交通视频图像信息安全管控系统建设方案
交通视频图像信息系统安全建设方案
目 录
一、 概述
一.1 建设背景
随着平安城市、雪亮工程、智能交通、天网工程等项目的广泛建设,视频互联网络已经步入大物联网时代。数千万的视频设备及物联网终端,已广泛的应用于治安防控、交通出行、智慧物流、打击防罪、行政司法、环境保护、教育学习、医疗卫生、应急管理、旅游出行、食品安全、工商管理、金融等领域。在全省积极推进视频监控建设的情况下,前在建、已建的视频监控系统设备数量大、分布范围广、物理接触容易、易被网络攻击、管理单位等众多特点越来越突出,导致视频监控系统面临信息被伪造、重要信息失控、窃取,敏感信息被泄露的危险。存在未授权用户的非法访问导致的敏感视频内容外泄,非法接入视频监控前端设备导致的虚假视频植入,非法接入视频监控管理平台服务器设备导致的敏感视频内容转移,恶意操控视频前端设备导致的监控角度错误,非法篡改视频监控前端设备产生的视频内容导致的视频内容篡改,非法获取视频监控前端设备产生的视频内容导致的敏感视频内容外泄等安全风险。
一.2 现状问题
一.2.1 未授权用户的非法访问
未授权用户的非法访问可导致敏感视频内容外泄,因此要保障用户身份的真实性以及用户访问的可控性。
一.2.2 非法接入视频监控前端设备
非法接入视频监控前端设备可导致虚假视频植入,因此要保障接入监控视频系统的视频监控前端设备身份的真实性,防止假冒的设备。用户在调用视频时,保证调用的就是所请求的设备而不是其他假冒设备,保证源的可信。
一.2.3 非法接入视频监控管理平台服务器设备
非法接入监控视频系统服务器设备可导致敏感视频内容转移,因此要保障监控视频系统中平台服务器设备身份的真实性。
一.2.4 非法操控视频监控前端设备
非法操控设备可导致视频监控前端设备的监控角度错误、停止工作、采集的视频向未授权的地方传输,因此要保障信令内容的完整性(即信令内容被篡改后可检测),从而不让篡改后的信令执行。
一.2.5 非法篡改视频监控前端设备产生的视频内容
非法篡改视频监控前端设备的视频内容可导致视频内容改变,因此要保障视频内容的完整性,防止视频内容被篡改。视频监控视音频信息主要用于协助破案,而犯罪嫌疑人可以通过篡改案发现场的视频录像来阻碍案件的侦破,视频内容的安全性就非常重要,其细微篡改可能就决定了一个线索的成立与否。因此需要用技术手段来甄别视频内容是否被篡改过,确保内容的完整性。
一.2.6 非法获取视频监控前端设备产生的视频内容
非法获取视频内容可导致敏感视频内容外泄,因此要保障视频内容的保密性,确保视音频内容没有被窃取、泄露。对于一些重点区域的视频监控前端设备,其视频涉及国家或者商业机密,因此在其传输和存储过程中,需要对其内容本身进行保护,要保证其内容的保密性,防止被窃取、泄露。对于在视频监控管理平台存储的视音频数据,也需要进行加密存储,防止存储视频被非法获取泄露。
一.3 建设必要性
为提高视频数据的保密性,国家强制性标准GB 35114-2017《公共安全视频监控联网信息安全技术要求》于2017年11月公开发布,从协议、数据等层面规范了视频监控系统的信息安全技术要求。该标准于2018年11月1日开始正式实施,对视频监控产业提升安全意识、积极采取联网安全措施具有重要的意义。标准全面定义了构建安全的公共安全视频监控联网系统各项技术要求,可保障视频数据及控制信令的真实性、完整性和保密性。
GB 35114标准要求在联网层面保证视频源和调用者可信接入,保证视频数据安全共享。视频数据传输过程完整可靠,从传输到存储全程加密。建立统一的数字证书颁发体系和密钥管理系统。基于自主可控的国密算法,编解码技术,保证视频数据安全。
一.4 建设依据
本方案严格遵循国内和国际上的相关标准规范,国内有相关标准的遵循国内标准,国内无相关标准的遵循国际标准。本方案遵循的依据有。
1、 《公共安全视频监控联网信息安全技术要求》(GB35114-2017)
