a&s专业的自动化&安全生态服务平台
公众号
安全自动化

安全自动化

安防知识网

安防知识网

手机站
手机站

手机站

大安防供需平台
大安防供需平台

大安防供需平台

资讯频道横幅A1
首页 > 资讯 > 正文

视频监控管理平台的数据安全威胁及解决之道

视频监控管理平台的安全技术体系包含了物理安全、通信和网络安全、运行安全和数据安全四个层次的内容。本文在参考行业标准GAT 669.2-2008的基础上,先简述四个层次的结构和总体框架,然后重点讨论了数据安全的威胁来源,最后给出了数据安全的一些通用解决方法,以供视频监控管理平台厂商在产品实现时参考。
资讯频道文章B

  安全技术体系总体框架

  视频监控管理平台的安全技术体系总体框架如图1所示,可分为物理(实体)安全、通信和网络安全、运行安全以及信息(数据)安全四个层面。其中,物理安全主要包括监控中心电源安全、电磁兼容性安全、环境安全、设备安全、防雷接地、记录介质安全六个方面。

  通信和网络安全主要包括网络传输安全、公安专网的接入安全、公安专网的输出安全三个方面;运行安全主要包括安全监控、安全审计、恶意代码防护、备份与故障恢复、应急处理、安全管理六个方面;信息安全主要包括用户身份认证、接入设备认证、用户权限管理、访问控制及业务审计、数据加密及数据完整性保护、安全域隔离六个方面。

  上述安全技术体系来自行业标准GAT 669.2-2008,本文的关注点在信息安全(或数据安全)上。

  数据安全威胁的来源分析

  本节从实际项目开发和设施的角度来描述监控管理平台带来安全威胁的几个主要来源。

  前端接入设备上的安全威胁。目前大多数IP前端设备(如IPC和DVR等设备)的安全措施非常简单,一旦拥有了设备的IP地址,通常都可以使用通用的用户名和密码访问、控制和操作该设备,如远程查看重要场所的实时视频、下载案件相关录像片段等,这些操作给视频数据的安全带来了不少威胁。

  编码数据和传输上的安全威胁。近年来,利用Photoshop等软件工具引发的合成图片、假新闻时有发生,所以有必要关注数字图像取证技术。事实上,数字图像取证技术也已经成为现今社会的一个重大课题。从这个角度来看,国家推荐标准GB/T 25724-2010发布的SVAC有可取之处,SVAC支持加密和认证,保证监控数据的保密性、真实性和完整性。SVAC这方面的特点有:利用安全参数集定义加密和认证的方法及保护范围,可以实现不同级别保护;利用NAL单元头中特定标志位标记加密和认证是否生效;以统一的语法格式支持多种加密和认证算法,具备灵活的可扩展性。

  用户身份和权限管理的安全威胁。目前有部分的监控管理平台都只是简单地使用用户身份认证机制和权限管理体系。例如,有的管理平台只保存了用户名和密码,更简单的管理平台在数据库中保存的密码也是明码,这样,只要系统管理员或稍懂一些计算机或数据库知识的人,都很容易查看到密码,从而很轻易地进入系统,做出一些非法的操作。

  平台管理互联互通的安全威胁。据笔者所知,目前大部分的异构监控管理平台的联网都使用非常简单的互联互通,例如上级平台要访问异构的下级平台时,通常的做法是在下级平台设定一个权限相对较高的用户名和密码给上级平台使用,上级平台在访问下级平台时,总是使用这个用户名和密码,即登录到上级平台的用户和权限不是穿透到下级平台的,而是屏蔽了最初登录时的用户信息,直接使用下级指定的固定用户名和密码。下级访问上级平台时的思路类似。这些简单的做法虽然容易实现和设施,但却给安全管理带来了极大的威胁。

  数据存储的安全威胁。目前部分的平台、NVR、DVR在存储录像时,使用了操作系统自带的通用文件系统,这样简单的实现方式很容易让能进入操作系统的用户去打开和操作(删除和篡改)这些文件,这对录像文件的安全管理和完整性带来了很大的威胁。

[nextpage]

