在新基建引領(lǐng)下，安防視頻監(jiān)控正迎來新風(fēng)口，但挑戰(zhàn)也如影隨形。近年來隨著視頻監(jiān)控應(yīng)用范圍不斷延伸，海量視頻監(jiān)控點(diǎn)將帶來新的數(shù)據(jù)安全問題，從而對視頻監(jiān)控網(wǎng)絡(luò)的數(shù)據(jù)安全防護(hù)提出了新的要求。

隨著“平安城市”“智慧城市”以及“雪亮工程”的深入開展，視頻圖像監(jiān)控的作用已經(jīng)不僅僅局限在治安防控領(lǐng)域，還逐步擴(kuò)展到城鄉(xiāng)社會治理、打擊犯罪、服務(wù)民生等方面。其中，作為天網(wǎng)向農(nóng)村延伸和深化的一項(xiàng)重要工程，“雪亮工程”可有效補(bǔ)齊治安防控的短板，也是新形勢下治安防控工作的創(chuàng)新舉措。“雪亮工程”的建設(shè)，是對“天網(wǎng)工程”、視頻監(jiān)控全覆蓋工程的延伸和整合，同時(shí)也是“互聯(lián)網(wǎng)+”環(huán)境下結(jié)合大數(shù)據(jù)和人工智能的社會治安防控體系建設(shè)的新途徑。

2018年和2019年，“雪亮工程”連續(xù)兩年寫進(jìn)中央一號文件，足以凸顯“雪亮工程”之于國家發(fā)展建設(shè)的重要意義。根據(jù)“十三五”規(guī)劃，到2020年，我國將基本實(shí)現(xiàn)“全域覆蓋、全網(wǎng)共享、全時(shí)可用、全程可控”的公共安全視頻監(jiān)控建設(shè)聯(lián)網(wǎng)應(yīng)用。

在“雪亮工程”建設(shè)中，大數(shù)據(jù)與人工智能的融合產(chǎn)生了諸多效能，已經(jīng)成為推進(jìn)“雪亮工程”建設(shè)治理與體系管理方面的必然選擇和重要抓手，最終將推進(jìn)體系融合共享，與天網(wǎng)對接，與網(wǎng)格化服務(wù)管理融合，實(shí)現(xiàn)平臺互通、系統(tǒng)對接、信息共享、高效聯(lián)動(dòng)。但由于大數(shù)據(jù)等新技術(shù)的加入，以及公共視頻傳輸網(wǎng)的特殊性、視頻監(jiān)控前端安裝環(huán)境的復(fù)雜性，針對視頻數(shù)據(jù)的安全應(yīng)用尚未在“雪亮工程”建設(shè)中形成完全統(tǒng)一的標(biāo)準(zhǔn)和共識。

首先，視頻監(jiān)控網(wǎng)內(nèi)的數(shù)據(jù)需要突破組織的邊界，從部門內(nèi)跨部門，從應(yīng)用區(qū)域內(nèi)跨應(yīng)用區(qū)域，并需要進(jìn)行重新定義，在這些過程中，數(shù)據(jù)如何正確使用、如何進(jìn)行安全管理、如何進(jìn)行優(yōu)化以及隱私保護(hù)，都是當(dāng)前面臨的問題。

其次，視頻監(jiān)控網(wǎng)在運(yùn)行過程中易受到惡意攻擊，視頻及相關(guān)數(shù)據(jù)自身的安全問題也比較突出。對視頻監(jiān)控網(wǎng)采取安全化數(shù)據(jù)防護(hù)措施，既是視頻監(jiān)控網(wǎng)建設(shè)的鞏固和延伸，也是“互聯(lián)網(wǎng)+”環(huán)境下加強(qiáng)和創(chuàng)新社會治安防控體系建設(shè)的重要途徑。

近年來，視頻數(shù)據(jù)的發(fā)展呈現(xiàn)出規(guī)模大、種類繁多、價(jià)值密度低、處理速度快等特點(diǎn)。隨著信息技術(shù)的發(fā)展，目前視頻數(shù)據(jù)規(guī)模和應(yīng)用模式已經(jīng)發(fā)生了變化，相較于2010 年，當(dāng)前視頻的數(shù)據(jù)量增長數(shù)十倍，這也預(yù)示著視頻監(jiān)控大數(shù)據(jù)時(shí)代的到來。同時(shí)，視頻監(jiān)控行業(yè)向智能化趨勢演進(jìn)，伴隨而來的是對視頻監(jiān)控?cái)?shù)據(jù)安全防護(hù)的高要求。

