第一篇:希拓数据防泄密软件之小型企业解决方案
希拓数据安全小企业解决方案
2012/5/26 11:30:09
小型企业面对发展的初级阶段,最为需要的是性价比高、易用性强并可持续发展的数据安全系统。
小型企业安全现状分析
与大中型企业相比,小型企业的规模、资金相对有限。为了更好地发展自己的业务领域,小型企业往往投入大量的资源对企业业务经营、竞争优势、品牌塑造等方面加以提升。这些资源的投入最终将转换成为企业的无形资产,所以需要得到严格的控制与保护。这些有效资源主要包括:客户资料、核心技术文档、知识产权、企业合同等。同时,小型企业普遍存在IT软硬件配置较难达到统一,相配备的专业IT人员较少甚至没有,企业员工整体计算机应用较弱等问题。处于发展中的小型企业,具有高速成长、变化频繁等特点,因此针对小企业的数据安全管理系统必须具备高性价比、易管理应用、可发展等特点,能够灵活适应企业实际的发展状况。
希拓金盾解决方案给您带来的帮助
针对上述需求,希拓金盾小型企业解决方案,通过广泛整合最为实用的功能,更为合理的价格,帮助小型企业保护机密数据,简化工作流程,提高管理效率,实现低投入、高安全的数据管理模式。
希拓金盾小型企业解决方案实施后,用户只需创建、保存所操作的文档,这个文档就会被自动加密,不需要企业内部人员参与,整个加密过程均在后台系统自动完成。用户在整个操作过程中不会有任何的体验差异,与使用Windows操作系统完全相同。当加密文档在非授权的情况下被带到企业外部时,加密文档无法打开或者打开以后形成乱码格式,无法查阅。
希拓金盾小型企业解决方案对于企业软、硬件水平要求相对较低,并且有效降低系统的资源占用。在安装、维护和管理上,希拓金盾小型企业解决方案的安装和配置过程非常简单、便捷,采用大量系统自动识别和运行技术,更多的减少人员管理程度。即使用户想自己改变系统操作,界面也很易用,操作者只需按照产品界面上的提示进行即可安装。通常情况下,不需要设置任何参数,非IT专业人员就可轻松完成,从而有效降低了企业对员工进行软件操作培训及应用效率方面的成本花费。希拓金盾小型企业解决方案采用C/S+B/S的结构设计,管理员在内网中任意一台可以连接服务器的机器上,即可以完成统一的浏览器界面操作,进行企业的管理工作,方便相关管理人员使用,使其易用的优势发挥到极致。面对小型企业发展迅速这一特点,希拓金盾小型企业解决方案可以与您的企业实际发展状况保持同步扩展升级。
第二篇:揭秘国内外数据防泄密解决方案“大阅兵”
揭秘国内外数据防泄密解决方案“大阅兵”
安全谈:个人信息保护国内外解决方案比较
个人信息保护成为2012年业界热点。随着3.15晚会济南移动垃圾短信事件的曝光,所有人都意识到个人信息保护不再是一个遥远的话题,而是发生在我们每个人身边。管理手段的孱弱,技术手段的缺失,导致数据泄漏事件的频频爆发,已经成为国内公共结构的梦魇。针对越演越烈的数据泄漏事件,国内外IT厂商纷纷推出关于数据泄漏防护的的解决方案。
一、环境不同导致不同的产品设计理念
在国外,个人信息一直受到法律的高度保护。1974年美国颁布《隐私权法》,德国1976年颁布《联邦资料保护法》,1984年英国制订《数据保护法》,1995年欧盟制订了《关于个人信息运行和自由流动的保护指令》,1998年美国与欧盟签订了“安全港”协定(safe harbor),而最近新加坡也出台对垃圾信息给以高额处罚等等。