  数据安全解决之道

  本节从上一节的威胁来源出发,描述一些总体的解决之道,供视频监控管理平台厂商在产品实现时参考。其中,一些解决方法来自于GAT 669.2-2008,一些解决方法来自于以平安城市项目为主项目实践。

  公钥基础设施。公安机关的视频监控管理平台一般都需要支持公安CA证书认证机制和PKI数字证书。

  数据加密。视频监控管理平台对需要加密的数据在传输和存储过程中进行加密,存储时宜采用3DES、密钥长度为128位的高级加密标准(AES)、SCB2算法等进行加密;传输过程中宜采用RSA(1024位或2048位)对会话密钥进行加密,传输内容宜采用数据加密标准(DES)、3DES、AES(128位) 等算法加密。

  数据完整性保护。视频监控管理平台宜采用数字摘要、数字时间戳及数字水印等技术防止信息的完整性被破坏,即防止恶意篡改系统数据。数字摘要宜采用消息摘要算法第五版(MD5)、安全哈希算法1(SHA-1)、安全哈希算法256(SHA256)等算法。

  安全隔离措施。目前,公安机关的视频监控平台采用了非常明确的安全隔离措施,在社会网络与视频专网之间、视频专网与公安信息网之间均要求引入安全接入平台(有人又称为网闸,严格来说,网闸只是安全接入平台的最核心设备),如图2所示。

  用户身份认证。视频监控管理平台应在以下六种方式中选择一种或者多种方式进行用户身份认证:静态口令机制(用户名/密码方式);动态口令机制;基于智能卡的认证;基于冲击/响应的USBKey认证;基于PKI/CA体系数字证书的USBKey认证;基于人体生物特征识别的认证。采用基于PKI/CA体系数字证书的USBKey认证方式时应采用统一的公钥证书格式。对系统管理员、超级管理员宜附加基于人体生物特征识别的认证。

  用户权限管理。视频监控管理平台除了应支持GAT 669.2-2008提出的用户授权策略与权限管理之外,笔者认为有必要支持符合访问控制列表模型(ACL模型)的权限模型。ACL模型包含的三个关键要素为:用户、资源和操作。该模型应用范围比较多,实现也不难。

  日志和行为审计。监控管理平台需要支持包括记录系统运行状态的运行日志以及记录操作人员操作情况的操作日志,支持日志信息查询和报表制作等功能。应提供完整的服务器和客户端行为审计,保证用户终端的各种行为事后可以追溯。审计的内容还包括:实时流量和历史流量审计、用户名和端口号审计、日志审计等。

  专用的存储文件系统。为了防止录像文件的篡改和通过操作系统打开和操作录像文件,有必要使用专用的存储文件系统,避免因此带来的安全威胁。

  总结

  数据安全的设计和实现是视频监控管理平台重要部分,也是平台的基础内容,平台实现的业务和管理功能都依赖于数据安全架构和策略,所以,平台实现了哪些数据安全的解决方法就决定了平台能达到安全程度。

参与评论
回复:
0/300
文明上网理性发言,评论区仅供其表达个人看法,并不表明a&s观点。
0
关于我们

a&s是国际知名展览公司——德国法兰克福展览集团旗下专业的自动化&安全生态服务平台,为智慧安防、智慧生活、智能交通、智能建筑、IT通讯&网络等从业者提供市场分析、技术资讯、方案评估、行业预测等,为读者搭建专业的行业交流平台。

免责声明:本站所使用的字体和图片文字等素材部分来源于互联网共享平台。如使用任何字体和图片文字有冒犯其版权所有方的,皆为无意。如您是字体厂商、图片文字厂商等版权方,且不允许本站使用您的字体和图片文字等素材,请联系我们,本站核实后将立即删除!任何版权方从未通知联系本站管理者停止使用,并索要赔偿或上诉法院的,均视为新型网络碰瓷及敲诈勒索,将不予任何的法律和经济赔偿!敬请谅解!
© 2020 Messe Frankfurt (Shenzhen) Co., Ltd, All rights reserved.
法兰克福展览(深圳)有限公司版权所有 粤ICP备12072668号 粤公网安备 44030402000264号
用户
反馈