■文/青島海信網(wǎng)絡科技股份有限公司 單曉輝 郝旭寧 單洪偉 劉祥

關鍵字：智慧安防社區(qū) 視頻數(shù)據(jù)安全 大數(shù)據(jù)

1 引言

近兩年，視頻系統(tǒng)的熱點與焦點是用AI、圖像智能分析等手段處理大數(shù)據(jù)的圖像，克服用戶“看不懂”的瓶頸，可以預見這一過程將帶來智安社區(qū)視頻監(jiān)控市場的蓬勃發(fā)展。與此同時，大數(shù)據(jù)的廣泛應用也帶來海量圖像信息安全性的問題，解決數(shù)據(jù)、圖像“不放心”的問題將是視頻行業(yè)未來長期的發(fā)展方向。智慧安防社區(qū)等大型項目逐漸鋪開，而視頻是智安社區(qū)的靈魂，在數(shù)據(jù)量增長日益顯著的今天，如何處理好海量數(shù)據(jù)下的視頻網(wǎng)絡安全問題、推動和諧社區(qū)的有機建設，已成為視頻監(jiān)控行業(yè)新的課題，同時也帶來了新的契機。

2 智安社區(qū)視頻數(shù)據(jù)安全面臨的難點問題

2.1 大數(shù)據(jù)時代下視頻監(jiān)控更易受到網(wǎng)絡攻擊

隨著平安城市的建設，視頻監(jiān)控在社區(qū)中逐漸普及，點位建設逐步完善，并不斷向聯(lián)網(wǎng)、應用、行業(yè)滲透邁進。人工智能和數(shù)據(jù)分析技術的應用，使監(jiān)控的功能也逐漸從事后取證向事前預防前移。數(shù)據(jù)挖掘和數(shù)據(jù)分析等大數(shù)據(jù)技術帶來更多有用價值的同時，黑客也在利用這些大數(shù)據(jù)技術發(fā)起攻擊，因為大數(shù)據(jù)是更容易被“發(fā)現(xiàn)”的大目標。安防社區(qū)的視頻監(jiān)控探頭又是最容易導致居民隱私泄露的設備，從網(wǎng)絡安全角度看，任何監(jiān)控設備都有可能會被黑客利用，通過侵入社區(qū)監(jiān)控系統(tǒng)竊取用戶的影像資料，導致個人隱私的泄露，為小區(qū)安防基層基礎工作帶來很多不利影響。因此，采取有效的視頻數(shù)據(jù)安全保護措施刻不容緩。

2.2 大數(shù)據(jù)下的信息安全問題將導致存儲方式的變革

網(wǎng)絡化技術的普及，使得視頻資源的聯(lián)網(wǎng)共享成為很多行業(yè)日益迫切的需求，現(xiàn)有分散的視頻資源正在朝著集中的方向推進，智慧安防的行業(yè)市場通過點、線、面的密集覆蓋，每時每刻都在增加新的視頻源；720P，1080P，4K以及更高的視頻分辨率意味更大的視頻信息量。這些不斷增長的視頻數(shù)據(jù)在帶來海量視頻存儲需求的同時，也對當前的視頻存儲技術提出了一系列新的挑戰(zhàn)。例如如何實現(xiàn)存儲容量的平滑擴展，同時有效降低由此帶來的存儲成本？如何更可靠地保存、更安全地使用和更便捷地分享這些數(shù)據(jù)？如何解決越來越龐大的系統(tǒng)給維護管理帶來的困擾？云存儲技術的應用將有效地解決上述問題。

