一、 项目背景概述
1.1 项目背景
传统的以“人防”和“物防”为主的安全防范手段和措施,已经难以适应学校的发展和变化。这种情况下,以视频监控为主的各类“技防”手段已经越来越多的应用到校园,形成了以“人防、物防、技防”三防为一体的安全防范体系。
随着全国范围内“平安校园”建设的全面推进,以视频监控为主的各类“技防”手段已经越来越多的应用到校园,随着学校的发展,学校的规模不断扩大,导致校园安保工作日益严峻,校园安全事件屡屡发生。在网络如此发达的现代社会,学校不仅面对着政府的监管,还有可能遭受社会舆论的压力。一旦出现校园内部事件在互联网发酵,无疑会对学校形象产生负面影响,甚至影响学校的教学秩序,给学校带来损失和学生造成压力。
1.2 相关政策
公共视频监控网络属于《网络安全法》定义的“关键信息基础设施”, 《网络安全法》规定:关键信息基础设施的运营者(以下称运营者)对本单位关键信息基础设施安全负主体责任,履行网络安全保护义务,接受政府和社会监督,承担社会责任。
网络安全法第四十条规定,网络运营者应当对其收集的用户信息严格保密,并建立健全用户信息保护制度。
网络安全法第四十五条规定,依法负有网络安全监督管理职责的部门及其工作人员,必须对在履行职责中知悉的个人信息、隐私和商业秘密严格保密,不得泄露、出售或者非法向他人提供。
《中华人民共和国网络安全法》第三章网络运行安全和第四章网络信息安全,明确了的责任体、工作范围及相关处罚规定等,安全法对关键基础信息设施提出了更高的责任和要求;从网络安全法实施以来,很多网络安全事件发现,主要是相关人员的思想意识和技术防护能力不足造成的。
《中华人民共和国个人信息保护法》(草案)第二章第二十七条规定:“在公共场所安装图像采集、个人身份识别设 备,应当为维护公共安全所必需,遵守国家有关规定,并设置显 著的提示标识。所收集的个人图像、个人身份特征信息只能用于维护公共安全的目的,不得公开或者向他人提供;取得个人单独同意或者法律、行政法规另有规定的除外。”
《关于加强公共安全视频监控建设联网应用工作的若干意见》(996 号)文 件要求实现视频图像数据的全程可控,即:“重要视频图像信息不失控,敏感视频图像信息不泄露”。
华域数安监控视频信息安全解决方案从技防方面对相关人员进行规范和约束,避免相关人员违反国家相关规定,给国家、政府、单位及个人带来损失。
二、 项目需求分析
1
2
2.1 视频防泄密需求
在信息高速发展的今天,信息安全越来越受到重视,泄密等事件的频频发生,学校监控视频图像内容有一些敏感信息,例如餐厅的后厨操作、校园打架斗殴、学生不雅行为、学生自杀事件等,如果泄露到互联网上,很容易在社会上发酵,对学校声誉造成恶劣的影响。
许多高校建设有国家重点实验室,国家重点实验室是具有相对独立的人事权和财务权的科研实体。作为国家科技创新体系的重要组成部分,是国家组织高水平基础研究和应用基础研究、聚集和培养优秀科学家、开展高层次学术交流的重要基地。作为核心科学技术的研究机构,各单位具备自己的一套保密管理制度,采取一定程度上的监管手段。不管是学校周边还是实验室,都存在对视频数据采取一定的保密性措施,因此,针对现状,对视频数据防泄密有急切的需求。
(1)在使用中的数据防止泄密,主要是在视频调阅过程当中,防止截屏、录屏、拍照等泄密方式。
(2)在管理终端的本地存储数据防止泄密,主要是防止存储中的数据随便外发,造成泄密。
(3)在外使用的视频数据防止泄密,主要是针对在外部门、外单位使用的视频数据要能够受控,不能随意在哪里都可以随意使用。
(4)要求对视频数据的调用进行控制,不能在任意电脑上安装视频调用客户端软件就可以直接进行视频数据调用。