对于侵犯个人信息保护法律的个人和单位,在国外都受到严厉的制裁。在强有力的法律手段保护下,任何单位和个人都不敢轻易碰触法律这个高压线。对单位来说,凡是违反此类法律的,其赔偿金额是极为惊人的。2007年在美国TJX零售公司发生的4500多万客户的信息卡及保密资料丢失,导致其客户和银行业对其提起诉讼,最终TJX公司需要向客户赔付1.01亿美元,并承受严重的企业声誉损失。国外个人信用体系的完备,也是防止个人从内部泄密的主要原因。在美国敢于从内部泄密获利者,其下场是非常明显的,很可能终身失业。国外法律环境的完善,比较有效地震慑内部有意泄密者,所以在国外内部有意泄密者较少。据此,国外关于个人信息保护的产品设计理念,立足在防止外部入侵和内部无意的泄密。
在国内,法律法规不健全,不能有效追究内部泄密者的责任,所以国内个人信息保护基本形同虚设,内部人员违法违规将内部信息主动泄密,这是造成国内个人信息保护不力的主要原因。
因此,国内IT厂商针对个人信息保护的解决方案,采用“事前主动防御,事中实时控制,事后及时追踪,全面防止泄密”的设计理念,不仅防止外部入侵,更重要的是防止内部泄密,包括有意泄密和无意泄密。
二、国内外主要解决方案比较
在国外,基于防止外部入侵窃密和内部无意泄密的需求,国外IT厂商纷纷推出数据泄漏防护(DLP)解决方案,其中主要的代表厂商有趋势科技、赛门铁克、RSA(EMC)、Websense、麦咖啡等。
2008年6月17日,趋势科技收购Provilla 公司,推出数据外泄防护系统,当员工在对敏感文件进行不合适的操作时,该系统可以发出警报,这一警报将在员工电脑屏幕上以对话框的形式出现。这些警报框将指导员工如何处理机密信息,提高他们的安全意识并获得他们的支持,从而防止数据“出门”。管理员可以对警报对话框进行详细定制,当违规行为发生时,员工电脑屏幕上会弹出对话框,说明正在进行什么操作、为什么要这么操作以及到那里获取详细信息。管理员还有一种选择是对敏感数据进行特定的操作之前,要求他们提供正当的理由。这种质询/应答特性提供了另一层面的正确处理敏感数据的意识,而且如果该操作不是有意为之,还提供了取消这个操作的途径。
在国内,2012年山丽网安推出了山丽防水墙信息防泄漏体系5.0。山丽网安以“全盘透明加密解密技术”为基础,采用对应中国用户需求的各种策略,以透明加密和权限管理两功能为核心,结合身份认证、日志审计、外设管理、密文烧录管理、文档自动备份等功能,建立完善的体系。在系统自身的安全性方面,还采用灾难恢复管理,确保系统可靠、安全地运行。山丽防水墙信息防泄漏体系对数据(文档)安全进行全方位、多角度、全生命周期的保护,彻底实现数据保护的完整性、保持性和安全性。
三、国内外DLP解决方案比较
从国内外DLP解决方案来看,在解决数据泄漏防护需求的思路上,大体上是相同的。
通常认为,DLP可分为6个步骤:(一)企业先将数据进行分类,同时预先对“涉密数据”进行定义,然后确定哪些数据需要保护;(二)确定涉密数据在企业系统中的存放位置,企业确定有多少数据存放在员工的计算机、公司的服务器或数据库等;(三)清楚掌握数据的位置,便能为数据的流出、流入提供实时的监控及保护,包括经电子邮件、http、即时消息等途径发放的资料;(四)数据泄漏多数是人为所致,因此企业必须制定员工传送机密数据的权限;(五)企业亦需监控数据被送达的地方是否安全,如商业伙伴或网上电子邮件等;(六)企业必需注意员工运用什么途径传送档案,这些途径包括所有移动储存硬盘和点对点传送等。
四、国内外DLP解决方案不同之处
分析国内外个人信息保护解决方案,我们可以发现其不同之处:
1、设计理念不同
国外DLP基于良好的法律环境,内部有意泄密相对极少,对内部人员确认为可信,数据泄漏主要来自外部入侵和内部无意间的泄密。因此,国外DLP主要用来防止外部入侵和内部无意间泄密。
