APP下载

公安视频数据安全面临的机遇与挑战

2019-07-17

中国公共安全 2019年5期
关键词:容灾存储设备异地

近两年,视频系统的热点与焦点是用AI、图像智能分析等手段处理大数据的图像,克服用户“看不懂”的瓶颈,可以预见这一过程将带来视频监控市场五到十年的蓬勃发展;与此同时,大数据的广泛应用也带来海量图像信息安全性的问题,解决数据、图像“不放心”的问题将是视频行业未来长期的发展方向。平安城市等大型项目逐渐铺开,数据量增长日益显著,如何处理好海量数据下的视频网络安全问题,已成为视频监控行业新的课题,同时也带来了新的契机。

公安视频数据安全面临的难点问题

大数据时代下,视频监控更易受到网络攻击的注意

随着平安城市的建设,视频监控已逐渐普及,点位建设逐步完善,并不断向联网、应用、行业渗透迈进。人工智能和数据分析技术的应用,使监控的功能也逐渐从事后取证向事前预防前移。数据挖掘和数据分析等大数据技术带来更多有用价值的同时,黑客也在利用这些大数据技术发起攻击,因为大数据是更容易被“发现”的大目标。安防行业的视频监控探头又是最容易导致公民隐私泄露的设备,从网络安全角度看,任何监控设备都有可能会被黑客利用,通过侵入监控系统窃取用户的影像资料,导致个人隐私的泄露。因此,采取有效的视频数据安全保护措施刻不容缓。

大数据下的信息安全问题将导致存储方式的变革

网络化技术的普及,使得视频资源的联网共享成为很多行业日益迫切的需求,现有分散的视频资源正在朝着集中的方向推进,平安城市的行业市场通过点、线、面的密集覆盖,每时每刻都在增加新的视频源;720P,1080P,4K,更高的视频分辨率意味更大的视频信息量。这些不断增长的视频数据在带来海量视频存储需求的同时,也对当前的视频存储技术提出了一系列新的挑战。例如如何实现存储容量的平滑扩展,同时有效地降低由此带来的存储成本?如何更可靠地保存、更安全地使用和更便捷地分享这些数据?如何解决越来越庞大的系统给维护管理带来的困扰?云存储技术的应用将有效地解决上述问题。

视频监控的存储技术和介质从VCR模拟存储,DVR数字存储,逐渐向NVR、NAS、IPSAN等网络存储发展,将来的发展方向是云存储。在存储方式上,主要有集总式存储和分布式存储两种。采用网络技术的系统设计,视频监控系统的结构由集总式向分布式转变,分布式的设计有利于合理的资源配置和充分的资源共享,使视频监控系统架构由资源管理体系转变为资源配置和整合体系。大数据意味着更复杂、更敏感的数据,这些数据会吸引更多的潜在攻击者。与此同时,数据的大量汇集,使得黑客成功攻击一次就能获得更多数据,无形中降低了黑客的进攻成本,增加了"收益率"。而分布式存储和云存储将更加灵活,也减轻了存储的压力和风险,未来将得到更好的发展。与传统的存储设备相比,云存储不仅仅是一个硬件,而是一个网络设备、存储设备、服务器、应用软件、公用访问接口、接入网和客户端程序等多个部分组成的复杂系统。各部分以存储设备为核心,通过应用软件来对外提供数据存储和业务访问服务。视频图像的存储特点是对实时的存取性能要求较高,而云存储的系统架构决定了它能够以较低的总拥有成本很好的满足海量高清或标清视频的并发写入、读取,并能实现快速配置和即插即用。

云环境下,保护视频监控数据的安全与系统的连续性值得关注

传统模式下,对于视频数据的存储管理一般是归档和定时备份。归档是作为数据管理的一种方式长期组织并保存管理,备份是用于保存最近的数据副本,以便随时调取可用。无论采用哪种备份方式,都需要按照时间窗口进行操作。一方面,归档和备份都是周期性进行,例如每周进行一次操作。另一方面,操作的时间窗口过久,特别是数据量大时,增量备份都耗时过久。更重要的是,该数据备份方式对于视频的保护存在空档期,一旦关键视频因服务器故障丢失而还未曾备份,那么带来的损失是不可估量的。

