2018年11月1日,GB35114-2017国家强制标准正式实施。
以下转自2018年11月1日《人民公安报》第08版。
公共视频监控信息安全有了新屏障
国家标准开始实施,专家学者高度关注
11月1日,GB35114-2017《公共安全视频监控联网信息安全技术要求》正式实施。这是由公安部提出,全国安全防范报警系统标准化技术委员会(SAC/TC100)归口,并经国家质量监督检验检疫总局、国家标准化管理委员会批准发布的国家标准。该标准规定了公共安全领域视频监控联网视频信息以及控制信令信息安全保护的技术要求,适用于公共安全领域视频监控系统的信息安全方案设计、系统检测及与之相关的设备研发与检测。
10月23日至26日,2018年中国国际社会公共安全产品博览会(简称“北京安博会”)在北京举行。其间,“2018视频网络安全高端论坛”于10月24日举办。多位专注公共安全行业的专家学者及企业代表纷纷亮相,就GB35114-2017对视频监控领域产生的作用和影响进行了深入讨论。
论坛现场
1
重建设 轻安全 联网视频监控系统安全态势严峻
经过多年的努力,我国已经建成世界上最大的视频监控网络,初步覆盖了公共区域重点单位和关键点位。公共安全视频监控已经成为提升平安中国建设、能力和水平的基础性工程,在维护社会秩序、保障民生、服务发展等方面发挥了重要作用。
——视频监控网络安全态势发生变化,人们的安全意识和防范手段尚未跟上
“早期的视频监控系统是模拟的,几乎不存在安全问题,叫闭路电视系统(CCTV),在一个很小的范围内使用,不联网。但进入数字高清时代,视频监控实现了数字化、网络化之后就出现了网络安全问题。尤其是目前在大规模联网、云计算和人工智能等新技术普及应用的背景下,视频监控系统所面临的安全威胁和手段发生了巨大的变化。而多数视频网络系统对安全方面规划却没有跟上,所以导致了目前安全态势严峻。”中关村天盾视频监控安全产业与技术创新联盟秘书长、中星技术股份有限公司联席总裁周大良说。
随着技术的发展以及业务实际需要,视频监控联网已经成了平安中国建设的重要任务之一。
2015年,《关于加强公共安全视频监控建设联网应用工作的若干意见》出台,明确规定到2020年,基本实现“全域覆盖、全网共享、全时可用、全程可控”的公共安全视频监控建设联网应用,在加强治安防控、优化交通出行、服务城市管理、创新社会治理等方面取得显著成效。其中“全程可控”就是指公共安全视频监控系统联网应用的分层安全体系基本建成,实现重要视频图像信息不失控,敏感视频图像信息不泄露。
——安全问题浮出水面,视频传感网“裸奔”运行
在视频监控联网工作开展得如火如荼之际,网络安全问题也日渐浮出水面。
“重建设、重应用、轻安全”的建设思路影响,当前网络视频监控系统在建设和应用过程中存在着资产不清、管理不规范、前端设备易被非正常替换、弱口令及系统安全问题,易被入侵和控制。与会嘉宾一致认为,我国网络视频监控系统的安全态势不容乐观。
2015年初,政府机关和公共行业广泛使用的某型号联网摄像头被曝存在高危漏洞,并已被利用植入恶意代码,导致部分设备被远程控制并可作为跳板对外发动网络攻击。
2017年12月,某省公安部门邀请安全防范技术与风险评估公安部重点实验室对该省视频传输网进行抽检。结果显示:该省视频传感网基本处于“裸奔”状态,黑客可直接通过侵入前端设备,控制整个系统。
今年上半年,国家互联网应急中心核查发现,我国主要厂商生产的同类型设备,普遍存在类似安全问题,急需进行大范围整改。9月,中国信息通信研究院发布的《物联网安全白皮书(2018)》显示:我国两家知名厂商的视频监控设备暴露严重,数量均达到百万量级。
而在消费级市场,在家庭和店铺流行的智能摄像头的安全问题更加突出。2017年6月,国家质检总局对市场上的智能联网摄像头进行了监测,在40批样品中,32批存在安全隐患。智能摄像头被入侵的新闻更是时常见诸媒体。
——“黑科技”日益猖獗,视频易被侵入或招致严重后果
对公安机关来说,一旦视频监控系统被侵入,极有可能导致视频数据泄漏。更为严重的是,如果视频被人进行修饰、篡改、删除等操作,交通管理、线索追踪、治安管理、人口管理等各项涉及视频数据的公安业务都可能受到影响,公安机关的执法透明度与公信力也可能遭受非议。
而从另一个角度来看,视频技术已经发展到可以利用人工智能技术合成“真实”视频,视频中人的动作、表情、嘴型都能以假乱真,即使采用专业技术也难辨真假。“试想,这项技术如果被不法分子利用,他可以伪造出任意场景,这样危害非常大,比如说目前流行的刷脸支付、语音支付,都有可能被不法分子利用。”周大良说。
2
我国首个针对视频监控联网信息安全的技术标准出台
没有信息安全就没有国家安全。当公共视频监控已经实现跨部门、跨区域、跨行业联网应用时,其信息安全问题必须作为首要问题给予重视。