国内DLP主要基于国内环境,法律威慑力小,追踪难度大,泄密者比较容易逃脱法律制裁,犯罪成本比较小;同时,国内各种管理制度不完善,内部人员无意间失密的概率也比较大。所以国内DLP既能防止内部泄密,包括内部有意泄密和无意泄密,同时也能防止外部入侵窃密。
2、主要功能不同
从趋势科技、赛门铁克、RSA(EMC)、Websense、麦咖啡等发布的产品来看,国外DLP产品主要包含的功能模块有:内容识别分类、输出内容监控、敏感信息阻截、审计、移动设备管理。这些功能对于内部无意间泄密基本上是满足需求的,但是对于外部入侵防护的效果相当有限。这里还有一个比较大的问题在于内容识别分类。内容识别分类是国外DLP产品的核心功能,但是这项功能的有效性还有待改进。结构化数据相对来说比较容易被识别和分类,但对于非结构化数据来说,有效性不高,这是目前国外DLP比较致命的缺陷之一。从总体上说,国外DLP产品还是采用被动防范的手段来解决。
国内DLP产品以透明加密和权限管理为核心,结合身份认证、日志审计、文档自动备份、文档外发管理、设备安全管理、磁盘全盘加密等功能,其实是针对文档(数据)采用双重保护手段。一是文件级的加密权限保护,二是磁盘级的加密保护。其中防水墙文档透明加密子系统、防水墙文档权限管理子系统、防水墙文档安全管理子系统、防水墙文档外发管理子系统是文件级加密权限保护,全盘加密系统和加密安全网关是磁盘级加密保护。国内DLP是从主动防范的立足点来解决问题的。
3、产品适用范围不同
国外DLP基本实施在中国的外企。这是由于外企在国外总部基本采用了国外DLP产品,在中国只是延续其总部的防范手段。从目前的市场应用来看,一部分外企比较容易接受国外DLP产品,并有实施。
国内DLP考虑中国特殊国情,基于国内环境设计,所以其适用范围相当广泛。以山丽网安防水墙为例,当前主要适用目标客户群在于:军工、政府、企业。包括各国家部委、金融、电力、电信、军工集团、大型企业(集团),并向中小企业及个人用户拓展,销售主体为政府用户、金融和军工和大型企业集团用户。山丽网安防水墙为丰田汽车、贝卡尔特、凸版印刷、中国银行等多家世界五百强企业成功部署了数据泄漏防护解决方案,同时还为2010年上海世博会、2010广州亚运会等国际级大型活动提供过数据安全保障支持。
4、产品实施后效果不同
国外DLP在中国存在普遍的水土不服现象,主要原因还是在防内和防外的问题上。国外DLP无法防止内部主动泄密。国内DLP以加密权限为核心,从主动预防的立足点来防止数据泄漏,对数据(文档)进行加密,从源头上进行控制。即使内部数据流失到外部,也因为已被加密而无法使用,从而保证了数据(文档)的安全。
五、国内DLP解决方案总体上优于国外DLP
综上所述,国内DLP解决方案的优势是显而易见的。从技术上讲,国内DLP完全能防止数据(文档)的泄漏问题,是适合中国国情的解决方案。
国外DLP解决方案不适合中国用户情况,无法满足用户需求。从总体上讲,可以解决部分问题,但无法严密地防范泄密,只能更多地依赖管理手段。关于这一点,国外DLP厂商也有清醒的认识。“在预防数据泄密和安全威胁的问题上,公司需要拥有主动性战略。安全产品确实有效果,但是还需要广大员工在日常工作中积极参与。人们需要知道他们的一些行为,比如把文件拷到U盘带出办公室,可能会损害公司的数据安全。从以上言论可以看出,国外DLP产品的有效性确实有所欠缺,只好寄希望于员工自觉遵守制度来保证;对于内部员工主动泄密和窃密者,却是无能为力。
第三篇:招商银行网上银行系统防泄密解决方案
招商银行网上银行系统防泄密解决方案