2、 《公共安全重点区域视频图像信息采集规范》(GB 37300-2018)
3、 《SSL VPN技术规范》(GM/T 0024-2014)
4、 《SSL VPN 网关产品规范》(GM/T 0025-2014)
5、 《安全认证网关产品规范》(GM/T 0026-2014)
6、 《智能密码钥匙技术规范》(GM/T 0027-2014)
7、 《密码模块安全技术要求》(GM/T 0028-2014)
8、 《服务器密码机技术规范》(GM/T 0030-2014)
9、 《基于SM2密码算法的证书认证系统密码及其相关安全技术规范》(GM/T 0034-2014)
10、 《证书认证系统检测规范》(GM/T 0037-2014)
11、 《证书认证密钥管理系统检测规范》(GM/T 0038-2014)
二、 需求分析
二.1 政策要求
2015年,国家发展改革委、中央综治办、科技部、工业和信息化部、公安部、财政部、人力资源社会保障部、住房城乡建设部、交通运输部等九部委联合发文(发改高技〔2015〕996号),提出到2020年,基本实现“全域覆盖、全网共享、全时可用、全程可控”的公共安全视频监控建设联网应用目标。并要求“按照国家相关规定,加强网络安全传输、系统安全保障、重要信息安全管理等技术手段建设,提升公共安全视频监控系统安全防护能力。严格公共视频图像信息的使用管理,完善安全技术措施,确保安全共享、规范使用。在涉及国家安全、国家秘密的特殊领域开展公共安全视频监控建设应用工作,要严格安全准入机制,选用安全可控的产品设备和符合要求的专业服务队伍。”,“建立党政领导、综治牵头、公安负责、部门配合、社会参与的工作格局。”996号文指出,交通运输部与中央综治办、国家发展改革委、中央综治办会同教育部、科技部、工业和信息化部、公安部、国家安全部、民政部、司法部、财政部、人力资源和社会保障部、环境保护部、住房城乡建设部、水利部、文化部、国家卫生计生委、中国人民银行、国务院国资委、质检总局、新闻出版广电总局、安全监管总局、食品药品监管总局、国家林业局、国家旅游局、国家宗教局、国务院法制办、中国银监会、中国证监会、中国保监会、国家能源局、国家国防科工局、国家铁路局、中国民用航空局、国家文物局等部门,“建立跨部门工作机制,研究解决重大问题,加强对各地区的指导和监督,协调各有关部门出台推动公共安全视频监控建设联网应用的配套措施”。
《交通强国建设纲要》中,明确要求“构建安全、便捷、高效、绿色、经济的现代化综合交通体系”,“交通安全水平、治理能力、文明程度、国际竞争力及影响力达到国际先进水平”和“完善交通基础设施安全技术标准规范,持续加大基础设施安全防护投入,提升关键基础设施安全防护能力”。
《数字交通发展规划纲要》中,明确要求“兼顾创新发展和安全发展,防范化解数字化转型带来的信息安全风险,提升网络安全和数据安全保障能力,保障公共安全和国家利益”,“加强网络安全与信息系统同步建设,提高交通运输关键信息基础设施和重要信息系统的网络安全防护能力。推进重要信息系统国产密码应用、重要软硬件设备国产化应用。加强对交通数据全生命周期的管控,保护国家秘密、商业秘密和个人隐私”,指出交通视频安全存在的风险和安全建设的必要性,提出要“推进重要信息系统国产密码应用、重要软硬件设备国产化应用”。
逐步贯彻落实《中华人民共和国网络安全法》、《中华人民共和国密码法》、《网络安全等级保护条例》等法律法规,满足国家对基础设施信息安全保护的要求。
二.2 功能性需求
针对交通领域内视频监控联网信息系统的安全现状,视频监控信息系统的安全关键需求是对前端设备证书发放、对称密钥管理、接入系统的用户和信令的认证、平台间的认证,以及对视频数据的保护,确保视频数据的真实性、完整性、来源的可追溯性,基本安全需求如下:
二.2.1 前端设备证书发放需求