視頻監(jiān)控的存儲技術和介質(zhì)從VCR模擬存儲，DVR數(shù)字存儲，逐漸向NVR、NAS、IPSAN等網(wǎng)絡存儲發(fā)展，將來的發(fā)展方向是云存儲。在存儲方式上，主要有集總式存儲和分布式存儲兩種。采用網(wǎng)絡技術的系統(tǒng)設計，社區(qū)視頻監(jiān)控系統(tǒng)的結(jié)構(gòu)由集總式向分布式轉(zhuǎn)變，分布式的設計有利于合理的資源配置和充分的資源共享，使社區(qū)視頻監(jiān)控系統(tǒng)架構(gòu)由資源管理體系轉(zhuǎn)變?yōu)橘Y源配置和整合體系。大數(shù)據(jù)意味著更復雜、更敏感的數(shù)據(jù)，這些數(shù)據(jù)會吸引更多的潛在攻擊者。與此同時，數(shù)據(jù)的大量匯集，使得黑客成功攻擊一次就能獲得更多數(shù)據(jù)，無形中降低了黑客的進攻成本，增加了“收益率”。而分布式存儲和云存儲將更加靈活，也減輕了存儲的壓力和風險，未來將得到更好的發(fā)展。與傳統(tǒng)的存儲設備相比，云存儲不僅僅是一個硬件，而是一個網(wǎng)絡設備、存儲設備、服務器、應用軟件、公用訪問接口、接入網(wǎng)和客戶端程序等多個部分組成的復雜系統(tǒng)。各部分以存儲設備為核心，通過應用軟件來對外提供數(shù)據(jù)存儲和業(yè)務訪問服務。視頻圖像的存儲特點是對實時的存取性能要求較高，而云存儲的系統(tǒng)架構(gòu)決定了它能夠以較低的總擁有成本很好的滿足海量高清或標清視頻的并發(fā)寫入、讀取，并能實現(xiàn)快速配置和即插即用。

2.3 云環(huán)境下保護視頻監(jiān)控數(shù)據(jù)的安全與系統(tǒng)的連續(xù)性值得關注

傳統(tǒng)模式下，對于視頻數(shù)據(jù)的存儲管理一般是歸檔和定時備份。歸檔是作為數(shù)據(jù)管理的一種方式長期組織并保存管理，備份是用于保存最近的數(shù)據(jù)副本，以便隨時調(diào)取可用。無論采用哪種備份方式，都需要按照時間窗口進行操作。一方面，歸檔和備份是周期性進行，例如每周進行一次操作。另一方面，操作的時間窗口過久，特別是數(shù)據(jù)量大時，增量備份耗時過久。更重要的是，該數(shù)據(jù)備份方式對于視頻的保護存在空檔期，一旦關鍵視頻因服務器故障丟失而還未曾備份，那么帶來的損失是不可估量的。

因此，在大數(shù)據(jù)環(huán)境下，要想AI應用無后顧之憂，保護社區(qū)視頻監(jiān)控數(shù)據(jù)的安全與系統(tǒng)的連續(xù)性，必須采用其他更為先進的容災備份技術方案。容災備份是通過在異地建立和維護一個備份存儲系統(tǒng)，利用地理上的分離來保證系統(tǒng)和數(shù)據(jù)對災難性事件的抵御能力。

3 智安社區(qū)視頻數(shù)據(jù)安全的對策與思考

3.1 應用關鍵技術主動保護數(shù)據(jù)安全

3.1.1 強化加密算法、身份認證和訪問控制技術的應用

在智安社區(qū)視頻安全領域，應用加密算法、身份認證和訪問控制等基本技術，可保障網(wǎng)絡傳輸?shù)陌踩苊饷舾幸曨l數(shù)據(jù)的泄露。加密技術方面，可以采用高安全性密碼算法，在傳輸前采用統(tǒng)一加密方式進行加密，全方位保障數(shù)據(jù)安全。當下密碼技術已十分成熟，將常規(guī)密碼和公鑰密碼結(jié)合在一起使用，比如利用DES或者IDEA來加密信息，而采用RSA來傳遞會話密鑰。如果按照每次加密所處理的比特來分類，可以將加密算法分為序列密碼和分組密碼。前者每次只加密一個比特而后者則先將信息序列分組，每次處理一個組。一般的視頻數(shù)據(jù)加密可以在通信的三個層次來實現(xiàn)：鏈路加密、節(jié)點加密和端到端加密。加密技術是網(wǎng)絡安全最有效的技術之一，一個加密網(wǎng)絡不但可以防止非授權(quán)用戶的搭線竊聽和入網(wǎng)，而且也是對付惡意軟件的有效方法之一。同時，加密技術發(fā)揮作用的關鍵因素在于密鑰的管理，包括密鑰的生存、分發(fā)、安裝、保管、使用以及作廢全過程。