网上银行(Internetbank or E-bank)招商银行通过互联网向客户提供的金融服务,包括传统银行业务和因信息技术应用带来的新兴业务。该业务系统后端数据库存储着大量敏感信息包括:用户的身份、信用卡号、账户密码、手机号码等。这些数据一旦泄露,都可能造成极大的经济损失及客户信息盗用的问题,甚至造成大客户信任度降低、客户流失的严重问题。
招商银行对于网上银行敏感信息的要求在于避免INTERNET用户,通过任何手段获取银联服务器上的机密信息。其核心关注点除了传统的强身份认证、明文传输过程的安全、网络协议安全、应用系统安全等方面外。对于敏感信息内容也做了相应的安全要求,具体体现在以下三个方面:
1、重点关注服务器外出数据是否含有机密信息,无论是HTTP的回复还是数据库格式的数据;
2、支持识别银行账号、手机号、身份证号等对象;且要可灵活配置,同时出现1个对象或多个对象时,则认为有风险。
3、关注严格的安全审计,对存在风险的连接需要及时的通过短信报警的方式通知管理员,以便采取应急响应的措施。
通过在网上银行数据库服务器核心交换机上旁路部署一台深信服下一代防火墙NGAF使用信息防泄露模块解决了网上银行敏感信息防泄漏的问题。
1、定义银行账号、手机号、身份证号的精确识别,制定信息泄露安全策略。在业务中一个连接向外输出同一个用户的多个信息,或者不同用户一种或多种信息时进行即时的短信报警。
2、制定严格内容解析策略防止通过正常的HTTP访问或者数据库格式文件下载的方式向外输出敏感信息。
3、记录每条涉及敏感信息请求的访问日志,便于日后查询。使用深信服NGAF业务系统敏感信息防泄露解决方案,能够审计无论是HTTP协议的正常访问或是数据库文件中敏感信息的查询信息,提高了网上银行应急响应的保障能力,有效的保证了网上银行敏感信息的安全。
深信服山东金牌代理——济南康龙汇网络系统集成有限公司
第四篇:安防大数据技术难点分析与解决方案
安防大数据技术难点分析与解决方案
2015-04-09 11:53:32 来源:CPS中安网 作者:邓长春 责任编辑: sillyna 收藏本文
摘要:在安防领域,大数据具有广阔的应用场景,带来深度的价值。经过初步摸索,安防大数据也面临一些技术难点。对于这些问题,我们分析安防行业特有的场景特点,探讨一些贴切的解决方案,使得大数据技术更好地为安防业服务。
【CPS中安网 cps.com.cn】伴随着大数据技术在IT领域的持续发展与成熟,大数据逐步渗透到各行各业。在安防领域,大数据具有广阔的应用场景,带来深度的价值。经过初步摸索,安防大数据也面临一些技术难点。对于这些问题,我们分析安防行业特有的场景特点,探讨一些贴切的解决方案,使得大数据技术更好地为安防业服务。
大数据当前在各行业的应用
大数据技术发端于IT领域,当前在互联网、电子商务中应用得最为成熟。Google公司根据用户海量的搜索日志,成功预测病情在北美的蔓延情况;通过分析处理大量的语料库,为用户提供精准的在线翻译。亚马逊根据用户过往的购买行为,分析出特定用户群的购买“口味”,从而在自己的网站中提供精准的广告推荐。而国内的淘宝网,通过分析网民浏览商品的日志,给买家提供到特定商品的关联匹配。
在其他行业,大数据的使用也屡见不鲜:
在卫生行业,基于全民的电子档案与电子病历库正在构建。通过全民电子病历库,我们能分析全民的健康状况,监控相关疾病的蔓延走势,为做好卫生防范措施提供参考。
在电力行业,通过分析大区域的用电记录,能够优化电力企业管理模式,提升企业经营水平,为基建决策提供有力参考,提高智能控制水平,加强电力的协同管理。同样对于整个国家,通过分析用电情况,在宏观掌握国家的经济状况,为制定经济政策提供参考。
