浅析公共视频监控网络的数据安全治理
在新基建引领下,安防视频监控正迎来新风口,但挑战也如影随形。近年来随着视频监控应用范围不断延伸,海量视频监控点将带来新的数据安全问题,从而对视频监控网络的数据安全防护提出了新的要求。
随着“平安城市”“智慧城市”以及“雪亮工程”的深入开展,视频图像监控的作用已经不仅仅局限在治安防控领域,还逐步扩展到城乡社会治理、打击犯罪、服务民生等方面。其中,作为天网向农村延伸和深化的一项重要工程,“雪亮工程”可有效补齐治安防控的短板,也是新形势下治安防控工作的创新举措。“雪亮工程”的建设,是对“天网工程”、视频监控全覆盖工程的延伸和整合,同时也是“互联网+”环境下结合大数据和人工智能的社会治安防控体系建设的新途径。
2018年和2019年,“雪亮工程”连续两年写进中央一号文件,足以凸显“雪亮工程”之于国家发展建设的重要意义。根据“十三五”规划,到2020年,我国将基本实现“全域覆盖、全网共享、全时可用、全程可控”的公共安全视频监控建设联网应用。
在“雪亮工程”建设中,大数据与人工智能的融合产生了诸多效能,已经成为推进“雪亮工程”建设治理与体系管理方面的必然选择和重要抓手,最终将推进体系融合共享,与天网对接,与网格化服务管理融合,实现平台互通、系统对接、信息共享、高效联动。但由于大数据等新技术的加入,以及公共视频传输网的特殊性、视频监控前端安装环境的复杂性,针对视频数据的安全应用尚未在“雪亮工程”建设中形成完全统一的标准和共识。
首先,视频监控网内的数据需要突破组织的边界,从部门内跨部门,从应用区域内跨应用区域,并需要进行重新定义,在这些过程中,数据如何正确使用、如何进行安全管理、如何进行优化以及隐私保护,都是当前面临的问题。
其次,视频监控网在运行过程中易受到恶意攻击,视频及相关数据自身的安全问题也比较突出。对视频监控网采取安全化数据防护措施,既是视频监控网建设的巩固和延伸,也是“互联网+”环境下加强和创新社会治安防控体系建设的重要途径。
近年来,视频数据的发展呈现出规模大、种类繁多、价值密度低、处理速度快等特点。随着信息技术的发展,目前视频数据规模和应用模式已经发生了变化,相较于2010 年,当前视频的数据量增长数十倍,这也预示着视频监控大数据时代的到来。同时,视频监控行业向智能化趋势演进,伴随而来的是对视频监控数据安全防护的高要求。
随着雪亮工程的不断建设,视频监控联网向更广大的区域延伸,向乡、村下沉,监控站点部署场景越来越复杂,对于无人值守的终端节点越来越难以防护,站点非法开箱,摄像机破坏、非法替换、私接,远程非法DDos攻击,摄像机入侵等安全事件时有发生。
据统计,在全球范围内,针对视频数据的攻击行为正在不断加剧,根据相关机构公布的数据,2019年的数据泄露事件达到了一个高峰,上半年有超过数百起针对视频网络的数据泄露攻击事件,在过去四年中增加了50%甚至更多。
随着数据安全环境的变化,政府和公安用户对现有的视频存储和安防措施提出了更高的要求,采用新型数据安全治理的重要性和紧迫性日益凸显。
在当前趋势下,视频数据安全治理无疑已经成为业界非常关注的技术领域,视频数据安全不仅仅是防窃取,从用户的角度来看,当前视频数据安全至少包括以下三方面问题:一是视频数据被窃取,即担心内部的数据被人偷走。二是视频数据被滥用,即用户对拥有数据的服务方或内部人员不放心,担心他们会滥用自己的数据。三是视频数据被误用,即在视频数据加工使用的过程中会不会侵犯用户利益。但目前,人们对视频数据安全治理的发展仍存在以下几点误区:
1、用“以视频应用系统为中心的安全”思路解决问题
以视频应用系统为中心的安全是传统的安全方法,关注点在于视频监控网络内部某个应用、某个服务器或某个终端安全与否。如今,随着智慧公安等大数据系统的建设,视频数据在越来越多的系统之间流转,数据与单一系统的黏性越来越低,而系统与数据的关系,类似于“石油管道”和“石油”的安全管理,前者关注的是石油输送系统自身的安全(运转正常),后者则是要保障管道系统内石油的安全。两者显然有关系,但又有很大不同。单个系统的安全并不等价于数据的安全,系统被入侵也不等于数据一定会被偷走,每个系统都固若金汤也不等于数据就不会被滥用或误用。解决视频数据自身的安全问题,需要切换到“以视频数据为中心”的安全思路上来。
2、采用传统的方法解决新时代的数据安全
数据安全是最古老的安全概念。自古代就产生了数据安全的需求,并推动了相关技术的不断发展。但是,随着技术的发展,如今数据的存在形式、使用方式和共享模式与过去有了极大的变化,在视频监控网络里,存储的数据可能涉及很多公民、车辆、设备、服务器、产品、内部用户的信息,然而真正需要考虑的是数据在这么复杂的全过程中,从使用者的角度来说安全不安全?是否实施了数据防泄漏,数据的安全就可以高枕无忧?显然,这和传统的“数据安全”概念有很大区别。
3、强调数据安全管理而非数据安全治理
这里说的视频数据安全管理,指的是根据视频事务的规律制定一整套的安全规则,然后进行规则的执行落地,控制视频监控系统达到安全状态。而视频数据安全治理指的是找到若干关键点和基本思路,调动多方力量和资源形成某种协同或者生态,通过协同引导整个视频监控系统达到预期状态。新时代的数据安全治理无法使用传统的管理模式达到目标,必须走协同治理的道路。
随着智慧城市等项目的建设以及与公安视频监控网络的深度融合,视频数据安全问题也将涉及所有行业,采用传统的公安网络安全领域的知识或者单一方法无法解决现有的视频数据安全问题。如果按照过去管理公安网络的方式,设立若干部门自上而下进行管理,不但成本无法承担,效率也无法适应今天的实际情况。因此,政府、公安、服务商、第三方机构等需要发挥各自的优势,形成有效的配合,才能建立适应当今数字时代的协同治理模式,共同提升全社会的数据安全水平。
在相关机构的一份调查报告中,我们可以看到,当前很多行业和组织,内部安全或管理人员对数据的安全管控力度比较薄弱,导致数据安全事件层出不穷:
• 75%的成员不清楚特权用户对数据进行过何种操作;
• 66%的成员不能有效防止特权用户对数据的非授权访问;
• 85%的成员将真实数据不加防范地交与开发人员或第三方人员;
• 50%的成员对其非特权用户访问敏感数据毫无措施;
• 70%成员都未能及时采取防范SQL注入的攻击。
同时,据权威部门统计,在视频数据风险中,70%以上属于操作风险,即由人工操作不当(无意或故意)引起的风险。因此,有效地控制人为风险,尤其是操作风险,对视频监控网络的数据安全运营至关重要。视频数据安全治理与优秀的人员管理分不开,良好的人员素质是数据安全的必要条件,最好的数据安全治理体系也只有通过人员的积极响应才会取得预期效果。
同时,视频监控网络的数据安全治理的战略目标也不能只有少数人清楚,视频数据安全治理需要涉及视频公共安全的全员参与才能成功实施。因此,在规划好视频数据安全治理战略后,首先要做的就是视频数据安全治理战略的宣贯,让涉及视频公共安全的全员都能清楚和理解其数据安全战略,从而建立全员的数据安全意识,并将这种意识转化为行动力,在潜移默化中提升视频数据的安全防护。
当前,视频数据所面临的内部威胁远大于外部威胁,所面临的安全问题防不胜防,视频数据安全治理需要以“数据全流程安全使用”为目标来建立安全管理体系,它的核心内容如下:
首先是来自对视频数据所在业务的梳理,把握住需求与风险、威胁、合规性之间的平衡。其次,要绘制相关视频数据地图,确定数据的优先级,尽可能对数据做到有差别和针对性的防护,实现在适当安全保护下的数据自由流动。
在视频数据分级和分类后,需要弄清数据的描述特征,以及这些数据在系统内的分布,了解这些数据在被谁访问,这些人是如何使用和访问数据的,这就需要完整的数据梳理过程。
在视频数据有效梳理的基础上,我们需要制定出针对不同数据、不同使用者的管理控制策略,构建身份和访问控制管理体系。除了数据管控策略,我们还需要对数据的访问行为进行记录,对收集的日志记录进行合规性分析和风险分析。
视频数据安全治理的具体实现还需要遵循四个原则:一是要遵守公安和相关行业的政策法规;二是要确保视频数据的机密性、完整性和可用性;三是要紧紧围绕最小数据丢失原则;四是要符合审计合规性原则。
伴随着时代和技术的发展,视频数据安全治理越发重要,新时代的视频数据安全治理,不仅仅需要考虑视频数据自身的安全性,还需要结合国家的政策、公安和相关组织的战略、文化、建设、流程重构、规章制度、技术工具等各方面综合考虑,通过采用身份认证与访问控制、数据申请及审核、数据分级与授权、数据脱敏、数据加密、数据安全审计等技术手段,从而大幅提升和优化视频数据的安全防护能力。
文 / 杨黎明 (中国安防协会)
行业新闻