《公共视频安全监控系统国产商用密码保护方案》

1.1公共安全视频监控现状简介

视频监控产品主要分为前端产品和后端产品，前端以网络摄像机、视频网关为主，后端则以视频管理和数据处理平台和终端等为主。摄像机作为最核心的视频流采集终端，要考虑到视频编码和通信协议带来的互联互通问题，视频编码主要有H.264和H.265，国内还有少部分是采用SVAC；SOC芯片则主要是华为海思芯片和富瀚微芯片，基于SVAC的则需要专用的芯片，主要为中星微和欣博电子芯片。平台互联方面则有厂商自定义协议或者GB/T 28181协议。

公共视频监控行业参与者主要有品牌商（一般称原厂）、整机方案商、代工厂、零部件供应商、零部件方案商、代理渠道、集成商、服务商，检测机构和监管机构等。针对安防监控项目，主要参与者为产品原厂、代理渠道、集成商、服务商、检测机构和监管机构；安防监控产品本身在信息安全能力上底子不足，针对后装市场，当前专业做视频监控业务信息安全解决方案的厂商并不多，多数还是直接在项目工程中使用老三套的网络安全手段，业务结合性不强，安全深度和强度也不足，合规性上也有严重的问题。

1.2 政策约束与引导

“没有网络安全就没有国家安全”，落实网络安全是我国的基本国策。近年来国家不断出台相关政策，从国家法律、法规、国标和行业要求等多层面落实网络安全要求。以下主要例举针对视频监控产品和项目的信息安全能力具有约束和指导意义的政策。

(一) 网络安全法

2016年11月7日发布的《中华人民共和国网络安全法》，于2017年6月1日实施；《网络安全法》是我国首部全面规范网络空间安全管理方面问题的基础性法律。近期新修改的《中华人民共和国网络安全法》已于2026年1月1日正式实施。

《网络安全法》将现行有效的网络安全监管体制法制化，明确了网信部门与其他相关网络监管部门的职责分工，完善了网络安全监管体制；《网络安全法》强调在网络安全等级保护制度的基础上（GB/T 22239-2019），对关键信息基础设施实行重点保护，明确关键信息基础设施的运营者负有更多的安全保护义务。《网络安全法》对网络运营者等主体的法律义务和责任做了全面规定，提高了违法行为的处罚标准，加大了处罚力度。

2019年10月26日正式发布的《中华人民共和国密码法》，于2020年1月正式实施。作为我国密码领域的综合性、基础性法律，该法案将有效规范密码应用和管理，促进密码事业发展，保障网络与信息安全，提升密码管理科学化、规范化、法治化水平。《密码法》规定使用商用密码进行保护的关键信息基础设施，其运营者应当使用商用密码进行保护，自行或者委托商用密码检测机构开展商用密码应用安全性评行估（GB/T 39786-2021），并对涉及国家安全、社会公共利益且具有加密保护功能的商用密码实施进口许可。

(二) 数据安全法

2021年6月10日发布的《中华人民共和国数据安全法》，于2021年9月1日正式实施。数据安全法的出台，把数据安全上升到了国家安全层面，基于总体国家安全观，从国家大法的层面对数据相关主体和数据相关活动，明确了政府、企业、社会相关管理者、运营者和经营者的数据安全保护责任，消除了数据活动的灰色地带，对各行各业都形成了制约机制，及时遏制住了与国计民生相关数据的随意共享和流转。规定的数据安全保护责任和业务涉及数据活动的全流程，数据伴随着业务和应用，在不同载体间流动和留存，贯穿信息化和业务系统的各层面、各环节，这对数据安全防护提出了更高的要求。《数据安全法》是对网络安全法的补充。