在物流行业,通过分析大量以往的配送记录,在宏观上掌握大类物品的流向,提前把物品运送到特定区域,提高送货效率。在国外,一家大型的超市,通过分析交通与商品大体流向,能在精确的时间范围内,把特定类商品送到特定的门店,减少库存时间,提高周转率,创造企业利润。
同样,在安防领域,大数据也得到广泛使用。大数据助力安防行业
经过一段时间的摸索,大数据助力安防行业的发展取得相当的成效,部分企业如海康威视等已经有了较多的成熟项目案例。
在智慧交通方面,海康威视借助大数据技术,交通管理系统能够在恶劣的网络环境,对城区交通要道进行拍摄与录制,同时把图片与视频数据输往后端的大数据处理平台。通过后端大数据处理,识别繁忙的路段,提前做好交通分流措施。借助车牌识别技术,综合各卡口的过车记录,能够分析特定车辆的运行轨迹。同样,通过对大量行车违法记录的模式识别,能在特定路段对具有违规倾向的车辆进行报警,比如在高架桥,高速公路上。通过对城市周边主要卡口大量的行车记录分析,能识别出异常的进出城的记录,做好防范措施。
在公安执法方面,海康威视通过人脸识别技术,提高对犯罪嫌疑人追查的效率。通过对大量异常行为的模式特征提取,能提前判别违法行为,比如在火车站,通过对扒手外观打扮,行为举止,作案时的动作特征分析,能够提前把嫌疑信息告知车站治安人员,提高执法的效率。
在平安城市、智能家居,方方面面,安防大数据也引领很多新奇的应用。
安防大数据当前面临的技术难点
然而,伴随着大数据在安防领域越来越深入的应用,也突现出一些技术难点。在IT领域,大数据技术发展较为成熟,针对不同的应用场景有较为丰富的技术选型以及技术路线,其中很多技术可以移植应用到安防领域中。但IT与安防毕竟是两个不同的领域,两者之间存在很多不一样的地方。最大的不同,就是数据本身的不同,主要体现在一下方面:
数据类型不同。在IT领域,大数据处理的对象往往是网页索引、用户行为、日志记录等字符型数据,这些是结构化、方便计算识别处理的数据。而在安防领域,数据往往以图片、音频、视频等非结构化的数据,往往计算机不能直接识别,这些数据只有在人面前才显得有意义。
数据量在数量级上的不同。在互联网领域,单条日志记录一般在一百字节之内,到了1PB的日志记录,已经是一个足够大的量。但在安防领域,一张普通的缩略图就几百KB,如果考虑高清摄像,高清视频,这个数量要更大。一个普通的中等城市,在主要交通卡口拍摄的图片,一年下来就能积压几个PB的数据,如果考虑视频,这个数据量更大。
对数据的实时性要求不同。在互联网行业,以日志型数据分析为主的典型应用中,对实时性要求没那么高,比如淘宝的推荐系统,是否分析最近一个小时用户的浏览记录对于推荐效果关系不大。而在安防领域,前端摄像头录制的都是实时流,这是一个不间断的数据流,最近录制的数据超过一定时间没有得到有效保存,将会永远被丢失。
针对安防领域与IT领域在数据本身上的异同,把适合IT领域常规的大数据技术搬到安防领域就会碰到一些技术难点,表现如下:
存储成本问题。在IT领域,海量的数据往往保存在分布式存储系统中,为了提高数据的可靠性,一份数据往往复制成几份相同的副本,分别保存在不同的节点中,当其中一些副本丢失时,可以从其他节点读出数据。比如在Hadoop中,一份数据往往在集群中保存了相同的3份。如果有1PB的原始数据,则至少要占用3PB的磁盘空间。而在安防领域,几个交通卡口的视频,在一个较短的时间内,如果不覆盖之前的数据,就能轻易积压几个PB。由于图像、音频、视频数据本身的量太大,生搬传统的多副本策略成本过高,我们需要设计出一些更高效同时不损失可用性的方案。
