为和通信双方的身份相对固定。所以,基于白名单的技术管控,是迪普科技在视频监控安全的核心技术思路。
视频监控安全,不会只是局限在雪亮工程。重大活动的安全保障、交警违章管理等,其中的视频专网都会面临大量来自互联网的攻击。视频监控网络和平台系统的安全保障也会越来越倾向于服务化。
2. 慧盾安全
作为此次应用指南的重要参与方,慧盾安全的特点是围绕视频数据,提出视频数据全生命周期的安全解决方案。
视频监控行业,IP化、标准化和智能化的发展趋势,使得视频数据应用场景更佳复杂,也更易受到攻击和泄漏。慧盾安全COO苏敬斫表示,缺少准入机制、设备漏洞易受攻击、视频流转环节多、合法人员的非法使用,是视频监控安全风险的根本原因。作为国内视频监控行业安全标准制定的首个参与者,慧盾安全参与了多个上海市公安局以及公安部的标准制定工作。
慧盾安全首席运营官 苏敬斫
慧盾安全的解决方案分为系统和业务两个维度。其中,系统维度包括视频采集层、核心层和应用层。业务维度包括摄像头准入和防攻击、视频防泄密、视频显示安全、视频共享安全和GB35114为代表的合规。特别是视频数据的共享安全,慧盾的思路是使用数据水印和指纹等技术,以及权限审批等管理手段,实现视频数据在跨单位和部门调阅时的防篡改和泄露溯源。
此外,慧盾还关注视频数据体量特点所带来的大数据安全风险。主要集中在视频大数据的防泄密、防篡改和防损毁。行业方面,除了公安系统的需求外,交通、检察院、监狱、高校、酒店、银行等,都是慧盾安全的重点客户。
未来,视频大数据的应用,和业务紧密结合的行业,会是视频监控安全的持续增长点。
3. 万物安全
万物安全重点提及了建立视频监控的主动防御体系。这包括主动探测、前端行为分析和细粒度的访问控制。同时,核心业务连续性的保证也是重点。
此外,万物安全CPO&合伙人郑大义还重点介绍了万物安全目前的三个产品,包括视频终端准入管控系统(北极星),对视频数据质量和有效性的监测系统(天王星),针对大型物联网环境中IT资产探测工具(南极星),以及基于SDP技术搭建可信网络(银河)。
结合着四款产品,万物安全将逐步提升物联网全生命周期的防护能力。
应用指南=优秀厂商(案例)+安全牛(第三方调研/分析)
此次发布的《视频监控安全(应用指南)》,是安全牛近年发布的“技术/应用/市场”三类指南报告中的一类。报告的选题均来自安全牛每半年一次更新“网络安全行业全景图”中某一细分领域。此次《视频监控安全(应用指南)》报告的四家参与厂商,也在2019年1月发布(最新)的全景图的“业务安全-视频专网”领域中。
安全牛主编李少鹏表示,无论从应用的规模还是场景的复杂度来看,中国都是应用大国。网络安全行业的最大特点是碎片化,这就对第三方机构提供的见解和高价值参考有非常迫切的需求。根据国情,把前沿技术的优秀落地经验进行归纳总结,并形成报告传播,是安全牛“应用指南”要做的事情。
安全牛主编 李少鹏
可以说,报告是安全牛和特定领域优秀厂商合作成果的重要体现。相较于技术指南的前瞻性,应用指南会更加落地、务实,旨在给业界特别是潜在甲方客户在采购时提供更具针对性的参考。这是安全牛指南类报告的最终愿景,也是其价值和意义所在。可以预见,随着安全牛和安全厂商合作的深度报告的陆续发布,安全牛作为调研机构的属性会更加凸显。
相关阅读
微信识别下方二维码或者点击“阅读原文”
购买阅读完整报告