因此,在大数据环境下,要想AI应用无后顾之忧,保护视频监控数据的安全与系统的连续性,必须采用其他更为先进的备份容灾技术方案。容灾备份是通过在异地建立和维护一个备份存储系统,利用地理上的分离来保证系统和数据对灾难性事件的抵御能力。

公安视频数据安全的对策与思考

应用关键技术主动保护数据安全

1)强化加密算法、身份认证和访问控制技术的应用

在视频安全领域,应用加密算法、身份认证和访问控制等基本技术,保障网络传输的安全,避免敏感视频数据的泄露。加密技术方面,可以采用高安全性密码算法,在传输前采用统一加密方式进行加密,全方位保障数据安全。当下密码技术已十分成熟,将常规密码和公钥密码结合在一起使用,比如利用DES或者IDEA来加密信息,而采用RSA来传递会话密钥。如果按照每次加密所处理的比特来分类,可以将加密算法分为序列密码和分组密码。前者每次只加密一个比特而后者则先将信息序列分组,每次处理一个组。一般的视频数据加密可以在通信的三个层次来实现:链路加密、节点加密和端到端加密。加密技术是网络安全最有效的技术之一,一个加密网络不但可以防止非授权用户的搭线窃听和入网,而且也是对付恶意软件的有效方法之一。同时,加密技术发挥作用的关键因素在于密钥的管理,包括密钥的生存、分发、安装、保管、使用以及作废全过程。

采用先进的身份认证方法,如口令认证、硬件认证(智能卡、U盾等)、生物识别(指纹、虹膜等),保障网络之间互联的数据安全。此外,应用访问控制技术,其核心是为了限制访问发起者对访问内容的权限,从而使视频系统在合法范围内使用。

2)建立多层次的视频传输防护系统

建立前端设备接入认证机制、接入数据协议白名单准入机制,采取主动扫描、实时检测和手工设置等有效手段,采集前端设备的IP、类型、厂家、地理位置等属性信息,生成设备资产库白名单,并及时发现和识别非法接入的未知、违规、仿冒设备,并基于协议白名单对非法接入数据进行识别及过滤,从而实现对非法恶意行为的识别、告警和实时阻断。

构建由防火墙、入侵防御、漏洞扫描、WEB应用安全等专用安全防护设备组合而成的视频监控安全防护系统,实现对系统应用区的安全保护。通过部署防火墙,将系统应用区与其他区域进行安全隔离,实现系统应用区与其他区域之间的安全连接和访问控制。通过部署入侵防御设备,实现对数据应用层协议实时检测并阻断攻击流量,防御非法人员对系统应用区的入侵和DDoS攻击。通过部署漏洞扫描设备,实现对公安视频传输网中运行的网络设备、操作系统、数据库、应用系统等IT资源的定时漏洞扫描,及时发现、处置、降低漏洞被利用的风险。通过部署WEB应用安全设备,对基于B/S架构的平台进行深度防护,全面阻断对核心WEB类平台的网络攻击。

逐级建成公安视频传输网安全监管平台,定期探测机制采集、汇总并可视化展示前端准入控制系统、系统应用区防护系统监测的资产信息和安全信息,从全局监测视频传输网整体安全态势,及时预警异常状况以及安全事件,构建起事前、事中、事后一整套公安视频传输网态势感知体系,实现视频传输数据安全监管可见、可管、可控。通过建立可视化视频安全系统,便于整体感知视频传输网络的安全生态,及时发现安全漏洞并采取相应措施。

进一步完善云存储技术在公安视频领域的应用

开放的视频监控系统是分布式结构,可方便地从局域扩展到广域实现组网应用。分布式架构是视频监控系统发展的必然趋势,可以做到视频资源的合理分布与配置,解决分散的资源集中控制,分部门(职能)的管理与统一协调之间的关系,实现最充分的共享。采用安全的数据信息存储手段对视频数据进行保护,如通过磁盘阵列、数据备份、数据迁移等方式保证数据存储的安全。磁盘阵列是指把多个类型、容量、接口甚至品牌一致的专用磁盘或普通硬盘连成一个阵列,使其以更快的速度、准确、安全的方式读写磁盘数据,从而加快数据读取速度、提高数据保存的安全性。数据备份管理包括数据备份的计划和自动操作,备份日志的保存。

