一、 項目背景概述
1.1 項目背景
傳統的以“人防”和“物防”為主的安全防范手段和措施,已經難以適應學校的發展和變化。這種情況下,以視頻監控為主的各類“技防”手段已經越來越多的應用到校園,形成了以“人防、物防、技防”三防為一體的安全防范體系。
隨著全國范圍內“平安校園”建設的全面推進,以視頻監控為主的各類“技防”手段已經越來越多的應用到校園,隨著學校的發展,學校的規模不斷擴大,導致校園安保工作日益嚴峻,校園安全事件屢屢發生。在網絡如此發達的現代社會,學校不僅面對著政府的監管,還有可能遭受社會輿論的壓力。一旦出現校園內部事件在互聯網發酵,無疑會對學校形象產生負面影響,甚至影響學校的教學秩序,給學校帶來損失和學生造成壓力。
1.2 相關政策
公共視頻監控網絡屬于《網絡安全法》定義的“關鍵信息基礎設施”, 《網絡安全法》規定:關鍵信息基礎設施的運營者(以下稱運營者)對本單位關鍵信息基礎設施安全負主體責任,履行網絡安全保護義務,接受政府和社會監督,承擔社會責任。
網絡安全法第四十條規定,網絡運營者應當對其收集的用戶信息嚴格保密,并建立健全用戶信息保護制度。
網絡安全法第四十五條規定,依法負有網絡安全監督管理職責的部門及其工作人員,必須對在履行職責中知悉的個人信息、隱私和商業秘密嚴格保密,不得泄露、出售或者非法向他人提供。
《中華人民共和國網絡安全法》第三章網絡運行安全和第四章網絡信息安全,明確了的責任體、工作范圍及相關處罰規定等,安全法對關鍵基礎信息設施提出了更高的責任和要求;從網絡安全法實施以來,很多網絡安全事件發現,主要是相關人員的思想意識和技術防護能力不足造成的。
《中華人民共和國個人信息保護法》(草案)第二章第二十七條規定:“在公共場所安裝圖像采集、個人身份識別設 備,應當為維護公共安全所必需,遵守國家有關規定,并設置顯 著的提示標識。所收集的個人圖像、個人身份特征信息只能用于維護公共安全的目的,不得公開或者向他人提供;取得個人單獨同意或者法律、行政法規另有規定的除外。”
《關于加強公共安全視頻監控建設聯網應用工作的若干意見》(996 號)文 件要求實現視頻圖像數據的全程可控,即:“重要視頻圖像信息不失控,敏感視頻圖像信息不泄露”。
華域數安監控視頻信息安全解決方案從技防方面對相關人員進行規范和約束,避免相關人員違反國家相關規定,給國家、政府、單位及個人帶來損失。
二、 項目需求分析
1
2
2.1 視頻防泄密需求
在信息高速發展的今天,信息安全越來越受到重視,泄密等事件的頻頻發生,學校監控視頻圖像內容有一些敏感信息,例如餐廳的后廚操作、校園打架斗毆、學生不雅行為、學生自殺事件等,如果泄露到互聯網上,很容易在社會上發酵,對學校聲譽造成惡劣的影響。
許多高校建設有國家重點實驗室,國家重點實驗室是具有相對獨立的人事權和財務權的科研實體。作為國家科技創新體系的重要組成部分,是國家組織高水平基礎研究和應用基礎研究、聚集和培養優秀科學家、開展高層次學術交流的重要基地。作為核心科學技術的研究機構,各單位具備自己的一套保密管理制度,采取一定程度上的監管手段。不管是學校周邊還是實驗室,都存在對視頻數據采取一定的保密性措施,因此,針對現狀,對視頻數據防泄密有急切的需求。
(1)在使用中的數據防止泄密,主要是在視頻調閱過程當中,防止截屏、錄屏、拍照等泄密方式。
(2)在管理終端的本地存儲數據防止泄密,主要是防止存儲中的數據隨便外發,造成泄密。
(3)在外使用的視頻數據防止泄密,主要是針對在外部門、外單位使用的視頻數據要能夠受控,不能隨意在哪里都可以隨意使用。
(4)要求對視頻數據的調用進行控制,不能在任意電腦上安裝視頻調用客戶端軟件就可以直接進行視頻數據調用。
