中國電信智聯(lián)可信5G視頻安全白皮書-2023.11

中國電信智聯(lián)可信5G

視頻安全白皮書中國電信集團(tuán)有限公司

中星微技術(shù)股份有限公司2023

年

4

月1目錄12前言........................................................................................................................

35G

賦能視頻監(jiān)控發(fā)展..........................................................................................

42.12.25G

新特征................................................................................................

45G

為視頻監(jiān)控帶來的價(jià)值....................................................................

43視頻監(jiān)控安全的挑戰(zhàn)和要求................................................................................

53.13.2安全挑戰(zhàn)..................................................................................................

5安全要求..................................................................................................

8455G

視頻監(jiān)控安全參考架構(gòu)................................................................................

125G

網(wǎng)絡(luò)視頻監(jiān)控系統(tǒng)安全能力........................................................................

155.15.25G

安全能力增強(qiáng)..................................................................................

15端到端安全隔離....................................................................................

156視頻監(jiān)控安全能力和實(shí)現(xiàn)..................................................................................

176.16.26.36.46.56.6前端設(shè)備................................................................................................

17接入........................................................................................................

20系統(tǒng)和環(huán)境............................................................................................

21視頻和圖像數(shù)據(jù)....................................................................................

23應(yīng)用........................................................................................................

24安全管理................................................................................................

2675G

視頻監(jiān)控安全應(yīng)用場景及案例....................................................................

277.17.27.37.47.5車載應(yīng)用場景........................................................................................

27臨時(shí)部署應(yīng)用場景................................................................................

29無人機(jī)應(yīng)用場景....................................................................................

31布線困難應(yīng)用場景................................................................................

35中國電信面向中小型用戶的

5G

視頻監(jiān)控運(yùn)營服務(wù).........................

378

總結(jié)與展望.............................................................................................................

38附錄一：術(shù)語及縮略語.............................................................................................

40附錄二：參與編寫單位和編寫人員.........................................................................

4121

前言視頻監(jiān)控業(yè)務(wù)系統(tǒng)可以直觀、準(zhǔn)確、實(shí)時(shí)地采集音視頻信息，實(shí)現(xiàn)對關(guān)鍵區(qū)域的實(shí)時(shí)監(jiān)控。視頻監(jiān)控系統(tǒng)按照功能可以分為前端采集、傳輸、存儲(chǔ)、管理和顯示共五層功能架構(gòu)。安全對視頻監(jiān)控系統(tǒng)而言是至關(guān)重要的，它涉及視頻監(jiān)控系統(tǒng)的各個(gè)層面，包括終端和接入安全、網(wǎng)絡(luò)承載安全、數(shù)據(jù)安全和應(yīng)用安全等構(gòu)成的整體安全。隨著移動(dòng)網(wǎng)絡(luò)承載能力和安全能力的發(fā)展，5G

在接入安全、網(wǎng)絡(luò)切片等方面較之前的移動(dòng)網(wǎng)絡(luò)有很大的提升，因此可以在很多場景下取代有線方式，成為視頻監(jiān)控業(yè)務(wù)的重要承載方式。中國電信聯(lián)合中星微技術(shù)，針對公共安全監(jiān)控、政務(wù)系統(tǒng)的視頻監(jiān)控、企業(yè)視頻監(jiān)控和家庭視頻監(jiān)控等方面的安全需求進(jìn)行了分析，基于中國電信自主可控技術(shù)為

5G

賦能視頻監(jiān)控系統(tǒng)安全提供參考。32

5G賦能視頻監(jiān)控發(fā)展2.1

5G

新特征5G

的愿景與需求，是為了應(yīng)對未來爆炸性的移動(dòng)數(shù)據(jù)流量增長、海量的設(shè)備連接、不斷涌現(xiàn)的各類新業(yè)務(wù)和應(yīng)用場景，同時(shí)與行業(yè)深度融合，滿足垂直行業(yè)終端互聯(lián)的多樣化需求，實(shí)現(xiàn)真正的“萬物互聯(lián)”，構(gòu)建社會(huì)經(jīng)濟(jì)數(shù)字化轉(zhuǎn)型的基石。ITU

為

5G

定義了

eMBB（增強(qiáng)移動(dòng)寬帶）、mMTC（海量大連接）、uRLLC（低時(shí)延高可靠）三大場景。實(shí)際上不同行業(yè)往往在多個(gè)關(guān)鍵指標(biāo)上存在差異化要求，通過對

5G

系統(tǒng)的可靠性、時(shí)延、吞吐量、定位、計(jì)費(fèi)、安全、可用性的定制組合可以滿足。eMBB

典型應(yīng)用包括

4K

高清視頻、虛擬現(xiàn)實(shí)、增強(qiáng)現(xiàn)實(shí)、遠(yuǎn)程會(huì)診、遠(yuǎn)程教育等。這類場景首先對帶寬要求極高，關(guān)鍵的性能指標(biāo)包括

100Mbps

用戶體驗(yàn)速率、Gbps

峰值速率、10Tbps/平方公里流量密度等。其次涉及到交互類操作的應(yīng)用還對時(shí)延敏感，例如虛擬現(xiàn)實(shí)沉浸體驗(yàn)對時(shí)延要求在十毫秒量級(jí)。uRLLC

典型應(yīng)用包括工業(yè)控制、配電自動(dòng)化、無人機(jī)控制、面向自動(dòng)駕駛的

V2X

應(yīng)用、運(yùn)動(dòng)控制、觸覺交互等。這類場景聚焦對時(shí)延和可靠性極其敏感的業(yè)務(wù)，往往同時(shí)還伴隨高精度定位要求。mMTC

典型應(yīng)用包括智慧城市、智能家居、工業(yè)信息化、智能物流等。這類應(yīng)用對連接密度要求較高，同時(shí)呈現(xiàn)行業(yè)多樣性和差異化。2.2

5G

為視頻監(jiān)控帶來的價(jià)值視頻監(jiān)控業(yè)務(wù)除了需要穩(wěn)定的大帶寬，更需要安全可靠的承載鏈路，因此一直以來，視頻監(jiān)控業(yè)務(wù)基本上都是以有線承載為主。5G

的到來將有效改變這一現(xiàn)狀。5G

除了可以支持大帶寬，在安全方面也有很大的增強(qiáng)。5G

網(wǎng)絡(luò)除了延續(xù)了

4G

網(wǎng)絡(luò)中信令完整性保護(hù)、信令和數(shù)據(jù)的加密保護(hù)、安全密鑰算法、接入認(rèn)證等部分安全機(jī)制，在信令保護(hù)、數(shù)據(jù)保護(hù)、認(rèn)證授權(quán)、網(wǎng)絡(luò)切片、承載安全等方面的安全能力增強(qiáng)能夠?yàn)橐曨l監(jiān)控業(yè)務(wù)提供基礎(chǔ)安全保障。4總體來說，5G

網(wǎng)絡(luò)的

eMBB

業(yè)務(wù)能力以及比

4G

更突出的安全能力為視頻監(jiān)控業(yè)務(wù)向無線承載轉(zhuǎn)移提供了非常有利的條件，可以極大地拓展視頻監(jiān)控業(yè)務(wù)的應(yīng)用場景，例如車輛監(jiān)控，無人機(jī)，政府（城管、公安），智慧工地監(jiān)控，防疫，工業(yè)互聯(lián)網(wǎng)，明廚亮灶，天翼云眼等有線部署比較困難的場景，以及智慧工廠等需要剪辮子的場景等等，5G

都可以提供為這些視頻監(jiān)控業(yè)務(wù)提供安全可靠的承載。3

視頻監(jiān)控安全的挑戰(zhàn)和要求3.1

安全挑戰(zhàn)視頻監(jiān)控市場正如火如荼發(fā)展中但負(fù)面消息從未間斷。近年來,視頻監(jiān)控技術(shù)在

AI、大數(shù)據(jù)、云平臺(tái)的加持下大規(guī)模落地于各個(gè)行業(yè)，從智慧城市、平安城市到智能交通、園區(qū)監(jiān)控、景區(qū)監(jiān)控，乃至樓宇監(jiān)控、電子警察、特種監(jiān)控,甚至在私密性極強(qiáng)的家居場景也不乏網(wǎng)絡(luò)攝像頭。后疫情時(shí)代,人們更是對機(jī)器視覺催生出的人臉識(shí)別、無接觸測溫、遠(yuǎn)程辦公、遠(yuǎn)程醫(yī)療、在線教育等一眾智能應(yīng)用愈發(fā)地依賴。隨著視頻監(jiān)控網(wǎng)絡(luò)設(shè)備的種類以及平臺(tái)與數(shù)量不斷上升，視頻監(jiān)控網(wǎng)絡(luò)事實(shí)上已成為一張承載海量終端與數(shù)據(jù)的視聯(lián)網(wǎng)。然而在視頻監(jiān)控系統(tǒng)中采集、傳輸、存儲(chǔ)大量包含個(gè)人和單位的視頻圖像以及生物特征信息，甚至承載了許多單位機(jī)密的信息，視頻泄漏導(dǎo)致的個(gè)人隱私泄漏、商業(yè)機(jī)密泄漏、不良社會(huì)影響等事件層出不窮。2014

年，國內(nèi)某視頻監(jiān)控頭部企業(yè)的

DVR

和

NVR

產(chǎn)品返修數(shù)量非正常升高,公司發(fā)現(xiàn)系網(wǎng)絡(luò)攻擊導(dǎo)致。黑客持續(xù)利用美國、瑞典、荷蘭等境外服務(wù)器資源,直接通過初始密碼

Telnet

登錄，并植入腳本文件，進(jìn)而挾持、破壞設(shè)備固件。公安系統(tǒng)設(shè)備甚至也可能暴露于攻擊范圍內(nèi)。2016

年，美國互聯(lián)網(wǎng)服務(wù)供應(yīng)商

Dyn

遭受數(shù)次通過

Mirai

僵尸網(wǎng)絡(luò)發(fā)起的大型

DDoS

攻擊，從而導(dǎo)致許多網(wǎng)站在美國東海岸無法登陸訪問，其中包括GitHub、Twitter、Reddit、Netflix

和

Airbnb

等。當(dāng)

Mirai

病毒掃描到一個(gè)物聯(lián)網(wǎng)設(shè)備（比如網(wǎng)絡(luò)攝像頭）后就嘗試使用默認(rèn)或弱密碼進(jìn)行登陸，一旦登陸成功，這臺(tái)物聯(lián)網(wǎng)設(shè)備就進(jìn)入“肉雞”名單并成為僵尸網(wǎng)絡(luò)的節(jié)點(diǎn)，開始被黑客操控攻擊5其他網(wǎng)絡(luò)設(shè)備。2018

年，外媒報(bào)道，數(shù)以萬計(jì)的某品牌視頻監(jiān)控設(shè)備的登陸密碼被緩存在搜索引擎的搜索結(jié)果中,這些密碼適用于運(yùn)行有老舊固件的

DVR，攻擊者在對應(yīng)端口上發(fā)送特殊的有效載荷，設(shè)備將以

DDNS

憑證響應(yīng)從而訪問設(shè)備和其他數(shù)據(jù),并以明文形式進(jìn)行響應(yīng)。2019

年，溫州警方曾破獲了一起非法販賣某品牌

APP

掃描工具以及利用APP

掃描工具對他人的攝像頭進(jìn)行掃描、控制達(dá)到數(shù)十萬只的案件。2020

年，黑客攻擊了美國硅谷初創(chuàng)公司

Verkada

提供的基于云的攝像頭服務(wù),采集了攝像機(jī)數(shù)據(jù),并盜取了

15

萬個(gè)監(jiān)控?cái)z像頭的實(shí)時(shí)視頻,涉及醫(yī)院、診所、公司、警察部門、監(jiān)獄、學(xué)校、精神病院等眾多場景,尤為引發(fā)關(guān)注的是,其中還包括特斯拉工廠和倉庫內(nèi)的