(三) 等保2.0 GB/T 22239-2019

2019年5月10日发布的《信息安全技术 网络安全等级保护基本要求》（GB/T 22239-2019），简称“等保 2.0”，于2019年12月1日实施。等保2.0是对《网络安全法》中网络安全等级保护制度要求的落实，是进一步修订完善等保1.0而来。其中增加了云计算、大数据、物联网、移动互联和工业控制信息系统的拓展项要求；在物联网安全扩展要求中涉及的控制点包括：感知节点的物理防护、感知网的入侵防范、感知网的接入控制、感知节点设备安全、网关节点设备安全、抗数据重放、数据融合处理和感知节点的管理。

按照业务系统定级不同要求有所差别，针对定级在等保三级的业务系统，可信验证三级条款描述：可基于可信根对设备的系统引导程序、系统程序、重要配置参数和应用程序等进行可信验证，并在应用程序的关键执行环节进行动态可信验证，在检测到其可信性收到破坏后进行保健，并将验证结果形成审计记录送至安全管理中心。

(四) 密评GB/T 39786-2021

2021年3月9日发布的《信息安全技术-信息系统密码应用基本要求》（GB/T 39786-2021），简称“密评”，于2021年10月1日实施。是指在采用商用密码技术、产品和服务集成建设的网络和信息系统中，对其密码应用的合规性、正确性和有效性进行评估，对密码算法和密码技术的合规性做出要求。包括：基础信息网络、涉及国计民生和基础信息资源的重要信息系统、重要工业控制系统、面向社会服务的政务信息系统，以及关键信息基础设施、网络安全等级保护第三级及以上信息系统。通过密评发现在网络和信息系统中商用密码应用中存在的问题与不足，改变商用密码应用不广泛、不规范、不安全的现状，切实构建起坚实可靠的网络安全密码屏障。《密评》明确对涉及国家安全和社会公共利益的重要领域网络和信息系统的建设、使用、管理单位（以下简称责任单位）应当健全密码保障体系，实施商用密码应用安全性评估。

(五) GA/T1788-2021

2021年8月10日，中华人民共和国公安部技术监督委员会连续发布关于批准发布《公安视频图像信息系统安全技术要求》系列标准的通知，该标准共包含四部分，分别为《第1部分：通用要求》《第2部分：前端设备》《第3部分：安全交互》《第4部分：安全管理平台》，内容覆盖物理安全、前端安全、边界安全、数据安全、应用安全和安全管理等多个维度，为公安视频传输网构建立体化安全能力指明了方向。

(六) GB 35114-2017

2017年11月1日发布的《公共安全视频监控联网信息安全技术要求》（GB 35114-2017），简称“35114”，于2018年11月1日实施。35114中规定了公共安全领域视频监控联网视频信息以及控制信令的信息安全技术要求，适用于应用在公共安全领域视频监控产品的信息安全方案设计、系统检测及项目验收（基本上所有政府和公安主导的工程项目都囊括在内）。以该标准为政策指导，制定统一规范，并相继出台产品检验检测办法和项目验收标准，逐步落地实施。随着标准的落地，各地的视频监控类项目都陆陆续续增加了对监控产品的信息安全保护要求。

该标准由公安部牵头起草，针对视频监控领域的信息安全的技术性要求规范，不仅表明了国家对安防监控领域信息安全的重视，同时也进一步在网络安全法的基础上进行了行业落地。虽然该标准在具体的细节上存在一定的争议，但是标准中对监控系统的安全建设思路也一致得到了业内认可。

(七) GB/T 28181-2016

2016年月日发布的《公共安全视频监控联网系统信息传输、交换、控制技术要求》（GB/T 28181-2016 ），简称“28181”，于201年月日实施。28181立足于工程项目中不同厂商的产品、不同的前端和平台间、不同层级系统设备间互联互通问题，对视频监控联网系统的数据传输、交换、控制等做出了指导要求，该标准是GB 35114中互联互通的支撑。

以上政策，可分为通用政策和行业政策，其中《网络安全法》、《密码法》、《数据安全法》、密评和等保2.0，都是通用政策，适用于所有行业，其中等保2.0和密评，是直接关系到项目甲方主体责任，对工程项目的甲方单位产生强力约束，通过甲方单位进而对面向工程项目市场的厂商产生约束作用。35114和28181都是行业政策，专用了视频监控系统，对视频监控项目的产品从技术层面提出要求，其中35114主要适用于公安领域。