采用先進的身份認證方法，如口令認證、硬件認證（智能卡、U盾等）、生物識別（指紋、虹膜等），保障網(wǎng)絡之間互聯(lián)的數(shù)據(jù)安全。此外，應用訪問控制技術，其核心是為了限制訪問發(fā)起者對訪問內(nèi)容的權(quán)限，從而使智慧社區(qū)的視頻系統(tǒng)在合法范圍內(nèi)使用。

3.1.2 建立多層次的視頻傳輸防護系統(tǒng)

建立前端設備接入認證機制、接入數(shù)據(jù)協(xié)議白名單準入機制，采取主動掃描、實時檢測和手工設置等有效手段，采集前端設備的IP、類型、廠家、地理位置等屬性信息，生成設備資產(chǎn)庫白名單，并及時發(fā)現(xiàn)和識別非法接入的未知、違規(guī)、仿冒設備，并基于協(xié)議白名單對非法接入數(shù)據(jù)進行識別及過濾，從而實現(xiàn)對非法惡意行為的識別、告警和實時阻斷。

構(gòu)建由防火墻、入侵防御、漏洞掃描、WEB應用安全等專用安全防護設備組合而成的社區(qū)視頻監(jiān)控安全防護系統(tǒng)，實現(xiàn)對系統(tǒng)應用區(qū)的安全保護。通過部署防火墻，將系統(tǒng)應用區(qū)與其他區(qū)域進行安全隔離，實現(xiàn)系統(tǒng)應用區(qū)與其他區(qū)域之間的安全連接和訪問控制。通過部署入侵防御設備，實現(xiàn)對數(shù)據(jù)應用層協(xié)議實時檢測并阻斷攻擊流量，防御非法人員對系統(tǒng)應用區(qū)的入侵和DDoS攻擊。通過部署漏洞掃描設備，實現(xiàn)對智慧社區(qū)視頻傳輸網(wǎng)中運行的網(wǎng)絡設備、操作系統(tǒng)、數(shù)據(jù)庫、應用系統(tǒng)等IT資源的定時漏洞掃描，及時發(fā)現(xiàn)、處置、降低漏洞被利用的風險。通過部署WEB應用安全設備，對基于B/S架構(gòu)的平臺進行深度防護，全面阻斷對核心WEB類平臺的網(wǎng)絡攻擊。

逐級建成智安社區(qū)視頻傳輸網(wǎng)安全監(jiān)管平臺，定期探測機制采集、匯總并可視化展示前端準入控制系統(tǒng)、系統(tǒng)應用區(qū)防護系統(tǒng)監(jiān)測的資產(chǎn)信息和安全信息，從全局監(jiān)測視頻傳輸網(wǎng)整體安全態(tài)勢，及時預警社區(qū)中的異常狀況以及安全事件，實現(xiàn)視頻傳輸數(shù)據(jù)安全監(jiān)管可見、可管、可控。通過建立可視化視頻安全系統(tǒng)，便于整體感知視頻傳輸網(wǎng)絡的安全生態(tài)，及時發(fā)現(xiàn)安全漏洞并采取相應措施。

