2021年8月17日,国务院第745号令《关键信息基础设施安全保护条例》(以下简称《条例》)公布,并将于9月1日起施行。关键信息基础设施是经济社会运行的神经中枢,是网络安全的重中之重。当前,关键信息基础设施面临的安全形势严峻,网络攻击威胁事件频发。党中央、国务院高度重视关键信息基础设施安全保护工作。《条例》对加强关键信息基础设施安全保护工作提供了重要法律保障,受到业界各方密切关注。
安防产业是关键信息基础设施的支撑产业之一,是保证社会安全的行业,因此自身的安全是根本。近年来随着安防大数据智能化时代的到来,行业安全风险挑战日益加剧,视频监控网络信息安全引起各方高度关注和重视。国家管理部门推出了相关标准规范,加强对视频监控联网信息安全的保障,业内领先厂商在网络安全上也做了大量实践与探索,安全防护水平不断提升。但视频监控安全体系建设只有起点,没有终点。随着行业发展进入智能化转型关键期,同时数字化浪潮来袭,安防网络信息安全仍面临严峻挑战。为此,安防行业"十四五"规划针对视频监控联网应用安全风险,提出了打造"威胁可预警、行为可检测、攻击可防御、事件可处置"的整体安防防御体系目标。本期邀请到了深信服科技股份有限公司物联网专家张轶,结合行业规划、目前的网络安全形势和行业发展特点等,对如何构建更加安全的安防视频安全防御体系进行探讨,以飨读者。
深信服科技股份有限公司物联网专家 张轶
《中国安防》:经过多年建设,我国已建成了规模庞大的视频监控网,您认为安防视频监控系统的安全体系建设目前究竟现状如何?当下面临怎样的新变化、新挑战?
张轶:"十三五"期间,随着平安城市、雪亮工程等重大项目的加快建设,海量视频监控设备被广泛部署到了全国各地,为维护公共安全和社会稳定做出了巨大贡献。经过近年来的建设,安防视频监控体系也在发生变化,我们可以从业务和安全两个维度来看。
首先是业务维度,视频监控设备的数量正在快速成倍增加,其类型也变得更加丰富、繁杂,这些设备每天都会产生海量的数据,视频监控体系承载的数据变得非常关键、敏感和重要。
从安全维度来讲,项目建设初期往往对安全欠缺考虑,"重业务、轻安全"是常态。随着近年来视频监控安全事件的不断发生、技术规范和要求的出台、监管考核力度的加强,越来越多的用户意识到了安全建设的重要性,也看到了安防视频监控体系面临的新风险和挑战,开始逐步加大这方面的投入,不只是采购单一的安全产品,更希望构建体系化的安全能力。
当前,视频安全面临的新风险和挑战可以用"内忧外患"来形容。"外患"方面,随着国际形势的不断变化,网络空间正面临巨大的安全威胁--网络战,它是一种真正全方位、高烈度的网络实战对抗,主要攻击目标是关系到国家安全和国计民生的关键信息基础设施,而安防视频监控网络作为我国特有的关键信息设施,极易成为境外攻击者的重点目标,也多次发生过源自境外IP的安全事件。再来看看"内忧",近年来有关单位围绕安防视频监控网进行了多次安全攻防演练,多个省市的演练结果表明,安防视频监控安全建设不系统,仍存在较严重的安全问题。
《中国安防》:目前安防视频安全风险主要聚焦在哪些方面?现阶段面临的风险较以前有什么变化特点?
张轶:安防视频监控网络中存在大量的前端设备,这是它与其他网络的不同之处,这种特性也带来了潜在的安全风险。
一是管理难。安防视频监控网络中的终端数量多,类型繁杂且分布广泛,终端扩建、更换较为频繁,资产梳理和建档不完善、不准确、不及时,管理人员很难有效的进行管理。
二是隐患大。安防视频监控网在建设之初更多地关注摄像头点位的建设,忽略了对安全问题的考虑,摄像头等终端普遍存在安全漏洞和弱密码、初始密码等脆弱性风险,存在着巨大的安全隐患。
三是管控弱。一方面,视频监控网络缺乏对终端接入的身份认证和准入控制,未知、不合规、甚至是仿冒终端可轻而易举的接入网络,一旦某个终端中毒或被恶意控制,很可能会横向扩散,对整个网络形成极大的安全威胁。另一方面,即使是正常的终端接入后,也有可能通过网络共享等方式连接互联网,而安防视频监控网络一般是专网环境,不允许跟互联网互访,这就造成网络边界被破坏,引入潜在的安全风险。
《中国安防》:近期《公共安全社会视频资源安全联网设备技术要求》(GA/T 1781-2021)标准发布,您认为该标准对社会视频资源联网安全起到什么作用?会带来哪些变化?
张轶:社会视频资源所涉及的视频监控设备数量非常多,把这些资源充分利用起来对加强治安防控会起到非常关键的作用。但这里面有个问题,也是上述标准出台的背景,这么多的视频监控设备如何有效地管理?数据怎么样安全、高效地进行传输?不同厂家的摄像头所使用的协议不同,如何统一接入?这是以往所面临的问题--没有统一的标准和要求,缺少建设的技术指导。此次标准的出台,对社会视频资源的安全联网工作起到了很好的指导作用,使社会视频资源可以在安全、合规的前提下接入公共安全视频专网,更好地发挥出应有价值。
标准对联网设备在功能、安全、性能等多个方面都做出了明确的要求,在满足GB/T 28181、GB 35114标准的基础上,还要求联网设备具有视频数据转发能力、视频编解码能力、视频流分析能力等,也就是说视频安全联网设备要具备"安全+业务"的双重能力,这也给厂商提出了更高的要求。
《中国安防》:结合安防行业"十四五"规划提出安防网络安全能力的建设目标要求,您认为企业该如何落实这些要求?要实现视频安全长治久安,需要厂商、用户等各方共同作出怎样的努力?
