公安視頻數據安全面臨的機遇與挑戰

近兩年，視頻系統的熱點與焦點是用AI、圖像智能分析等手段處理大數據的圖像，克服用戶“看不懂”的瓶頸，可以預見這一過程將帶來視頻監控市場五到十年的蓬勃發展；與此同時，大數據的廣泛應用也帶來海量圖像信息安全性的問題，解決數據、圖像“不放心”的問題將是視頻行業未來長期的發展方向。平安城市等大型項目逐漸鋪開，數據量增長日益顯著，如何處理好海量數據下的視頻網絡安全問題，已成為視頻監控行業新的課題，同時也帶來了新的契機。

公安視頻數據安全面臨的難點問題

大數據時代下，視頻監控更易受到網絡攻擊的注意

隨著平安城市的建設，視頻監控已逐漸普及，點位建設逐步完善，并不斷向聯網、應用、行業滲透邁進。人工智能和數據分析技術的應用，使監控的功能也逐漸從事后取證向事前預防前移。數據挖掘和數據分析等大數據技術帶來更多有用價值的同時，黑客也在利用這些大數據技術發起攻擊，因為大數據是更容易被“發現”的大目標。安防行業的視頻監控探頭又是最容易導致公民隱私泄露的設備，從網絡安全角度看，任何監控設備都有可能會被黑客利用，通過侵入監控系統竊取用戶的影像資料，導致個人隱私的泄露。因此，采取有效的視頻數據安全保護措施刻不容緩。

大數據下的信息安全問題將導致存儲方式的變革

網絡化技術的普及，使得視頻資源的聯網共享成為很多行業日益迫切的需求，現有分散的視頻資源正在朝著集中的方向推進，平安城市的行業市場通過點、線、面的密集覆蓋，每時每刻都在增加新的視頻源；720P，1080P，4K，更高的視頻分辨率意味更大的視頻信息量。這些不斷增長的視頻數據在帶來海量視頻存儲需求的同時，也對當前的視頻存儲技術提出了一系列新的挑戰。例如如何實現存儲容量的平滑擴展，同時有效地降低由此帶來的存儲成本？如何更可靠地保存、更安全地使用和更便捷地分享這些數據？如何解決越來越龐大的系統給維護管理帶來的困擾？云存儲技術的應用將有效地解決上述問題。

視頻監控的存儲技術和介質從VCR模擬存儲，DVR數字存儲，逐漸向NVR、NAS、IPSAN等網絡存儲發展，將來的發展方向是云存儲。在存儲方式上，主要有集總式存儲和分布式存儲兩種。采用網絡技術的系統設計，視頻監控系統的結構由集總式向分布式轉變，分布式的設計有利于合理的資源配置和充分的資源共享，使視頻監控系統架構由資源管理體系轉變為資源配置和整合體系。大數據意味著更復雜、更敏感的數據，這些數據會吸引更多的潛在攻擊者。與此同時，數據的大量匯集，使得黑客成功攻擊一次就能獲得更多數據，無形中降低了黑客的進攻成本，增加了"收益率"。而分布式存儲和云存儲將更加靈活，也減輕了存儲的壓力和風險，未來將得到更好的發展。與傳統的存儲設備相比，云存儲不僅僅是一個硬件，而是一個網絡設備、存儲設備、服務器、應用軟件、公用訪問接口、接入網和客戶端程序等多個部分組成的復雜系統。各部分以存儲設備為核心，通過應用軟件來對外提供數據存儲和業務訪問服務。視頻圖像的存儲特點是對實時的存取性能要求較高，而云存儲的系統架構決定了它能夠以較低的總擁有成本很好的滿足海量高清或標清視頻的并發寫入、讀取，并能實現快速配置和即插即用。

云環境下，保護視頻監控數據的安全與系統的連續性值得關注

傳統模式下，對于視頻數據的存儲管理一般是歸檔和定時備份。歸檔是作為數據管理的一種方式長期組織并保存管理，備份是用于保存最近的數據副本，以便隨時調取可用。無論采用哪種備份方式，都需要按照時間窗口進行操作。一方面，歸檔和備份都是周期性進行，例如每周進行一次操作。另一方面，操作的時間窗口過久，特別是數據量大時，增量備份都耗時過久。更重要的是，該數據備份方式對于視頻的保護存在空檔期，一旦關鍵視頻因服務器故障丟失而還未曾備份，那么帶來的損失是不可估量的。