小文件存储问题。这个问题是大数据技术面临的一个共性问题,但在安防领域可能又突现得较为严重。在互联网,小文本、图片、音乐都是小文件,当层积较多时,都面临如何存取这些海量小文件的问题。而在安防行业,小文件主要以图片为主,比如一个城市的主要交通卡口在一年内,就能产生百亿张图片。对于这些海量的小文件的存储,涉及到大量元数据的管理,保证存取的性能是问题的关键。
当然,问题并不可怕,通过分析研究安防应用场景,我们摸索出一些贴合安防大数据的解决方案。
解决问题的方向
引入擦除码(ErasureCode)技术,节省存储空间。擦除码是一个在通信理论中的术语,其基本思想就是:一条原始信息由K个符号构成,在信息发送前,通过某种具有冗余功能的数学映射,生成由(K+M)个符号组成的编码后的信息,然后把编码后的信息通过信道发送给接受方,由于信道的不可靠特性,在信息传输的过程中可能会丢失几个符号,接受方在接受到信息后,只要丢失的符号不超过M个,则接受方在剩余的符号中通过逆向的数学变换,能还原出由K个符号组成的原始信息。
图-1:信息在信道中的传输过程
如上图所示:原始信息由[A、B、C]三个符号组成,现在通过编码函数f对其进行编码,生成编码后的信息为[a、b、c、d、e],编码后的信息在信道上进行传输,在传输的过程中由于某种原因符号a与b丢失了,接受方只接受到了三个符号[c、d、e],接受方通过解码函数-f(实际上就是编码函数的逆函数)进行解码,能够计算出原始的信息[A、B、C]。由上可看出,信道虽然不可靠,但在信道上丢失的两个符号并不影响我们整个信息的传输,我们唯一要做的工作就是在发送信息前与接收信息后做一定的编码与解码工作。
受上面思想的启迪,在分布式存储系统中,一个大文件分成若干块,这些不同的块分发到不同的节点中,现在假设一个文件由K个数据块组成,我们通过编码后变成(K+M)个编码块,再把这(K+M)个编码块分发到不同的节点中。现在由于集群中几个节点失败,丢失了几个块,只要丢失的块数不超过M,我们依然能从其他节点中读入K个编码块,通过解码运算,得出我们之前的K个数据块,也就还原出那个完整的文件。而在分布式系统中,超过M个数据节点同时失效的可能性很小,由此可以看出,虽然存在节点失败的情况,但依然不影响我们数据存储的可靠性。这里引入额外的存储空间为(M/K)倍,而传统的N副本策略,引入的额外存储空间为(N-1)倍,通过调节M与K的关系,我们能把存储空间降到1.3倍,这与传统Hadoop占用存储空3倍相比,具有巨大的节省价值。
在工程实践中,我们通过数据分条带,优化编码分组策略,进行高效快速的编解码计算,既保证数据存取的性能,又节省了大量的磁盘空间。如图-2,数据横向分条带,同一个条带内,左边为原始数据(K=4),右边为编码后的数据(M=2),存储时,把同一个条带内的所有数据分发到分布式系统上的不同节点。当处于同一个条带内的数据丢失块数不超过2时,依然能从剩下的数据块中通过解码计算出原始的数据。
图-2:数据分条带,进行编码存储
建立索引,小文件合并成大文件集中存储。对于大量的数据,单机无法存储,借助分布式存储技术,将数据分散存储到不同的节点上。但主流的HDFS分布式存储系统适合存储少量的大文件,就是文件个数较少,但单个文件的很大。如果大量的小文件朴素的存放在HDFS中,由于要管理的元数据巨大,严重印象集群的可扩展性,以及文件本身的存储性能。解决问题的思路是,把大量的小文件合成一个大文件,同时对这些小文件建立索引,索引信息集中管理。当要读取文件时,先查找索引信息,根据查找出的索引信息再定位到那个大文件具体位置,读出小文件。
图-3小文件合成大文件,并且建立索引