隨著雪亮工程的不斷建設(shè)，視頻監(jiān)控聯(lián)網(wǎng)向更廣大的區(qū)域延伸，向鄉(xiāng)、村下沉，監(jiān)控站點(diǎn)部署場景越來越復(fù)雜，對于無人值守的終端節(jié)點(diǎn)越來越難以防護(hù)，站點(diǎn)非法開箱，攝像機(jī)破壞、非法替換、私接，遠(yuǎn)程非法DDos攻擊，攝像機(jī)入侵等安全事件時(shí)有發(fā)生。

據(jù)統(tǒng)計(jì)，在全球范圍內(nèi)，針對視頻數(shù)據(jù)的攻擊行為正在不斷加劇，根據(jù)相關(guān)機(jī)構(gòu)公布的數(shù)據(jù)，2019年的數(shù)據(jù)泄露事件達(dá)到了一個(gè)高峰，上半年有超過數(shù)百起針對視頻網(wǎng)絡(luò)的數(shù)據(jù)泄露攻擊事件，在過去四年中增加了50％甚至更多。

隨著數(shù)據(jù)安全環(huán)境的變化，政府和公安用戶對現(xiàn)有的視頻存儲和安防措施提出了更高的要求，采用新型數(shù)據(jù)安全治理的重要性和緊迫性日益凸顯。

在當(dāng)前趨勢下，視頻數(shù)據(jù)安全治理無疑已經(jīng)成為業(yè)界非常關(guān)注的技術(shù)領(lǐng)域，視頻數(shù)據(jù)安全不僅僅是防竊取，從用戶的角度來看，當(dāng)前視頻數(shù)據(jù)安全至少包括以下三方面問題：一是視頻數(shù)據(jù)被竊取，即擔(dān)心內(nèi)部的數(shù)據(jù)被人偷走。二是視頻數(shù)據(jù)被濫用，即用戶對擁有數(shù)據(jù)的服務(wù)方或內(nèi)部人員不放心，擔(dān)心他們會濫用自己的數(shù)據(jù)。三是視頻數(shù)據(jù)被誤用，即在視頻數(shù)據(jù)加工使用的過程中會不會侵犯用戶利益。但目前，人們對視頻數(shù)據(jù)安全治理的發(fā)展仍存在以下幾點(diǎn)誤區(qū)：

1、用“以視頻應(yīng)用系統(tǒng)為中心的安全”思路解決問題

以視頻應(yīng)用系統(tǒng)為中心的安全是傳統(tǒng)的安全方法，關(guān)注點(diǎn)在于視頻監(jiān)控網(wǎng)絡(luò)內(nèi)部某個(gè)應(yīng)用、某個(gè)服務(wù)器或某個(gè)終端安全與否。如今，隨著智慧公安等大數(shù)據(jù)系統(tǒng)的建設(shè)，視頻數(shù)據(jù)在越來越多的系統(tǒng)之間流轉(zhuǎn)，數(shù)據(jù)與單一系統(tǒng)的黏性越來越低，而系統(tǒng)與數(shù)據(jù)的關(guān)系，類似于“石油管道”和“石油”的安全管理，前者關(guān)注的是石油輸送系統(tǒng)自身的安全（運(yùn)轉(zhuǎn)正常），后者則是要保障管道系統(tǒng)內(nèi)石油的安全。兩者顯然有關(guān)系，但又有很大不同。單個(gè)系統(tǒng)的安全并不等價(jià)于數(shù)據(jù)的安全，系統(tǒng)被入侵也不等于數(shù)據(jù)一定會被偷走，每個(gè)系統(tǒng)都固若金湯也不等于數(shù)據(jù)就不會被濫用或誤用。解決視頻數(shù)據(jù)自身的安全問題，需要切換到“以視頻數(shù)據(jù)為中心”的安全思路上來。