(5)要求能够对视频泄露的事件能够追踪溯源,可以有效的震慑到企图视频泄露的人。
(6)对于全网的视频摄像机调用指令需要进行实时记录并审计,在审计数据中能提前发现问题。
三、 视频防泄密解决方案
随着平安校园,平安社区的逐步推进。校园监控基础建设日益完善,在应对校园暴力事件、消防事故、交通安全、明厨亮灶等校园安全事件处理上显得短板,以“人防”“物防”达到的应急能力是有限的,缺乏整体规划,资源整合困难;缺少有效的运维手段;缺乏有效的“技防”管控措施。
系统建设目的是为了视频资源统一管理、统一调阅,形成合理、规范的视频监控管理平台。
通过技术手段实现视频数据的加密,视频调阅过程安全可控、行为审计,视频数据外发可控、外发文件可控,以及事后可以溯源。
3
3.1 方案设计依据
n 《餐饮服务明厨亮灶工作指导意见》
n 《学校食品安全与营养健康管理规定》
n 《安全防范工程技术规范》 (GB50348-2004)
n 《安全防范工程程序与要求》 (GA/T75-1994)
n 《安全防范系统验收规则》 (GA308-2001)
n 《公共场所监视电视系统设计规范》 (DBJ08-16-90)
n 《中国公众多媒体通信网网络管理规范》 (YDN075-1998)
n 《视频安全监控系统技术要求》 (GB/T367-2001)
n 《城市警用地理信息分类与代码》(GA/T491—2004)
n 《城市警用地理信息系统建设规范》(GA/T493-2004)
n 《报警图像信号有线传输装置》 (GB/T6677-1996)
n 《计算机信息系统安全保护等级划分准则》 (GBl7859-1999)
n 《计算机信息系统安全等级保护管理要求》 (GA/T388-2002B)
3.2 解决方案拓扑设计
3.3 方案组成及功能详解
本视频防泄密解决方案由视频调阅安全网关、视频调阅安全客户端和大屏水印网关组成。
l 视频调阅安全网关
l 视频调阅安全软件客户端(基于Windows平台,支持主流播放器)
l 大屏水印网关
1、核心交换机旁路部署视频调阅安全网关,配套PC端强制安装视频防泄密客户端,可以对调阅视频的终端监控电脑在调阅视频时在视频窗口中加载上显性文字水印、二维码水印和隐性点阵水印,出现拍屏录屏行为后可以追踪溯源,同时规范视频调阅的行为。
(1)视频防泄密客户端可以阻断截屏行为和录屏软件,同时可阻断视频会议软件,避免二次泄密,视频下载到本地会自动进行加密,加密过程透明无干扰;
(2)视频调阅安全网关可以对视频的外发进行审批,采用存活时间、打开次数、打开权限、水印加载等多种方式避免二次泄密,并确保视频到期自动销毁;
(3)视频调阅安全网关导出视频数据时可以在视频流中逐帧加载视频水印指纹,在视频数据转移时对视频进行防篡改防护,同时在视频流中加载上导出用户信息,确保追踪溯源;
(4)视频调阅安全网关对监控视频的调阅加强安全身份验证,对调阅终端硬件、调阅的客户端软件、调阅的IP、MAC、时间等等均可进行有效管控,采用白名单方式阻止非法用户接入到视频监控系统;
(5)视频调阅安全网关支持对加密的视频进行解密审批,所有审批过程均进行日志记录;
(6)视频调阅安全网关可以审计网络中视频调用行为和网络流量,对源IP地址、目的IP地址、协议号、源端口、目的端口,服务类型和接口索引七元组信息进行审计,提高整体系统的不可否认性,同时加上视频防泄密客户端审计,形成更加全面的视频业务应用审计数据。
(7)视频调阅安全网关配套大屏水印网关,可以对监控室和指挥中心的大屏视频播放加载上水印信息,有效震慑对大屏进行拍屏录屏的行为,同时确保出现拍屏录屏行为后可以追溯到责任人