222

個(gè)攝像頭。2022

年

3

月，某情報(bào)中心監(jiān)測到匿名者與其他支持烏克蘭的黑客組織接管400+臺(tái)俄羅斯攝像頭，同時(shí)

behindenemylines

網(wǎng)站分享控制攝像頭的實(shí)時(shí)信息，對俄羅斯多個(gè)敏感機(jī)構(gòu)的工作環(huán)境和內(nèi)容進(jìn)行直播，帶來嚴(yán)重危害。視頻監(jiān)控業(yè)務(wù)隨智慧城市、智慧交通、智慧園區(qū)、智慧物流的興起，把視頻監(jiān)控的應(yīng)用范圍進(jìn)一步推廣到各個(gè)領(lǐng)域，也成為關(guān)鍵信息基礎(chǔ)設(shè)施的支撐產(chǎn)業(yè)之一，同時(shí)視頻監(jiān)控的信息安全重視程度從商業(yè)層面上升到國家安全層面。3.1.1前端設(shè)備安全弱口令、溢出等安全漏洞隱患不斷。視頻監(jiān)控網(wǎng)絡(luò)中的前置攝像頭和網(wǎng)絡(luò)設(shè)備存在大量弱口令、溢出等安全漏洞隱患。針對前端攝像機(jī)接入形成的網(wǎng)絡(luò)邊界，需制定技術(shù)可靠、安全防護(hù)性高的、基于終端準(zhǔn)入認(rèn)證的前端攝像機(jī)訪問控制技術(shù)措施。防止前端攝像機(jī)被非法替換、終端非法接入、網(wǎng)絡(luò)非法訪問等安全問題的發(fā)生。還需對攝像頭運(yùn)行狀態(tài)實(shí)時(shí)監(jiān)測，對異常狀態(tài)及時(shí)統(tǒng)一分級(jí)報(bào)警，實(shí)現(xiàn)各類狀態(tài)的數(shù)據(jù)匯總和集中展示。此外，視頻監(jiān)控網(wǎng)絡(luò)中存在部分

PC

終端（windows

操作系統(tǒng)），需要對這些終端進(jìn)行注冊管理，達(dá)到與其他設(shè)備統(tǒng)一管理，如果存在安全漏洞或者配置不完善，則容易遭受蠕蟲病毒攻擊、黑客攻擊或泄漏重要信息，給內(nèi)部網(wǎng)絡(luò)帶來安全隱患。63.1.2接入安全端與端之間缺乏隔離、可信、驗(yàn)證能力。視頻網(wǎng)前端由于分布廣泛，人力無法在物理位置進(jìn)行時(shí)刻防范，易被攻擊者仿冒

IP/MAC

入侵網(wǎng)絡(luò)，造成數(shù)據(jù)泄漏、惡意攻擊的安全風(fēng)險(xiǎn)，同時(shí)被替換設(shè)備可能是無線

AP、無線小路由等網(wǎng)絡(luò)設(shè)備，為更多非法設(shè)備提供入侵渠道，安全管理員在如此龐大基數(shù)的網(wǎng)絡(luò)中無技術(shù)手段發(fā)現(xiàn)與規(guī)避。數(shù)據(jù)中心與前端設(shè)備、客戶端間往往不具備雙向認(rèn)證的機(jī)制，缺少安全隔離能力。部分前端設(shè)備老舊，沒有采用基于前端設(shè)備、客戶端的

IP/MAC

地址或數(shù)字證書的訪問控制的機(jī)制導(dǎo)致，同時(shí)不具備針對不符合要求（內(nèi)容、格式、類型）的視頻流、視頻信令擁有過濾能力，所以導(dǎo)致接入方面出現(xiàn)較大的安全風(fēng)險(xiǎn)隱患。3.1.3系統(tǒng)和環(huán)境安全網(wǎng)絡(luò)邊界接入點(diǎn)多，環(huán)境復(fù)雜，破解風(fēng)險(xiǎn)大。視頻監(jiān)控網(wǎng)絡(luò)邊界接入環(huán)境復(fù)雜，邊界接入平臺(tái)多種多樣，網(wǎng)絡(luò)中可能存在互聯(lián)網(wǎng)通路，大大擴(kuò)展了視頻監(jiān)控網(wǎng)絡(luò)的網(wǎng)絡(luò)邊界，且其安全性較差，容易遭到破解，是對網(wǎng)絡(luò)邊界完整性的重大破壞。視頻監(jiān)控網(wǎng)絡(luò)中的監(jiān)控

PC

終端大都為

windows

系統(tǒng)，缺乏有效的防病毒和補(bǔ)丁管理措施、usb

外設(shè)管理措施，病毒和惡意代碼可通過

usb

接口對監(jiān)控終端進(jìn)行感染，由于監(jiān)控終端之間沒有隔離措施，病毒會(huì)在整個(gè)監(jiān)控網(wǎng)絡(luò)中肆意傳播，導(dǎo)致攝像機(jī)被惡意挖礦、發(fā)起

DDoS

攻擊，導(dǎo)致設(shè)備故障，視頻監(jiān)控?zé)o法正常調(diào)取查看等嚴(yán)重后果。3.1.4視頻和圖像數(shù)據(jù)安全視頻數(shù)據(jù)讀得到、看得到、取得走的問題不在少數(shù)。由于視頻數(shù)據(jù)是明文傳輸且編碼方式具有標(biāo)準(zhǔn)化特征，攻擊者可通過偽造相同編碼格式視頻數(shù)據(jù)替換原有采集視頻數(shù)據(jù)，導(dǎo)致視頻數(shù)據(jù)被篡改。而視頻在傳輸過程中采用網(wǎng)絡(luò)旁路或通過非法途徑從后臺(tái)下載的方式截獲視頻數(shù)據(jù)。鑒于視頻數(shù)據(jù)對存儲(chǔ)要求高容易要求大，所以服務(wù)商往往為了減少安全存儲(chǔ)成本而未加強(qiáng)相應(yīng)安全手段，容易造成泄露、勒索甚至毀壞等風(fēng)險(xiǎn)。73.1.5應(yīng)用安全應(yīng)用漏洞存在潛在威脅和薄弱點(diǎn)。應(yīng)用的安全關(guān)系到互聯(lián)網(wǎng)生態(tài)的健康發(fā)展和國家關(guān)鍵信息基礎(chǔ)設(shè)施的安全保障，隨著市場的快速發(fā)展，應(yīng)用安全問題層出不窮，例如應(yīng)用越權(quán)訪問、應(yīng)用被破解、日志記錄不全、注入漏洞、身份驗(yàn)證失敗、敏感數(shù)據(jù)泄露、XML

外部實(shí)體注入、受損的訪問控制等，漏洞的應(yīng)用程序容易被攻擊者利用，造成用戶的重要數(shù)據(jù)泄漏、程序被篡改或破壞，引發(fā)安全事故。3.1.6安全管理缺乏安全管理平臺(tái)，導(dǎo)致風(fēng)險(xiǎn)不可控。視頻攝像頭作為視頻監(jiān)控網(wǎng)絡(luò)重要組成部分，基數(shù)大且部署分散，品牌多樣，邊界接入設(shè)備缺乏有效的認(rèn)證與監(jiān)管

，目前無技術(shù)工具自動(dòng)統(tǒng)計(jì)。另外對于大型機(jī)構(gòu)一般采取分布式管理，權(quán)限分散，無集中式管理平臺(tái)，且無法貫徹落實(shí)視頻網(wǎng)絡(luò)建設(shè)要求。資產(chǎn)管理混亂，設(shè)備信息錄入不準(zhǔn)確，設(shè)備運(yùn)行數(shù)據(jù)采集不全面，固件更新不及時(shí)，造成安全管理困難。視頻攝像頭、交換機(jī)、路由器、防火墻、視頻網(wǎng)業(yè)務(wù)服務(wù)器、運(yùn)維終端等是視頻監(jiān)控網(wǎng)絡(luò)全部組成部分，無技術(shù)手段鑒別是否存在非視頻監(jiān)控網(wǎng)終端的接入，無法規(guī)避由此引發(fā)的安全事件。3.2

安全要求3.2.1法律法規(guī)及標(biāo)準(zhǔn)2016

年，《網(wǎng)絡(luò)安全法》正式出臺(tái)，主要覆蓋網(wǎng)絡(luò)運(yùn)行安全、個(gè)人信息保護(hù)和網(wǎng)絡(luò)內(nèi)容管理等方面。隨著

5G、物聯(lián)網(wǎng)等技術(shù)發(fā)展普及，在

DDos

攻擊、勒索病毒等傳統(tǒng)網(wǎng)絡(luò)安全問題依舊突出的同時(shí)，數(shù)據(jù)作為數(shù)字經(jīng)濟(jì)的基礎(chǔ)性戰(zhàn)略資源，逐漸凸顯為安全的重點(diǎn)。在此背景下，《數(shù)據(jù)安全法》于

2021

年正式出臺(tái)，成為我國數(shù)據(jù)安全領(lǐng)域基礎(chǔ)性法律?！稊?shù)據(jù)安全法》對數(shù)據(jù)分類分級(jí)、重要（核心）數(shù)據(jù)管理、數(shù)據(jù)安全審查等作出了明確規(guī)定。密碼技術(shù)作為確保數(shù)據(jù)安全的基礎(chǔ)，在身份鑒別等領(lǐng)域也獲得廣泛應(yīng)用，已8經(jīng)成為數(shù)字時(shí)代的基礎(chǔ)性核心技術(shù)之一；誰掌控密碼技術(shù)的先導(dǎo)權(quán)，誰就擁有控制相應(yīng)網(wǎng)絡(luò)與信息的能力。2020

年

1

月開始施行的《中華人民共和國密碼法》，為國產(chǎn)密碼行業(yè)和技術(shù)的發(fā)展奠定了基礎(chǔ)，創(chuàng)造了發(fā)展機(jī)遇。以上述法律為依據(jù)，陸續(xù)出臺(tái)一系列的配套法規(guī)、規(guī)章和規(guī)范性文件，逐步形成了完整的體系。其中按照《網(wǎng)絡(luò)安全法》第二十一條要求（實(shí)行網(wǎng)絡(luò)安全等級(jí)保護(hù)制度，以下簡稱“等?！保?一系列等保標(biāo)準(zhǔn)發(fā)布，包括

GB/T

22239-2019《信息安全技術(shù)

網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》等，構(gòu)建了從技術(shù)規(guī)劃到檢測的閉環(huán)體系，并已在政府部門和關(guān)鍵信息基礎(chǔ)設(shè)施相關(guān)行業(yè)獲得推廣。按照《密碼法》相關(guān)要求頒布的

GB/T

39786-2021

標(biāo)準(zhǔn)

《信息安全技術(shù)

信息系統(tǒng)密碼應(yīng)用基本要求》，是指導(dǎo)我國商用密碼應(yīng)用與安全性評(píng)估工作開展的綱領(lǐng)性、框架性標(biāo)準(zhǔn)，從物理和環(huán)境安全、網(wǎng)絡(luò)和通信安全、設(shè)備和計(jì)算安全、應(yīng)用和數(shù)據(jù)安全四個(gè)方面提出了密碼應(yīng)用技術(shù)要求，從管理制度、人員管理、建設(shè)運(yùn)行和應(yīng)急處置四個(gè)方面提出了密碼應(yīng)用管理要求，對于規(guī)范引導(dǎo)信息系統(tǒng)密碼合規(guī)、正確、有效應(yīng)用具有重要意義。在視頻監(jiān)控領(lǐng)域，為滿足平安城市、雪亮工程的安全性要求，2017

年發(fā)布了

GB35114-2017《公共安全視頻監(jiān)控聯(lián)網(wǎng)信息安全技術(shù)要求》。該標(biāo)準(zhǔn)規(guī)定了公共安全領(lǐng)域視頻監(jiān)控聯(lián)網(wǎng)視頻信息以及控制信令信息安全保護(hù)的技術(shù)要求，適用于公共安全領(lǐng)域視頻監(jiān)控系統(tǒng)的信息安全方案設(shè)計(jì)、系統(tǒng)檢測及與之相關(guān)的設(shè)備研發(fā)與檢測。GB35114-2017

是我國首個(gè)關(guān)于視頻監(jiān)控聯(lián)網(wǎng)信息安全方面的技術(shù)標(biāo)準(zhǔn)，首次對公共安全視頻監(jiān)控的信息安全提出明確規(guī)范要求，是全面加強(qiáng)公共安全視頻監(jiān)控領(lǐng)域信息安全的技術(shù)依據(jù)，該標(biāo)準(zhǔn)明確要求視音頻數(shù)據(jù)的可信編碼及驗(yàn)證、視音頻數(shù)據(jù)加解密，防止視頻數(shù)據(jù)被篡改、偽造和泄露，確保視頻監(jiān)控聯(lián)網(wǎng)信息安全，突破了僅進(jìn)行網(wǎng)絡(luò)和傳輸層面防護(hù)的局限，從系統(tǒng)層面對視頻監(jiān)控系統(tǒng)信息安全提供了一個(gè)整體解決方案。2021

