校园视频防安全解决方案

1、 项目背景概述
1.1 项目背景
传统的以“人防”和“物防”为主的安全防范手段和措施，已经难以适应学校的发展和变化。这种状况下，以视频监控为主的各种“技防”手段已经愈来愈多的应用到校园，造成了以“人防、物防、技防”三防为一体的安全防范体系。
随着全国范围内“平安校园”建设的全面推动，以视频监控为主的各种“技防”手段已经愈来愈多的应用到校园，随着学校的发展，学校的规模不断扩大，致使校园安保工做日益严峻，校园安全事件屡屡发生。在网络如此发达的现代社会，学校不只面对着政府的监管，还有可能遭受社会舆论的压力。一旦出现校园内部事件在互联网发酵，无疑会对学校形象产生负面影响，甚至影响学校的教学秩序，给学校带来损失和学生形成压力。
1.2 相关政策
公共视频监控网络属于《网络安全法》定义的“关键信息基础设施”， 《网络安全法》规定：关键信息基础设施的运营者（如下称运营者）对本单位关键信息基础设施安全负主体责任，履行网络安全保护义务，接受政府和社会监督，承担社会责任。
网络安全法第四十条规定，网络运营者应当对其收集的用户信息严格保密，并创建健全用户信息保护制度。
网络安全法第四十五条规定，依法负有网络安全监督管理职责的部门及其工做人员，必须对在履行职责中知悉的我的信息、隐私和商业秘密严格保密，不得泄露、出售或者非法向他人提供。
《中华人民共和国网络安全法》第三章网络运行安全和第四章网络信息安全，明确了的责任体、工做范围及相关处罚规定等，安全法对关键基础信息设施提出了更高的责任和要求；从网络安全法实施以来，不少网络安全事件发现，主要是相关人员的思想意识和技术防御能力不足形成的。
《中华人民共和国我的信息保护法》（草案）第二章第二十七条规定：“在公共场所安装图像采集、我的身份识别设 备,应当为维护公共安全所必需,遵照国家有关规定,并设置显 著的提示标识。所收集的我的图像、我的身份特征信息只能用于维护公共安全的目的,不得公开或者向他人提供;取得我的单独赞成或者法律、行政法规另有规定的除外。”
《关于增强公共安全视频监控建设联网应用工做的若干意见》（996 号）文 件要求实现视频图像数据的全程可控，即：“重要视频图像信息不失控，敏感视频图像信息不泄露”。
华域数安监控视频信息安全解决方案从技防方面对相关人员进行规范和约束，避免相关人员违反国家相关规定，给国家、政府、单位及我的带来损失。
2、 项目需求分析
2.1 视频防泄密需求
在信息高速发展的今天，信息安全愈来愈受到重视，泄密等事件的频频发生，学校监控视频图像内容有一些敏感信息，例如餐厅的后厨操做、校园打架斗殴、学生不雅行为、学生自杀事件等，若是泄露到互联网上，很容易在社会上发酵，对学校声誉形成恶劣的影响。
许多高校建设有国家重点实验室，国家重点实验室是具备相对独立的人事权和财务权的科研实体。做为国家科技创新体系的重要组成部分，是国家组织高水平基础研究和应用基础研究、汇集和培养优秀科学家、开展高层次学术交流的重要基地。做为核心科学技术的研究机构，各单位具有本身的一套保密管理制度，采起必定程度上的监管手段。无论是学校周边仍是实验室，都存在对视频数据采起必定的保密性措施，所以，针对现状，对视频数据防泄密有急切的需求。
（1）在使用中的数据防止泄密，主要是在视频调阅过程中，防止截屏、录屏、拍照等泄密方式。
（2）在管理终端的本地存储数据防止泄密，主要是防止存储中的数据随便外发，形成泄密。
（3）在外使用的视频数据防止泄密，主要是针对在外部门、外单位使用的视频数据要可以受控，不能随意在哪里均可以随意使用。
（4）要求对视频数据的调用进行控制，不能在任意电脑上安装视频调用客户端软件就能够直接进行视频数据调用。
