- 等保2.0
-
在密码技术随互联网应用丰富迎来迅猛发展的背景下,我国首部《密码法》于2019年10月26日顺利通过十三届全国人大常委会第十四次会议审议,并在2020年1月1日起正式施行。
密码是国家的重要战略资源,直接关系国家政治安全、经济安全、国防安全和信息安全。《密码法》的正式实施,意味着密码的刚性合规需求有望爆发。
《密码法》中的“密码”是什么?
国家密码管理局新闻发言人李国海说:“密码法中的密码就是采用特定变换对信息等进行加密保护和安全认证的技术、产品和服务。密码的功能主要有两个,一个是加密保护,一个是安全认证。密码的这两大特殊功能,决定了密码在网络空间中身份识别、安全隔离、完整性保护、信息加密和抗抵赖性等方面,具有不可替代的重要作用。”
国家对密码实行分类管理,密码分为核心密码、普通密码和商用密码三类。核心密码、普通密码用于保护国家秘密信息。核心密码保护信息的最高密级为绝密级。普通密码保护信息的最高密级为机密级。商用密码用于保护不属于国家秘密的信息。
密码应用泛在化,新场景和新产品涌现:云计算、物联网等新兴领域不断涌现,新技术和新需求推动密码应用领域的边界不断扩张。密码法正式实施后,加密有望逐渐加快在除金融、党政、关键基础信息设施等以外的新兴场景和领域的应用,比如车联网、视频安防等,同时也将广泛覆盖政府、企业、组织和民众。
作为国家安全法律体系的重要组成部分,《密码法》的实施将对安防行业带来哪些影响?
01 安防监控密码漏洞——悬在头顶的达摩克利斯之剑
“黑天鹅”、“棱镜门”等事件给我国公共视频监控系统的安全应用敲响了警钟。据报告显示,全球228个国家和地区,8063个城市,2635万个摄像头暴露在公网,一旦被黑客成功控制将对公共安全造成巨大威胁。
在物联网、大数据融合应用的推动下,IP网络摄像头被规模性使用。但随着视频监控建设应用不断深入,也面临着诸多挑战。首先,从前端设备到监控中心,视频数据在采集、传输、存储、调阅过程中处于“裸露”状态,信息安全防护弱,数据与敏感信息存在失控泄漏风险。其次,海量终端接入存在身份认证与大规模管理难问题,海量数据预测预警安全防范处理能力尚不足。另外,当前的视频监控系统接入能力单一,安全产品应用及发挥安全功能效能不到位。近几年,IP监控摄像头、智能摄像头“被黑客攻击”、“密码泄露”事件频频爆发,信息及隐私安全成为视频监控应用中的巨大隐患。《密码法》的实施,将促进安防企业在视频监控产品研发中的自我变革。
02 视频监控加密技术迎来新市场
目前,安全加密技术也在更新迭代。安防视频监控加密技术采用软硬件相结合的混合加密体制、数据完整性保护技术、基于数字证书的身份认证与鉴权授权技术、安全审计技术,可实现视频监控数据采集、传输、存储和应用过程中的安全防护。
此外,这种技术利用密码学的PKI机制的设计,采用结合智能密码钥匙和PCI-E密码卡硬件机制保证视频监控的安全,利用密码学完整性和加密性的验证保证应用业务的安全。在系统内完成统一身份认证系统和安全访问控制,提供符合用户需求的端到服务器安全视频管控服务,从而达到信息安全管控的目的。
03 激发更强烈的安全需求
随着中国经济社会的快速发展,社会治安形势面临诸多挑战,积极构建以视频监控系统为核心的公安技术预防体系,已成为确保国家安全和社会保障的重要技术手段。《密码法》的实施还将激发更深层次的安全需求。
视频监控系统的安全需求体现在:
A.用户及设备身份认证需求
视频监控建在公共场所,入侵者可能伪造成视频监控前端设备、视频监控管理平台或者用户接入视频监控系统,非法访问或者窃取视频内容,因此,视频监控前端设备和管理平台之间、用户和管理平台之间需要进行身份认证,确保双方的身份不被伪造。
B.信令和视频数据的完整性需求
攻击者通过篡改视频监控系统中的信令数据,可以控制视频前端设备,非法采集视频,或者可以破坏视颕传输过程,导致视频播放等功能失败通过簒改视频监控系统中的视频数据,可以改变视频的内容,误导用户或者有目的地制造舆论。因此,信令和视频数据具有完整性需求。
C.视频数据来源的可追溯性需求
视频监控前端设备拍摄的视频内容或者其中的关键图片内容经常会成为记录该前端设备覆盖地域范围内一些事件甚至违法犯罪案件的关键内容,因此,视频数据来源具有可追溯性需求。
D.视频数据的机密性需求
视频监控前端设备与管理平台之间、管理平台与用户之间交互视频数据时,视频数据很容易被截获或窃取,导致关键或者敏感视频内容的泄露。
一些视频数据的密码技术也提出了解决方案,利用对称和非对称密码算法,以安全芯片、安全TF卡、智能密码钥匙、密码卡、密码机等密码产品为安全载体,可以实现视频监控前端设备与管理平台间的双向身份认证、基于数字证书的用户身份认证,视频签名应用,视频加密应用,可以防止非法访问设备和用户,防止信令和视频数据被簒改和拒绝,防止视频内容被盗。
《密码法》的实施一方面解决了“谁来用密码、谁来管密码、怎么管密码”的问题,另一方面也将“数据加密”的重要性提升到了一个新高度,鞭策着安防企业致力满足更高的合规要求。
(本文属知识库及科普性质,资料来源互联网,版权归原作者所有)