年

6

月，中華人民共和國公安部發(fā)布了

GA/T

1781-2021《公共安全社會(huì)視頻資源安全聯(lián)網(wǎng)設(shè)備技術(shù)要求》，該標(biāo)準(zhǔn)規(guī)定了公共安全社會(huì)視頻資源安全聯(lián)網(wǎng)設(shè)備的組成與外部連接關(guān)系、產(chǎn)品分類與標(biāo)記、一般要求、功能要求、安全9要求和性能要求等內(nèi)容，通過這些約束進(jìn)而更好的指導(dǎo)視頻監(jiān)控網(wǎng)絡(luò)的安全聯(lián)網(wǎng)工作，建設(shè)健全視頻監(jiān)控這張資源“大網(wǎng)”。中國電信網(wǎng)信〔2022〕6

號(hào)文件《關(guān)于做好商用密碼應(yīng)用安全性評(píng)估相關(guān)工作的通知》要求：各單位要結(jié)合等保定級(jí)和關(guān)鍵信息基礎(chǔ)設(shè)施管理情況，針對本單位關(guān)鍵信息基礎(chǔ)設(shè)施和等保三級(jí)及以上的網(wǎng)絡(luò)與信息系統(tǒng)，制定商密評(píng)估計(jì)劃，選擇具有評(píng)估資質(zhì)的機(jī)構(gòu)，每年開展一次商密評(píng)估。3.2.2安全技術(shù)相關(guān)要求前端設(shè)備安全：要求對設(shè)備進(jìn)行行為審計(jì)、“一機(jī)兩用”行為監(jiān)測、外設(shè)端口控制等做有效管理。要保證內(nèi)網(wǎng)的安全性，就必須對終端計(jì)算機(jī)上的漏洞情況進(jìn)行分析，打上所需要的補(bǔ)丁，以及時(shí)修補(bǔ)計(jì)算機(jī)上存在的漏洞，從而提高計(jì)算機(jī)自身的系統(tǒng)安全性。接入安全：視頻監(jiān)控網(wǎng)絡(luò)網(wǎng)絡(luò)邊界、內(nèi)部網(wǎng)絡(luò)中應(yīng)采取有效的訪問控制措施，防止非法訪問，黑客攻擊的發(fā)生，特別在前置攝像頭與核心匯聚交換設(shè)備之間防護(hù)來自前置攝像頭的安全威脅，如采用防火墻技術(shù)進(jìn)行安全防護(hù)，各安全邊界接入必須能夠進(jìn)行細(xì)粒度的訪問控制能力，嚴(yán)格控制訪問者的權(quán)限。系統(tǒng)和環(huán)境安全：要求對接入平臺(tái)的設(shè)備進(jìn)行安全檢測，包括但不限于物理和硬件安全、系統(tǒng)和固件安全、網(wǎng)絡(luò)和通信安全、應(yīng)用和數(shù)據(jù)安全。其中針對固件安全，應(yīng)覆蓋敏感信息泄露檢測、敏感服務(wù)開啟檢測、應(yīng)用層代碼檢測、簽名和完整性檢驗(yàn)等。檢測通過的設(shè)備方可接入使用。同時(shí)還應(yīng)具備入侵防御能力、補(bǔ)丁管理、脆弱性檢測、上網(wǎng)行為管理能力和防病毒網(wǎng)關(guān)能力等能力。視頻和圖像數(shù)據(jù)安全：要求視頻監(jiān)控平臺(tái)具備數(shù)據(jù)防泄露、數(shù)據(jù)脫敏、數(shù)據(jù)加密、數(shù)據(jù)鑒權(quán)、數(shù)據(jù)備份恢復(fù)等手段加強(qiáng)視頻數(shù)據(jù)防泄密管理與溯源，保障視頻圖像信息安全，避免敏感視頻圖像信息泄露，保障視頻數(shù)據(jù)在終端應(yīng)用和存儲(chǔ)的安全性，防止視頻數(shù)據(jù)在流轉(zhuǎn)過程中被非法泄露。應(yīng)用安全：要求定期進(jìn)行代碼掃描、應(yīng)用安全測評(píng)和滲透測試，及時(shí)發(fā)現(xiàn)潛在威脅和薄弱點(diǎn)，結(jié)合應(yīng)用訪問控制、應(yīng)用內(nèi)容防護(hù)、應(yīng)用脆弱性防護(hù)、應(yīng)用攻擊防護(hù)、應(yīng)用加固等手段增強(qiáng)應(yīng)用安全性，加強(qiáng)視頻應(yīng)用安全防護(hù)，確保敏感的用戶權(quán)限、日志信息、數(shù)據(jù)信息、應(yīng)用、以及信息系統(tǒng)等資產(chǎn)免受攻擊與侵害避10免被黑客利用攻擊。安全管理：要求對接入平臺(tái)的設(shè)備資產(chǎn)進(jìn)行統(tǒng)一登記管理，錄入完整的設(shè)備基礎(chǔ)信息，同時(shí)對運(yùn)營的設(shè)備進(jìn)行實(shí)時(shí)監(jiān)控，統(tǒng)計(jì)設(shè)備數(shù)量、運(yùn)行狀態(tài)等信息做為脆弱性的管理；具備安全配置包括安全基線管理、安全策略管理和安全事件管理，最后還能做到對掌握的信息進(jìn)行安全預(yù)警和處置。3.2.3安全可靠、智聯(lián)可信國家標(biāo)準(zhǔn)

GB/T25724-2010/2017《公共安全視頻監(jiān)控?cái)?shù)字視音頻編解碼技術(shù)要求》是由公安部、工信部、國標(biāo)委、科技部和發(fā)改委共同主導(dǎo)推行，是具有我國自主知識(shí)產(chǎn)權(quán)、面向視頻監(jiān)控等專業(yè)應(yīng)用場景的視音頻編解碼標(biāo)準(zhǔn)。GB/T25724主要從視頻編解碼、智能分析和安全自主三個(gè)方面基本解決了當(dāng)前國內(nèi)安防視頻監(jiān)控應(yīng)用領(lǐng)域存在的核心技術(shù)匱乏和信息安全隱患等問題。在

2017

年和

2018

年我國分別發(fā)布的國家標(biāo)準(zhǔn)

GB35114

和

GB37300。GB35114對前端設(shè)備進(jìn)行

A/B/C

三類分級(jí)（A

級(jí)解決身份真實(shí)的問題、B

級(jí)在

A

級(jí)基礎(chǔ)上通過視頻簽名解決視頻真實(shí)的問題、C

級(jí)在

B

級(jí)的基礎(chǔ)上采用國密算法進(jìn)行視頻加密）；GB37300

標(biāo)準(zhǔn)規(guī)定了公共安全重點(diǎn)區(qū)域視頻圖象信息采集部位和采集種類、技術(shù)要求和采集設(shè)備要求,適用于公共安全視頻監(jiān)控聯(lián)網(wǎng)系統(tǒng)中重點(diǎn)公共區(qū)域和重點(diǎn)行業(yè)、領(lǐng)域涉及公共區(qū)域的視頻圖像信息采集與管理。除了以上標(biāo)準(zhǔn)外，公安部于

2021

年發(fā)布了《公共安全社會(huì)視頻資源安全聯(lián)網(wǎng)設(shè)備技術(shù)要求》（GA/T

1781-2021）行業(yè)標(biāo)準(zhǔn)。GA/T1781

標(biāo)準(zhǔn)首次提出了用于社會(huì)面視頻圖像資源數(shù)據(jù)加密和治理的專用安全聯(lián)網(wǎng)設(shè)備。標(biāo)準(zhǔn)定義了安全聯(lián)網(wǎng)設(shè)備應(yīng)具備對視頻圖像信息接入、轉(zhuǎn)發(fā)、簽名、加密，以及設(shè)備身份認(rèn)證和網(wǎng)絡(luò)訪問控制等功能，用于互聯(lián)網(wǎng)/專網(wǎng)上的視頻圖像信息傳輸。依托以上標(biāo)準(zhǔn)相輔相成的關(guān)系，以打造符合“安全可靠、自主可控”戰(zhàn)略為目標(biāo)，從自主標(biāo)準(zhǔn)、自主芯片、自主產(chǎn)品形成完整的解決方案體系，不斷提升視頻監(jiān)控系統(tǒng)的智能實(shí)時(shí)分析和安全防護(hù)水平，使安全視頻信息為信息化應(yīng)用帶來切實(shí)好處，其重要意義如下：一是自主可控：自有知識(shí)產(chǎn)權(quán)屬性將促進(jìn)我國自主核心編解碼芯片和相關(guān)產(chǎn)業(yè)的發(fā)展，在視11頻監(jiān)控領(lǐng)域已形成國家標(biāo)準(zhǔn)的完全閉環(huán)。二是專業(yè)應(yīng)用：專門面向視頻監(jiān)控和視頻物聯(lián)網(wǎng)大數(shù)據(jù)應(yīng)用，可滿足各種專業(yè)應(yīng)用場景下視音頻編解碼和人工智能物聯(lián)網(wǎng)融合等需要，同時(shí)具有國際領(lǐng)先的技術(shù)優(yōu)勢。三是數(shù)據(jù)安全：構(gòu)建以國密體系為核心的視頻安全架構(gòu)，實(shí)現(xiàn)端-邊-云視頻全生命周期安全保障。采用國密算法和密碼技術(shù)實(shí)現(xiàn)身份認(rèn)證、信令驗(yàn)證、視頻簽名和視頻加密等功能，可以抵御各種已知或未知的網(wǎng)絡(luò)攻擊、入侵和數(shù)據(jù)竊取、篡改等操作，有效保障視頻監(jiān)控?cái)?shù)據(jù)的安全。1)

保證視頻數(shù)據(jù)從“信源”產(chǎn)生，使用視頻數(shù)據(jù)從源頭具有完整性和不可抵賴性；2)

保證視頻數(shù)據(jù)在網(wǎng)絡(luò)傳輸、存儲(chǔ)的完整性；在使用視頻時(shí)進(jìn)行視頻完整性校驗(yàn)；3)

采用數(shù)字證書進(jìn)行雙向認(rèn)證，保證相關(guān)設(shè)備和用戶的身份真實(shí)；4)

采用國密數(shù)字信封方式保護(hù)安全密鑰，保證了關(guān)鍵信息的傳輸機(jī)密性；5)

采用帶密鑰的國密算法摘要技術(shù)，保證了視頻間信令信息的完整性；四是信息技術(shù)應(yīng)用創(chuàng)新：圍繞以上國家標(biāo)準(zhǔn)，已形成從芯片、前端產(chǎn)品到后臺(tái)應(yīng)用的完整產(chǎn)業(yè)鏈，兼容國產(chǎn)化服務(wù)器、桌面

PC

和操作系統(tǒng)等，實(shí)現(xiàn)全信創(chuàng)化解決方案。打造信創(chuàng)產(chǎn)業(yè)其核心是通過專利、標(biāo)準(zhǔn)、芯片、算法、設(shè)備建立自主可控的技術(shù)架構(gòu)，包括底層

IP

代碼自研、標(biāo)準(zhǔn)持續(xù)更新、在完全取代國外

AES、RSA

算法基礎(chǔ)上，構(gòu)建了強(qiáng)有力的安全保護(hù)。積極拓展公共安全、交通、工業(yè)互聯(lián)網(wǎng)、視訊和汽車出行等行業(yè)生態(tài)的視頻安全應(yīng)用。4

5G視頻監(jiān)控安全參考架構(gòu)5G

視頻監(jiān)控安全參考架構(gòu)如下圖：12圖一

5G

視頻監(jiān)控安全參考架構(gòu)5G

視頻監(jiān)控安全不單是

5G

在承載視頻監(jiān)控傳輸過程的安全，是從視頻監(jiān)控采集、編轉(zhuǎn)碼、傳輸、接入、解碼、轉(zhuǎn)發(fā)、存儲(chǔ)、調(diào)閱全流程安全保障，整體包括

5G

設(shè)備和網(wǎng)絡(luò)、邊緣接入、視頻監(jiān)控云中心、安全管理、安全基礎(chǔ)設(shè)施五部分。1.