(5)要求能夠對視頻泄露的事件能夠追蹤溯源,可以有效的震懾到企圖視頻泄露的人。
(6)對于全網的視頻攝像機調用指令需要進行實時記錄并審計,在審計數據中能提前發現問題。
三、 視頻防泄密解決方案
隨著平安校園,平安社區的逐步推進。校園監控基礎建設日益完善,在應對校園暴力事件、消防事故、交通安全、明廚亮灶等校園安全事件處理上顯得短板,以“人防”“物防”達到的應急能力是有限的,缺乏整體規劃,資源整合困難;缺少有效的運維手段;缺乏有效的“技防”管控措施。
系統建設目的是為了視頻資源統一管理、統一調閱,形成合理、規范的視頻監控管理平臺。
通過技術手段實現視頻數據的加密,視頻調閱過程安全可控、行為審計,視頻數據外發可控、外發文件可控,以及事后可以溯源。
3
3.1 方案設計依據
n 《餐飲服務明廚亮灶工作指導意見》
n 《學校食品安全與營養健康管理規定》
n 《安全防范工程技術規范》 (GB50348-2004)
n 《安全防范工程程序與要求》 (GA/T75-1994)
n 《安全防范系統驗收規則》 (GA308-2001)
n 《公共場所監視電視系統設計規范》 (DBJ08-16-90)
n 《中國公眾多媒體通信網網絡管理規范》 (YDN075-1998)
n 《視頻安全監控系統技術要求》 (GB/T367-2001)
n 《城市警用地理信息分類與代碼》(GA/T491—2004)
n 《城市警用地理信息系統建設規范》(GA/T493-2004)
n 《報警圖像信號有線傳輸裝置》 (GB/T6677-1996)
n 《計算機信息系統安全保護等級劃分準則》 (GBl7859-1999)
n 《計算機信息系統安全等級保護管理要求》 (GA/T388-2002B)
3.2 解決方案拓撲設計
3.3 方案組成及功能詳解
本視頻防泄密解決方案由視頻調閱安全網關、視頻調閱安全客戶端和大屏水印網關組成。
l 視頻調閱安全網關
l 視頻調閱安全軟件客戶端(基于Windows平臺,支持主流播放器)
l 大屏水印網關
1、核心交換機旁路部署視頻調閱安全網關,配套PC端強制安裝視頻防泄密客戶端,可以對調閱視頻的終端監控電腦在調閱視頻時在視頻窗口中加載上顯性文字水印、二維碼水印和隱性點陣水印,出現拍屏錄屏行為后可以追蹤溯源,同時規范視頻調閱的行為。
(1)視頻防泄密客戶端可以阻斷截屏行為和錄屏軟件,同時可阻斷視頻會議軟件,避免二次泄密,視頻下載到本地會自動進行加密,加密過程透明無干擾;
(2)視頻調閱安全網關可以對視頻的外發進行審批,采用存活時間、打開次數、打開權限、水印加載等多種方式避免二次泄密,并確保視頻到期自動銷毀;
(3)視頻調閱安全網關導出視頻數據時可以在視頻流中逐幀加載視頻水印指紋,在視頻數據轉移時對視頻進行防篡改防護,同時在視頻流中加載上導出用戶信息,確保追蹤溯源;
(4)視頻調閱安全網關對監控視頻的調閱加強安全身份驗證,對調閱終端硬件、調閱的客戶端軟件、調閱的IP、MAC、時間等等均可進行有效管控,采用白名單方式阻止非法用戶接入到視頻監控系統;
(5)視頻調閱安全網關支持對加密的視頻進行解密審批,所有審批過程均進行日志記錄;
(6)視頻調閱安全網關可以審計網絡中視頻調用行為和網絡流量,對源IP地址、目的IP地址、協議號、源端口、目的端口,服務類型和接口索引七元組信息進行審計,提高整體系統的不可否認性,同時加上視頻防泄密客戶端審計,形成更加全面的視頻業務應用審計數據。
(7)視頻調閱安全網關配套大屏水印網關,可以對監控室和指揮中心的大屏視頻播放加載上水印信息,有效震懾對大屏進行拍屏錄屏的行為,同時確保出現拍屏錄屏行為后可以追溯到責任人
