1. 必要知识

本文的分析方法是参考DSMM数据安全成熟度模型来进行分析的，依据视频数据的全生命周期，从组织建设、制度流程、技术工具以及人员能力四个方面进行考量。

2. 需求分析

2.1 合规要求

2.1.1 法律法规

• 《中华人民共和国数据安全法》

数据安全法确定了数据作为生产要素，明确了数据的分级分类制度，强调数据的泄密、篡改、损毁是数据安全违法的行为。

• 《中华人民共和国网络安全法》

对公共通信和信息服务、能源、交通、水利、金融、 公共服务、电子政务等重要行业和领域，以及其他一旦遭到破坏、 丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共 利益的关键信息基础设施，在网络安全等级保护制度的基础上，实行重点保护。

2.1.2 国家标准

• 《公共安全视频监控联网信息安全技术要求》（ GB35114-2017 ）

规定了公共安全领域视频监控联网视频信息以及控制信令信息安全保护的技术要求。

• 《信息安全技术网络安全等级保护基本要求》（ GB/T22239-2019）

规定了对物联网的安全防护应包括感知层、网络传输层和处理应用层。

• 《智慧城市建筑及居住区》

规定了要求保证物联网感知设备接入控制安全，控制设备权限，保证敏感数据不泄露，访问授权要记录。

• 《公共安全视频监控边界安全交互技术要求》

规定了公共安全视频图像信息联网共享应用的安全管控和安全交互架构和技术要求。

2.2 安全事件

1. Mirai物联网僵尸网络攻击事件（摄像头存在漏洞，成为黑客攻击资源）

Mirai病毒是一种通过互联网搜索物联网设备的病毒，当它扫描到一个物联网设备（比如网络摄像头）后就尝试使用默认或弱密码进行登陆，一旦登陆成功，这台物联网设备就进入“肉鸡”名单并成为僵尸网络的节点，开始被黑客操控攻击其他网络设备。

2. 黑客组织入侵Verkada品牌监控系统事件（摄像头被黑客入侵，引发信息泄露）

安防系统初创公司 Verkada 遭黑客组织入侵，大量监控录像数据被窃取， 15 万个摄像头拍摄的实时视频和存档监控录像泄露， 而这些摄像头被安装在数百家公司、医院、警察部门、监狱以及学校内，其中特斯拉某一工厂和软件提供商 Cloudflare 均已沦陷。

3. 哈尔滨越狱案事发视频曝光事件（重要信息被泄露，无法溯源追责）

哈尔滨三嫌犯杀警越狱监控画面曝光引起广泛关注。

2.3 现状分析

摄像头终端安全（采集）

视频传输安全（传输）

视频存储安全（存储）