5G

設(shè)備和網(wǎng)絡(luò)5G

視頻

圖像

采集和

邊緣

設(shè)備

，遵循

視頻

監(jiān)控?cái)?shù)

據(jù)安

全的

國家標(biāo)

準(zhǔn)GB35114-2017

的要求，設(shè)計(jì)前端視頻監(jiān)控采集安全架構(gòu)，實(shí)現(xiàn)多重安全認(rèn)證、設(shè)備安全加固，結(jié)合實(shí)際情況，圖像采集遵循

GB35114-2017

的情況分為兩種情況，一種是新建符合

GB35114-2017

標(biāo)準(zhǔn)的攝像機(jī)；另外一種是對于已建的視頻監(jiān)控系統(tǒng)，不符合

GB35114-2017

標(biāo)準(zhǔn)的，采用增加安全網(wǎng)關(guān)盒子方式進(jìn)行加密防護(hù)：5G

客戶端具有對登錄用戶的身份校驗(yàn)、視頻流的解碼與解密等，其安全標(biāo)準(zhǔn)遵循

GB35114-2017

標(biāo)準(zhǔn)的相關(guān)要求。5G

傳輸負(fù)責(zé)前端安全視頻采集后的傳輸和客戶端端調(diào)閱時(shí)傳輸，5G

傳輸?shù)陌踩x不開

5G

網(wǎng)絡(luò)安全，5G

網(wǎng)絡(luò)將從三方面技術(shù)防護(hù)，網(wǎng)絡(luò)切片隔離、專網(wǎng)隔離、承載安全。132.

邊緣接入接入安全將是由

5G

視頻圖像采集到的視頻圖像數(shù)據(jù)通過

5G

網(wǎng)絡(luò)傳輸接入到平臺(tái)前的邊界安全，包括對其設(shè)備接入的身份認(rèn)證，網(wǎng)絡(luò)傳輸?shù)恼J(rèn)證，5G

客戶端訪問的安全等的訪問控制。3.

視頻監(jiān)控云中心視頻監(jiān)控云中心主要包括（視頻圖像）應(yīng)用安全、（視頻和圖像）數(shù)據(jù)安全、系統(tǒng)和環(huán)境安全三大部分。1)

（視頻圖像）應(yīng)用安全：應(yīng)用安全能力主要是通過應(yīng)用攻擊防護(hù)、應(yīng)用脆弱性防護(hù)、應(yīng)用日志和審計(jì)、防病毒等安全技術(shù)措施，來提升視頻平臺(tái)的整體安全水平。2)

（視頻和圖像）數(shù)據(jù)安全：視頻信息傳輸過程中，除了保證視頻信息傳輸線路和視頻傳輸網(wǎng)絡(luò)的安全外，還有更為關(guān)鍵的保證視頻監(jiān)控?cái)?shù)據(jù)信息自身安全的舉措，即針對一些安全級(jí)別更高的視頻信息采用數(shù)據(jù)加密技術(shù)和軟件對監(jiān)控?cái)?shù)據(jù)信息進(jìn)行主動(dòng)保護(hù)的措施，如數(shù)據(jù)加密、數(shù)據(jù)真實(shí)性和完整性校驗(yàn)、數(shù)據(jù)溯源、數(shù)據(jù)審計(jì)等。視頻圖像的數(shù)據(jù)安全要遵循

GB35114-2017

標(biāo)準(zhǔn)要求，包括對設(shè)備身份、客戶端訪問的身份認(rèn)證、對視頻流加解密、安全視頻流的存儲(chǔ)、轉(zhuǎn)發(fā)等。3)

系統(tǒng)和環(huán)境安全：對視頻監(jiān)控云中心的系統(tǒng)和環(huán)境的安全保障，包括網(wǎng)絡(luò)和系統(tǒng)安全通用防護(hù)基礎(chǔ)設(shè)施、機(jī)房安全管理、云平臺(tái)安全管理、網(wǎng)絡(luò)安全基礎(chǔ)、存儲(chǔ)安全等。4.

安全管理：為

5G

視頻監(jiān)控提供完整的安全管理。5.

安全基礎(chǔ)設(shè)施視頻監(jiān)控云中心提供網(wǎng)絡(luò)和系統(tǒng)安全通用防護(hù)設(shè)施和密碼基礎(chǔ)設(shè)施，基于14GB35114-2017

標(biāo)準(zhǔn)要求下，國密技術(shù)上的密鑰管理系統(tǒng)，實(shí)現(xiàn)對視頻設(shè)備身份認(rèn)證、客戶端用戶身份認(rèn)證、證書簽發(fā)管理、視頻流驗(yàn)證等。5

5G網(wǎng)絡(luò)視頻監(jiān)控系統(tǒng)安全能力5.1

5G

安全能力增強(qiáng)5G

網(wǎng)絡(luò)延續(xù)了

4G

網(wǎng)絡(luò)中信令完整性保護(hù)、信令/數(shù)據(jù)機(jī)密性保護(hù)、密鑰算法、接入認(rèn)證等部分安全機(jī)制，并針對

4G

存在的安全問題進(jìn)行增強(qiáng)與優(yōu)化，擴(kuò)展設(shè)計(jì)了相應(yīng)的安全機(jī)制。5G

網(wǎng)絡(luò)提供支持

5G

AKA

和

EAP

的接入認(rèn)證框架，擴(kuò)展支持包括物聯(lián)網(wǎng)、垂直行業(yè)在內(nèi)等各種新型認(rèn)證機(jī)制。此外，5G

網(wǎng)絡(luò)延續(xù)4G

網(wǎng)絡(luò)中非服務(wù)化接口的安全機(jī)制，并支持面向服務(wù)化架構(gòu)與網(wǎng)絡(luò)切片等新技術(shù)的安全保護(hù)能力，為控制信令提供更嚴(yán)格的完整性與機(jī)密性保護(hù)、為微服務(wù)化的網(wǎng)絡(luò)功能提供認(rèn)證與授權(quán)保護(hù)。5G

網(wǎng)絡(luò)在信令保護(hù)、數(shù)據(jù)保護(hù)、認(rèn)證授權(quán)等方面的安全能力能夠?yàn)橐曨l監(jiān)控業(yè)務(wù)提供基礎(chǔ)安全保障，在視頻監(jiān)控業(yè)務(wù)的安全接入、運(yùn)行等方面發(fā)揮作用。5.2

端到端安全隔離中國電信

5G

網(wǎng)絡(luò)為視頻監(jiān)控業(yè)務(wù)提供端到端安全，基于網(wǎng)絡(luò)切片、VPN、防火墻等技術(shù)，為業(yè)務(wù)提供端到端安全隔離保障。中國電信

5G

STN

承載網(wǎng)為視頻監(jiān)控業(yè)務(wù)劃分

VPN

承載接入，通過配合實(shí)施訪問控制策略，提供安全隔離、安全傳輸?shù)劝踩休d服務(wù)，滿足業(yè)務(wù)的安全需求。當(dāng)視頻監(jiān)控業(yè)務(wù)在專網(wǎng)承載時(shí)，專網(wǎng)能夠?yàn)闃I(yè)務(wù)提供安全隔離與訪問控制保障。5G

端到端示意圖151.

網(wǎng)絡(luò)切片隔離5G

相較于以往的移動(dòng)通信技術(shù)，在技術(shù)、架構(gòu)等方面都具有重大創(chuàng)新，網(wǎng)絡(luò)切片作為

5G

的典型創(chuàng)新技術(shù)，為垂直行業(yè)提供了差異化、個(gè)性化的可定制網(wǎng)絡(luò)。從整體架構(gòu)來看，網(wǎng)絡(luò)切片由無線網(wǎng)、傳輸網(wǎng)、核心網(wǎng)子切片組合而成，通過端到端的切片管理系統(tǒng)進(jìn)行統(tǒng)一管理，能夠提供無線、傳輸、核心等多層次的安全隔離能力。對無線側(cè)而言，網(wǎng)絡(luò)切片通過利用

QoS

調(diào)度、無線空口

RB

資源預(yù)留和載波隔離、基站

DU/CU

隔離、NG-RAN

資源隔離等主要技術(shù)實(shí)現(xiàn)

NR

RAN

的資源隔離與安全保障。對傳輸側(cè)而言，網(wǎng)絡(luò)切片可基于

VPN、VLAN

等技術(shù)實(shí)現(xiàn)承載層面的軟隔離，使得視頻監(jiān)控業(yè)務(wù)流量在虛擬網(wǎng)絡(luò)中傳輸；可采用靈活以太網(wǎng)（FlexE）技術(shù)實(shí)現(xiàn)承載層面的硬隔離，為高可靠通信要求的視頻監(jiān)控場景提供性能、資源等方面的高安全保障。對核心側(cè)而言，網(wǎng)絡(luò)切片基于虛擬化技術(shù)構(gòu)建。根據(jù)視頻監(jiān)控業(yè)務(wù)的安全需求，網(wǎng)絡(luò)切片支持在為視頻監(jiān)控業(yè)務(wù)提供物理或邏輯的網(wǎng)絡(luò)資源隔離，并將敏感網(wǎng)元部署在物理上安全的位置，實(shí)現(xiàn)物理環(huán)境、網(wǎng)絡(luò)資源、網(wǎng)絡(luò)通信層面的安全隔離，按需為視頻監(jiān)控行業(yè)客戶提供定制、靈活的核心網(wǎng)絡(luò)切片。2.

承載安全根據(jù)視頻監(jiān)控安全業(yè)務(wù)的安全需求，5G

STN

承載網(wǎng)可劃分專用或共用的VPN

承載視頻監(jiān)控業(yè)務(wù)。對于安全可信度低的平臺(tái)系統(tǒng)，應(yīng)與安全可信度高的平臺(tái)系統(tǒng)使用不同的

VPN

承載業(yè)務(wù)；對于安全可信度相同的平臺(tái)系統(tǒng)，可使用同一

VPN

承載業(yè)務(wù)。此外，5G

STN

承載網(wǎng)按需實(shí)現(xiàn)不同程度的安全隔離，支持部署安全接入、檢測或防護(hù)能力并對傳輸數(shù)據(jù)實(shí)施加密保護(hù)。為滿足視頻監(jiān)控業(yè)務(wù)的交互需求，5G

STN

承載網(wǎng)支持提供

VPN

間的互聯(lián)互通服務(wù)，并基于“白名單”策略實(shí)施

VPN

間流量互通，確保僅允許與業(yè)務(wù)相關(guān)的、合規(guī)的流量通過。對于承載視頻監(jiān)控業(yè)務(wù)的

VPN，5G

STN

承載網(wǎng)支持對接入

VPN

的平臺(tái)系16統(tǒng)進(jìn)行訪問控制，對不可信流量進(jìn)行安全隔離過濾，進(jìn)一步保障視頻監(jiān)控業(yè)務(wù)的安全承載。3.