采用数据迁移手段,重构视频数据的存储机制。在线存储设备和离线存储设备共同构成一个协调工作的存储系统,该系统在在线存储和离线存储设备间动态地管理数据,使得访问频率高的数据存放于性能较高的在线存储设备中,而访问频率低的数据存放于较为廉价的离线存储设备中。视频录像的归档可以充分利用高级存储设备的数据迁移手段,通过分层存储有效降低存储系统的整体成本。

在平安城市中,云存储可为多个系统提供存储服务,包括视频监控、卡口电警、图像资源库、图侦分析研判等。其可完成日常视频录像资源、各个案件中所涉及的视频和图片等资源、卡口电警所产生的车辆抓拍图片等资源的统一存储。采用大规模分布式并行文件系统,以大量的服务器和存储设备为基础,构建一个大规模存储集群,提供上百PB的存储容量,并能够在线进行容量的扩充,由此搭建的大容量存储系统整体成本远低于传统存储架构,并且具有良好的可扩充性和灵活性。

云存储系统通过元数据和存储数据分离的非对称式架构,通过负载均衡和数据并发访问策略,在普通硬件条件下获得高达数十Gbps的传输速率以及上百PB级的存储容量,并可根据用户应用发展的趋势,适时按需进行在线动态扩展。与单机的文件系统不同,分布式文件系统不是将这些数据放在一块磁盘上由上层操作系统来管理,而是存放在一个服务器集群上,由集群中的服务器,各尽其责,通力合作,提供整个文件系统的服务。

云存储系统内置了基于对象数据管理策略,能够保证在系统局部发生故障时数据的安全性和可靠性,彻底消除存储系统中的单点故障,结合自动故障探测和快速故障恢复技术,确保用户的应用持续稳定地运行,同时减少部署和管理的难度。云存储系统采用数据冗余存储机制,硬盘或存储节点损坏时,其余节点可自动重组,数据不丢失,系统运行不受影响。这一点大大提升了海量存储节点的可维护性。

云存储技术可将存储节点的带宽聚合,随着存储节点的增加可以实现带宽的线性增长,理论上带宽是无限的。同时在云存储系统中数据文件是拆分成数据块进行条带化存储在多台物理存储节点上的,能够最快速的并发访问数据。另外云存储中数据存储是采用多副本策略存储的,可以实现热点数据的负载均衡访问。

此外,传统存储设备提供的是一个透明的存储空间,原始数据直接存在存储设备上的,数据可以直接访问和使用,并不具有信息安全和私密性。而云存储中的数据传输是加密的,首先用户并不知道数据存在哪个物理硬盘上,而且数据在存储设备上是按文件块存储的无法直接进行访问。用户存储的数据只有自己有权限进行访问和管理,系统管理员也无法读取。因此,视频数据的安全性和可靠性也得到了有效地保障。

采用其他更为先进的备份容灾技术方案

1)重点关注容灾备份方案的实时性和智能化

在安防行业背景下,备份容灾技术的实时性和智能化将成为未来的发展趋势。实时数据传输是指生产服务器与备份服务器之间无需备份时间窗口,数据的变化量在生产端确认后,采用异步字节级增量同步的方式传输到备端服务器,确保两边的数据一致性。这样可以确保AI应用在生产服务器的视频数据出现丢失时,可以直接通过备端服务器的数据,继续提供应用服务。

智能化的概念主要体现在,AI应用的支撑系统也要采用容灾高可用的方式接管。判断接管的智能化,通过心跳线阈值的设立,给予控制机一个指标,例如当网络断线时间达到一个时间值时,备端才会接管生产的系统继续提供服务,这样能够确保防止因为网络抖动导致频繁切换的问题。接管的智能化,通过设定切换方式,备机可以在无工作人员介入的情况下自动接管系统,这样最大程度保证业务系统的连续性,让终端的应用客户无感知。