3.2 進一步完善云存儲技術在智安社區(qū)視頻領域的應用

開放的視頻監(jiān)控系統(tǒng)是分布式結(jié)構(gòu)，可方便地從局域擴展到廣域?qū)崿F(xiàn)組網(wǎng)應用。分布式架構(gòu)是社區(qū)視頻監(jiān)控系統(tǒng)發(fā)展的必然趨勢，可以做到視頻資源的合理分布與配置，解決分散的資源集中控制，分部門（職能）的管理與統(tǒng)一協(xié)調(diào)之間的關系，實現(xiàn)最充分的共享。采用安全的數(shù)據(jù)信息存儲手段對視頻數(shù)據(jù)進行保護，如通過磁盤陣列、數(shù)據(jù)備份、數(shù)據(jù)遷移等方式保證數(shù)據(jù)存儲的安全。磁盤陣列是指把多個類型、容量、接口甚至品牌一致的專用磁盤或普通硬盤連成一個陣列，使其以更快的速度、準確、安全的方式讀寫磁盤數(shù)據(jù)，從而加快數(shù)據(jù)讀取速度、提高數(shù)據(jù)保存的安全性。數(shù)據(jù)備份管理包括數(shù)據(jù)備份的計劃和自動操作，備份日志的保存。

采用數(shù)據(jù)遷移手段，重構(gòu)社區(qū)視頻數(shù)據(jù)的存儲機制。在線存儲設備和離線存儲設備共同構(gòu)成一個協(xié)調(diào)工作的存儲系統(tǒng)，該系統(tǒng)在在線存儲和離線存儲設備間動態(tài)地管理數(shù)據(jù)，使得訪問頻率高的數(shù)據(jù)存放于性能較高的在線存儲設備中，而訪問頻率低的數(shù)據(jù)存放于較為廉價的離線存儲設備中。社區(qū)視頻錄像的歸檔可以充分利用高級存儲設備的數(shù)據(jù)遷移手段，通過分層存儲有效降低存儲系統(tǒng)的整體成本。

在智慧安防社區(qū)建設中，云存儲可為多個系統(tǒng)提供存儲服務，包括視頻監(jiān)控、卡口電警、圖像資源庫等。其可完成日常視頻錄像資源、卡口電警所產(chǎn)生的社區(qū)車輛抓拍圖片等資源的統(tǒng)一存儲。采用大規(guī)模分布式并行文件系統(tǒng)，以大量的服務器和存儲設備為基礎，構(gòu)建一個大規(guī)模存儲集群，提供上百PB的存儲容量，并能夠在線進行容量的擴充，由此搭建的大容量存儲系統(tǒng)整體成本遠低于傳統(tǒng)存儲架構(gòu)，并且具有良好的可擴充性和靈活性。

云存儲系統(tǒng)通過元數(shù)據(jù)和存儲數(shù)據(jù)分離的非對稱式架構(gòu)，通過負載均衡和數(shù)據(jù)并發(fā)訪問策略，在普通硬件條件下獲得高達數(shù)十Gbps的傳輸速率以及上百PB級的存儲容量，并可根據(jù)用戶應用發(fā)展的趨勢，適時按需進行在線動態(tài)擴展。與單機的文件系統(tǒng)不同，分布式文件系統(tǒng)不是將這些數(shù)據(jù)放在一塊磁盤上由上層操作系統(tǒng)來管理，而是存放在一個服務器集群上，由集群中的服務器，各盡其責，通力合作，提供整個文件系統(tǒng)的服務。

云存儲系統(tǒng)內(nèi)置了基于對象數(shù)據(jù)管理策略，能夠保證在系統(tǒng)局部發(fā)生故障時數(shù)據(jù)的安全性和可靠性，徹底消除存儲系統(tǒng)中的單點故障，結(jié)合自動故障探測和快速故障恢復技術，確保用戶的應用持續(xù)穩(wěn)定地運行，同時減少部署和管理的難度。云存儲系統(tǒng)采用數(shù)據(jù)冗余存儲機制，硬盤或存儲節(jié)點損壞時，其余節(jié)點可自動重組，數(shù)據(jù)不丟失，系統(tǒng)運行不受影響。這一點大大提升了海量存儲節(jié)點的可維護性。

