“只要存在信息網絡,安全漏洞就會永遠不斷出現”相關網絡安全專家表示,打擊網絡信息安全犯罪只靠封堵是無法根治的,只是治標不治本的隔靴搔癢。建立更為嚴格的標準,加強產品檢測不失為從生產之初就強化網絡信息安全,杜絕安全漏洞出現。
面對目前已經形成的亂象市場,單靠廠商封堵以及加強安全監測方面的力度還遠遠不夠。需要從源頭上建立安全加密機制,杜絕安全漏洞。2017年6月生效的《網絡安全法》提出要求,網絡產品、服務應符合相關國家標準的強制性要求,采取數據加密、分類等措施,杜絕安全缺陷和漏洞等風險。
安防監控領域強制性國家標準
其實針對安防監控網絡信息安全問題,早在2011年就引起了行業內重點機構及企業的重視,公安部第一研究所和中星微電子牽頭主導制定的SVAC標準就包含了從視頻編解碼源頭進行動態加密,防止信息泄露及盜取。
沒有信息安全就沒有國家安全。當公共視頻監控已經實現跨部門、跨區域、跨行業聯網應用時,其信息安全問題必須作為首要問題給予重視。
GB35114-2017是我國首個關于視頻監控聯網信息安全方面的技術標準,首次對公共安全視頻監控的信息安全提出明確規范要求,是全面加強公共安全視頻監控領域信息安全的技術依據。
據介紹,GB35114-2017旨在從5個方面解決當前公共安全視頻監控存在的信息安全隱患問題:
一是采用基于國密算法和部件的數字證書設備身份認證技術,有利于確定設備身份,解決設備替換和私接亂接問題;
二是基于密鑰的信令認證,解決攝像頭被控制問題;
三是基于數字簽名技術,保障重要視頻數據的真實性、完整性,解決視頻證據的可信度問題;
四是基于數字證書用戶認證管理,解決未授權用戶訪問視頻信息問題;
五是采用基于視頻幀的端到端視頻加密保護,解決視頻監控系統重要視頻“裸奔”問題。
網絡視頻監控安全體系建設只有起點,沒有終點。
在安防視頻監控行業領域,為了有效保障視頻數據和系統安全,除了上面提到的GB35114強制性國家標準。還有今年1月1日開始重點行業、重點部位應執行的《公共安全重點區域視頻圖像信息采集規范》(GB37300);該標準明確了視頻監控聯網系統中重點公共區域和重點行業、領域涉及公共區域的視頻圖像信息采集與管理要求,其中明確要求攝像機至少應達到GB35114A級標準。
信息安全領域重要標準
另外,近幾年,在人工智能、物聯網、大數據等新興技術帶動下,網絡安全需要增長,在網絡安全建設也得以不斷推進,幾項比較重要的標準相繼發布和實施:
1.國家首個人臉識別鑒別身份標準《信息安全技術遠程人臉識別系統技術要求》
公安部第一研究所積極地統籌推進人工智能標準化工作,2019年4月28日《信息安全技術遠程人臉識別系統技術要求》正式發布。
該標準是信息安全鑒別與授權標準體系及生物特征識別信息安全標準體系架構中重要的基礎標準,更是全國首個使用人臉識別技術進行身份鑒別的網絡安全國家標準。從滿足個人信息安全保護與信息安全總體要求出發,充分考慮當前人臉識別系統創新發展需求、用戶接受度和技術成熟度現狀,結合我國當前的信息安全技術發展水平,深入分析ISO、ITU、NIST、FIDO等國外標準化組織制定的生物特征識別相關技術標準內容,使得利用人臉識別系統進行身份驗證有標準可循。
該標準的發布是推動我國人臉識別技術產業化發展進程的里程碑,豐富了我國以人臉識別為核心的生物特征識別技術體系和應用場景,真正發揮了標準的技術引領作用。
2.《信息安全技術網絡安全等級保護基本要求》
網絡安全等級保護制度2.0標準于2019年12月1日開始實施,新標準有以下三個方面的特性:
首先,顯明的時代特征。新標準要求,全面使用安全可信的產品和服務來保障關鍵基礎設施安全,是落實國家法律和戰略任務的重要舉措,標志著等級保護跨入2.0新時代,具有重要的歷史意義。
其次,創新的技術體系。它主要包括構建科學的安全體系框架、創立主動可信的防護架構以及筑牢關鍵信息基礎設施防線。以構建科學的安全體系框架為例,針對圖靈計算模型缺少攻防理念,在體系框架上無安全防控機制問題,新標準將基本要求、測評要求和安全設計技術要求的體系框架統一為:以安全可信計算環境為基礎,以可信區域邊界為安全隔離,以通信網絡安全為可信連接,建立以安全管理中心為核心支持的三重安全防護體系。
第三,重大的社會經濟效益。新標準推動創新發展主動免疫的可信計算3.0產業,從而擺脫核心技術受制于人的狀況,作為落實新標準的基石,為可信計算產業發展創造巨大的市場空間,也為整個信息網絡產業發展構成了前提和保障,將產生重大的社會經濟效益。
京公網安備 11010502049343號