因此，在大數據環境下，要想AI應用無后顧之憂，保護視頻監控數據的安全與系統的連續性，必須采用其他更為先進的備份容災技術方案。容災備份是通過在異地建立和維護一個備份存儲系統，利用地理上的分離來保證系統和數據對災難性事件的抵御能力。

公安視頻數據安全的對策與思考

應用關鍵技術主動保護數據安全

1）強化加密算法、身份認證和訪問控制技術的應用

在視頻安全領域，應用加密算法、身份認證和訪問控制等基本技術，保障網絡傳輸的安全，避免敏感視頻數據的泄露。加密技術方面，可以采用高安全性密碼算法，在傳輸前采用統一加密方式進行加密，全方位保障數據安全。當下密碼技術已十分成熟，將常規密碼和公鑰密碼結合在一起使用，比如利用DES或者IDEA來加密信息，而采用RSA來傳遞會話密鑰。如果按照每次加密所處理的比特來分類，可以將加密算法分為序列密碼和分組密碼。前者每次只加密一個比特而后者則先將信息序列分組，每次處理一個組。一般的視頻數據加密可以在通信的三個層次來實現：鏈路加密、節點加密和端到端加密。加密技術是網絡安全最有效的技術之一，一個加密網絡不但可以防止非授權用戶的搭線竊聽和入網，而且也是對付惡意軟件的有效方法之一。同時，加密技術發揮作用的關鍵因素在于密鑰的管理，包括密鑰的生存、分發、安裝、保管、使用以及作廢全過程。

采用先進的身份認證方法，如口令認證、硬件認證（智能卡、U盾等）、生物識別（指紋、虹膜等），保障網絡之間互聯的數據安全。此外，應用訪問控制技術，其核心是為了限制訪問發起者對訪問內容的權限，從而使視頻系統在合法范圍內使用。

2）建立多層次的視頻傳輸防護系統

建立前端設備接入認證機制、接入數據協議白名單準入機制，采取主動掃描、實時檢測和手工設置等有效手段，采集前端設備的IP、類型、廠家、地理位置等屬性信息，生成設備資產庫白名單，并及時發現和識別非法接入的未知、違規、仿冒設備，并基于協議白名單對非法接入數據進行識別及過濾，從而實現對非法惡意行為的識別、告警和實時阻斷。

構建由防火墻、入侵防御、漏洞掃描、WEB應用安全等專用安全防護設備組合而成的視頻監控安全防護系統，實現對系統應用區的安全保護。通過部署防火墻，將系統應用區與其他區域進行安全隔離，實現系統應用區與其他區域之間的安全連接和訪問控制。通過部署入侵防御設備，實現對數據應用層協議實時檢測并阻斷攻擊流量，防御非法人員對系統應用區的入侵和DDoS攻擊。通過部署漏洞掃描設備，實現對公安視頻傳輸網中運行的網絡設備、操作系統、數據庫、應用系統等IT資源的定時漏洞掃描，及時發現、處置、降低漏洞被利用的風險。通過部署WEB應用安全設備，對基于B/S架構的平臺進行深度防護，全面阻斷對核心WEB類平臺的網絡攻擊。

逐級建成公安視頻傳輸網安全監管平臺，定期探測機制采集、匯總并可視化展示前端準入控制系統、系統應用區防護系統監測的資產信息和安全信息，從全局監測視頻傳輸網整體安全態勢，及時預警異常狀況以及安全事件，構建起事前、事中、事后一整套公安視頻傳輸網態勢感知體系，實現視頻傳輸數據安全監管可見、可管、可控。通過建立可視化視頻安全系統，便于整體感知視頻傳輸網絡的安全生態，及時發現安全漏洞并采取相應措施。