專網(wǎng)隔離5G

技術(shù)促進(jìn)各類垂直行業(yè)開啟數(shù)字化、智能化轉(zhuǎn)型道路，不同行業(yè)的差異化場景、差異化需求促使網(wǎng)絡(luò)更加靈活和可定義。中國電信

5G

專網(wǎng)提供“致遠(yuǎn)”“比鄰”“如翼”三類服務(wù)模式，能夠滿足視頻監(jiān)控業(yè)務(wù)的網(wǎng)絡(luò)需求與性能需求。在安全方面，專網(wǎng)隔離是維護(hù)

5G

專網(wǎng)安全的基礎(chǔ)手段之一，能夠?yàn)闃I(yè)務(wù)的運(yùn)行與管理提供訪問控制、流量隔離等安全能力。在部署專網(wǎng)承載視頻監(jiān)控業(yè)務(wù)的場景下，中國電信

5G

專網(wǎng)能夠?yàn)橐曨l監(jiān)控業(yè)務(wù)提供全面的安全隔離保障，確保專網(wǎng)與公網(wǎng)、專網(wǎng)與專網(wǎng)、專網(wǎng)與企業(yè)網(wǎng)之間的安全隔離。首先，中國電信

5G

專網(wǎng)能夠?yàn)橐曨l監(jiān)控業(yè)務(wù)在專網(wǎng)的網(wǎng)內(nèi)傳輸、網(wǎng)間通信、網(wǎng)絡(luò)管理等多類場景提供

VPN

防護(hù)，并支持對業(yè)務(wù)傳輸數(shù)據(jù)實(shí)施加密保護(hù)；其次，中國電信

5G

專網(wǎng)能夠?yàn)閷＞W(wǎng)邊緣網(wǎng)絡(luò)與企業(yè)網(wǎng)絡(luò)提供安全隔離與訪問控制，確保視頻監(jiān)控行業(yè)客戶的企業(yè)網(wǎng)絡(luò)與邊緣應(yīng)用安全。6

視頻監(jiān)控安全能力和實(shí)現(xiàn)公安雪亮工程、互聯(lián)網(wǎng)+監(jiān)管的政策刺激，各行業(yè)社會(huì)視頻監(jiān)控接入市場面臨井噴，安全問題隨之產(chǎn)生。目前，視頻監(jiān)控行業(yè)存在前端攝像設(shè)備被非法劫持、視頻信息泄露、視頻信息被非法篡改等安全風(fēng)險(xiǎn)。為了保障基于

5G

通信下的視頻信息安全，視頻監(jiān)控系統(tǒng)應(yīng)符合公安部

GB35114

要求，即視頻監(jiān)控系統(tǒng)應(yīng)支持設(shè)備接入安全、視頻數(shù)據(jù)加密、簽名、認(rèn)證等功能，視頻監(jiān)控系統(tǒng)應(yīng)以多重機(jī)制提供端到端全鏈條的視頻安全監(jiān)控能力。6.1

前端設(shè)備6.1.1、能力視頻監(jiān)控?cái)z像機(jī)、5G

視頻邊緣安全網(wǎng)關(guān)等設(shè)備、具有如下安全能力：1）

物理防破壞能力。2）

強(qiáng)化的安全登錄能力，可以防止因密碼失竊或破解所導(dǎo)致的各類安全問17題。3）

網(wǎng)絡(luò)安全能力：包括具備網(wǎng)絡(luò)攻擊或入侵防護(hù)能力；通過固件升級(jí)方式修補(bǔ)漏洞能力；只允許獲得授權(quán)的地址進(jìn)行訪問和信令通信能力。4）防信令功能功能：防止前端設(shè)備因接受到錯(cuò)誤的指令影響工作狀態(tài)。客戶端（5G

移動(dòng)客戶端或固網(wǎng)客戶端）具備強(qiáng)化的網(wǎng)絡(luò)安全能力，包括：在為安全等級(jí)要求較高的用戶提供定制化的服務(wù)過程中，安全視頻系統(tǒng)在應(yīng)用層面進(jìn)行用戶管理和授權(quán)，支持基于終端唯一身份標(biāo)識(shí)、數(shù)字證書等信息進(jìn)行準(zhǔn)入控制，防止非法移動(dòng)設(shè)備接入。并采用基于屬性或基于角色的訪問控制模型對用戶進(jìn)行訪問控制，依據(jù)安全策略控制用戶對文件、數(shù)據(jù)庫表等的訪問。在

SDK

接入和客戶端訪問層面，兩者都具備抗攻擊能力，能抵御靜態(tài)分析、動(dòng)態(tài)調(diào)試、進(jìn)程注入等操作；使用代碼加殼、代碼混淆、檢測調(diào)試器等手段進(jìn)行安全保護(hù)；軟件啟動(dòng)、更新時(shí)需對自身的完整性和真實(shí)性進(jìn)行校驗(yàn)，具備抵御篡改、替換或劫持的能力；采取防篡改機(jī)制保證數(shù)據(jù)不被其他程序篡改，采取加密措施確保敏感數(shù)據(jù)的安全。運(yùn)用多重安全認(rèn)證機(jī)制去保證用戶對安全視頻策略的自主可控。未搭載加密安全芯片的前端監(jiān)控設(shè)備，無法實(shí)現(xiàn)對視頻流的加密接入，在接入過程中易被非法截獲視頻信息，存在安全風(fēng)險(xiǎn)。針對此情況，可將未搭載加密安全芯片的前端監(jiān)控設(shè)備接入到視頻安全防護(hù)網(wǎng)關(guān)設(shè)備，由視頻安全防護(hù)網(wǎng)關(guān)設(shè)備把原前端設(shè)備輸出的

H.264/265

等明文視頻流進(jìn)行簽名和加密，轉(zhuǎn)換成SVAC2.0(GB/T

25724)等格式的加密視頻流，對攝像頭的視頻源數(shù)據(jù)進(jìn)行加密后再接入到安全視頻監(jiān)控系統(tǒng)或本地客戶端。與此同時(shí)，安全視頻監(jiān)控系統(tǒng)應(yīng)對各邊界視頻安全防護(hù)網(wǎng)關(guān)設(shè)備進(jìn)行統(tǒng)一管理、配置統(tǒng)一下發(fā)、日志統(tǒng)一分析，實(shí)時(shí)呈現(xiàn)邊界安全態(tài)勢。186.1.2、實(shí)現(xiàn)視頻監(jiān)控?cái)z像機(jī)、5G

視頻邊緣安全網(wǎng)關(guān)等設(shè)備通過如下方式實(shí)現(xiàn)其安全能力：1）對前端設(shè)備及其配套設(shè)施（設(shè)備箱等）進(jìn)行物理加固，特殊需求下可以通過物聯(lián)網(wǎng)傳感器實(shí)現(xiàn)防拆報(bào)警等功能。2）前端設(shè)備首次登錄時(shí)應(yīng)強(qiáng)制要求修改默認(rèn)口令；符合

GB35114

標(biāo)準(zhǔn)的前端設(shè)備應(yīng)內(nèi)置符合國密標(biāo)準(zhǔn)的密碼模塊，接入平臺(tái)時(shí)采用符合

GB35114

標(biāo)準(zhǔn)雙向數(shù)字證書認(rèn)證模式。3）已開啟GB35114接入認(rèn)證功能的攝像機(jī)必須采用數(shù)字證書方式實(shí)現(xiàn)直連登錄，并關(guān)閉

Telnet、SSH

等直連登錄方式。4）前端設(shè)備應(yīng)關(guān)閉不需要的系統(tǒng)服務(wù)、默認(rèn)共享和高危端口、阻斷未知協(xié)議；5）通過定期對惡意代碼進(jìn)行檢測發(fā)現(xiàn)潛在漏洞，并能通過數(shù)字簽名校驗(yàn)的升級(jí)包進(jìn)行固件升級(jí)；6）可設(shè)置

IP

地址過濾功能，只與獲得授權(quán)的地址進(jìn)行信令通信7）采用符合

GB35114

標(biāo)準(zhǔn)的信令驗(yàn)簽功能對信令進(jìn)行驗(yàn)證注：5G

視頻邊緣安全網(wǎng)關(guān)5G

視頻邊緣安全網(wǎng)關(guān)主要部署在視頻監(jiān)控采集點(diǎn)，通過與（已有）普通攝像機(jī)的“串聯(lián)”，實(shí)現(xiàn)網(wǎng)絡(luò)安全加固和

GB35114

安全、人工智能和物聯(lián)網(wǎng)融合應(yīng)用等功能；參考下圖：196.2

接入6.2.1、能力在視頻監(jiān)控云中心網(wǎng)絡(luò)邊界提供接入安全能力，包括：1）

邊界安全隔離能力：僅允許

GB/T28181、GB35114、GA/T1400

以及

5G網(wǎng)專用協(xié)議傳輸，阻隔其他協(xié)議或數(shù)據(jù)接入。2）

訪問控制能力：只允許來自指定

IP/MAC

地址的前端設(shè)備、客戶端接入；或只允許通過數(shù)字證書認(rèn)證的前端或客戶端接入。3）內(nèi)容檢測和過濾能力：在安全隔離基礎(chǔ)上，支持對信令和視頻數(shù)據(jù)流內(nèi)容檢測，防止惡意代碼夾帶等。6.2.2、實(shí)現(xiàn)通過在視頻監(jiān)控云中心部署安全接入系統(tǒng)實(shí)現(xiàn)與專網(wǎng)、公共網(wǎng)絡(luò)的互聯(lián)和接入，在提供安全能力的同時(shí)實(shí)現(xiàn)雙向數(shù)據(jù)傳輸；主要實(shí)現(xiàn)方式包括：1）視音頻流和數(shù)據(jù)分別處理和傳輸；通過視頻交換鏈路實(shí)現(xiàn)視音頻流的傳輸，通過數(shù)據(jù)交換鏈路實(shí)現(xiàn)

GB/T28181、GB35114

和

GA/T1400

信令或請求、其他數(shù)據(jù)（圖片等）傳輸。2）訪問控制：支持對接入數(shù)據(jù)的（前端設(shè)備、客戶端等）源

IP、目的

IP、源端口、目的端口、協(xié)議、數(shù)據(jù)內(nèi)容等字段內(nèi)容做策略，進(jìn)行訪問控制。當(dāng)數(shù)據(jù)流接入時(shí)，提取數(shù)據(jù)的源

IP、目的

IP、源端口、目的端口、協(xié)議、數(shù)據(jù)信息和訪問控制策略匹配，若匹配成功，放通該數(shù)據(jù)流、若匹配失敗，阻斷數(shù)據(jù)并告警處理3）數(shù)據(jù)包解析和過濾：當(dāng)數(shù)據(jù)接入到視頻專網(wǎng)時(shí)，對視頻協(xié)議數(shù)據(jù)逐包進(jìn)行特征解析，并與訪問控制策略匹配，如果和訪問控制策略匹配成功則將協(xié)議數(shù)據(jù)放行，如果匹配失敗則將數(shù)據(jù)實(shí)時(shí)阻斷并進(jìn)行實(shí)時(shí)告警。當(dāng)視頻協(xié)議數(shù)據(jù)流放通時(shí)，記錄協(xié)商的視頻數(shù)據(jù)流，作為視頻數(shù)據(jù)的訪問策略，若視頻數(shù)據(jù)流的訪問策略為單向放通時(shí)，放通單向的視頻數(shù)據(jù)，若為雙向放通時(shí)，放通雙向的視頻數(shù)據(jù)，否則阻斷視頻數(shù)據(jù)，從而大大提升視頻圖像接入平臺(tái)側(cè)的安全性。206.3

系統(tǒng)和環(huán)境6.3.1、能力1）

機(jī)房物理環(huán)境安全：對機(jī)房出入人員和機(jī)房內(nèi)行為進(jìn)行有效管控。2）對視頻監(jiān)控服務(wù)器、云平臺(tái)、存儲(chǔ)、網(wǎng)絡(luò)和數(shù)據(jù)庫等進(jìn)行安全加固，杜絕網(wǎng)絡(luò)攻擊、入侵和病毒等威脅。3）采用自主可控標(biāo)準(zhǔn)、技術(shù)和產(chǎn)品提供安全保障。6.3.2、實(shí)現(xiàn)系統(tǒng)和環(huán)境安全在視頻監(jiān)控云中心進(jìn)行部署和實(shí)現(xiàn)，主要包括1）

機(jī)房部署符合等保

2.0

和國密標(biāo)準(zhǔn)的國密門禁和視頻監(jiān)控系統(tǒng)對人員出入機(jī)房的相關(guān)數(shù)據(jù)進(jìn)行完整性保護(hù)。2）定期對服務(wù)器、云平臺(tái)、存儲(chǔ)、網(wǎng)絡(luò)和數(shù)據(jù)庫等進(jìn)行安全掃描，分析安全漏洞，通過固件升級(jí)等方式進(jìn)行修復(fù)3）部署網(wǎng)絡(luò)安全監(jiān)控設(shè)備，能實(shí)施監(jiān)控、識(shí)別對服務(wù)器、云平臺(tái)、存儲(chǔ)、網(wǎng)絡(luò)和數(shù)據(jù)庫的入侵和攻擊等行為，并能通過自動(dòng)或手動(dòng)方式進(jìn)行阻斷。4）制定局域網(wǎng)訪問控制策略；構(gòu)建隔離的虛擬網(wǎng)絡(luò)環(huán)境，對重要網(wǎng)段的訪問可采用

IP

地址、端口訪問控制等措施，避免來自內(nèi)部的非法訪問和網(wǎng)絡(luò)入侵后的“橫向移動(dòng)”。5）通過部署網(wǎng)絡(luò)流量檢測或安全態(tài)勢感知設(shè)備，對網(wǎng)絡(luò)流量進(jìn)行安全威脅檢測，并能通過自動(dòng)或手動(dòng)方式對網(wǎng)絡(luò)中存在的惡意威脅行為進(jìn)行阻斷6）對云計(jì)算資源進(jìn)行隔離，保護(hù)宿主機(jī)和虛擬機(jī)的安全；通過多種機(jī)制保障容器和云主機(jī)安全，保障鏡像數(shù)據(jù)安全7）采用

RAID

冗余等技術(shù)為視頻數(shù)據(jù)提供可靠性保護(hù)；8）通過采用符合

GB35114

標(biāo)準(zhǔn)的視頻數(shù)據(jù)簽名來確保音視頻數(shù)據(jù)在存儲(chǔ)過程中的完整性。9）采用云存儲(chǔ)技術(shù)的訪問控制策略，保護(hù)視頻文件內(nèi)容不被截獲、盜鏈等違規(guī)操作，與

GB35114

視頻數(shù)據(jù)加密功能共同保護(hù)視頻文件的內(nèi)容安全。21注：視頻監(jiān)控云平臺(tái)參考架構(gòu)如下圖：圖

1.

