标准将主要解决视频监控哪些安全问题
《中国安防》:您认为标准的发布实施是否可以比较全面的解决目前视频监控的安全问题或者说将主要解决视频监控联网哪些突出问题?
杨学军:GB35114标准目前主要用于解决前端的问题,我认为它能极大地改善目前视频监控联网的安全问题,但不能说全面解决,因为它在后端还覆盖不足,无法全面解决后端网络的问题,后端问题的解决仍需要一些新的标准和体系。但这已经非常重要,因为前端的信息保护非常必要。
此外,现在的标准还有一块事情没解决就是前端的设备安全,GB35114主要解决的是信息安全,并不太合适解决设备安全,所谓设备安全就是摄像头本身它里面的芯片操作系统会不会被攻击等。如果前端设备不出问题,摄像头到网络之间信息传输的时候,这个标准可以比较完善地解决它的整个信息安全问题。前端设备被攻击叫设备安全,GB35114没有关注设备安全的事,因为也不可能一个标准去关注所有安全的事情,安全是个非常复杂庞大的体系,还要不断努力去建立完善标准体系。
GB35114强制性标准是根据整个视频网的规模和发展特点,包括以后的资金投入、维护管理等做了权衡后提出来的一个整体框架。这个标准做了设备的分级管理,从弱到强分别是A、B、C三个等级。如果从最严格的要求来讲,它都应该做到C级是最好的,但这样的存量包括投入问题都比较难解决。从实用来讲,也不是所有的摄像头都要保护到C级。虽然GB35114是强制性,但它不是像我们一般理解的食品安全强制性标准,因为达不到这个指标就完全过不了关,企业做哪个级别的产品他是有选择性的,但这三个级别的应用也不取决于厂家,而是厂家提供的产品要能很好地匹配用户的需求。
龚霖迪:无论是模拟、数字还是网络时代,公共安全视频监控系统的安全都由四部分组成:前端、传输、平台和使用者。
首先前端的安全,要解决摄像机的身份问题。模拟摄像机不认证身份,任意一台带BNC接口的模拟摄像机,用同轴线都可以连接进入公共安全视频监控系统。网络摄像机开始身份验证,主要手段包括IP绑定、MAC地址绑定和通过注册信令包向平台注册认证等,这些手段非常薄弱,很容易被欺骗。GB28181推荐网络摄像机使用SIP协议,发送一个RFC3261数据包,这个数据包可能会被中途篡改,GB35114修改为基于数字证书的身份认证流程和协议,解决了前端摄像机“我是我”的问题。
其次是传输的安全。摄像机与后台系统传输两种类型的数据“信令数据和流媒体数据”。信令数据主要用于摄像机的控制,如请求视频、控制云台、报警信息等等。在原有的联网协议中,别有用心的黑客通过劫持信号数据,可以控制云台、改变摄像机的角度和镜头焦距、消除用户隐私遮挡,从而获取敏感场所、敏感位置的视频数据。GB35114对云台控制等重要的SIP数据,采用带秘钥的SM3算法加密,降低了摄像机被劫持的风险。同时对设备划分不同的安全等级,C级最高、A级最低,充分地考虑不同场景对设备的安全需求,例如一类监控点可以选用C级摄像机,三类监控点可以选用A级摄像机。C级摄像机的视频数据需进行数字签名和加密传输。
再次是视频监控管理平台。与视频安全密钥管理系统对接,实现基于数字证书的设备身份认证流程、客户端身份认证流程,视频会话过程中密钥分发等功能。
最后是使用者。在客户端采用UKEY验证用户的身份,实现视频数据签名的验签和视频的解密。目前大部分的客户端都是使用账号和密码的方式登录,存在被劫持和暴力密码破解的可能。现在很多客户端把视频下载后,直接转存为MP4格式,可以随意传播。加密视频必须通过UKEY验证才能观看,降低了二次传播的范围。
GB35114考虑了行业的发展现状和历史问题,力求采用主流简洁的架构和技术手段,能得到最大的安全收益。已建好的系统,前端设备和后台系统基本通过软件升级的方式都能符合标准的要求。新建的系统,不需要额外增加很高的成本就能获得安全收益。在标准的制订精神上,作为SVAC2.0的形式推出,表达出对中国标准的支持态度。
邱嵩:GB35114规定了公共安全领域视频监控联网视频信息以及控制信令信息安全保护的技术要求,包括公共安全视频监控联网信息安全系统的互联结构、证书和密钥要求、基本功能要求、性能要求等技术要求。标准中规定,根据安全保护强弱,将前端设备的安全能力分为三个等级,由弱到强分别是A级、B级和C级。其中,A级仅要求基于数字证书与管理平台双向身份认证的能力,达到设备身份真实的目标,未对设备输出的视频数据保护提出要求;B级在A级要求基础上,要求对视频数据签名的能力,达到身份真实和视频来源于真实设备,能够校验视频内容是否遭到篡改的目标;C级在B级要求基础上,要求视频数据加密的能力,达到身份真实和视频来源于真实设备,能够校验视频内容是否遭到篡改,能够达到对视频内容加密保护的目标。标准要求采用符合国密规范的密码算法,安全等级B级和C级要求视频编码、签名数据和加密数据的封装符合GB/T 25724-2017(SVAC标准)要求。
GB35114标准的发布和实施,不仅对视频监控系统中设备的真实性和控制信令的真实性做了保护,而且从信息源头对视频数据的真实性和保密性做了保护,在数据层面显著加强了系统的安全性,其技术手段能有效防止视频数据伪造篡改、非法传播扩散等情况的发生,为视频监控系统联网信息安全提供了强力保障。
以上见解摘自《中国安防》专业访谈
获取GB35114-2017 标准PDF全文
GB35114-2017
标准号:GB 35114-2017
中文标准名称:公共安全视频监控联网信息安全技术要求
英文标准名称:Technical requirements for information security of video surveillance network system for public security
标准状态:现行
若因项目需要,需要获取GB35114-2017标准PDF全文(107页)。可联系我们,提交联系表单。我们将有专人回发给您。