(八) 以欧盟GDPR为代表的隐私法规借鉴

欧盟的《通用数据保护条例》（GDPR）从2018年5月正式实施以来，对国际推动数据保护和保护产生了重要左右，并且不少跨国企业都为此掏了数额巨大的罚款，例如万豪在2018年因为2014年收购的喜达屋存在数据泄露问题而被罚款1.24亿美元。只要你搜集和处理欧盟成员国的用户的信息，就需要遵守GDPR。并非只有欧洲在致力于保护个人数据，美国联邦贸易委员会最近批准对Facebook处以 50 亿美元罚款，原因是该公司对用户个人信息处理不当。新加坡有自己的个人数据保护法，类似于 GDPR。澳大利亚有自己的隐私原则。甚至南非也有详细的隐私协议。

2 安全风险分析

视频监控网络总体安全问题突出，包括厂家及其供应链（厂家自有产品信息安全方案和产品化不足），集成商与实施方（项目中产品简单集成，集成度不足），甲方单位和代运维方（安全能力不足），以及恶意攻击人员（各种恶意攻击呈现高发态势）等干系主体都给系统带来安全隐患。产品自身信息安全重视程度较弱，信息安全建设滞后，安全投入不足，安全人员水平不足，导致基于产品的安全事件频发，对信息安全和业务安全带来很大的妨碍。如2015年海康威视监控摄像设备被江苏省公安厅下红头文件要求全省公安系统清查的事件和2016年Maria病毒感染以网络摄像头为主的物联设备对美国主流的DNS服务商Dyn发起大规模DDoS攻击导致美国多个知名网站无法访问的事件。

2.1 安全威胁说明

通过对诸多安防监控安全事件综合分析，安全威胁主要在两方面，威胁一是视频业务数据损坏（泄露、篡改、破坏），威胁二是对视频业务网络恶意破坏。

(一) 威胁一是视频业务数据损坏

视频业务数据损坏威胁主要包括泄露、篡改、破坏（也就是DAD三元组）。视频业务数据发生泄露本身不影响业务可用性/连续性，却很可能违规甚至违法，尤其是《数据安全法》、等保2.0和密评要求之下，项目主体方相关负责领导面临被问责的风险，此外运营单位和厂商可能为此面临民事追责、行政处罚甚至刑事追责的风险，产生恶劣影响；视频业务数据篡改和破坏，都是会对业务系统的可用性产生直接或者间接的危害，可能导致严重的连锁反应，再者由于数据损坏，那么在电子取证中就难以具有法律效力。

(二) 威胁二是对视频业务网络恶意破坏

攻击者的目标不在数据资产上，而是网络和设备资产，攻击手段如设备劫持、入侵内网/专网、散播病毒、组建僵尸网络、发动DDOS攻击等，最终引发对视频设备和视频业务网络的损坏，或者在这个的基础上对第三方目标进行攻击，影响业务连续性，甚至造成大型信息安全事故，对于多数工程项目来说，威胁二是致命的。尤其是项目主体方式关键基础设备范畴内的机构，则会严重的影响到生产生活和社会稳定。

2.2 安全要点分析

(一) 不符合新的安全规范（合规性风险）

第二章第二节中罗列的通用政策和行业政策，对于多数的视频监控类工程项目，都具有强力的约束作用。项目合规与否，是项目开展过程中需要优先级考量的要求，尤其在当前政策从严的大环境下，任何不合规的项目，不仅项目无法开展，相关人员也面临严重内部问责和行政处罚。

(二) 没有可靠的身份认证（身份认证）

一般设备间的互联是通过IP地址寻址，普遍是HTTP页面方式输入“账号+密码”确认身份；相关人员的系统操作也是基于“账号+密码”以此来实现身份鉴别。而基于这样的身份鉴别，从技术和管理层面，都存在极大安全风险。在工程项目中，实施人员为了项目的实施方便，存在把设备的IP地址写下来贴在设备上的方式，此外账号、密码都是固定的或者简单规则的密码（都属于弱密码），项目运维方和项目甲方，也乐于接受类似这种能便于操作的方式。个别中高端设备会设置为HTTPS方式，但是在身份鉴别方式上仍没有变化。当前针对物联终端（摄像机、视频网关等）和业务人员的身份鉴别，采用基于公钥密码技术的“数字证书”的方式是公认的在安全性和合规性上常用的方式。

(三) 没有签名验签机制（完整性）

设备间的业务数据（视频数据和控制信令）在传递过程中，及视频数据存储时，都没有采取有效的保护手段，基本上都是直接通过通信协议发包传递，在内容层面没有做安全机制，通过常规的网络攻击手段就可以实现对数据包的非法获取，进而篡改获取到的数据，然后运营者甚至无法发现和判断数据发生了篡改。此外业务人员的操作数据和关键业务数据也难以保证完整性和不可否认性，数据的完整性和不可否认性遭到了破坏。

(四) 没有加密保护机制（机密性）

设备间的业务数据（视频数据和控制信令）在传递过程中，都没有采取有效的保护手段，基本上都是直接通过通信协议发包传递，在内容层面没有做安全机制，通过常规的网络攻击手段就可以实现对数据包的非法获取，导致传输内容泄露，然后运营者甚至无法发现和判断数据发生了篡改。此外对于业务的关键数据在流通和落存储的过程中，也需要保证数据的保密性。

3 需求分析

 合规性

合规性是甲方首要诉求，视频监控项目中主要的政策约束参见第二章第二节“政策约束与引导”，视频监控需要保证符合等保2.0的要求、GB/T39786密码应用相关要求，产品需要具有相关的资质。

 监控设备可信接入

前端部署安装的网络摄像头在与存储设备、显示设备组建视频专网时，都需要通过合法性身份认证才可以接入到视频专网中，否则一律判定为非法设备，不予接入，从而在专网中实现数据流转和控制操作，杜绝其他非法设备接入网络以后假冒成合法设备进行数据窃取或者恶意操作，非法设备即使接入到专网中也无法进行如请求服务、截取数据等非法操作，通过设备准入机制保证网络中接入设备的可靠性。从而有效控制恶意人员进入视频网络后发动恶意破坏行为，保证视频网络安全。

 视频数据的完整性

前端网络摄像头采集到视频数据在向后方存储和显示端进行视频数据存储和显示时，后端设备难以判断所接收到的数据是否是该视频网络中真实发送的数据，同时还需判断是否是合法的监控设备发送的数据，保证视频数据没有被篡改，篡改过的视频数据一律丢弃，通过对视频数据进行高可靠性的校验来判断数据是否被修改过，从而保证数据的可用性和完整性，也有效防止恶意植入行为。

 视频数据的加密传输

数据校验仅能确保数据的可靠性，但是无法保证视频数据内容不会泄露，所以除了视频校验以外还需要对视频数据进行高强度加密处理，从而有效控制视频泄露的风险，避免因为意外操作或其他安全风险轻易导致视频数据泄露。通过对数据加密，实现只有在合法可控区域内才能解密视频数据，在非法区域通过非法手段获取视频数据也无法解读，保证视频内容的保密性。

4 安全解决方案

4.1 解决方案架构

目前公共监控主流摄像头品牌主要是采用的海康威视、大华、宇视等产品，后端基于NVR进行存储，通过自建视频专网的方式实现视频数据的传输和存储。基于前面对视频安全的需求分析，需要保障视频监控的安全。

视频安全解决方案基于密码技术和密钥保护技术，建立视频监控安全解决方案，提供视频监控安全加解密产品来为视频设备进行认证和数据加密，实现设备可信接入和信息加密传输，防止用户信息泄露、数据裸传、摄像头被非法控制等安全风险，同时，在保证信息安全的前提下，不改变用户原有操作体验。产品可兼容主流厂商摄像头和后端存储设备。解决方案架构如下图所示：

针对普通安防视频监控系统在数据安全性的众多弊病，国密视频加密服务器在不对现有视频监控业务进行改动的前提下，增加视频数据完整性验证和机密性保护以满足对数据安全高标准要求。国密视频加密服务器，通过串联部署模式，部署在摄像头和NVR之间，视频数据通过国密视频频加密服务器后，国密视频加密服务器系统可以对视频数据逐帧进行签名和加密，实现视频数据的机密性和完整性保护。

方案特点：

 免改造：无需更换摄像头和NVR，通过集中部署视频加密服务器设备，即插即用的方式，即可满足合规要求；

 安全合规，采用国产商用密码算法，且密码应用符合国密相关技术要求；

 符合GB/T 39786-2021、GA/T1788中对于视频监控的要求，采用国密SM2/SM3/SM4算法对视频数据签名及验签和加密，实现对视频数据的存储进行完整性保护、完整性校验、和加解密保护；

 安全性高，在视频数据存储完整性保护基础上，可对视频数据传输进行机密性保护；

 可靠性强，系统内置守护进程，加密业务中断不影响视频业务，保证视频业务连续性；

4.2 实施目的

(一) 产品方案合法合规———合规性

所有的产品和项目，都需要遵循相应的规范，合规性是基本的要求，也是基础的要求。本方案遵循相关的法规、标准，保证产品的合规化，所有产品设计密码应用的部分都针对性的申请了商用密码产品认证并渠道密码产品认证证书；其中密码基础服务产品按照国家密码产品技术要求进行设计和实现。

(二) 视频数据签名验签———完整性、不可否认性

通过签名验签机制，当视频数据通过国密视频加密服务器时，对数据的关键帧进行签名，所有设备在解读数据报文时，先验证签名，判断是否是合法的监控设备发送的数据，并判断视频数据有没有被篡改，非法设备的数据报文和篡改过的视频数据一律丢弃，通过对视频数据进行高可靠性的校验来判断数据是否被修改过，通过签名验签机制实现可靠性判断，从而保证数据的可用性和完整性。该套方式是直接在业务环节中对业务本身的内容做的安全处置，可以有效弥补加密链路无法覆盖到内容层面的不足。

严格通过国密算法对视频数据帧和控制信令进行签名验签保护，可做到对关键视频帧做逐帧签名。

(三) 视频数据加密———机密性

数据校验仅能确保数据的可靠性，但是无法保证视频数据内容不会泄露，所以除了视频校验以外还需要对视频数据进行高强度加密处理，从而有效控制视频泄露的风险，避免因为意外操作或其他安全风险轻易导致视频数据泄露。工程建设项目中由于主体单位、监控对象等的特殊性，视频数据的保密性也就成了基本诉求，视频数据属于业务核心数据，因此视频数据须要进行有效保护。通过对数据加密，实现只有在合法可控区域内合法的有授权的人才能解密视频数据。该套方式是直接在业务环节中对业务本身的内容做的安全处置，可以有效弥补加密链路无法覆盖到内容层面的不足。

严格通过国密算法对视频数据帧和控制信令进行高强度加密保护，可做到逐帧加密。

(四) 工程化落地能力

国密视频加密服务器，适用于旧装市场安全改造和升级，属于后装产品，并不需要对原有监控业务设备进行拆除和改造，仅通过修改网络配置保证网络连通即可以实现安全能力赋予。

5 产品描述和应用

5.1 国密视频加密服务器

5.1.1 产品简介

视频加密服务器基于自主可控的国产密码技术，对视频数据的完整性提供全面的安全保障，可实现数据的无感加密传输、密态存储、完整性保护，防止数据被窃取、篡改，保护用户的隐私。