進一步完善云存儲技術在公安視頻領域的應用

開放的視頻監控系統是分布式結構，可方便地從局域擴展到廣域實現組網應用。分布式架構是視頻監控系統發展的必然趨勢，可以做到視頻資源的合理分布與配置，解決分散的資源集中控制，分部門（職能）的管理與統一協調之間的關系，實現最充分的共享。采用安全的數據信息存儲手段對視頻數據進行保護，如通過磁盤陣列、數據備份、數據遷移等方式保證數據存儲的安全。磁盤陣列是指把多個類型、容量、接口甚至品牌一致的專用磁盤或普通硬盤連成一個陣列，使其以更快的速度、準確、安全的方式讀寫磁盤數據，從而加快數據讀取速度、提高數據保存的安全性。數據備份管理包括數據備份的計劃和自動操作，備份日志的保存。

采用數據遷移手段，重構視頻數據的存儲機制。在線存儲設備和離線存儲設備共同構成一個協調工作的存儲系統，該系統在在線存儲和離線存儲設備間動態地管理數據，使得訪問頻率高的數據存放于性能較高的在線存儲設備中，而訪問頻率低的數據存放于較為廉價的離線存儲設備中。視頻錄像的歸檔可以充分利用高級存儲設備的數據遷移手段，通過分層存儲有效降低存儲系統的整體成本。

在平安城市中，云存儲可為多個系統提供存儲服務，包括視頻監控、卡口電警、圖像資源庫、圖偵分析研判等。其可完成日常視頻錄像資源、各個案件中所涉及的視頻和圖片等資源、卡口電警所產生的車輛抓拍圖片等資源的統一存儲。采用大規模分布式并行文件系統，以大量的服務器和存儲設備為基礎，構建一個大規模存儲集群，提供上百PB的存儲容量，并能夠在線進行容量的擴充，由此搭建的大容量存儲系統整體成本遠低于傳統存儲架構，并且具有良好的可擴充性和靈活性。

云存儲系統通過元數據和存儲數據分離的非對稱式架構，通過負載均衡和數據并發訪問策略，在普通硬件條件下獲得高達數十Gbps的傳輸速率以及上百PB級的存儲容量，并可根據用戶應用發展的趨勢，適時按需進行在線動態擴展。與單機的文件系統不同，分布式文件系統不是將這些數據放在一塊磁盤上由上層操作系統來管理，而是存放在一個服務器集群上，由集群中的服務器，各盡其責，通力合作，提供整個文件系統的服務。

云存儲系統內置了基于對象數據管理策略，能夠保證在系統局部發生故障時數據的安全性和可靠性，徹底消除存儲系統中的單點故障，結合自動故障探測和快速故障恢復技術，確保用戶的應用持續穩定地運行，同時減少部署和管理的難度。云存儲系統采用數據冗余存儲機制，硬盤或存儲節點損壞時，其余節點可自動重組，數據不丟失，系統運行不受影響。這一點大大提升了海量存儲節點的可維護性。

云存儲技術可將存儲節點的帶寬聚合，隨著存儲節點的增加可以實現帶寬的線性增長，理論上帶寬是無限的。同時在云存儲系統中數據文件是拆分成數據塊進行條帶化存儲在多臺物理存儲節點上的，能夠最快速的并發訪問數據。另外云存儲中數據存儲是采用多副本策略存儲的，可以實現熱點數據的負載均衡訪問。

此外，傳統存儲設備提供的是一個透明的存儲空間，原始數據直接存在存儲設備上的，數據可以直接訪問和使用，并不具有信息安全和私密性。而云存儲中的數據傳輸是加密的，首先用戶并不知道數據存在哪個物理硬盤上，而且數據在存儲設備上是按文件塊存儲的無法直接進行訪問。用戶存儲的數據只有自己有權限進行訪問和管理，系統管理員也無法讀取。因此，視頻數據的安全性和可靠性也得到了有效地保障。

采用其他更為先進的備份容災技術方案

1）重點關注容災備份方案的實時性和智能化

在安防行業背景下，備份容災技術的實時性和智能化將成為未來的發展趨勢。實時數據傳輸是指生產服務器與備份服務器之間無需備份時間窗口，數據的變化量在生產端確認后，采用異步字節級增量同步的方式傳輸到備端服務器，確保兩邊的數據一致性。這樣可以確保AI應用在生產服務器的視頻數據出現丟失時，可以直接通過備端服務器的數據，繼續提供應用服務。