平臺(tái)技術(shù)架構(gòu)示意圖組成視頻監(jiān)控平臺(tái)的整理邏輯構(gòu)架整體上分為四個(gè)層次：

資源池化層，這些資源層基本上是一些通用的軟件和硬件，包括云存儲(chǔ)，計(jì)算機(jī)虛擬化的管理軟件。

基礎(chǔ)組件層，這些組件是一些開源的軟件組成的，包括了分布式協(xié)調(diào)配置，分布式的數(shù)據(jù)庫，分布式的緩存，分布式的索引，還有分布式的消息。這些組件為系統(tǒng)各個(gè)模塊的通訊提供中間的消息轉(zhuǎn)發(fā)，數(shù)據(jù)存儲(chǔ)，提高整個(gè)系統(tǒng)并發(fā)能力，減少了模塊復(fù)雜度。

業(yè)務(wù)服務(wù)層，包括認(rèn)證服務(wù)，目錄服務(wù)，前端接入服務(wù)，級(jí)聯(lián)服務(wù)，媒體分發(fā)、存儲(chǔ)、錄像回放和轉(zhuǎn)碼這些服務(wù)。這些服務(wù)實(shí)現(xiàn)特定的協(xié)議交互流程。

監(jiān)控應(yīng)用層。是實(shí)現(xiàn)監(jiān)控客戶端、管理管理界面的各類應(yīng)用功能，如設(shè)備目錄列表展示，實(shí)時(shí)視頻的點(diǎn)播，歷史視頻回放，設(shè)備的控制，還有設(shè)備控制和設(shè)備屬性的查詢等。服務(wù)資源管理，是用來協(xié)調(diào)監(jiān)控應(yīng)用如何并發(fā)使用業(yè)務(wù)服務(wù)層提供的服務(wù)的。視頻云安全密鑰服務(wù)系統(tǒng)（密碼基礎(chǔ)設(shè)施一部分）為整個(gè)視頻監(jiān)控系統(tǒng)（包括前端、平臺(tái)、客戶端）提供面向

GB35114

標(biāo)準(zhǔn)的密碼服務(wù)。視頻云安全密鑰服務(wù)系統(tǒng)為視頻監(jiān)控云平臺(tái)提供國密算法和密鑰服務(wù)，包括數(shù)字證書認(rèn)證系統(tǒng)（CA/RA）、對稱密鑰管理系統(tǒng)和密碼機(jī)服務(wù)等功能。云密碼服務(wù)系統(tǒng)具有部署快捷、可靠性高和便于維護(hù)等優(yōu)勢。通過負(fù)載均衡模塊在多臺(tái)物理設(shè)備（云密碼服務(wù)器）上實(shí)現(xiàn)同一功能模塊的多機(jī)并發(fā)服務(wù)和備份，從而滿足視頻云平臺(tái)高可靠性和不斷增長的前端接入要求。226.4

視頻和圖像數(shù)據(jù)6.4.1、能力基于

GB35114

標(biāo)準(zhǔn)的信源數(shù)字簽名和加密技術(shù)，可以實(shí)現(xiàn)：1）視音頻數(shù)據(jù)全生命周期完整性和真實(shí)性驗(yàn)證，可以在傳輸、存儲(chǔ)、下載等任意環(huán)節(jié)通過對數(shù)字簽名的驗(yàn)證來校驗(yàn)視頻數(shù)據(jù)的真實(shí)性、完整性。2）視音頻數(shù)據(jù)溯源：可以通過數(shù)字簽名確認(rèn)視頻采集的來源和空間、時(shí)間等信息。3)

視音頻數(shù)據(jù)全生命周期完整性加密保護(hù)，可以在傳輸、存儲(chǔ)、下載等各個(gè)環(huán)節(jié)保障視頻數(shù)據(jù)的安全性。視頻和圖像數(shù)據(jù)的其他安全能力還包括：1）視頻圖像顯示水印疊加：可在視頻圖像播放時(shí)強(qiáng)制疊加水印，以防止偷拍等行為。2）數(shù)據(jù)訪問控制：有視頻監(jiān)控云平臺(tái)根據(jù)用戶屬性和權(quán)限控制對視頻數(shù)據(jù)的訪問；對于加密數(shù)據(jù)，其訪問用戶應(yīng)擁有合法數(shù)字證書；支持通過臨時(shí)授權(quán)方式，允許特定用戶限時(shí)訪問授權(quán)者指定的視頻數(shù)據(jù)3）敏感數(shù)據(jù)脫密：可在符合《數(shù)據(jù)安全法》、《個(gè)人隱私保護(hù)法》等法律要求前提下，對敏感視頻圖像數(shù)據(jù)進(jìn)行脫密處理后導(dǎo)出。對于圖像（圖片、短視頻）、（人工智能或物聯(lián)網(wǎng)采集等生成的）結(jié)構(gòu)化信息等數(shù)據(jù)，可以結(jié)合

SVAC

擴(kuò)展信息功能，在

GB35114

標(biāo)準(zhǔn)基礎(chǔ)上實(shí)現(xiàn)類似上述視音頻數(shù)據(jù)的數(shù)字簽名、加密功能。6.4.2、實(shí)現(xiàn)1)

GB35114

視頻數(shù)據(jù)簽名和驗(yàn)簽實(shí)現(xiàn)過程：前端設(shè)備（攝像機(jī)、5G

安全接入網(wǎng)關(guān)）通過國密安全芯片進(jìn)行簽名算法（SM2+SM3）計(jì)算，使用內(nèi)置于國密安全芯片的的簽名私鑰對視頻幀進(jìn)行簽名，簽名結(jié)果連同前端國標(biāo)設(shè)備編號(hào)和證書序列號(hào)附加到視頻流中。23驗(yàn)簽時(shí)，通過前端數(shù)字證書導(dǎo)出該前端的簽名公鑰，調(diào)用硬件密碼部件（Ukey、密碼卡等）針對碼流中的簽名進(jìn)行簽名驗(yàn)簽。2)

GB35114

視頻數(shù)據(jù)加解密實(shí)現(xiàn)過程：前端設(shè)備（攝像機(jī)、5G

安全接入網(wǎng)關(guān)）通過內(nèi)置的國密安全芯片每隔一段時(shí)間（通常為

1

小時(shí)）生成隨機(jī)數(shù)作為視頻加密密鑰

VEK；然后再國密安全芯片內(nèi)采用

VEK

作為密鑰、對視頻流進(jìn)行

SM4

算法加密；再使用

VKEK

對

VEK

進(jìn)行

SM4

算法加密，最后將

VKEK

版本號(hào)（及簽名和設(shè)備

ID

等信息）附加到加密視頻數(shù)據(jù)流中對外發(fā)送。在需要對視頻流進(jìn)行解密時(shí)，首先需要獲得（用公鑰加密的）VKEK，然后調(diào)用硬件密碼部件（Ukey、密碼卡等）依次解密出

VKEK、VEK

和視頻流，再對視頻流進(jìn)行解碼播放。3)

客戶端播放水印疊加：在視頻播放時(shí)，通過將客戶端信息（用戶名、客戶端

PC

機(jī)

IP/MAC

地址或

UKey

信息等）以（半透明）斜條紋、隨機(jī)位置（半透明）內(nèi)容窗口或二維碼等形式強(qiáng)制疊加到視頻播放畫面上4）數(shù)據(jù)訪問控制：視頻監(jiān)控云平臺(tái)根據(jù)用戶屬性、視頻數(shù)據(jù)屬性、視頻數(shù)據(jù)操作行為（觀看實(shí)時(shí)視頻、檢索和播放錄像）等，按最小權(quán)限原則配置數(shù)據(jù)訪問權(quán)限策略。5）視頻數(shù)據(jù)審計(jì)：視頻監(jiān)控云平臺(tái)支持實(shí)時(shí)展示和記錄非法訪問行為和正常業(yè)務(wù)統(tǒng)計(jì)，通過非法流量告警日志實(shí)現(xiàn)前端風(fēng)險(xiǎn)實(shí)時(shí)精準(zhǔn)定位，可以圖表方式呈現(xiàn)在什么地點(diǎn)、什么時(shí)間發(fā)生了什么非法訪問行為；視頻監(jiān)控云平臺(tái)日志可以回溯一段時(shí)間內(nèi)（6

個(gè)月或以上）訪問視頻數(shù)據(jù)的所有行為，為視頻數(shù)據(jù)訪問統(tǒng)計(jì)和事件溯源等提供基礎(chǔ)信息。6.5

應(yīng)用6.5.1、能力1）安全登錄：用戶登錄到視頻監(jiān)控云平臺(tái)必須采用口令、令牌/Ukey、指紋等生物特征、數(shù)字證書或短信授權(quán)碼等兩種或兩種以上的組合機(jī)制進(jìn)行身份鑒別。2）權(quán)限管理：對內(nèi)部用戶訪問進(jìn)行授權(quán)，根據(jù)用戶不同角色、級(jí)別、所屬機(jī)構(gòu)/區(qū)域、任務(wù)和場景進(jìn)行鑒權(quán)、授權(quán)，實(shí)現(xiàn)功能級(jí)訪問控制243）應(yīng)用安全加固：為對視頻監(jiān)控平臺(tái)和相關(guān)應(yīng)用服務(wù)系統(tǒng)提供

WEB、API攻擊防護(hù)能力；通過數(shù)字證書方式對應(yīng)用安裝包、升級(jí)包進(jìn)行驗(yàn)證，防止非法修改4）日志：視頻監(jiān)控平臺(tái)和相關(guān)應(yīng)用服務(wù)系統(tǒng)視頻圖像應(yīng)用系統(tǒng)具備操作日志記錄能力，操作日志保護(hù)操作人、時(shí)間、終端、操作對象、操作條件、返回結(jié)果等信息；日志保存時(shí)間為

6

個(gè)月或以上。6.5.2、實(shí)現(xiàn)1）基于

GB35114

標(biāo)準(zhǔn)的安全登錄：GB35114

標(biāo)準(zhǔn)定義了用戶基于數(shù)字證書登錄視頻監(jiān)控平臺(tái)的單向/雙向認(rèn)證方式；平臺(tái)和客戶端首完成對方數(shù)字證書的有效性校驗(yàn)，然后通過數(shù)字簽名技術(shù)來判斷認(rèn)證雙方身份真實(shí)性。2）按照國密標(biāo)準(zhǔn)相關(guān)要求，客戶端一般通過

Ukey

來完成數(shù)字證書相關(guān)功能。用戶登錄時(shí)，可以通過插入

Ukey

并輸入用戶名、口令的雙重方式來實(shí)現(xiàn)安全登錄。3）權(quán)限管理：視頻監(jiān)控云平臺(tái)增加三種管理員角色賬戶，分別是系統(tǒng)管理員、安全管理員和審計(jì)管理員，形成互相制約的三權(quán)管理機(jī)制；對內(nèi)部用戶訪問進(jìn)行授權(quán)，根據(jù)用戶不同角色、級(jí)別、所屬機(jī)構(gòu)/區(qū)域、任務(wù)和場景進(jìn)行鑒權(quán)、授權(quán)，實(shí)現(xiàn)功能級(jí)訪問控制3）應(yīng)用安全加固：應(yīng)用攻擊防護(hù)主要是使用平臺(tái)內(nèi)置的協(xié)議防護(hù)策略和系統(tǒng)內(nèi)部集成的協(xié)議正規(guī)化規(guī)則，該策略可以對不符合協(xié)議規(guī)則的網(wǎng)絡(luò)數(shù)據(jù)，進(jìn)行防御保護(hù)。未知威脅檢測，主要針對應(yīng)用層協(xié)議的正規(guī)化，如