云存儲技術可將存儲節(jié)點的帶寬聚合，隨著存儲節(jié)點的增加可以實現(xiàn)帶寬的線性增長，理論上帶寬是無限的。同時在云存儲系統(tǒng)中數(shù)據(jù)文件是拆分成數(shù)據(jù)塊進行條帶化存儲在多臺物理存儲節(jié)點上的，能夠最快速的并發(fā)訪問數(shù)據(jù)。另外，云存儲中數(shù)據(jù)存儲是采用多副本策略存儲的，可以實現(xiàn)熱點數(shù)據(jù)的負載均衡訪問。

此外，傳統(tǒng)存儲設備提供的是一個透明的存儲空間，原始數(shù)據(jù)直接存在存儲設備上的，數(shù)據(jù)可以直接訪問和使用，并不具有信息安全和私密性。而云存儲中的數(shù)據(jù)傳輸是加密的，首先用戶并不知道數(shù)據(jù)存在哪個物理硬盤上，而且數(shù)據(jù)在存儲設備上是按文件塊存儲的無法直接進行訪問。用戶存儲的數(shù)據(jù)只有自己有權(quán)限進行訪問和管理，系統(tǒng)管理員也無法讀取。因此，社區(qū)視頻數(shù)據(jù)的安全性和可靠性也得到了有效地保障。

3.3 采用其他更為先進的容災備份技術方案

3.3.1 重點關注容災備份方案的實時性和智能化

在智慧安防行業(yè)背景下，備份容災技術的實時性和智能化將成為未來的發(fā)展趨勢。實時數(shù)據(jù)傳輸是指生產(chǎn)服務器與備份服務器之間無需備份時間窗口，數(shù)據(jù)的變化量在生產(chǎn)端確認后，采用異步字節(jié)級增量同步的方式傳輸?shù)絺涠朔掌?，確保兩邊的數(shù)據(jù)一致性。這樣可以確保AI應用在生產(chǎn)服務器的視頻數(shù)據(jù)出現(xiàn)丟失時，可以直接通過備端服務器的數(shù)據(jù)，繼續(xù)提供應用服務。

智能化的概念主要表現(xiàn)為，AI應用的支撐系統(tǒng)也要采用容災高可用的方式接管。判斷接管的智能化，通過心跳線閾值的設立，給予控制機一個指標，例如當網(wǎng)絡斷線時間達到一個時間值時，備端才會接管生產(chǎn)的系統(tǒng)繼續(xù)提供服務，這樣能夠確保防止因為網(wǎng)絡抖動導致頻繁切換的問題。接管的智能化，通過設定切換方式，備機可以在無工作人員介入的情況下自動接管系統(tǒng)，這樣最大程度保證業(yè)務系統(tǒng)的連續(xù)性，讓終端的應用客戶無感知。

3.3.2 建立可靠的異地容災備份系統(tǒng)

異地容災技術是指以異地實時備份為基礎的、高效的、可靠的遠程數(shù)據(jù)存儲。在各級單位的IT系統(tǒng)中，通常將核心部分稱之為生產(chǎn)中心，并且往往給生產(chǎn)中心配備一個遠程備份中心。盡管在生產(chǎn)中心的內(nèi)部已經(jīng)實施了各種各樣的數(shù)據(jù)保護措施，但當火災、地震這種災難發(fā)生時，一旦生產(chǎn)中心癱瘓了，備份中心會接管生產(chǎn)，繼續(xù)提供服務。視頻監(jiān)控的多中心配置越來越多，各個中心的系統(tǒng)和數(shù)據(jù)容災可以借鑒IT的容災技術，將異地容災技術引入智安社區(qū)視頻數(shù)據(jù)的監(jiān)管工作中。

