在密碼技術(shù)隨互聯(lián)網(wǎng)應(yīng)用豐富迎來迅猛發(fā)展的背景下,我國首部《密碼法》于2019年10月26日順利通過十三屆全國人大常委會第十四次會議審議,并在2020年1月1日起正式施行。
密碼是國家的重要戰(zhàn)略資源,直接關(guān)系國家政治安全、經(jīng)濟安全、國防安全和信息安全?!睹艽a法》的正式實施,意味著密碼的剛性合規(guī)需求有望爆發(fā)。
《密碼法》中的“密碼”是什么?
國家密碼管理局新聞發(fā)言人李國海說:“密碼法中的密碼就是采用特定變換對信息等進行加密保護和安全認(rèn)證的技術(shù)、產(chǎn)品和服務(wù)。密碼的功能主要有兩個,一個是加密保護,一個是安全認(rèn)證。密碼的這兩大特殊功能,決定了密碼在網(wǎng)絡(luò)空間中身份識別、安全隔離、完整性保護、信息加密和抗抵賴性等方面,具有不可替代的重要作用。”
國家對密碼實行分類管理,密碼分為核心密碼、普通密碼和商用密碼三類。核心密碼、普通密碼用于保護國家秘密信息。核心密碼保護信息的最高密級為絕密級。普通密碼保護信息的最高密級為機密級。商用密碼用于保護不屬于國家秘密的信息。
密碼應(yīng)用泛在化,新場景和新產(chǎn)品涌現(xiàn):云計算、物聯(lián)網(wǎng)等新興領(lǐng)域不斷涌現(xiàn),新技術(shù)和新需求推動密碼應(yīng)用領(lǐng)域的邊界不斷擴張。密碼法正式實施后,加密有望逐漸加快在除金融、黨政、關(guān)鍵基礎(chǔ)信息設(shè)施等以外的新興場景和領(lǐng)域的應(yīng)用,比如車聯(lián)網(wǎng)、視頻安防等,同時也將廣泛覆蓋政府、企業(yè)、組織和民眾。
作為國家安全法律體系的重要組成部分,《密碼法》的實施將對安防行業(yè)帶來哪些影響?
01 安防監(jiān)控密碼漏洞——懸在頭頂?shù)倪_(dá)摩克利斯之劍
“黑天鵝”、“棱鏡門”等事件給我國公共視頻監(jiān)控系統(tǒng)的安全應(yīng)用敲響了警鐘。據(jù)報告顯示,全球228個國家和地區(qū),8063個城市,2635萬個攝像頭暴露在公網(wǎng),一旦被黑客成功控制將對公共安全造成巨大威脅。
在物聯(lián)網(wǎng)、大數(shù)據(jù)融合應(yīng)用的推動下,IP網(wǎng)絡(luò)攝像頭被規(guī)模性使用。但隨著視頻監(jiān)控建設(shè)應(yīng)用不斷深入,也面臨著諸多挑戰(zhàn)。首先,從前端設(shè)備到監(jiān)控中心,視頻數(shù)據(jù)在采集、傳輸、存儲、調(diào)閱過程中處于“裸露”狀態(tài),信息安全防護弱,數(shù)據(jù)與敏感信息存在失控泄漏風(fēng)險。其次,海量終端接入存在身份認(rèn)證與大規(guī)模管理難問題,海量數(shù)據(jù)預(yù)測預(yù)警安全防范處理能力尚不足。另外,當(dāng)前的視頻監(jiān)控系統(tǒng)接入能力單一,安全產(chǎn)品應(yīng)用及發(fā)揮安全功能效能不到位。
近幾年,IP監(jiān)控攝像頭、智能攝像頭“被黑客攻擊”、“密碼泄露”事件頻頻爆發(fā),信息及隱私安全成為視頻監(jiān)控應(yīng)用中的巨大隱患?!睹艽a法》的實施,將促進安防企業(yè)在視頻監(jiān)控產(chǎn)品研發(fā)中的自我變革。
02 視頻監(jiān)控加密技術(shù)迎來新市場
目前,安全加密技術(shù)也在更新迭代。安防視頻監(jiān)控加密技術(shù)采用軟硬件相結(jié)合的混合加密體制、數(shù)據(jù)完整性保護技術(shù)、基于數(shù)字證書的身份認(rèn)證與鑒權(quán)授權(quán)技術(shù)、安全審計技術(shù),可實現(xiàn)視頻監(jiān)控數(shù)據(jù)采集、傳輸、存儲和應(yīng)用過程中的安全防護。