（5）要求可以对视频泄露的事件可以追踪溯源，能够有效的震慑到企图视频泄露的人。
（6）对于全网的视频摄像机调用指令须要进行实时记录并审计，在审计数据中能提早发现问题。
3、 视频防泄密解决方案
随着平安校园，平安社区的逐步推动。校园监控基础建设日益完善，在应对校园暴力事件、消防事故、交通安全、明厨亮灶等校园安全事件处理上显得短板，以“人防”“物防”达到的应急能力是有限的，缺少总体规划，资源整合困难；缺乏有效的运维手段；缺少有效的“技防”管控措施。
系统建设目的是为了视频资源统一管理、统一调阅，造成合理、规范的视频监控管理平台。
经过技术手段实现视频数据的加密，视频调阅过程安全可控、行为审计，视频数据外发可控、外发文件可控，以及过后能够溯源。
3.1 方案设计依据
 《餐饮服务明厨亮灶工做指导意见》
 《学校食品安全与养分健康管理规定》
 《安全防范工程技术规范》 （GB50348-2004）
 《安全防范工程程序与要求》 （GA/T75-1994）
 《安全防范系统验收规则》 （GA308-2001）
 《公共场所监视电视系统设计规范》 （DBJ08-16-90）
 《中国公众多媒体通讯网网络管理规范》 (YDN075-1998)
 《视频安全监控系统技术要求》 （GB/T367-2001）
 《城市警用地理信息分类与代码》（GA/T491—2004）
 《城市警用地理信息系统建设规范》（GA/T493-2004）
 《报警图像信号有线传输装置》 （GB/T6677-1996）
 《计算机信息系统安全保护等级划分准则》 （GBl7859-1999）
 《计算机信息系统安全等级保护管理要求》 （GA/T388-2002B）
3.2 解决方案拓扑设计

3.3 方案组成及功能详解
视频安全解决方案由视频调阅安全网关、视频调阅安全客户端和大屏水印网关组成。
 视频调阅安全网关
 视频调阅安全软件客户端（基于Windows平台，支持主流播放器）
 大屏水印网关
一、核心交换机旁路部署视频调阅安全网关，配套PC端强制安装视频防泄密客户端，能够对调阅视频的终端监控电脑在调阅视频时在视频窗口中加载上显性文字水印、二维码水印和隐性点阵水印，出现拍屏录屏行为后能够追踪溯源，同时规范视频调阅的行为。
（1）视频防泄密客户端能够阻断截屏行为和录屏软件，同时可阻断视频会议软件，避免二次泄密，视频下载到本地会自动进行加密，加密过程透明无干扰；
（2）视频调阅安全网关能够对视频的外发进行审批，采用存活时间、打开次数、打开权限、水印加载等多种方式避免二次泄密，并确保视频到期自动销毁；
（3）视频调阅安全网关导出视频数据时能够在视频流中逐帧加载视频水印指纹，在视频数据转移时对视频进行防篡改防御，同时在视频流中加载上导出用户信息，确保追踪溯源；
（4）视频调阅安全网关对监控视频的调阅增强安全身份验证，对调阅终端硬件、调阅的客户端软件、调阅的IP、MAC、时间等等都可进行有效管控，采用白名单方式阻止非法用户接入到视频监控系统；
（5）视频调阅安全网关支持对加密的视频进行解密审批，全部审批过程均进行日志记录；
（6）视频调阅安全网关能够审计网络中视频调用行为和网络流量，对源IP地址、目的IP地址、协议号、源端口、目的端口，服务类型和接口索引七元组信息进行审计，提升总体系统的不能否认性，同时加上视频防泄密客户端审计，造成更加全面的视频业务应用审计数据。
（7）视频调阅安全网关配套大屏水印网关，能够对监控室和指挥中心的大屏视频播放加载上水印信息，有效震慑对大屏进行拍屏录屏的行为，同时确保出现拍屏录屏行为后能够追溯到责任人