HTTP

協(xié)議，SMTP

協(xié)議，POP3

協(xié)議

，F(xiàn)TP

協(xié)議等主流成熟的應(yīng)用層協(xié)議。例如，當(dāng)網(wǎng)絡(luò)數(shù)據(jù)流的使用

HTTP

協(xié)議，但

HTTP

的請求不符合

RFC

標(biāo)準(zhǔn)文檔的規(guī)范，系統(tǒng)利用內(nèi)部集成了協(xié)議的正規(guī)化規(guī)則，會(huì)對數(shù)據(jù)流進(jìn)行防護(hù)操作。應(yīng)用脆弱性是指若發(fā)送總長度超過

65535

的

IP

碎片（IP

數(shù)據(jù)包最長具有65535

個(gè)字節(jié)），一些老的系統(tǒng)內(nèi)核在處理的時(shí)候就會(huì)出現(xiàn)問題，導(dǎo)致崩潰或者拒絕服務(wù)。另外，如果分片之間偏移量經(jīng)過精心構(gòu)造，一些系統(tǒng)就無法處理，導(dǎo)致死機(jī)。25當(dāng)發(fā)現(xiàn)分片報(bào)文時(shí)，通過網(wǎng)絡(luò)數(shù)據(jù)包的

IP

協(xié)議層的

id，使用

DMA

硬件拷貝技術(shù)，快速拷貝報(bào)文內(nèi)容，不影響網(wǎng)絡(luò)數(shù)據(jù)的快速傳輸。通過綜合分析有關(guān)分片報(bào)文的信息，如分片報(bào)文的產(chǎn)生速度，分片報(bào)文的源

IP

和目的

IP，相關(guān)協(xié)議的限制等等，根據(jù)用戶制定的規(guī)則，實(shí)現(xiàn)應(yīng)用脆弱性的可靠防護(hù)。此外，視頻監(jiān)控云平臺(tái)部署防病毒和入侵防御系統(tǒng)，其具有全面的特征庫、先進(jìn)的多病毒引擎及專業(yè)的檢測引擎可對層出不窮的漏洞威脅及攻擊手段提供全面的防護(hù)和加固。4）日志：視頻監(jiān)控云平臺(tái)日志記錄和審計(jì)功能；日志記錄和審計(jì)能夠覆蓋到應(yīng)用系統(tǒng)的每個(gè)用戶；日志記錄內(nèi)容包括操作人、時(shí)間、終端、操作對象、操作條件、返回結(jié)果等信息。日志記錄系統(tǒng)具備防刪除、修改或覆蓋等功能，日志記錄保存時(shí)間不少于

180

天。6.6

安全管理1）資產(chǎn)管理：具備對前端設(shè)備和數(shù)據(jù)中心設(shè)備和系統(tǒng)（服務(wù)器、操作系統(tǒng)、應(yīng)用軟件等）等資產(chǎn)信息統(tǒng)一管理能力；包括資產(chǎn)屬性、漏洞信息、基線信息等2）脆弱性管理：支持對前端設(shè)備、數(shù)據(jù)中心設(shè)備和系統(tǒng)（服務(wù)器、操作系統(tǒng)、應(yīng)用軟件等）IT

資產(chǎn)進(jìn)行安全檢測，發(fā)現(xiàn)安全漏洞時(shí)提供修補(bǔ)建議3）安全基線管理：通過建立視頻圖像信息系統(tǒng)的安全基線，在安全合規(guī)檢查的基礎(chǔ)上提供評(píng)估報(bào)告4）安全策略管理：支持安全信息采集策略、安全事件告警策略、監(jiān)控策略等安全策略的集中管理；并能結(jié)合安全風(fēng)險(xiǎn)、告警、威脅情報(bào)等信息實(shí)現(xiàn)安全策略優(yōu)化5）安全事件管理：通過對各類安全事件信息進(jìn)行數(shù)據(jù)治理，合并形成統(tǒng)一的安全事件庫；）具備對安全事件進(jìn)行事件處置過程管理和歸檔等功能6）安全預(yù)警：對來自相關(guān)部門的安全事件、安全風(fēng)險(xiǎn)進(jìn)行通報(bào)預(yù)警

；能

按照預(yù)警信息的重要程序、影響范圍進(jìn)行分級(jí)分類，提出相應(yīng)的處置建議。7）安全處置：對涉及視頻圖像信息系統(tǒng)的安全事件進(jìn)行及時(shí)相應(yīng)和處置，對處置過程、結(jié)果等進(jìn)行分類歸檔，形成應(yīng)急處置報(bào)告267

5G視頻監(jiān)控安全應(yīng)用場景及案例“5G＋安全視頻”將更多的應(yīng)用在以高清視頻為核心的多種場景中，主要涉及車載、無人機(jī)、臨時(shí)部署、布線困難等需求。該系統(tǒng)前端選用具有

GB35114

能力的攝像機(jī)或普通攝像機(jī)加安全網(wǎng)關(guān)盒子方式，接入到

5G

通信模塊，根據(jù)具體場景需求按需布放使用，通過中國電信

5G

通信網(wǎng)安全傳輸，匯聚接入到對應(yīng)的應(yīng)用平臺(tái)，打造“5G+高清視頻+安全系統(tǒng)”的整體解決方案。7.1

車載應(yīng)用場景7.1.1、應(yīng)用功能“5G+安全視頻”在智能駕駛系統(tǒng)中的應(yīng)用，可在線實(shí)時(shí)感知車輛周圍環(huán)境，降低對

GNSS（全球?qū)Ш叫l(wèi)星系統(tǒng)）、高精度地圖及

V2X

的依賴；可以實(shí)現(xiàn)高分辨率、高清晰度、高可靠性的環(huán)境感知數(shù)據(jù)、人臉分析、疲勞檢測、分心駕駛檢測、危險(xiǎn)行為檢測等功能。1）人臉識(shí)別公共交通車輛作為人員流動(dòng)性較大的公共場合，每日的人流量非常龐大。利用

AI

人臉識(shí)別技術(shù)將抓拍到的乘客人臉圖片通過

5G

上傳至監(jiān)控中心進(jìn)行對比，可以及時(shí)發(fā)現(xiàn)在逃通緝犯、小偷慣犯等。在發(fā)生民事或者刑事案件時(shí)能夠提供犯罪嫌疑人的圖片，為公安部圖像偵查提供相關(guān)證據(jù)。同時(shí)，基于人臉檢測技術(shù)，還可以統(tǒng)計(jì)車輛內(nèi)的乘客人員數(shù)據(jù)。此外人臉識(shí)別技術(shù)還能用于司乘身份驗(yàn)證，尤其是在一些安全級(jí)別較高的營運(yùn)場景，如金融絕密押運(yùn)、?；肺锪鬟\(yùn)輸?shù)?。預(yù)先采集司乘的人臉特征，對其進(jìn)行身份識(shí)別和有效管控，在非指定人員駕駛車輛的情況下可立即報(bào)警。人臉識(shí)別可以有效提高特種車輛營運(yùn)過程的安全，預(yù)防不法分子偷盜車等犯罪行為。2）移動(dòng)車牌識(shí)別利用車輛前、后安裝的攝像頭，對車前方和車后方的車輛進(jìn)行車牌識(shí)別，設(shè)備具備移動(dòng)卡口的功能，結(jié)合衛(wèi)星定位數(shù)據(jù)在

GIS

地圖上可以定位所關(guān)注車輛所在位置，作為固定卡口的很好補(bǔ)充，很好滿足移動(dòng)治安刑偵的需求。3）公共交通客流統(tǒng)計(jì)27利用

AI

智能檢測與識(shí)別技術(shù)，可以識(shí)別監(jiān)控畫面中的乘客運(yùn)動(dòng)軌跡，進(jìn)而判斷乘客的上下車狀態(tài)，實(shí)現(xiàn)對客流數(shù)量進(jìn)行精確統(tǒng)計(jì)，為城市客流量趨勢及人員流向提供準(zhǔn)確的數(shù)據(jù)，滿足城市線網(wǎng)優(yōu)化需求。4）駕駛員行為與狀態(tài)監(jiān)測將

AI

視頻智能識(shí)別技術(shù)與車載監(jiān)控系統(tǒng)相結(jié)合，還可以做到對駕駛員行為與狀態(tài)的監(jiān)測。通過車內(nèi)攝像頭實(shí)時(shí)監(jiān)控和測量司機(jī)臉部特征變化、頭部活動(dòng)及身體上半部分的反應(yīng)和動(dòng)作，結(jié)合人工智能算法評(píng)判出駕駛員的疲勞程度和不良駕駛行為（瞌睡、打電話、抽煙等）。當(dāng)達(dá)到某一預(yù)設(shè)報(bào)警標(biāo)準(zhǔn)時(shí)，平臺(tái)會(huì)迅速做出分析判斷，及時(shí)發(fā)出相應(yīng)報(bào)警提示。5）ADAS

與

BSD

車輛行駛狀態(tài)監(jiān)測ADAS

監(jiān)測如：車道偏離報(bào)警，前車碰撞預(yù)警，行人及非機(jī)動(dòng)車識(shí)別預(yù)警；BSD

監(jiān)測如：車輛左右側(cè)盲區(qū)視頻分析預(yù)警，通過視頻分析技術(shù)判定車輛盲區(qū)是否有行人或者非機(jī)動(dòng)車，并對駕駛員及時(shí)進(jìn)行提醒，防止盲區(qū)事故的發(fā)生。7.1.2、行業(yè)應(yīng)用案例1）

兩客一危“5G+安全視頻”主要對車輛拋灑滴漏、不按規(guī)定路線行駛、隨意傾倒、疲勞駕駛等行為進(jìn)行監(jiān)控，還可對車輛是否密閉以及空重、舉升等情況一同監(jiān)控。執(zhí)法人員可通過遠(yuǎn)程指揮平臺(tái)實(shí)時(shí)回放查看所有車輛運(yùn)行狀態(tài)視頻，實(shí)現(xiàn)全天候“巡邏”，平臺(tái)發(fā)現(xiàn)問題可第一時(shí)間進(jìn)行處理，形成了發(fā)現(xiàn)問題、迅速反饋、整改落實(shí)的長效工作機(jī)制。通過“5G+安全視頻”系統(tǒng)的應(yīng)用，進(jìn)一步提升了對“兩客一危”車輛全過程監(jiān)控，既節(jié)約了工作成本，又提升了執(zhí)法效能，有力地推進(jìn)了運(yùn)輸監(jiān)管向信息化、智能化轉(zhuǎn)變。2）執(zhí)法車輛目前，運(yùn)政執(zhí)法方式主要為：路邊守點(diǎn)、迎車攔截、上車檢查、判斷違章。這種傳統(tǒng)的守點(diǎn)檢查方式耗時(shí)耗力，每日有效攔截車輛僅能有

8-10

輛。在使用5G

執(zhí)法車輛后，執(zhí)法車輛只需要跟隨前車

1

秒鐘，系統(tǒng)即可通過“5G＋執(zhí)法終端＋高清視頻實(shí)時(shí)回傳＋車牌智能識(shí)別”方式，將路上行駛的營運(yùn)車輛車牌信息實(shí)時(shí)回傳后臺(tái)，通過與后臺(tái)數(shù)據(jù)庫比對，現(xiàn)場執(zhí)法隊(duì)員即可實(shí)時(shí)獲知該車輛的經(jīng)28營業(yè)戶信息、經(jīng)營范圍、車輛

GPS

安裝和在線情況、車輛是否正常年檢、過往違規(guī)記錄等相關(guān)營運(yùn)信息，迅速發(fā)現(xiàn)問題車輛，同時(shí)通知前方執(zhí)法單元，對問題車輛進(jìn)行攔截，實(shí)現(xiàn)精準(zhǔn)執(zhí)法。3）自動(dòng)駕駛/輔助駕駛目前，自動(dòng)駕駛技術(shù)靠兩種系統(tǒng)來實(shí)現(xiàn)：一是激光雷達(dá)系統(tǒng)，但成本過高，推廣不易；另一個(gè)就是視頻監(jiān)控分析系統(tǒng)，這項(xiàng)技術(shù)已較為成熟，價(jià)格低，易推廣。在自動(dòng)駕駛所有技術(shù)當(dāng)中，基于視像的技術(shù)較為突出，通過視頻監(jiān)控，可以實(shí)時(shí)分析路況、車輛及行人信息，輔助汽車做出有效、及時(shí)的反饋。在輔助自動(dòng)駕駛方面，通過車內(nèi)攝像頭，可以直接觀測到車主實(shí)時(shí)的駕車狀態(tài)。并且通過算法計(jì)算，監(jiān)測到車主，在使用自動(dòng)輔助駕駛時(shí)的狀態(tài)。如果車主沒有時(shí)刻注意路況和車輛的行駛狀態(tài)，在自動(dòng)輔助駕駛狀態(tài)下，系統(tǒng)會(huì)對駕駛員進(jìn)行提醒，避免引發(fā)危險(xiǎn)意外。7.2

臨時(shí)部署應(yīng)用場景7.2.1、應(yīng)用功能目前，監(jiān)控?cái)z像頭一般采用有線回傳，面臨布線成本高、部署周期長、檢測維護(hù)困難等問題,隨著

5G

網(wǎng)絡(luò)的普及和帶寬的提升，無線監(jiān)控系統(tǒng)將很大程度的取代有線監(jiān)控，尤其是在無有線網(wǎng)絡(luò)覆蓋區(qū)域、部署時(shí)間有限、頻繁更換監(jiān)控地點(diǎn)的環(huán)境下，無線監(jiān)控的優(yōu)勢在于臨時(shí)搭建、即插即用，可以實(shí)現(xiàn)快速部署，無需提前布設(shè)管道、線材，單機(jī)即裝即用，有效保障施工的效率。7.2.2、行業(yè)應(yīng)用案例1）工地監(jiān)控應(yīng)用在工地場景下，由于工地隨著建設(shè)的不斷推進(jìn)，環(huán)境不斷變化，視頻監(jiān)控的安裝位置和環(huán)境也隨著變化，有線線路鋪設(shè)也收到影響和限制，基于該場景下，可采用

5G

安全視頻監(jiān)控方式，基于對視頻監(jiān)控的安全傳輸和應(yīng)用的要求，前端選用具有

GB35114

能力的攝像機(jī)或普通攝像機(jī)加安全網(wǎng)關(guān)盒子組合，再接入到5G

通信模塊，安裝范圍可根據(jù)實(shí)際要求和現(xiàn)場環(huán)境而定，隨時(shí)移動(dòng)更改，通過29中國電信

5G

通信網(wǎng)安全傳輸，匯聚接入到對應(yīng)的應(yīng)用平臺(tái)，實(shí)現(xiàn)

5G

工地安全視頻監(jiān)控的匯聚、存儲(chǔ)、調(diào)閱、應(yīng)用等。2）5G防疫視頻監(jiān)控應(yīng)用疫情就是命令，新冠肺炎疫情新冠疫情還在蔓延，防控工作依然嚴(yán)峻，一旦有疑似病例或核酸檢測異常情況發(fā)生時(shí)，需對其活動(dòng)范圍內(nèi)進(jìn)行封閉的核酸檢測、流調(diào)、隔離管理，防疫指揮調(diào)度等工作；疫情的核酸檢測、疫苗接種、隔離措施都存在突發(fā)性和緊迫性，隨時(shí)隨地立馬解決，這對防疫工作提出更高的要求和壓力。因地制宜的快速布控防疫監(jiān)控是對防疫工作的提供信息化手段的最有利的方法，但由于隨地性，布控的場所不一定有可用的有線網(wǎng)絡(luò)，因此需采用

5G

視頻監(jiān)控解決，基于對防疫視頻監(jiān)控的安全傳輸和應(yīng)用的要求，前端選用具有GB35114

能力的攝像機(jī)或普通攝像機(jī)加安全網(wǎng)關(guān)盒子方式，再接入到

5G

通信模塊，根據(jù)防疫需求按需放置使用，通過中國電信

5G

通信網(wǎng)安全傳輸，匯聚接入到對應(yīng)的應(yīng)用平臺(tái)，實(shí)現(xiàn)疫情防控的核酸檢測現(xiàn)場、隔離場所現(xiàn)場、封控區(qū)、防控區(qū)、防范區(qū)重點(diǎn)場所、流調(diào)辦公場所等現(xiàn)場實(shí)時(shí)調(diào)閱，為疫情防控決策指揮提供實(shí)時(shí)視頻數(shù)據(jù)支撐。3）重大活動(dòng)保障應(yīng)用隨著國家建設(shè)和經(jīng)濟(jì)的快速發(fā)展，各地不僅大量舉辦展會(huì)、體育比賽等活動(dòng)，傳統(tǒng)節(jié)假日和民族宗教活動(dòng)也日益增多。為滿足各類重大活動(dòng)期間安全保衛(wèi)工作的需要，在重大活動(dòng)場所及其周邊地區(qū)的相關(guān)道路、設(shè)施等臨時(shí)部署視頻監(jiān)控設(shè)備成為警衛(wèi)安保的工作一部分。5G

視頻監(jiān)控系統(tǒng)具有部署快、傳輸容量大和安全性保障等多重優(yōu)勢，已在各地的重大活動(dòng)保障工作中獲得應(yīng)用，并取得良好效果。以馬拉松比賽為例，通過在馬拉松比賽起點(diǎn)、終點(diǎn)和途中重要位置臨時(shí)部署5G

視頻監(jiān)控設(shè)備，并接入到公安等相關(guān)部門視頻監(jiān)控系統(tǒng)中，不僅能讓指揮中心實(shí)時(shí)觀察活動(dòng)舉辦情況和人流量密度等關(guān)鍵信息，還可以通過人臉識(shí)別等智能應(yīng)用對潛在威脅進(jìn)行預(yù)判和快速鎖定。307.3

無人機(jī)應(yīng)用場景7.3.1、應(yīng)用功能5G

無人機(jī)，是當(dāng)前最具創(chuàng)新精神的移動(dòng)通信應(yīng)用之一。雖然目前市面上已經(jīng)有很多無人機(jī)，但他們基本都是通過

WiFi

和藍(lán)牙連接的，只能滿足人們的一些娛樂體驗(yàn)。要想從狹窄的娛樂應(yīng)用空間邁向更為廣闊的行業(yè)應(yīng)用市場，無人機(jī)離不開通信的支持，而

5G，將會(huì)為無人機(jī)應(yīng)用帶來新機(jī)遇。1）高清直播在我國雄安新區(qū)第一棟地標(biāo)性建筑“市民中心”的建設(shè)過程中，無人機(jī)的高清視頻直播提供了從空中俯瞰的實(shí)時(shí)畫面，為近距離觀察市民中心建設(shè)情況提供了極大的便利。雄安新區(qū)的另外一個(gè)重要景觀-白洋淀，無人機(jī)的高清直播可以把白洋淀的風(fēng)景實(shí)時(shí)傳到

20km

之外的市民中心臨時(shí)指揮部。視頻直播采用專業(yè)級(jí)航拍無人機(jī)，支持實(shí)時(shí)回傳

1080P

30

幀高清視頻，通過與之相連的

5G

TUE，將高清視頻信號(hào)通過

5G

網(wǎng)絡(luò)傳輸，供遠(yuǎn)在市民中心的參觀者觀賞。2)

VR直播在

4G

時(shí)代，VR

行業(yè)一直苦于

4G

網(wǎng)絡(luò)環(huán)境的帶寬限制而無法實(shí)現(xiàn)高清的VR

視頻直播，導(dǎo)致

VR

直播應(yīng)用發(fā)展緩慢。隨著

5G

的到來，可實(shí)現(xiàn)上行單用戶體驗(yàn)速率

100Mbps

以上，空口時(shí)延

10ms，將使得

VR

直播更加流暢、更加清晰、用戶體驗(yàn)更優(yōu)。無人機(jī)通過掛載在無人機(jī)機(jī)體上的

360

度全景相機(jī)進(jìn)行視頻拍攝，全景相機(jī)通過連入

5G

網(wǎng)絡(luò)的

CPE

將

4K

全景視頻通過上行鏈路傳輸?shù)搅髅襟w服務(wù)器中，用戶再通過

VR

眼鏡、PC

從該服務(wù)器拉流觀看。317.3.2、行業(yè)應(yīng)用案例1）公共安全視頻監(jiān)控布控5G

網(wǎng)絡(luò)的大帶寬、低時(shí)延實(shí)時(shí)視頻流回傳至控制中心，融合

AI

深度學(xué)習(xí)能力，快速視頻分析實(shí)現(xiàn)多手段的目標(biāo)鎖定及實(shí)時(shí)跟蹤監(jiān)控，控制中心能通過

5G網(wǎng)絡(luò)向無人機(jī)飛行控制系統(tǒng)發(fā)送控制指令，極大地提升傳統(tǒng)無人機(jī)用于安防場景的效率。無人機(jī)與５Ｇ結(jié)合實(shí)現(xiàn)多種功能，達(dá)到全方位無死角的安防布控：

控制中心人員通過

VR

眼鏡的

4K

高清視頻呈現(xiàn)實(shí)時(shí)觀看和與地面安防設(shè)備的同步聯(lián)動(dòng)，

優(yōu)勢互補(bǔ)，最大化安防場景能力；

控制中心人員通過

VR

眼鏡、PAD

等地面

控制終端經(jīng)由

5G

網(wǎng)絡(luò)遠(yuǎn)程控制無人機(jī)機(jī)載攝像頭

的轉(zhuǎn)向、無人機(jī)的飛行狀態(tài)及路線，進(jìn)一步追蹤鎖定目標(biāo)；

無人機(jī)對突發(fā)安防場景問題的預(yù)判以及自動(dòng)識(shí)別的目標(biāo)實(shí)現(xiàn)進(jìn)行自動(dòng)跟蹤。通過智能無人機(jī)飛行平臺(tái)以及

5G

蜂窩網(wǎng)絡(luò)能力的有效引入，促進(jìn)了傳統(tǒng)安防產(chǎn)業(yè)像天地一體化協(xié)同作戰(zhàn)的方向轉(zhuǎn)型以及多場景安防能力的智慧升級(jí)，必將作為一種新型的安防解決方案模式得到更加廣泛的應(yīng)用，從而促進(jìn)傳統(tǒng)安防服務(wù)商的智慧升級(jí)，從而帶到整個(gè)產(chǎn)業(yè)的發(fā)展。2）電力輸電線路巡檢電力設(shè)備中輸電線路一般位于崇山峻嶺、無人區(qū)居多，人工巡視檢查設(shè)備缺陷的效率較低，

因蛇、蟲、蟻等小動(dòng)物咬傷員工的事件也屢見不鮮。另外，輸電鐵塔、導(dǎo)線、絕緣子等設(shè)備位處高空，應(yīng)用無人機(jī)巡查，既能避免高空爬塔作業(yè)的安全風(fēng)險(xiǎn)，亦可以

360°全視角查看設(shè)備細(xì)節(jié)情況，提高巡視質(zhì)量。當(dāng)前的

4G

網(wǎng)絡(luò)只能支持

1K

的圖傳，對于某些細(xì)節(jié)檢查，視頻和圖片的清晰度明顯不足，而

5G

網(wǎng)絡(luò)可實(shí)現(xiàn)上行單用戶體驗(yàn)速率

100Mbps

以上，空口時(shí)延10ms，將使得實(shí)時(shí)視頻更加流暢、更加清晰、巡查效果更優(yōu)。32多旋翼無人機(jī)可分別或者組合搭載高清變焦相機(jī)、紅外相機(jī)、夜視相機(jī)、激光雷達(dá)等多種傳感器，傳感器通過連入

5G

網(wǎng)絡(luò)的

CPE

將視頻流通過上行鏈路傳輸?shù)搅髅襟w服務(wù)器中，用戶再通過

PC

從該服務(wù)器拉流觀看巡查，實(shí)現(xiàn)電力線巡查高清視頻的即拍即傳。無人機(jī)

4K

視頻實(shí)時(shí)回傳，

上行實(shí)時(shí)

30Mbps

帶寬；多機(jī)協(xié)同

360°全景拍攝，數(shù)據(jù)冗余采集，減少由于對巡檢目標(biāo)對角、光線不一致、圖像漏拍等導(dǎo)致的GIS

圖像

3D