如图-3,上面为把若干小文件合成一个大的文件,下面为针对这些小文件建立的索引,所有的索引又合成一个索引文件。在工程实践中,我们又对索引文件的结构进行了优化,引入了哈希索引结构,由于哈希定位过程相当过,所以提升了小文件的读取性能。同时,由于索引文件很小,我们除把索引文件持久化到底层文件系统,还同时把索引信息读入内存,这样极大提升了文件存取效率。
结语
随着大数据技术的逐步发展与深入应用,它会给我们带来越来越多的潜在价值。当安防行业进入就计算化时代后,各种前端设备采集大量的图片、音频、视频,这个数据在一个较小的区域一个较短的时间内,就能积攒海量的数据,要掌握并且成功挖掘出这些数据的价值,更好的为安防服务,急需我们掌握大数据技术。目前,安防行业仅有海康威视等极个别企业掌握了该项技术。
由于安防行业和IT互联网行业存在差异,我们在借鉴互联网大数据技术的同时,也要深入研究我们的安防场景,探索一些贴切安防应用的大数据技术。安防大数据第一阶段要解决安防大数据的存储问题,当解决好存储问题后,我们进入到安防大数据分析处理阶段,当我们具备娴熟的分析处理技术后,可以进入深度学习,多维数据挖掘的深入应用。这一路还很漫长,我们慢慢探索,精益求精,一定能让安防大数据更好的服务安防业,保证我们的幸福安康。
第五篇:关于印发《上海市视频安防监控数据导出防泄密系统基本技术要求》的通知
关于印发《上海市视频安防监控数据导出 防泄密系统基本技术
要求(试行)》的通知
2014-3-13 13:49:07
各公安分局、崇明县公安局技防办,各技防从业单位:
为了加强本市视频安防监控系统管理,提高视频安防监控系统图像信息防泄密能力,市局技防办根据当前本市视频安防监控系统管理需要,在组织专家进行考察、调研的基础上,广泛听取了公安部计算机信息系统安全产品质量监督检验中心,以及本市多家重点单位、技防从业单位的意见,经多次讨论修改,制定了《上海市市视频安防监控数据导出防泄密系统基本技术要求(试行)》(以下简称《防泄密系统》,详见附件)。该防泄密系统的安装使用,将为本市重点单位视频安防监控系统应用提供必要安全保障和技术支撑。
为规范防泄密系统产品性能,防止防泄密系统产品质量鱼龙混杂、以次充好,自本通知发布起,凡在本市生产、销售、安装、使用防泄密系统产品,均应持有公安部计算机信息系统安全产品质量监督检验中心按照《防泄密系统》检测合格的型式检验报告(有效期2年)。
在《防泄密系统》试行期间,如遇问题请及时与市局技防办联系。联系人:刘晓新、顾忠平;联系电话:22023461、22023469。
特此通知。
上海市公安局技术防范办公室
2014年3月11日
上海市视频安防监控数据导出防泄密系统基本技术要求
(试行)
2014-3-13 14:00:07
1.范围
本要求规定了对本市视频安防监控系统中采用的视频安防监控数据导出防泄密系统(以下简称“防泄密系统”)的总体要求、组成和基本功能,是相关产品设计、编制、安装和检测的主要技术依据之一。
本要求适用于视频安防监控系统中本地及远程视频安防监控数据导出的防泄密系统。2.术语及定义
2.1.视频安防监控数据(文件)
采用用户终端由视频安防监控系统数字录像设备导出的录像文件和截图文件。2.2.安全策略
对视频监控文件使用范围的设定及操作行为的响应策略。2.3.用户终端
经联网系统注册并授权、对视频安防监控系统内的数据和/或设备有操作需求的客户端设备。2.4.防泄密网关
对视频安防监控系统获取视频安防监控数据(文件)进行防泄密保护的网间连接及协议控制设备。
2.5.防泄密系统软件
依附于用户终端运行,结合防泄密网关,对获取视频安防监控数据(文件)进行防泄密保护的软件。
3.总体要求
