【摘 要】近些年,随着信息化不断普及,视频会议系统已成为政府、企业及个人进行生产生活的实用工具,满足随时随地沟通需求。特别是疫情防控下,视频会议系统应用被推进到一个新的高度。然而视频会议应用的双刃剑效应也愈加明显,其中多发的视频会议安全问题已经给整个行业敲响了警钟,特别是涉及公安等敏感行业,视频会议安全问题可能危及公共安全。本文通过阐述视频会议安全建设的重要性与必要性,结合当前视频会议在一些行业应用中面临的安全问题,进一步深究在数智时代视频会议系统安全保障建设融合应用。
【关键词】:视频会议,数据安全,视频数据
当下,万物"数字化"浪潮奔腾而来,各个行业都在加速信息化、数字化转型。视频会议系统作为其中典型代表,凭借其远程音视频通信、数据同步共享等带来的便利性和高效率,被称为信息时代更有效的通信方式,正加速在更多行业领域落地。
一、视频会议系统安全建设必要性
随着5G移动通信、物联网和云计算等技术的不断发展,在各级政府机构,各领域企业以及个人服务中,视频会议已成为政务会议、企业办公、商务洽谈等重要支撑技术与实用工具。尤其是始于2020年新冠疫情流行,让视频会议系统迎来了快速崛起契机。
然而,无论是印度高层卫星视频会议遭到入侵,还是NSA穿透VPN入侵联合国视频会议系统,视频会议新技术带来红利的同时,其双刃剑效应也愈加明显。基于物联设备自身异构性、超大规模等特征,以及云计算在共享技术、协议兼容、开放性等方面所谓的"优势",都让视频会议系统暴露出潜在数据安全风险。
窃听、口令窃取、会议操控、信息泄露等存在多种形式为主的干扰威胁着视频会议数据安全,并且涉及的不只是侵犯个人权利和隐私的等问题,加之风险的不可预测性、危害的连锁扩散性大大增强了数据安全问题造成的危害,尤其是金融、商业、公共安全等行业视频会议系统承载了大量机密/敏感信息,相关利害单位可能还面临着经济的损失,恶劣的社会影响,甚至威胁国家安全及国家利益。
习近平总书记强调,没有网络安全就没有国家安全,就没有经济社会稳定运行,广大人民群众利益也难以得到保障。随着《网络安全法》、《数据安全法》等法律法规的实施,国家高度重视网络安全、信息数据安全。作为社会关键基础设施的视频会议系统,其高安全性能越来越受到关注。
二、视频会议系统面临的数据安全问题
以往视频会议系统数据安全问题鲜有人关注,主要是由于视频会议大多建设在专网上,加之视频会议本身也有自身的安全机制。
但是最近两年,云计算技术驱动着视频会议系统上云业务快速发展,越来越多的政府、企事业单位把视频会议部署在云上,除了享受到"大数据"与"云计算"带来的各种便利外,由于云系统开放的网络空间,也为类似棱镜门的网络攻击和监听提供了可能,给视频会议数据安全带来了新的威胁。
目前来看,针对视频会议系统面临的数据安全问题,归纳起来大概有以下几个方面:
其一是被保护的视频会议数据内容泄露或透露给某个非授权的实体。主要通过数据导出、拷贝或者截录屏、拍照等手段窃取会议现场视频、会议录像、会议共享文件等。或者通过链路窥探窃取会议音视频数据。
其二是非法手段扰乱会议秩序。主要是通过非法手段控制视频会议终端,登录会议控制平台,非法切换会议视频、音频,非法踢出人员、添加人员会场。或者是将非法会议终端接入视频会议,播放恶意音视频内容。
其三是外部黑客恶意攻击视频会议系统。外部黑客通过非法攻击视频会议核心平台、视频会议终端、视频会议软件终端,实现窃取用户登录凭证以及其他隐私数据。
其四是在视频会议互联互通中面临的安全问题。当多单位进行视频会议互联时,视频会议内容或其他保密信息可能被其中参与单位泄密,导致视频内容在传输过程中可能被篡改,或者不法分子通过该互联通道进行恶意攻击行为,以窃取更多数据内容。