GB35114-2017是我国首个关于视频监控联网信息安全方面的技术标准,首次对公共安全视频监控的信息安全提出明确规范要求,是全面加强公共安全视频监控领域信息安全的技术依据。
据介绍,GB35114-2017旨在从5个方面解决当前公共安全视频监控存在的信息安全隐患问题:
一是采用基于国密算法和部件的数字证书设备身份认证技术,有利于确定设备身份,解决设备替换和私接乱接问题;
二是基于密钥的信令认证,解决摄像头被控制问题;
三是基于数字签名技术,保障重要视频数据的真实性、完整性,解决视频证据的可信度问题;
四是基于数字证书用户认证管理,解决未授权用户访问视频信息问题;
五是采用基于视频帧的端到端视频加密保护,解决视频监控系统重要视频“裸奔”问题。
GB35114-2017的另一亮点在于,它是我国拥有自主知识产权、完全自主可控的标准。过去,由于核心技术和标准的缺乏,我国视频监控产业受到诸多限制。而随着GB/T28181(《安全防范视频监控联网系统信息传输、交换、控制技术要求》)、GB/ T25724-2017(《公共安全视频监控数字视音频编解码技术要求》,亦简称“公共安全SVAC国家标准”)和GB35114的相继发布及迭代更新,我国公共视频监控联网应用的标准化、规范化和专业化水平均有了明确的技术依据。
而GB35114-2017的出台不仅仅只是提升视频监控系统的安全防护水平,还能为公安机关科技信息化带来切实好处。它建立在公共安全SVAC2.0国家标准的基础之上,与之相辅相成。公共安全SVAC2.0国家标准是中国自主研发的旨在解决安全防范行业音视频编解码独特要求的技术标准。与国际标准化组织和国际电信联盟联合制定的H.264或H.265标准相比,公共安全SVAC国家标准能更好地解决视频难以结构化、视频容易被侵入窃取伪造、视频数据和业务数据脱节无法关联检索等问题。而这些问题,都是当前公安机关在视频信息综合利用方面的重点和难点问题。
3
软件可升级至A级 更高等级需要软硬件同时升级
今后,如何建设符合GB35114-2017的视频监控系统?此前花大力气建设的视频监控系统还能继续使用吗,怎么改造才能符合国标?会不会是一笔巨大的投资。
对此,有关专家给出了详细的解释。据了解,根据安全保护能力的强弱,GB35114-2017标准将安全前端(摄像机)的安全能力分为3个等级,由弱到强分别是A级、B级、C级。
原视频监控系统要支持GB35114-2017,需要在前端设备、用户终端、视频监控管理平台各个模块增加安全功能,增加专门的视频安全密钥服务系统。
前端摄像机。现有安装摄像机可以通过增加符合国密标准的TF卡、软件密码模块,升级软件方式实现对GB35114-2017的支持,普通摄像机可以支持A级安全等级。但符合公共安全SVAC2.0国家标准的摄像机可以达到支持B级和C级安全等级。
客户端。客户端需要升级客户端软件,并增加Ukey或加密卡,实现GB35114-2017规范里要求的基于数字证书的设备身份认证、视频签名的验签和加密视频的解密功能。
视频监控管理平台。需要与视频安全密钥管理系统对接,升级软件实现GB35114-2017规范里要求的基于数字证书的设备身份认证流程,基于数字证书的客户端身份认证流程,实现视频会话过程中VKEK密钥分发等功能。
视频安全密钥管理系统包括数字认证系统和密钥管理系统,实现数字证书的生成,结合视频监控系统特性对密钥进行管理,支持适合监控业务的密钥查询功能。升级后的视频监控系统可以同时支持原有前端摄像机的接入等工作、解决系统在过渡期的兼容性问题。
4
9家企业获颁证书
今年8月,公安部科技信息化局发文,批准了中国安全技术防范认证中心对公共安全视频监控产品开展GA(公共安全产品)认证。此项认证特别强调了获证产品应符合国家标准GB35114-2017《公共安全视频监控联网信息安全技术要求》、GB/ T28181-2016《安全防范视频监控联网系统信息传输、交换、控制技术要求》相关要求。
10月23日,包括中星技术股份有限公司下属中星电子股份有限公司、山西中天信科技有限公司2家企业在内的9家企业获得了首批公共安全视频监控产品GA认证证书。
这一年来,为了迎接GB35114-2017的正式实施,公安机关、科研单位和企业都在准备。包括甘肃兰州、云南昆明、山西大同、广东珠海、湖南湘潭、云南怒江在内的一批城市正在推行GB35114-2017,已经完成或正在开展基于GB35114-2017的联网视频监控系统建设。
网络视频监控安全体系建设只有起点,没有终点。当前,我国公共安全视频监控联网建设工作正在向全国联网的阶段迈进。相信有了GB35114-2017作为技术支撑,公安机关面对网络安全挑战,必定能进一步做强视频信息数据安全,“全域覆盖、全网共享、全时可用、全程可控”的目标也能顺利实现。