根據(jù)容災系統(tǒng)對災難的抵抗程度，可將容災技術劃分為數(shù)據(jù)容災和應用容災。數(shù)據(jù)容災是指建立一個異地的數(shù)據(jù)系統(tǒng)，該系統(tǒng)是對本地系統(tǒng)應用數(shù)據(jù)實時復制。當出現(xiàn)災難時，可由異地系統(tǒng)迅速接替本地系統(tǒng)而保證業(yè)務的連續(xù)性，云備份服務則天生具有異地容災的特性。應用容災比數(shù)據(jù)容災層次更高，即在異地建立一套完整的、與本地數(shù)據(jù)系統(tǒng)相當?shù)膫浞輵孟到y(tǒng)(可以同本地應用系統(tǒng)互為備份，也可與本地應用系統(tǒng)共同工作)，在災難出現(xiàn)后，遠程應用系統(tǒng)迅速接管或承擔本地應用系統(tǒng)的業(yè)務運行。

設計一個容災備份系統(tǒng)，需要考慮多方面的因素，最常用的是以RTO及RPO作為最基本的標準：RTO（Recovery Time Objective，復原時間目標）是企業(yè)可容許服務中斷的時間長度。RPO（Recovery Point Objective，復原點目標）是指當服務恢復后，恢復得來的數(shù)據(jù)所對應的時間點。根據(jù)備份參數(shù)和不同的應用場合，可分為三大容災備份種類：異地熱備、異地互備和云備份。

異地熱備是指在異地建立一個熱備份站點，通過網(wǎng)絡進行社區(qū)視頻數(shù)據(jù)備份。也就是通過網(wǎng)絡以同步或異步方式，把主站點的視頻數(shù)據(jù)備份到備份站點，備份站點一般只備份數(shù)據(jù)，不承擔業(yè)務。當出現(xiàn)災難時，備份站點接替主站點的業(yè)務，從而維護業(yè)務運行的連續(xù)性。

異地互備是指在不同的地理位置分別建立兩個數(shù)據(jù)中心，在工作狀態(tài)下進行相互社區(qū)視頻數(shù)據(jù)備份。這樣，當某個數(shù)據(jù)中心發(fā)生災難時，另一個數(shù)據(jù)中心可以直接接替其工作任務。這種級別的備份根據(jù)實際要求和投入資金又可分為兩種：兩個數(shù)據(jù)中心之間只限于關鍵數(shù)據(jù)的相互備份；兩個數(shù)據(jù)中心之間互為鏡像，即零數(shù)據(jù)丟失。零數(shù)據(jù)丟失是目前要求最高的一種容災備份方式，它要求不管什么災難發(fā)生，系統(tǒng)都能保證數(shù)據(jù)的安全。所以，它需要配置復雜的管理軟件和專用的硬件設備，投資相對而言是最大的，但恢復速度也是最快的。針對智慧安防社區(qū)領域關鍵視頻的數(shù)據(jù)，至少應當建立異地互備的架構(gòu)，保證零數(shù)據(jù)丟失。

云備份，就是個人或機構(gòu)把數(shù)據(jù)，通過云存儲的方式備份在公有云或私有云。云備份已經(jīng)成為云計算最重要的落地表現(xiàn)形式之一，加上在成本上的巨大優(yōu)勢，已經(jīng)在企業(yè)市場中獲得了快速的發(fā)展。對于智慧社區(qū)中敏感程度不高的視頻數(shù)據(jù)，可以考慮采用云備份的方式建立容災機制。

4 結(jié)語

隨著計算機技術的飛速發(fā)展，信息網(wǎng)絡已經(jīng)成為社會發(fā)展的重要保證。在智安社區(qū)視頻領域涉及很多敏感信息，放置在網(wǎng)絡上，其安全性備受關注。在安全形勢變得日益嚴峻的今天，提高視頻監(jiān)控系統(tǒng)本身的安全性能已經(jīng)成為燃眉之急。采用先進的加密算法、身份認證和訪問控制技術，建立多層次的視頻傳輸防護系統(tǒng)主動保護數(shù)據(jù)安全，進一步完善云存儲技術在智安社區(qū)視頻領域的應用，關注容災備份方案的實時性和智能化，建立可靠的異地容災備份系統(tǒng)，從系統(tǒng)角度出發(fā)，全方位覆蓋視頻監(jiān)控的各個環(huán)節(jié)，才能有力地保障社區(qū)視頻數(shù)據(jù)安全。