杜 翔，冯 黎

（中通服公众信息产业股份有限公司，乌鲁木齐 830000）

1 “雪亮工程”的形成与发展

自党的十八大以来，我国对于社会治安的发展以及信息安全的发展越来越关注，雪亮工程作为维护国家安全以及社会稳定的重要基础工程，其监控设施的完善对于社会治安防控体系的构建发挥了重要作用。然而，随着雪亮工程的规模化部署，视频及数据的安全问题日益凸现，甚至威胁到国家、社会、企业和家庭安全。那么如何保证视频数据在过程中不被别人窃取或篡改，保证视频传输的安全性就成了当前急需解决的问题。

2 “雪亮工程”中监控联网面对的威胁

雪亮工程中为了解决视频资源共建共享的问题，需要在不同类型的网络上对接各类的视频监控资源进行接入。然而宾馆、酒店、学校等企事业单位的视频监控系统普遍存在点位众多、分布广泛的情况，许多监控处于无人值守环境、网络节点众多，大部分的监控资源的联网设备缺乏有效的身份认证机制；在通过网络传输视频流及控制信令的时候没有采取任何措施，基本都是采用明文传输方式。系统一旦被非法侵入就面临设备被非法劫持、视频信息泄露以及视频信息被非法篡改等风险。2016年-2017年期间，海康威视的监控设备就因牵涉严重信息安全问题被外界所关注。

3 雪亮工程的系统建设要响应信息安全技术的要求

2017 年11 月，中国国家标准化管理委员会正式发布GB35114-2017《公共安全视频监控联网信息安全技术要求》，强制性国家标准于2018年11月正式实施。根据此项标准，雪亮工程中的各类监控设备必须能够提供视频访问用户身份验证功能，以及媒体服务器的身份认证、视频加解密等业务和能力。

3.1 监控设施要能够安全分级

处于互联网或其他公共网络上的各类监控设备必须具有基于数字证书的身份认证以及视频签名、视频加密等信息安全保护功能。用户的操作使用终端必须具有基于数字证书的身份认证、加密视频加密等安全功能。根据安全保护强弱，将具有安全功能的前端设备由弱到强分为是A、B、C 三个安全等级。

3.2 必须实现所有设备的身份认证要求

对所有在网络上的用户必须进行基于数字证书的认证；证书管理平台对所有接入的具有安全功能的前端设备进行单向设或者双向设备身份认证，对设备的基本信息、属性以及密码与证书的对应关系作管理。

3.3 接入至网络的所有设备必须实现授权访问控制

网络中应部署授权管理平台，通过基于属性或角色的访问控制模型，对用户进行授权管理和访问控制；如果要访问加密视频信息，则该用户是必须经过数字证书认证的用户；当需要跨域访问时，则应携带用户身份信息对目标设备进行访问和有权限的控制。

3.4 视频及音频在传输过程中应对数据进行安全加密

雪亮工程的建设应支持视频及音频加密数据的传输方式；联网共享平台应支持在一定权限范围内对加密视音频的实时播放、回放等操作，视频导出时平台应更换视频的密钥以及加密的密钥，以保障视频的安全。

3.5 支持安全管理的能力

视频监控联网共享平台应改造支持具有安全功能的中心信令控制服务器、媒体服务器、信令安全路由网关等；同时联网共享平台还应通过系统升级，支持用户身份认证、设备身份认证、密钥管理、权限管理、签名验签、加密解密、访问控制与审计、加密视频数据管理、视频数据源抗抵赖，控制信令完整性验证等一系列安全管理的能力。

4 结束语

互联网以及大数据正在将我们逐渐带入一个复杂并且不确定的世界之中，在这样的大形势之下如何保障我们的视频及信息资源不泄密？如何有效避免社会不安定因素？在进行雪亮工程建设的过程中，我们一定要充分重视信息安全的建设，并将这种信息安全的建设按照国家标准进行进一步的强化。