复杂严峻的数据安全威胁的存在,致使视频会议本身安全机制以及单纯的复用防火墙防攻击或者链路加密,已经无法保障高级别视频会议内容的安全性。视频会议系统需要构建起从核心终端设备到网络传输、从接入安全到显示内容保护,再到综合管理的立体化、全面多重的安全保护举措,确保给云时代下的视频会议系统带来了极致安全保障机制。
三、如何为视频会议系统构建立体、全面的数据安全保护
结合行业发展状况,面对视频会议系统复杂多变的数据安全问题,加强数据安全的法律、法规监督作用是行业健康发展的底线与基础,提高技术创新与应用变革则是视频会议系统数据安全保障尤为关键的抓手。
在这个进程中,行业呼吁把安全服务作为一种赋能融入在应用落地的每个细节中。通过为视频会议系统整体方案中每个环节注入"安全"基因,以安全赋能场景化落地应用,为视频会议数据安全提供360°全方位的守护。
针对视频会议系统立体、全面的数据安全,目前行业重点从视频会议安全综合管理、终端准入控制、网络攻击防护、接入安全检测、终端视频防泄密防拍摄等几个方面重点着手。
(一)终端准入控制
视频会议终端准入控制方面包括视频会议应用终端身份准入控制和操作终端的身份准入控制。在应用终端通过对TCP/IP协议、设备属性等设备指纹对视频会议终端进行准入认证,配合基于白名单的访问控制策略,只有通过准入认证的设备方可与视频会议系统进行接入网络。
操作终端亦是如此。在视频会议核心平台侧部署安全网关,在进行会议控制、调阅录播服务器视频等的办公终端设备上依托视频会议安全软件,实现操作终端用户身份鉴别、准入认证、用户分组管控。
(二)网络攻击防护
系统平台通过对网络带宽中的流量进行分析和检测,识别异常流量、非法攻击和入侵行为。当发现非法网络攻击时,根据策略在可视化平台上告警,并且阻断非法连接。设备可实时对数据的源地址、目的源地址、目以及应用层协议进行全方位的检测,并可定位入侵设备的相关信息。
同时系统通过网络应用协议访问控制系统,只允许认证设备传输指定应用的数据,并针对网络中接入的终端采取黑白名单方式对网络流量进行管控,阻止入侵行为。同时,对高优先级用户/业务进行放行,提升运维和管理效率。
(三)接入安全检测
一直以来,视频会议系统设备中存在弱口令、无口令或默认口令,口令更新不及时,从而给黑客入侵接入设备带来有利条件,进而入侵整个业务系统。因此,对接入设备进行安全检测非常有必要。
目前,接入安全检测重点包括前端设备弱口令检测、前端设备异常接入检测和操作终端违规外联检测等。系统平台通过主动扫描探测技术,可快速发现前端设备弱口令漏洞,也可自动检测网内终端同时连接内部网络和外部网络的违规行为,并对违规外联行为进行告警。
(四)终端视频防泄密防拍摄
移动拍摄工具的普及给视频会议数据安全带来一定困扰,不法分子通过对正在进行的高级别视频会议内容进行翻拍,存在泄密或者盗采的可能。
在视频会议系统中通过对视频数据的统一管理,对各个终端下发相应安全策略,从视频数据使用维度实现对视频数据的安全防护。例如在录像/抓图导出中自动加密,加密处理的视频数据只有在授权环境上才可以正常使用;另外,系统通过加载防截屏录屏工具或者通过视频水印技术,显示用户自定义内容及实时时间,用于对拍摄泄密者进行事前震慑、事后追责。
除了以上提及的几项重点手段,还包括视频离线文件管控,通过在用户局域网内部办公电脑上部署视频会议安全软件,配合后台管理服务器可以防止操作终端防泄密。
小结
数智时代,在多重因素影响下,面向政府、行业领域的视频会议系统使用率正不断提升,与之相伴的是视频会议数据安全问题也呈高发态势。
相较于传统视频会议企业更多关注视频会议的易用性与创新性,偏重于安全服务业务领域的企业可能给视频会议安全带来不一样的理念与创新。伴随着国家及行业对数据安全问题重视程度不断提高,视频会议领域的数据安全技术融合与应用也将呈现"姹紫嫣红""百花齐放"的景象。
文/朱晓斌 刘炜 江苏省公安厅通保处
李春晓 上海交通大学安泰经济与管理学院
许岩岩 上海交通大学人工智能研究院、人工智能教育部重点实验室