3.1.防泄密系统安全性评估应符合《信息技术 安全技术 信息技术安全性评估准则 第3部分:安全保证要求》(GB/T 18336.3-2001)的规定。3.2.防泄密系统身份鉴别和安全审计的防控强度应满足《信息安全技术 信息系统安全等级保护基本要求》(GB/T 22239-2008)第三级安全防护的规定。3.3.防泄密系统应符合《信息安全技术 主机文件监测产品检验规范》(MSTL_JGF_04-025)的规定。
3.4.防泄密系统应适用于符合《视频安防监控数字录像设备》(GB 20815-2006)、《上海综合型数字录像设备补充技术要求》及《本市专业型数字录像设备补充技术要求》规定的数字录像设备。3.5.用户终端任何对数字录像设备的操作应采用两组用户口令的认证方式。其中一组为视频安防监控系统自身的用户口令,一组为防泄密系统的口令。
4.系统组成
4.1.防泄密系统可由单台或多台防泄密网关及防泄密系统软件组成。4.2.防泄密网关的配置应与视频安防监控系统和联网模式相适应。4.3.防泄密系统软件的自身运行环境要求如下: a)CPU:1.8GHz及以上 b)内存:1G及以上
c)操作系统:通用性操作系统 5.技术要求 5.1.安全策略
防泄密系统应具有对用户终端管理员提供策略增加、修改、删除与应用等功能。5.2.身份鉴别
a)防泄密系统应提供专用的登录控制模块对登录用户进行身份标识和鉴别;
b)防泄密系统应对同一用户采用两种或两种以上组合的鉴别技术实现用户身份鉴别; c)防泄密系统应提供用户身份标识唯一和鉴别信息复杂度检查功能,保证应用系统中不存在重复用户身份标识,身份鉴别信息不易被冒用;
d)防泄密系统应提供登录失败处理功能,可采取结束会话、限制非法登录次数和自动退出等措施;
e)防泄密系统应启用身份鉴别、用户身份标识唯一性检查、用户身份鉴别信息复杂度检查以及登录失败处理功能,并根据安全策略配置相关参数。
5.3.访问控制
a)泄密系统应提供访问控制功能,依据安全策略,控制视频监控文件访问的授权环境及视频监控文件的访问。保护视频监控文件的能力应不小于5G字节;
b)防泄密系统应具有防控用户终端截取内存和显存数据截屏的能力;
c)防泄密系统应支持对视频监控文件的操作提交申请、批复和授权。申请、批复和授权均应被记录。
5.4.安全审计
a)防泄密系统应提供覆盖到每个用户的安全审计功能,对应用系统重要安全事件(对安全策略中指定文件的所有操作事件)进行审计;
b)防泄密系统应保证无法单独中断审计进程,无法删除、修改或覆盖审计记录;
c)防泄密系统审计记录的内容至少应包括事件的日期、时间、发起者信息、类型、描述和结果等; d)防泄密系统应提供对审计记录数据进行统计、查询、分析及生成审计报表的功能。5.5.视频监控文件通信及存储的保密性和完整性保护
a)防泄密系统应采用保密技术保证数字录像设备与用户终端间通信过程中数据的保密性和完整性。
b)防泄密系统应采用保密技术保证用户终端存储的视频监控文件的保密性和完整性。5.6.视频监控文件的外发应用
a)防泄密系统应能通过授权,在用户终端将视频监控文件制作成外发数据,并应具有设置密码、时效、编辑、自删除等修改、调整功能;
b)防泄密系统所制作的外发数据,在时效和权限许可范围内,应无需安装专用软件即可使用;
c)5G大小的外发文件在标准配置的计算机上打开时间比原始视频文件增加不应超过10秒钟。
5.7.防泄密系统应能直接与“上海安全技术防范监督管理平台”联网并发送报警信息。
附件:
本地视频安防监控系统防泄密系统
用以对本地视频安防监控系统用户终端的视频监控文件进行防泄密保护,拓扑如下:
远程视频安防监控系统防泄密系统
用以对远程视频安防监控系统用户终端的视频监控文件进行防泄密保护,拓扑如下: