视频防泄密系统
作者:互联网
key words:
摄像头、视频监控、安防监控、安全监控、视频监控系统、监控视频、实时监控、安全生产监控、视频会议系统安全、安全监控系统、安防监控系统、安防监控工程、监控安装视频教程、智能视频监控系统、视频监控中心、安全监测监控系统、视频监控、电力监控系统安全防护、公司安防监控、视频防泄密、视频物联网安全
一、 业务背景概述1.1 视频监控系统的泄密风险
目前在大多数视频监控系统的运行和维护过程中,缺乏有效的安全管理措施,一般为非专职人员操作,容易导致信息外流,信息安全难以有效保证。视频信息在调阅的过程中,存在下载、外发、录屏、偷拍等安全风险。
2017年6月,国家质检总局官网发布关于智能摄像头的质量安全风险警示称,已检测的40批次中,32批次样品存在质量安全隐患,可能导致用户监控视频被泄露,或智能摄像头被恶意控制等危害。
1.2 国家相关法规要求
公共视频监控网络属于《网络安全法》定义的“关键信息基础设施”, 《网络安全法》规定:关键信息基础设施的运营者(以下称《网络安全法》规定:关键信息基础设施的运营者(以下称运营者)对本单位关键信息基础设施安全负主体运营者)对本单位关键信息基础设施安全负主体责任,履行网络安责任,履行网络安全保护义务,接受政府和社会监督,承担社会责任。全保护义务,接受政府和社会监督,承担社会责任。
网络安全法第四十条规定,网络运营者应当对其收集的用户信息严格保密,并建立健全用户信息保护制度。严格保密,并建立健全用户信息保护制度。
网络安全法第四十五条规定,依法负有网络安全监督管理职责的部门及其工作人员,必须对在履行职责中知悉的个人信息、隐私和部门及其工作人员,必须对在履行职责中知悉的个人信息、隐私和商业秘密严格保密,不得泄露、出售或者非法向他人提供。商业秘密严格保密,不得泄露、出售或者非法向他人提供。
《中华人民共和国个人信息保护法》(草案)第二章第二十七条规定:“在公共场所安装图像采集、个人身份识别设 备,应当为维护公共安全所必需,遵守国家有关规定,并设置显 著的提示标识。所收集的个人图像、个人身份特征信息只能用于 维护公共安全的目的,不得公开或者向他人提供;取得个人单独 同意或者法律、行政法规另有规定的除外。”
《关于加强公共安全视频监控建设联网应用工作的若干意见》(996 号)文 件要求实现视频图像数据的全程可控,即:“重要视频图像信息不失控,敏感视 频图像信息不泄露”
在国家上述法律法规中,对于视频监控系统的信息保护做了明确要求。
二、 产品方案介绍
2.1 组网部署模式
部署方式一:
在交换机和视频平台管理服务器或者NVR之间串接;
部署方式二:
在连接视频平台管理服务器或者NVR的交换机上直接旁路部署,交换机一个端口镜像流量给视频调阅安全网关,另外一个端口连接视频调阅安全网关接收管理数据包。
部署方式三:
在操作坐席区域的汇聚交换机和连接视频平台管理服务器的交换机之间串接,对操作坐席区域形成独立安全域,同时进行视频防泄密管理。
部署方式四:
在网络中旁挂部署,只需要操作坐席可以路由到视频调阅安全网关即可进行插件管理,此种部署方式无法实现插件的强制安装和客户端身份认证准入功能。
2.2 组网拓扑
产品组网拓扑如下图:
系统方案由视频调阅安全网关、视频调阅安全软件组成。
视频调阅安全网关(独立硬件设备):视频调阅安全网关完成插件的管理,安全准入管理、外发文件审批、视频文件解密、视频业务审计
视频调阅安全软件(基于Windows平台,支持主流厂家视频客户端):必须和视频调阅安全网关配合使用,通过视频调阅安全网关的管理完成对视频调阅的防泄密水印加载、视频文件的自动加密
当用户通过PC终端或者大屏终端调阅视频平台的视频资源时,视频流经过“视频防泄密网关”和“防泄密软件客户端”的协作完成加密和水印处理。
业务流程图:
2.3 产品核心功能
- 视频调用行为审计;
- 视频防泄密水印功能;
- 截屏/录屏防泄密;
- 拍摄屏幕防泄密;
- 外发视频审批:
- 视频数据加密防护;
2.4 核心技术介绍
2.4.1 插件触发技术
在操作坐席电脑安装的视频调阅安全插件在视频监控调阅客户端启动运行时自动触发运行,在视频监控调阅客户端关闭时触发停止运行,插件运行全程无感,在不使用视频监控调阅客户端时完全不影响电脑终端的其它操作。
2.4.2客户端水印
视频调阅安全插件通过在Windows系统视频播放的过程中添加钩子的技术,在坐席电脑的视频播放窗口中显示传统数字水印,用户可肉眼识别水印中包含的内容信息,也可通过二维码扫描获取到内容信息。针对通过拍摄、截屏、录屏等手段泄密的情形进行追溯。
2.4.3 反截屏技术
当操作坐席运行视频监控调阅客户端时,视频调阅安全插件会主动采用进程阻断技术和内存显存行为判断技术,对截屏和录屏行为进行阻断,同时类似远程会议这样的程序无法共享屏幕,防止二次泄密。
2.4.4隐式水印
采用在视频水印上添加加密编码后的点阵图案的技术。在整个电脑屏幕覆盖一层包含计算机信息阵列图案。非法人员通过对视频屏幕拍照或录像时,所得信息会包含点阵水印图案,可依据点阵图案信息在数据库中进行相应的查询,获得该视频流转的详细信息,包括用户所属部门名称、用户真实姓名、本地计算机名称、终端时间、管理员自定义水印内容、本地计算机ip地址和MAC地址等。
2.4.5视频文件透明加密
在操作坐席电脑端安装的视频调阅安全插件,通过加密技术对视频厂家客户端保持在本地的视频文件,进行自动加密。加密后的视频文件外发后无法直接打开。而本地的视频客户端对视频文件的读取却没有影响,因为采用了透明加密的技术,达到透明加密的目的。
2.4.6视频文件外发控制技术
在视频数据使用过程中,用户需要将部分视频数据外发至本单位以外的人员,为防止视频数据在对外交互过程中二次泄密事件的发生,用户提供基于视频数据使用权限控制的视频数据外发解决方案。
管理员可在控制台为每位终端用户设置视频数据外发权限控制的权限,设置的使用权限控制包括:水印,是否允许截屏、使用次数、有效使用时间、使用外发视频数据时进行密码认证等。
2.4.7视频文件导出
在对外提供视频使用场景中并不适合使用视频数据外发功能情形下,需要将视频数据直接导出提供。这种情形极易造成二次泄密事件的发生。
本系统可对导出的视频数据进行视频水印处理,即直接将水印内容写进视频数据本身。一旦对外提供的视频发生二次泄密事件,管理员可依据视频水印对该视频及当事人进行快速的溯源、定位及追责处理。
2.4.8审批管理
本系统针对导出及外发视频数据操作均可设置灵活的审批流程,经相关人员审批通过后方可把视频数据进行对外交互。
审批流程可支持单级审批、多级审批、会签审批和会签审批。
单级审批:仅有一个审批员,该审批员同意后方可外发或导出视频数据。
多级审批:拥有多个审批员执行多个审批级别。如申请提交后,先由一级审批通过后,系统自动将审批流程发送至二级审批,依次类推。其中任何一个审批环节未完成或被拒绝,均不进行下一级别审批。
会签审批:申请提交后,申请单会同时发送至所有的审批人处进行审批操作。当所有人审批通过后方可将视频数据进行外发或导出。
或签审批:申请提交后,申请单会同时发送至所有的审批人处进行审批操作。当任意一个人审批通过后即可将视频数据进行外发或导出。
2.4.9视频调用审计技术
本系统针对GB28181,RTSP视频协议调用操作可审计操作日志,记录调用来源、目的、动作等参数,同时可以对数据报文的源IP地址、目的IP地址、协议号、源端口、目的端口,服务类型以及接口索引的七元组进行全面审计记录,事后进行日志审计,对行为进行溯源。
2.5 产品技术特色
- 水印加密
针对视频查阅请求在视频传输过程进行逐帧加载水印。
- 截屏/录屏阻断
针对截屏/录屏行为直接进行进程阻断,彻底杜绝截屏/录屏行为。
- 调用计算机绑定
直接对调用视频的计算机进行硬件绑定,避免视频调用客户端任意安装。
- 视频调用行为审计
针对视频调用进行双因素认证,记录调用视频的时间、用户、内容,并能和视频平台的调用账户进行绑定。
- 视频录像外发审批
针对视频录像的外发进行审批同时进行加密,并限制视频查阅的次数,同步记录视频外发的源头以及去向。
标签:视频,泄密,系统,调阅,外发,水印,监控,审批 来源: https://blog.51cto.com/u_14897939/3019099