2、采用傳統(tǒng)的方法解決新時(shí)代的數(shù)據(jù)安全

數(shù)據(jù)安全是最古老的安全概念。自古代就產(chǎn)生了數(shù)據(jù)安全的需求，并推動(dòng)了相關(guān)技術(shù)的不斷發(fā)展。但是，隨著技術(shù)的發(fā)展，如今數(shù)據(jù)的存在形式、使用方式和共享模式與過去有了極大的變化，在視頻監(jiān)控網(wǎng)絡(luò)里，存儲的數(shù)據(jù)可能涉及很多公民、車輛、設(shè)備、服務(wù)器、產(chǎn)品、內(nèi)部用戶的信息，然而真正需要考慮的是數(shù)據(jù)在這么復(fù)雜的全過程中，從使用者的角度來說安全不安全？是否實(shí)施了數(shù)據(jù)防泄漏，數(shù)據(jù)的安全就可以高枕無憂？顯然，這和傳統(tǒng)的“數(shù)據(jù)安全”概念有很大區(qū)別。

3、強(qiáng)調(diào)數(shù)據(jù)安全管理而非數(shù)據(jù)安全治理

這里說的視頻數(shù)據(jù)安全管理，指的是根據(jù)視頻事務(wù)的規(guī)律制定一整套的安全規(guī)則，然后進(jìn)行規(guī)則的執(zhí)行落地，控制視頻監(jiān)控系統(tǒng)達(dá)到安全狀態(tài)。而視頻數(shù)據(jù)安全治理指的是找到若干關(guān)鍵點(diǎn)和基本思路，調(diào)動(dòng)多方力量和資源形成某種協(xié)同或者生態(tài)，通過協(xié)同引導(dǎo)整個(gè)視頻監(jiān)控系統(tǒng)達(dá)到預(yù)期狀態(tài)。新時(shí)代的數(shù)據(jù)安全治理無法使用傳統(tǒng)的管理模式達(dá)到目標(biāo)，必須走協(xié)同治理的道路。

隨著智慧城市等項(xiàng)目的建設(shè)以及與公安視頻監(jiān)控網(wǎng)絡(luò)的深度融合，視頻數(shù)據(jù)安全問題也將涉及所有行業(yè)，采用傳統(tǒng)的公安網(wǎng)絡(luò)安全領(lǐng)域的知識或者單一方法無法解決現(xiàn)有的視頻數(shù)據(jù)安全問題。如果按照過去管理公安網(wǎng)絡(luò)的方式，設(shè)立若干部門自上而下進(jìn)行管理，不但成本無法承擔(dān)，效率也無法適應(yīng)今天的實(shí)際情況。因此，政府、公安、服務(wù)商、第三方機(jī)構(gòu)等需要發(fā)揮各自的優(yōu)勢，形成有效的配合，才能建立適應(yīng)當(dāng)今數(shù)字時(shí)代的協(xié)同治理模式，共同提升全社會的數(shù)據(jù)安全水平。

在相關(guān)機(jī)構(gòu)的一份調(diào)查報(bào)告中，我們可以看到，當(dāng)前很多行業(yè)和組織，內(nèi)部安全或管理人員對數(shù)據(jù)的安全管控力度比較薄弱，導(dǎo)致數(shù)據(jù)安全事件層出不窮：

? 75%的成員不清楚特權(quán)用戶對數(shù)據(jù)進(jìn)行過何種操作；

? 66%的成員不能有效防止特權(quán)用戶對數(shù)據(jù)的非授權(quán)訪問；

? 85%的成員將真實(shí)數(shù)據(jù)不加防范地交與開發(fā)人員或第三方人員；

? 50%的成員對其非特權(quán)用戶訪問敏感數(shù)據(jù)毫無措施；

? 70%成員都未能及時(shí)采取防范SQL注入的攻擊。

同時(shí)，據(jù)權(quán)威部門統(tǒng)計(jì)，在視頻數(shù)據(jù)風(fēng)險(xiǎn)中，70%以上屬于操作風(fēng)險(xiǎn)，即由人工操作不當(dāng)（無意或故意）引起的風(fēng)險(xiǎn)。因此，有效地控制人為風(fēng)險(xiǎn)，尤其是操作風(fēng)險(xiǎn)，對視頻監(jiān)控網(wǎng)絡(luò)的數(shù)據(jù)安全運(yùn)營至關(guān)重要。視頻數(shù)據(jù)安全治理與優(yōu)秀的人員管理分不開，良好的人員素質(zhì)是數(shù)據(jù)安全的必要條件，最好的數(shù)據(jù)安全治理體系也只有通過人員的積極響應(yīng)才會取得預(yù)期效果。