此外,這種技術(shù)利用密碼學(xué)的PKI機制的設(shè)計,采用結(jié)合智能密碼鑰匙和PCI-E密碼卡硬件機制保證視頻監(jiān)控的安全,利用密碼學(xué)完整性和加密性的驗證保證應(yīng)用業(yè)務(wù)的安全。在系統(tǒng)內(nèi)完成統(tǒng)一身份認(rèn)證系統(tǒng)和安全訪問控制,提供符合用戶需求的端到服務(wù)器安全視頻管控服務(wù),從而達(dá)到信息安全管控的目的。
03 激發(fā)更強烈的安全需求
隨著中國經(jīng)濟社會的快速發(fā)展,社會治安形勢面臨諸多挑戰(zhàn),積極構(gòu)建以視頻監(jiān)控系統(tǒng)為核心的公安技術(shù)預(yù)防體系,已成為確保國家安全和社會保障的重要技術(shù)手段?!睹艽a法》的實施還將激發(fā)更深層次的安全需求。
視頻監(jiān)控系統(tǒng)的安全需求體現(xiàn)在:
A.用戶及設(shè)備身份認(rèn)證需求
視頻監(jiān)控建在公共場所,入侵者可能偽造成視頻監(jiān)控前端設(shè)備、視頻監(jiān)控管理平臺或者用戶接入視頻監(jiān)控系統(tǒng),非法訪問或者竊取視頻內(nèi)容,因此,視頻監(jiān)控前端設(shè)備和管理平臺之間、用戶和管理平臺之間需要進行身份認(rèn)證,確保雙方的身份不被偽造。
B.信令和視頻數(shù)據(jù)的完整性需求
攻擊者通過篡改視頻監(jiān)控系統(tǒng)中的信令數(shù)據(jù),可以控制視頻前端設(shè)備,非法采集視頻,或者可以破壞視颕傳輸過程,導(dǎo)致視頻播放等功能失敗通過簒改視頻監(jiān)控系統(tǒng)中的視頻數(shù)據(jù),可以改變視頻的內(nèi)容,誤導(dǎo)用戶或者有目的地制造輿論。因此,信令和視頻數(shù)據(jù)具有完整性需求。
C.視頻數(shù)據(jù)來源的可追溯性需求
視頻監(jiān)控前端設(shè)備拍攝的視頻內(nèi)容或者其中的關(guān)鍵圖片內(nèi)容經(jīng)常會成為記錄該前端設(shè)備覆蓋地域范圍內(nèi)一些事件甚至違法犯罪案件的關(guān)鍵內(nèi)容,因此,視頻數(shù)據(jù)來源具有可追溯性需求。
D.視頻數(shù)據(jù)的機密性需求
視頻監(jiān)控前端設(shè)備與管理平臺之間、管理平臺與用戶之間交互視頻數(shù)據(jù)時,視頻數(shù)據(jù)很容易被截獲或竊取,導(dǎo)致關(guān)鍵或者敏感視頻內(nèi)容的泄露。
一些視頻數(shù)據(jù)的密碼技術(shù)也提出了解決方案,利用對稱和非對稱密碼算法,以安全芯片、安全TF卡、智能密碼鑰匙、密碼卡、密碼機等密碼產(chǎn)品為安全載體,可以實現(xiàn)視頻監(jiān)控前端設(shè)備與管理平臺間的雙向身份認(rèn)證、基于數(shù)字證書的用戶身份認(rèn)證,視頻簽名應(yīng)用,視頻加密應(yīng)用,可以防止非法訪問設(shè)備和用戶,防止信令和視頻數(shù)據(jù)被簒改和拒絕,防止視頻內(nèi)容被盜。
《密碼法》的實施一方面解決了“誰來用密碼、誰來管密碼、怎么管密碼”的問題,另一方面也將“數(shù)據(jù)加密”的重要性提升到了一個新高度,鞭策著安防企業(yè)致力滿足更高的合規(guī)要求。
(本文屬知識庫及科普性質(zhì),資料來源互聯(lián)網(wǎng),版權(quán)歸原作者所有)