2)建立可靠的异地容灾备份系统

异地容灾技术是指以异地实时备份为基础的、高效的、可靠的远程数据存储。在各级单位的IT系统中,通常将核心部分称之为生产中心,并且往往给生产中心配备一个远程备份中心。尽管在生产中心的内部已经实施了各种各样的数据保护措施,但当火灾、地震这种灾难发生时,一旦生产中心瘫痪了,备份中心会接管生产,继续提供服务。视频监控的多中心配置越来越多,各个中心的系统和数据容灾可以借鉴IT的容灾技术,将异地容灾技术引入公安视频数据的监管工作中。

根据容灾系统对灾难的抵抗程度,可将容灾技术划分为数据容灾和应用容灾。数据容灾是指建立一个异地的数据系统,该系统是对本地系统应用数据实时复制。当出现灾难时,可由异地系统迅速接替本地系统而保证业务的连续性,云备份服务则天生具有异地容灾的特性。应用容灾比数据容灾层次更高,即在异地建立一套完整的、与本地数据系统相当的备份应用系统(可以同本地应用系统互为备份,也可与本地应用系统共同工作),在灾难出现后,远程应用系统迅速接管或承担本地应用系统的业务运行。

设计一个容灾备份系统,需要考虑多方面的因素,最常用的是以RTO及RPO作为最基本的标准:RTO(复原时间目标)是企业可容许服务中断的时间长度。RPO(复原点目标)是指当服务恢复后,恢复得来的数据所对应的时间点。根据备份参数和不同的应用场合,可分为三大容灾备份种类:异地热备、异地互备和云备份。

异地热备是指在异地建立一个热备份点,通过网络进行视频数据备份。也就是通过网络以同步或异步方式,把主站点的视频数据备份到备份站点,备份站点一般只备份数据,不承担业务。当出现灾难时,备份站点接替主站点的业务,从而维护业务运行的连续性。

异地互备是指在不同的地理位置分别建立两个数据中心,在工作状态下进行相互视频数据备份。这样,当某个数据中心发生灾难时,另一个数据中心可以直接接替其工作任务。这种级别的备份根据实际要求和投入资金的多少,又可分为两种:两个数据中心之间只限于关键数据的相互备份;两个数据中心之间互为镜像,即零数据丢失。零数据丢失是目前要求最高的一种容灾备份方式,它要求不管什么灾难发生,系统都能保证数据的安全。所以,它需要配置复杂的管理软件和专用的硬件设备,需要投资相对而言是最大的,但恢复速度也是最快的。针对公安领域关键视频的数据,至少应当建立异地互备的架构保证零数据丢失。

云备份,就是个人或企业把数据,通过云存储的方式备份在公有云或私有云。云备份已经成为云计算最重要的落地表现形式之一,加上在成本上的巨大优势,已经在企业市场中获得了快速的发展。对于敏感程度不高的视频数据,可以考虑采用云备份的方式建立容灾机制。

结束语

随着计算机技术的飞速发展,信息网络已经成为社会发展的重要保证。在公安视频领域涉及很多敏感信息,放置在网络上,其安全性备受关注。在安全形势变得日益严峻的今天,提高视频监控系统本身的安全性能已经成为燃眉之急。采用先进的加密算法、身份认证和访问控制技术,建立多层次的视频传输防护系统主动保护数据安全,进一步完善云存储技术在公安视频领域的应用,关注容灾备份方案的实时性和智能化,建立可靠的异地容灾备份系统,从系统角度出发,全方位覆盖视频监控的各个环节,才能有力地保障视频数据安全。

猜你喜欢

容灾存储设备异地
高速公路收费中心容灾备份系统建设方案分析
图解跨省异地就医
异地恋——闭上眼睛,你就在我身边
黑皮精灵异地
关于建筑企业容灾备份系统方案的探讨
浅析计算机硬件发展史
浅析铁路视频监控存储设备设计
基于数据容灾技术在企业信息系统中的应用研究
降低容灾门槛
防止USB接口泄密