智能化的概念主要體現在，AI應用的支撐系統也要采用容災高可用的方式接管。判斷接管的智能化，通過心跳線閾值的設立，給予控制機一個指標，例如當網絡斷線時間達到一個時間值時，備端才會接管生產的系統繼續提供服務，這樣能夠確保防止因為網絡抖動導致頻繁切換的問題。接管的智能化，通過設定切換方式，備機可以在無工作人員介入的情況下自動接管系統，這樣最大程度保證業務系統的連續性，讓終端的應用客戶無感知。

2）建立可靠的異地容災備份系統

異地容災技術是指以異地實時備份為基礎的、高效的、可靠的遠程數據存儲。在各級單位的IT系統中，通常將核心部分稱之為生產中心，并且往往給生產中心配備一個遠程備份中心。盡管在生產中心的內部已經實施了各種各樣的數據保護措施，但當火災、地震這種災難發生時，一旦生產中心癱瘓了，備份中心會接管生產，繼續提供服務。視頻監控的多中心配置越來越多，各個中心的系統和數據容災可以借鑒IT的容災技術，將異地容災技術引入公安視頻數據的監管工作中。

根據容災系統對災難的抵抗程度，可將容災技術劃分為數據容災和應用容災。數據容災是指建立一個異地的數據系統，該系統是對本地系統應用數據實時復制。當出現災難時，可由異地系統迅速接替本地系統而保證業務的連續性，云備份服務則天生具有異地容災的特性。應用容災比數據容災層次更高，即在異地建立一套完整的、與本地數據系統相當的備份應用系統(可以同本地應用系統互為備份，也可與本地應用系統共同工作)，在災難出現后，遠程應用系統迅速接管或承擔本地應用系統的業務運行。

設計一個容災備份系統，需要考慮多方面的因素，最常用的是以RTO及RPO作為最基本的標準：RTO（復原時間目標）是企業可容許服務中斷的時間長度。RPO（復原點目標）是指當服務恢復后，恢復得來的數據所對應的時間點。根據備份參數和不同的應用場合，可分為三大容災備份種類：異地熱備、異地互備和云備份。

異地熱備是指在異地建立一個熱備份點，通過網絡進行視頻數據備份。也就是通過網絡以同步或異步方式，把主站點的視頻數據備份到備份站點，備份站點一般只備份數據，不承擔業務。當出現災難時，備份站點接替主站點的業務，從而維護業務運行的連續性。

異地互備是指在不同的地理位置分別建立兩個數據中心，在工作狀態下進行相互視頻數據備份。這樣，當某個數據中心發生災難時，另一個數據中心可以直接接替其工作任務。這種級別的備份根據實際要求和投入資金的多少，又可分為兩種：兩個數據中心之間只限于關鍵數據的相互備份；兩個數據中心之間互為鏡像，即零數據丟失。零數據丟失是目前要求最高的一種容災備份方式，它要求不管什么災難發生，系統都能保證數據的安全。所以，它需要配置復雜的管理軟件和專用的硬件設備，需要投資相對而言是最大的，但恢復速度也是最快的。針對公安領域關鍵視頻的數據，至少應當建立異地互備的架構保證零數據丟失。

云備份，就是個人或企業把數據，通過云存儲的方式備份在公有云或私有云。云備份已經成為云計算最重要的落地表現形式之一，加上在成本上的巨大優勢，已經在企業市場中獲得了快速的發展。對于敏感程度不高的視頻數據，可以考慮采用云備份的方式建立容災機制。

結束語

隨著計算機技術的飛速發展，信息網絡已經成為社會發展的重要保證。在公安視頻領域涉及很多敏感信息，放置在網絡上，其安全性備受關注。在安全形勢變得日益嚴峻的今天，提高視頻監控系統本身的安全性能已經成為燃眉之急。采用先進的加密算法、身份認證和訪問控制技術，建立多層次的視頻傳輸防護系統主動保護數據安全，進一步完善云存儲技術在公安視頻領域的應用，關注容災備份方案的實時性和智能化，建立可靠的異地容災備份系統，從系統角度出發，全方位覆蓋視頻監控的各個環節，才能有力地保障視頻數據安全。