2、在监控大屏和解码上墙设备之间串联大屏水印网关,对拼接屏进行水印叠加,可以叠加二维码水印、文字水印显性水印,也可以叠加隐性水印,可以静态或者动态滚动显示时间信息、用户信息,支持自定义水印信息,可以整屏显示水印,也可以分屏显示水印。
3、视频业务行为审计,利用视频调阅安全网关针对访问视频核心服务区域的通信流量进行审计。
比如摄像头登录成功、查看实时视频、摄像头停止播放实时视频、NVR登录失败、NVR录成功、NVR播放实时画面、NVR停止播放实时画面、视频平台登录成功、视频平台播放实时画面、视频平台查看录像、自动搜索设备等信令级的审计,目前已经支持上百种摄像头、硬盘录像机品牌协议。
针对GB/T 28181协议标准,还可进行SIP信令审计,审计出SIP设备(摄像头或者其他SIP代理设备)对视频平台的访问流量,当发生SIP请求时记录详细信息;还可以基于RSTP流媒体的流量审计,当摄像头、视频防泄密客户端、信令网关、建立起会话后,流媒体与摄像头RSTP、流媒体与视频防泄密客户端RSTP交互报文将被行为审计系统完整记录。
审计视频协议的行为,有助于提高数据的安全性,网管可以定期检测该记录,查看视频调阅的历史记录,分析出反常的视频调阅行为,采取相应的管控措施。
四、 方案优势
4
4.1 多核并行网络数据包处理技术
为了更好地发挥多核平台的性能,视频安全网关设备会根据硬件平台的不同调整CP(控制层面)和DP(数据层面)的实例数,以实现性能的最大化。在处理业务数据的过程中,每个DP(数据层面)都采用Run-to-completion的方式,即一个数据包从接收到所有业务处理完毕,均在同一个DP(数据层面)中完成,这种处理方式能够显著提高处理性能。在串接部署的情况下降低数据延迟。
4.2 高性能网络处理技术
当数据包到视频监控安全产品时,首先由内置智能分流器对数据包进行初步分类。智能分流器根据当前启用的上层功能以及数据包的网络层、应用层信息,决定将该数据包投递到适当的处理内核。智能分流器保证了数据包能在单个处理核上完成所有所需的处理(出于对某些特殊情况的处理,系统仍提供核间报文互操作机制),避免了跨节点访问内存的高昂开销,是保证多核并发性能的关键技术。
采用这种高性能网络处理技术,可以在多核硬件上对大量的网络流量进行处理,同时保证网络数据包的低延迟。
4.3 视频数据逐帧缓冲技术
由于网络是不稳定的,因此视频数据的传输也是时快时慢的,和普通数据不同的是,在播放视频流的过程中,一定要根据时间戳来决定何时显示,所以为保障视频播放质量,减少花屏、跳帧和卡顿现象,我公司采用了视频逐帧缓冲的技术,在对视频数据进行网络安全数据处理时为视频帧提供了一定数量的“帧缓冲区”,有效降低了视频播放出现花屏、跳帧和卡顿的现象。
4.4 DPI深度报文检测
特有的DPI专利技术,对数据包进行深度分析,完成所在链路的业务精细化识别、业务流量流向分析、业务流量占比统计、业务占比整形。
五、 方案的价值与意义
在自媒体时代,突发事件一旦经过恶意传播极易造成为网络爆点,造成社会舆论压力,并且会给学校声誉及个人带来负面影响,华域数安视频监控信息安全解决方案能够及时有效预防黑客和内部人员泄密的企图,还能够对于泄密事件进行溯源,准确识别泄密单位及个人,真正做到个人放心、单位省心、国家安心。
视频防泄密解决方案,有效的将技术防范、人员防范相结合,在通过技术手段保护视频信息安全的同时,也能够提高内部员工法律意识、提升自我保护能力,真正做到技防、人防相结合, 实现单位内部重要视频图像信息不泄露、敏感视频图像信息不失控,从而保护社会声誉、保护公民隐私。