为了保障接入监控视频系统的视频监控前端设备身份的真实性,防止假冒的设备,保证调用的就是所请求的设备而不是其他假冒设备,对前端设备采用基于数字证书是认证技术,保证源的可信,需要对证书统一发放、管理。
二.2.2 对称密钥管理需求
系统的安全运营依赖于密钥管理的各个环节,密钥管理包括密钥的生成、备份、恢复、保存、使用及销毁等,其中任何一个环节遭到破坏都将严重危及系统的安全,甚至摧毁整个认证体系,所以密钥的安全管理是保证系统安全运营的重要条件与前提条件。
视频对称密钥管理服务是以视频密码设备为支撑,提供集中的视频对称密钥管理服务,结合严格的密钥使用授权,保障视频密钥安全使用。
二.2.3 系统平台间认证需求
公共安全视频监控信息系统中,入侵者有可能伪造视频监控系统中相关业务平台,非法访问或者窃取视频内容,因此视频监控系统中相关业务平台和视频监控管理平台之间需要进行身份认证,确保双方的身份不能被伪装。
二.2.4 用户身份认证需求
视频监控建在公共场所,入侵者有可能伪造成视频监控前端设备、视频监控管理平台以及用户接入视频监控系统,非法访问或者窃取视频内容,因此视频监控前端设备和视频监控管理平台之间,用户和视频监控管理平台之间需要进行身份认证,确保双方的身份不能被伪装。
二.2.5 信令和视频数据的完整性需求
通过篡改视频监控系统中的信令数据,可以控制视频前端设备按照篡改者的意图来采集视频,或者可以破坏后续的视频传输过程,导致视频播放等功能失败;通过篡改视频监控系统中的视频数据,可以改变视频的内容,误导用户或者有目的地制造舆论,因此对信令和视频数据具有完整性需求。
二.3 规范性需求
本项目建设使用的相关产品,需要通过国家密码管理局检测具备相关资质。满足GB 35114-2017《公共安全视频监控联网信息安全技术要求》和交通部各建设标准规范相关要求的前提下,完成本项目建设。按照对接标准对接交通部视频安全密钥服务系统,完成全省范围内交通视频监控设备、平台数字证书的签发工作和视频对称密钥服务。
三、 建设目标
本项目通过认证与数据加密提升视频图像数据安全防护能力。在视频图像数据的传输、存储、访问控制与密钥管理等关键环节上建设形成规范、严密、安全的防护体系,满足“严控边界、纵深防御、主动监测、全面审计”的信息安全要求,封堵安全防护体系的信息安全漏洞。此外,视频图像信息安全系统将保障视频监控共享平台与政府其他部分间信息交互的安全防护,实现跨部门的视频图像信息共享。
视频监控安全共享平台直接向上与部级安全共享平台对接,向下与市级安全共享平台对接,资源覆盖范围包括省、市、县、乡镇五级。
本次建设目标包含:密钥/证书管理、身份真实、信令可靠。
三.1 密钥/证书管理
省级视频密钥管理服务系统提供对本省视频密钥/证书服务,实现对本省视频密钥/证书的管理,设备身份证书注册服务在本省范围内提供设备身份证书申请、审核、发放、更新等服务,提供全程可视、可控、可追溯的设备身份证书管理和审计服务。省级对称密钥管理服务提供本省范围内视频监控安全联网/共享平台的视频对称密钥管理。
三.2 身份真实
视频监控系统中的人员、平台的身份必须真实可靠。
通过非对称密码技术,采用给视频监控平台发放数字证书的方式,确保视频监控管理平台身份的真实可信。对于视频监控管理平台的使用用户,可以复用现有的数字证书信任体系,保证其身份的真实可信。
三.3 信令可靠
视频监控系统中前端设备的遥控等重要信令真实性校验。
通过消息摘要算法,采用对信令数据和共享密钥进行杂凑计算,保障信令内容来源可信,并可以校验信令内容是否遭到篡改。
四、 建设内容
实现总体建设目标,建设省交通视频图像信息安全系统,实现GB 35114标准视频证书和密钥的相关要求,对接交通部视频安全密钥服务系统完成标准规定的非对称密钥和对称密钥的管理,为本省内交通行业视频监控系统平台提供互联的密钥支撑和生命周期管理。
主要建设方面包含:
1) 按照GB 35114技术要求建设省级交通视频密钥服务系统
建设省级交通视频密钥服务系统统一为全省范围内的各交通视频安全监控共享平台提供对称和非对称视频密钥服务,实现与部级视频安全密钥服务系统的密钥体系对接,系统包含设备身份证书注册及发布服务系统和视频对称密钥管理服务系统建设。
设备身份证书注册及发布服务在本省范围内提供设备身份证书申请、审核、发放、更新以及管理和审计服务等服务,实现本省范围内的数据同步。
视频对称密钥管理服务,对上接收部级视频密钥分散的视频根密钥,并完成视频根密钥的备份、恢复、销毁等生命周期管理;对下实现接入平台的平台主密钥的分散和安全下发。
2) 按照GB 35114技术要求建设省级交通视频监控联网信息安全管理系统
通过升级视频监控安全共享平台,实现本域内对用户及平台的识别、管理和身份认证、信令安全、视频可信和视频加解密,保障视频信息安全,符合GB 35114对于视频监控平台要求。
建设统一认证服务系统:包含用户认证、信令认证及平台认证服务,提供统一的认证授权服务,实现人员认证、权限管理、信令认证、设备认证、平台间认证。
四.1 总体架构
依据GB 35114-2017 《公共安全视频监控联网信息安全技术要求》标准规定,完整的视频监控信息安全系统应包括:具有安全功能的前端设备、具有安全功能的用户终端、视频监控安全管理平台和视频安全密钥服务系统四大部分。
为实现996号文要求,其中视频安全密钥服务系统采用分级建设的原则,实现对GB 35114标准视频密钥的管理。
本项目中,需实现省级交通视频安全密钥服务系统,向上对接交通部视频安全密钥服务系统(注:交通部视频安全密钥服务系统由上级统筹建设,本项目无需投资建设)。
图1: 总体架构
交通视频安全密钥服务系统(省)可根据实际情况选择通过电子政务外网或交通专网与交通部视频安全密钥服务系统连通,与部级视频安全密钥服务系统通讯需在视频应用保护网关保护下进行连通。
视频身份证书注册系统通过电子政务外网或交通专网为全省内的视频设备、用户和平台提供身份证书注册服务;视频对称密钥管理系统通过离线方式向交通部视频安全密钥服务系统申请视频对称密钥。
交通视频安全密钥服务系统(省)为视频安全前端等设备提供设备身份证书服务,为视频监控安全管理平台提供平台证书服务和视频对称密钥服务,为使用视频安全终端、视频监控安全管理平台的用户提供用户证书服务。
本省内所接入的交通视频监控系统平台需通过整合视频应用安全支撑,实现为平台内前端设备和用户终端提供身份证书服务和生成VKEK等视频对称密钥的服务。
四.2 交通视频安全密钥服务系统
交通视频安全密钥服务系统由设备及用户身份证书系统和视频对称密钥管理系统组成。
四.2.1 设备及用户身份证书系统
四.2.1.1 设备及用户身份证书注册系统
设备及用户身份证书注册系统对接交通部视频安全密钥服务系统,实现介质证书发放。
设备及用户身份证书注册系统在本省范围内提供设备身份证书申请、审核、发放、更新等服务,提供全程可视、可控、可追溯的设备身份证书管理和审计服务。
四.2.1.2 设备及用户身份证书申请系统
设备及用户身份证书申请系统是配合视频身份证书注册服务的证书综合管理系统,实现整机在线、整机离线和介质在线等多种发证模式的视频身份证书申请工作,完成本省范围内提供设备及人员身份证书申请、审核、发放、更新等服务。
设备及用户身份证书申请系统支持分级建设,方便下级各单位的视频身份证书申请。
四.2.1.3 视频目录系统
视频目录系统支持为不同视频应用创建不同的目录服务,并对视频身份认证和视频证书信息发布等进行优化,强化了视频目录的安全性。
视频目录系统具有查询效率高、支持多种认证方式、分布式部署框架以及灵活而细腻的访问控制等特点,可无缝快速应用于各大视频监控系统平台上。
视频目录系统实现交通视频安全密钥服务系统(省)与交通部视频安全密钥服务系统的视频身份证书数据同步。
四.2.2 视频对称密钥管理系统
视频对称密钥管理系统是以密码硬件设备为支撑,提供GB 35114标准要求的对称密钥管理服务,主要包括视频对称密钥生成、派发、导入、导出、备份、恢复、更新、归档、销毁、查询等生命周期管理,结合严格的密钥使用授权,保障密钥安全使用。
视频对称密钥管理系统安全接收导入交通部视频安全密钥服务系统的下发的视频对称主密钥,并将主密钥导入到视频对称密钥管理设备中,保证主密钥安全。
视频对称密钥管理系统接收视频监控系统平台的接入申请,依据平台信息生成管理平台的视频主密钥,并安全导出下发给视频监控系统平台,平台通过硬件的视频对称密钥管理设备对主密钥进行安全存储和实现本平台视频密钥的核心密码运算。
四.3 交通视频监控系统平台升级改造设计
交通视频安全监控管理平台由共享平台及应用安全支撑组成。视频监控共享平台实现安全前端设备的接入管理、图像点播、媒体转发、录像管理、系统级联等功能;应用安全支撑为安全共享平台提供安全支撑功能,包括用户认证、平台认证、视频密钥管理、视频目录服务等。实现对本域内用户的识别、管理和身份认证,平台间身份认证,支持信令安全认证等安全功能,保障接入设备和视频的信息安全。
符合GB 35114标准的视频监控安全共享平台(以下简称安全平台),安全平台组成如图4所示:
图2: 交通视频监控安全管理平台组成
四.3.1 应用安全支撑
应用安全支撑为交通视频监控系统平台提供符合GB 35114标准要求的密钥服务。视频监控系统平台通过整合应用安全支撑实现符合GB 35114标准要求的视频安全管理平台。
四.3.1.1 用户认证服务
用户认证服务承担人员认证、权限管理等功能。
四.3.1.2 设备认证服务
设备身份认证服务承担设备认证、信令认证、平台间认证等功能。
四.3.1.3 视频密钥管理服务
视频密钥管理服务承担视频对称密钥管理功能。
四.3.1.4 视频目录服务
机构信息、用户信息、证书信息及证书、密码模块、设备属性信息管理等功能,身份证书、证书撤销列表信息同等。
四.3.2 原有视频监控系统平台升级改造
原有交通视频监控共享平台增加应用安全支撑实现GB 35114标准要求的安全功能。
平台中的会话初始协议(Session Initiation Protocol,简称SIP)服务器,媒体服务器等关键设备应通过硬件密码设备支持数字证书申请、安装、更新等功能。
四.4 视频安全服务接口设计
四.4.1 与交通部视频安全密钥管理系统的对接
视频身份证书注册申请采用联网的方式与交通部视频安全密钥服务系统进行。交通视频安全密钥服务系统(省)通过视频应用保护网关实现与交通部级视频安全密钥服务系统进行安全隧道通讯。
视频对称密钥管理支持在线和离线方式进行视频对称密钥的申请、下发、更新等管理操作。交通部视频安全密钥服务系统默认使用离线方式进行下发省交通视频对称主密钥。
四.4.2 与视频监控安全管理平台的对接
交通视频安全密钥服务系统(省)通过介质在线,整机在线,整机离线多种模式向下级接入各视频监控系统平台下发身份证书,视频监控系统平台通过视频目录系统同步证书及黑名单信息给设备、用户身份认证网关和其他应用安全支撑硬件在线使用。
交通视频安全密钥服务系统(省)通过密码信封、IC卡或USBKEY等离线方式为下级接入视频监控系统平台下发平台主密钥。
五、 软硬件设备清单
五.1 交通视频安全密钥服务系统清单
五.1.1 视频安全硬件清单
序号 | 设备名称 | 设备用途 | 数量要求(台/套) | 备注 |
1 | 视频数据安全密码设备 | 支视频数据安全密码设备为视频安全密钥服务系统提供安全完善的密钥管理与密码运算的硬件服务。为视频身份证书提供非对称密钥管理支撑,为视频对称密钥的提供生成,存储等功能。 | 2 | |
2 | 视频应用保护网关 | 为省视频安全密钥服务系统的互联提供安全通道 | 1 | |
3 | 防火墙 | 万兆,部署在网络入口处,监控进出的网络流量,根据安全规则来阻断非法的网络连接。 | 1 | |