二、在监控大屏和解码上墙设备之间串联大屏水印网关，对拼接屏进行水印叠加，能够叠加二维码水印、文字水印显性水印，也能够叠加隐性水印，能够静态或者动态滚动显示时间信息、用户信息，支持自定义水印信息，能够整屏显示水印，也能够分屏显示水印。
三、视频业务行为审计，利用视频调阅安全网关针对访问视频核心服务区域的通讯流量进行审计。
好比摄像头登陆成功、查看实时视频、摄像头中止播放实时视频、NVR登陆失败、NVR录成功、NVR播放实时画面、NVR中止播放实时画面、视频平台登陆成功、视频平台播放实时画面、视频平台查看录像、自动搜索设备等信令级的审计，目前已经支持上百种摄像头、硬盘录像机品牌协议。
针对GB/T 28181协议标准，还可进行SIP信令审计，审计出SIP设备（摄像头或者其余SIP代理设备）对视频平台的访问流量，当发生SIP请求时记录详细信息；还能够基于RSTP流媒体的流量审计，当摄像头、视频防泄密客户端、信令网关、创建起会话后，流媒体与摄像头RSTP、流媒体与视频防泄密客户端RSTP交互报文将被行为审计系统完整记录。
审计视频协议的行为，有助于提升数据的安全性，网管能够按期检测该记录，查看视频调阅的历史记录，分析出反常的视频调阅行为，采起相应的管控措施。
4、 方案优点
4.1 多核并行网络数据包处理技术
为了更好地发挥多核平台的性能，视频安全网关设备会根据硬件平台的不一样调整CP（控制层面）和DP（数据层面）的实例数，以实现性能的最大化。在处理业务数据的过程当中，每一个DP（数据层面）都采用Run-to-completion的方式，即一个数据包从接收到全部业务处理完毕，均在同一个DP（数据层面）中完成，这种处理方式可以显著提升处理性能。在串接部署的状况降低低数据延迟。
4.2 高性能网络处理技术
当数据包到视频监控安全产品时，首先由内置智能分流器对数据包进行初步分类。智能分流器根据当前启用的上层功能以及数据包的网络层、应用层信息，决定将该数据包投递到适当的处理内核。智能分流器保证了数据包能在单个处理核上完成全部所需的处理（出于对某些特殊状况的处理，系统仍提供核间报文互操做机制），避免了跨节点访问内存的高昂开销，是保证多核并发性能的关键技术。
采用这种高性能网络处理技术，能够在多核硬件上对大量的网络流量进行处理，同时保证网络数据包的低延迟。
4.3 视频数据逐帧缓冲技术
因为网络是不稳定的，所以视频数据的传输也是时快时慢的，和普通数据不一样的是，在播放视频流的过程当中，必定要根据时间戳来决定什么时候显示，因此为保障视频播放质量，减小花屏、跳帧和卡顿现象，我公司采用了视频逐帧缓冲的技术，在对视频数据进行网络安全数据处理时为视频帧提供了必定数量的“帧缓冲区”，有效下降了视频播放出现花屏、跳帧和卡顿的现象。
4.4 DPI深度报文检测
特有的DPI专利技术，对数据包进行深度分析，完成所在链路的业务精细化识别、业务流量流向分析、业务流量占比统计、业务占比整形。
5、 方案的价值与意义
在自媒体时代，突发事件一旦通过恶意传播极易形成为网络爆点，形成社会舆论压力，而且会给学校声誉及我的带来负面影响，华域数安视频监控信息安全解决方案可以及时有效预防***和内部人员泄密的企图，还可以对于泄密事件进行溯源，准确识别泄密单位及我的，真正作到我的放心、单位省心、国家安心。
视频防泄密解决方案，有效的将技术防范、人员防范相结合，在经过技术手段保护视频信息安全的同时，也可以提升内部员工法律意识、提高自我保护能力，真正作到技防、人防相结合， 实现单位内部重要视频图像信息不泄露、敏感视频图像信息不失控，从而保护社会声誉、保护公民隐私。