2、在監控大屏和解碼上墻設備之間串聯大屏水印網關,對拼接屏進行水印疊加,可以疊加二維碼水印、文字水印顯性水印,也可以疊加隱性水印,可以靜態或者動態滾動顯示時間信息、用戶信息,支持自定義水印信息,可以整屏顯示水印,也可以分屏顯示水印。
3、視頻業務行為審計,利用視頻調閱安全網關針對訪問視頻核心服務區域的通信流量進行審計。
比如攝像頭登錄成功、查看實時視頻、攝像頭停止播放實時視頻、NVR登錄失敗、NVR錄成功、NVR播放實時畫面、NVR停止播放實時畫面、視頻平臺登錄成功、視頻平臺播放實時畫面、視頻平臺查看錄像、自動搜索設備等信令級的審計,目前已經支持上百種攝像頭、硬盤錄像機品牌協議。
針對GB/T 28181協議標準,還可進行SIP信令審計,審計出SIP設備(攝像頭或者其他SIP代理設備)對視頻平臺的訪問流量,當發生SIP請求時記錄詳細信息;還可以基于RSTP流媒體的流量審計,當攝像頭、視頻防泄密客戶端、信令網關、建立起會話后,流媒體與攝像頭RSTP、流媒體與視頻防泄密客戶端RSTP交互報文將被行為審計系統完整記錄。
審計視頻協議的行為,有助于提高數據的安全性,網管可以定期檢測該記錄,查看視頻調閱的歷史記錄,分析出反常的視頻調閱行為,采取相應的管控措施。
四、 方案優勢
4
4.1 多核并行網絡數據包處理技術
為了更好地發揮多核平臺的性能,視頻安全網關設備會根據硬件平臺的不同調整CP(控制層面)和DP(數據層面)的實例數,以實現性能的最大化。在處理業務數據的過程中,每個DP(數據層面)都采用Run-to-completion的方式,即一個數據包從接收到所有業務處理完畢,均在同一個DP(數據層面)中完成,這種處理方式能夠顯著提高處理性能。在串接部署的情況下降低數據延遲。
4.2 高性能網絡處理技術
當數據包到視頻監控安全產品時,首先由內置智能分流器對數據包進行初步分類。智能分流器根據當前啟用的上層功能以及數據包的網絡層、應用層信息,決定將該數據包投遞到適當的處理內核。智能分流器保證了數據包能在單個處理核上完成所有所需的處理(出于對某些特殊情況的處理,系統仍提供核間報文互操作機制),避免了跨節點訪問內存的高昂開銷,是保證多核并發性能的關鍵技術。
采用這種高性能網絡處理技術,可以在多核硬件上對大量的網絡流量進行處理,同時保證網絡數據包的低延遲。
4.3 視頻數據逐幀緩沖技術
由于網絡是不穩定的,因此視頻數據的傳輸也是時快時慢的,和普通數據不同的是,在播放視頻流的過程中,一定要根據時間戳來決定何時顯示,所以為保障視頻播放質量,減少花屏、跳幀和卡頓現象,我公司采用了視頻逐幀緩沖的技術,在對視頻數據進行網絡安全數據處理時為視頻幀提供了一定數量的“幀緩沖區”,有效降低了視頻播放出現花屏、跳幀和卡頓的現象。
4.4 DPI深度報文檢測
特有的DPI專利技術,對數據包進行深度分析,完成所在鏈路的業務精細化識別、業務流量流向分析、業務流量占比統計、業務占比整形。
五、 方案的價值與意義
在自媒體時代,突發事件一旦經過惡意傳播極易造成為網絡爆點,造成社會輿論壓力,并且會給學校聲譽及個人帶來負面影響,華域數安視頻監控信息安全解決方案能夠及時有效預防黑客和內部人員泄密的企圖,還能夠對于泄密事件進行溯源,準確識別泄密單位及個人,真正做到個人放心、單位省心、國家安心。
視頻防泄密解決方案,有效的將技術防范、人員防范相結合,在通過技術手段保護視頻信息安全的同時,也能夠提高內部員工法律意識、提升自我保護能力,真正做到技防、人防相結合, 實現單位內部重要視頻圖像信息不泄露、敏感視頻圖像信息不失控,從而保護社會聲譽、保護公民隱私。