张轶:可以看到,安防行业"十四五"规划中对安防网络安全提出了"威胁可预警、行为可检测、攻击可防御、事件可处置"的建设目标,看起来不过短短20个字,但其实要求很高。对于厂商来讲,我认为应当加强与用户的沟通交流,围绕用户的业务场景进行针对性的设计开发,真正帮助用户解决实际的业务问题。安全厂商应当与安防厂商进行合作,用网络安全技术为视频监控设备赋能,让视频监控设备在产品开发中纳入安全考量并进行测试,确保安防产品本身能够满足相关安全的要求。
此外,还应鼓励从事安防技术研发的科研院所、高校与安全厂商、安防厂商进行深度合作和技术交流,在多方就网络安全防护意识层面达到高度一致的基础上,制定有关安防技术的统一验证及实施标准,培养具备网络安全意识的安防行业信息化从业人员,最终满足安防行业对网络安全日益增长的需求。
《中国安防》:当下我国有关网络安全的顶层设计正在逐步完善,安防行业相关规范标准也不断落地实施,您对安防产业网络信息安全的未来发展作何判断?未来的趋势方向是什么?
张轶:我们看到,安防视频监控网络的安全建设政策导向明显,顶层设计也正在紧锣密鼓地完善当中。此外,对于各单位的监管和考核力度也在增加,还是以视频专网为例,近年来公安部多次就视频专网的安全问题发出通知和工作要求,组织专项检查和整改,并将视频专网纳入科信部门的年度考核,力度非常大。
目前安防视频监控网络已经成为我国社会治安防控体系的重要基础设施,我们预测,视频监控网络安全一定会越来越受重视,交通、能源等关键行业也都会陆续发布相关标准和指引,有关单位对这方面的重视程度一定会大大提升,安防行业的网络安全市场未来的增长会非常快,空间会非常大。同时,这块市场的竞争会加剧,用户对于安全厂商也会提出更高的要求,厂商需要提供更加贴近用户业务场景、更有针对性的产品、方案和服务。
《中国安防》:贵公司在安防视频网络信息安全方面有哪些实践?具有哪些优势和经验?未来的布局重点是什么?
张轶:深信服基于多年来对网络安全的深刻理解和技术积累,针对视频监控安全领域的业务诉求和技术特点,设计研发了视频监控安全产品和相关方案,即"1+3+N"视频监控网络安全解决方案,在整体建设满足等级保护合规要求的基础上,系统性地提升安全水平。
作为公共安全视频监控网络安全监测预警通报研究中心技术支撑单位,深信服多次参与起草了国家和地方的视频监控安全标准文件。截至目前,深信服累计为全国超过400+单位安防视频监控网络安全保驾护航,通过长期投入,保障视频专网网络安全的可视、可靠。未来深信服将继续深耕视频监控网络安全研究,持续完善产品和解决方案,为视频监控网络构筑更加牢固的防火墙,构建应对高级安全风险能力的安全闭环体系,全面保障用户的关键业务和关键基础设施稳定运行。
编后语
党的十九届五中全会提出,要统筹发展和安全,建设更高水平的平安中国。安全和发展,犹如鸟之两翼、车之双轮,任何时候都不能偏废。安防事关社会稳定与百姓隐私。近年来安防面临的网络安全形势严峻,安全发展已成为大势所趋。
从国家层面看,网络安全被提升到前所未有的高度,近年来国家相关政策法规密集出台:2017年,《网络安全法》正式实施;2019年,《信息安全技术网络安全等级保护基本要求》实施;2020年,《网络安全审查办法》实施并于今年提出修订;2021年以来,《数据安全法》出台,《网络产品安全漏洞管理规定》《网络关键设备安全通用要求》《网络安全产业高质量发展三年行动计划(2021-2023年)(征求意见稿)》《关键信息基础设施安全保护条例》接连发布,《中华人民共和国个人信息保护法》获得通过,我国有关网络安全的顶层设计正在不断完善,国内网络安全建设发展进入到了新阶段。
从安防行业来看,国家管理部门高度重视,GB/T 28181、GB 35114、GA/T 1781-2021等相关法规标准要求陆续实施。在政策导向与市场需求推动下,我们相信视频监控网络安全防护能力将不断得到提升,相关安全市场也将迎来重要的发展风口。目前安防视频安全领域已出现了几家比较有特色有实力的视频网络安全厂商,此外有部分传统网络安全寡头企业、传统安防硬件厂商也开始布局安防安全市场,成立安防(视频监控网络安全)部门或者安全实验室,蓄力挖掘视频安全行业的巨大市场。
《蜻蜓之眼》电影中有一段话:"世界已经变成一个巨大的摄影棚,我们每个人每天都要被各种摄像头捕捉300余次,很多变化不以我们的个人意志为转移,我们该怎样更好地让技术为人类服务?"对于这个问题,仅仅有视频安全厂商的努力是不够的,安全发展还需要包括管理部门、视频设备生产厂家、运维管理等相关各方一起合作,共同努力提升安防网络信息安全水平,使视频监控在"安全"的大前提下真正能够发挥更大的作用。