4 | 入侵防御系统 | 万兆,监视网络访问的行为,及时的中断、调整或隔离一些不正常或是具有入侵攻击的网络行为 | 1 | |
5 | 防病毒网关 | 万兆,提供基于网络流量的病毒检测、防护。 | 1 | |
6 | 日志审计 | 提供日志收集、存储、查询和统计分析等功能 | 1 | |
7 | 数据库审计 | 实现对数据库审计、审计策略管理、审计报表查看、审计查询统计 | 1 |
五.1.2 视频安全软件清单
序号 | 软件名称 | 软件功能用途 | 数量要求(台/套) | 备注 |
1 | 视频安全设备身份证书注册系统 | 对接交通部视频安全密钥服务系统,实现视频设备、平台及用户数字身份证书的注册审核 | 1 | |
2 | 视频目录系统 | 实现主从模式下的数据同步。为业务系统提供数字证书、黑名单等查询服务 | 1 | |
3 | 视频对称密钥管理系统 | 对接交通部视频安全密钥服务系统,以视频数据安全密码设备硬件为密码支撑,提供集中的全省交通视频对称密钥管理服务,实现视频对称密钥生命周期管理,结合严格的密钥使用授权,保障密钥安全使用 | 1 | |
4 | 视频安全设备身份证书申请系统 | 对接视频安全设备身份证书注册系统,实现视频设备、平台和用户的身份证书申请 | 1 | |
5 | 数据库 | 视频安全设备身份证书注册系统、视频安全设备身份证书申请系统配套数据库 | 2 | 国产自主数据库 |
五.1.3 通用软硬件清单
序号 | 设备名称 | 设备用途 | 配置要求 | 数量要求(台/套) |
1 | 服务器 | 各视频安全密钥服务子系统使用 | CPU:Intel® Xeon® E5-2600 v3/v4 内存:64G;硬盘:四块硬盘,支持RAID6, 每块容量1T;网口:不少于2个千兆网口,RJ45接口; 配置冗余电源。 | 6(视频安全设备身份证书注册系统1台、视频目录系统1台、视频密钥管理系统1台、视频安全设备身份证书申请系统1台、数据库2台) |
2 | 交换机 | 千兆 | 1 |
五.2.1 视频安全硬件清单
序号 | 设备名称 | 设备用途 | 数量要求(台/套) |
1 | 用户认证设备 | 标准机架式机箱,4个10/100/1000M自适应电口,支持SM1、SM2、SM3、SM4等国密算法,提供基于数字证书的用户身份认证,支持单点登录。 | 1 |
2 | 设备认证设备 | 标准机架式机箱,2个10/100/1000M自适应电口,支持SM1、SM2、SM3、SM4等国密算法,提供基于数字证书的前端设备接入认证。能够实现设备初始化和设备自检,设备物理安全防护。实现SIP信令处理认证和SIP路由功能。 | 1 |
3 | 视频密钥管理设备 | 双千兆网络端口、串口、IC卡插槽,支持SM1、SM2、SM3、SM4等国密算法,为设备认证、信令认证、视频加密提供密钥支撑,支持对视频监控系统的平台主密钥和视频加密密钥的安全管理。 | 1 |
4 | 智能密码钥匙 | 支持SM1、SM2、SM3、SM4等国密算法,支持证书写入,用户身份认证 | 若干 |
5 | 安全TF卡 | 安全前端密码部件,支持SM1、SM2、SM3、SM4等国密算法 | 若干 |
五.2.2 视频安全软件清单
序号 | 软件名称 | 软件功能用途 | 数量要求(台/套) | 备注 |
1 | 视频目录系统 | 用于存储、发布和管理设备证书、用户证书信息和CRL信息;提供证书查询、CRL查询、权限查询等服务功能;提供目录服务业务监控功能 | 1 |
五.2.3 通用软硬件清单
序号 | 设备名称 | 设备用途 | 配置要求 | 数量要求(台/套) |
1 | 服务器 | 用于安装视频目录系统 | CPU:8核或以上; 内存:64G; 硬盘:四块硬盘,支持RAID6, 每块容量1T; 网口:不少于2个千兆网口,RJ45接口; 配置冗余电源。 | 1 |