同時(shí)，視頻監(jiān)控網(wǎng)絡(luò)的數(shù)據(jù)安全治理的戰(zhàn)略目標(biāo)也不能只有少數(shù)人清楚，視頻數(shù)據(jù)安全治理需要涉及視頻公共安全的全員參與才能成功實(shí)施。因此，在規(guī)劃好視頻數(shù)據(jù)安全治理戰(zhàn)略后，首先要做的就是視頻數(shù)據(jù)安全治理戰(zhàn)略的宣貫，讓涉及視頻公共安全的全員都能清楚和理解其數(shù)據(jù)安全戰(zhàn)略，從而建立全員的數(shù)據(jù)安全意識，并將這種意識轉(zhuǎn)化為行動(dòng)力，在潛移默化中提升視頻數(shù)據(jù)的安全防護(hù)。

當(dāng)前，視頻數(shù)據(jù)所面臨的內(nèi)部威脅遠(yuǎn)大于外部威脅，所面臨的安全問題防不勝防，視頻數(shù)據(jù)安全治理需要以“數(shù)據(jù)全流程安全使用”為目標(biāo)來建立安全管理體系，它的核心內(nèi)容如下：

首先是來自對視頻數(shù)據(jù)所在業(yè)務(wù)的梳理，把握住需求與風(fēng)險(xiǎn)、威脅、合規(guī)性之間的平衡。其次，要繪制相關(guān)視頻數(shù)據(jù)地圖，確定數(shù)據(jù)的優(yōu)先級，盡可能對數(shù)據(jù)做到有差別和針對性的防護(hù)，實(shí)現(xiàn)在適當(dāng)安全保護(hù)下的數(shù)據(jù)自由流動(dòng)。

在視頻數(shù)據(jù)分級和分類后，需要弄清數(shù)據(jù)的描述特征，以及這些數(shù)據(jù)在系統(tǒng)內(nèi)的分布，了解這些數(shù)據(jù)在被誰訪問，這些人是如何使用和訪問數(shù)據(jù)的，這就需要完整的數(shù)據(jù)梳理過程。

在視頻數(shù)據(jù)有效梳理的基礎(chǔ)上，我們需要制定出針對不同數(shù)據(jù)、不同使用者的管理控制策略，構(gòu)建身份和訪問控制管理體系。除了數(shù)據(jù)管控策略，我們還需要對數(shù)據(jù)的訪問行為進(jìn)行記錄，對收集的日志記錄進(jìn)行合規(guī)性分析和風(fēng)險(xiǎn)分析。

視頻數(shù)據(jù)安全治理的具體實(shí)現(xiàn)還需要遵循四個(gè)原則：一是要遵守公安和相關(guān)行業(yè)的政策法規(guī)；二是要確保視頻數(shù)據(jù)的機(jī)密性、完整性和可用性；三是要緊緊圍繞最小數(shù)據(jù)丟失原則；四是要符合審計(jì)合規(guī)性原則。

伴隨著時(shí)代和技術(shù)的發(fā)展，視頻數(shù)據(jù)安全治理越發(fā)重要，新時(shí)代的視頻數(shù)據(jù)安全治理，不僅僅需要考慮視頻數(shù)據(jù)自身的安全性，還需要結(jié)合國家的政策、公安和相關(guān)組織的戰(zhàn)略、文化、建設(shè)、流程重構(gòu)、規(guī)章制度、技術(shù)工具等各方面綜合考慮，通過采用身份認(rèn)證與訪問控制、數(shù)據(jù)申請及審核、數(shù)據(jù)分級與授權(quán)、數(shù)據(jù)脫敏、數(shù)據(jù)加密、數(shù)據(jù)安全審計(jì)等技術(shù)手段，從而大幅提升和優(yōu)化視頻數(shù)據(jù)的安全防護(hù)能力。

文 / 楊黎明 （中國安防協(xié)會）