馬 智 胡 博

1 中國(guó)聯(lián)通研究院 北京 100176

2 中國(guó)聯(lián)合網(wǎng)絡(luò)通信集團(tuán)有限公司 北京 100032

引言

面對(duì)信息網(wǎng)絡(luò)的應(yīng)用普及和5G網(wǎng)絡(luò)安全的大背景，各行各業(yè)日益重視強(qiáng)化網(wǎng)絡(luò)安全防護(hù)能力、提升網(wǎng)絡(luò)安全能力以及數(shù)據(jù)信息安全保障能力。針對(duì)多樣化業(yè)務(wù)場(chǎng)景、豐富的接入方式和設(shè)備形態(tài)，需要持續(xù)推動(dòng)實(shí)現(xiàn)網(wǎng)絡(luò)環(huán)境安全共建、安全共享。因此，本文基于5G視頻拍攝遠(yuǎn)程控制場(chǎng)景下的信息安全問(wèn)題，進(jìn)行深入分析和研究。

1 研究背景

1.1 移動(dòng)智能拍攝與網(wǎng)絡(luò)技術(shù)的融合發(fā)展

智能視頻終端領(lǐng)域行業(yè)正迎來(lái)高速發(fā)展，隨著疫情出現(xiàn)，視頻信息無(wú)線傳輸需要進(jìn)一步向智能化、遠(yuǎn)程化、無(wú)人化的方向發(fā)展。

傳統(tǒng)固定攝像機(jī)由于不能自主轉(zhuǎn)動(dòng)，機(jī)器視覺(jué)的視野范圍受限，使用場(chǎng)景也存在局限性，人力物力消耗相對(duì)較大。為提高視頻拍攝智能化，可以利用5G實(shí)現(xiàn)數(shù)據(jù)交互及遠(yuǎn)程操控。特別是隨著疫情的出現(xiàn)，無(wú)人化、遠(yuǎn)程化場(chǎng)景的需求激增，對(duì)于在無(wú)人值守的工作環(huán)境或工作人員無(wú)法進(jìn)入的惡劣工作環(huán)境中，遠(yuǎn)端的智能設(shè)備更加需要這種遠(yuǎn)程控制技術(shù)[1]。

5G時(shí)代，通過(guò)穩(wěn)定的5G網(wǎng)絡(luò)傳輸和智能拍攝設(shè)備相結(jié)合，能夠解決即時(shí)多點(diǎn)監(jiān)看與跨區(qū)調(diào)度等重要訴求，并應(yīng)對(duì)差異化戶(hù)外場(chǎng)景的拍攝不確定性和極端溫度環(huán)境[2]。實(shí)現(xiàn)超低時(shí)延的端到端視頻業(yè)務(wù)，提高抗干擾性，為使用者提供高效視頻回傳能力，為觀看者提供高品質(zhì)視頻服務(wù)體驗(yàn)。5G技術(shù)的融合也進(jìn)一步助力產(chǎn)業(yè)與服務(wù)升級(jí)，為不同的需求方提供差異化服務(wù)能力。

1.2 5G網(wǎng)絡(luò)的安全連接能力

5G網(wǎng)絡(luò)在賦能垂直行業(yè)應(yīng)用的過(guò)程中，使能“無(wú)線通道、對(duì)接數(shù)據(jù)網(wǎng)絡(luò)，至端到端通信連接”的全流程。因此，5G安全能力范圍涵蓋終端、5G無(wú)線接入網(wǎng)、移動(dòng)邊緣計(jì)算、承載網(wǎng)絡(luò)以及5G核心網(wǎng)五大基礎(chǔ)組成部分[3]。

針對(duì)5G的2B行業(yè)應(yīng)用，需要嚴(yán)格保護(hù)數(shù)據(jù)信息背后的商業(yè)秘密、個(gè)人隱私和業(yè)務(wù)價(jià)值。5G、AI、邊緣計(jì)算、區(qū)塊鏈等新技術(shù)逐步應(yīng)用，推動(dòng)產(chǎn)生更多創(chuàng)新連接場(chǎng)景下的安全挑戰(zhàn)。由于5G行業(yè)應(yīng)用需求的特殊性和多樣性，信息安全三要素即機(jī)密性、完整性和可用性，也面臨差異化需求。例如基于5G網(wǎng)絡(luò)的移動(dòng)智能遠(yuǎn)程控制拍攝場(chǎng)景需要滿足網(wǎng)絡(luò)低時(shí)延，保障高可用性，保證實(shí)時(shí)高清視頻數(shù)據(jù)的安全傳輸以及遠(yuǎn)程控制信號(hào)指令的精準(zhǔn)到達(dá)。因此基于主流學(xué)者的研究結(jié)果，可主要分為兩大類(lèi)安全需求。其一是基本安全需求，基于傳統(tǒng)公眾通信網(wǎng)絡(luò)下的工作場(chǎng)景與安全保障目標(biāo)需求，可基于當(dāng)前4G通信網(wǎng)絡(luò)安全保障技術(shù)以滿足通用安全需求。其二是高級(jí)安全需求，基于5G時(shí)代所產(chǎn)生的新業(yè)務(wù)、新應(yīng)用場(chǎng)景，考慮其所帶來(lái)的新安全風(fēng)險(xiǎn)與挑戰(zhàn)，在滿足基本安全需求基礎(chǔ)之上，為空口數(shù)據(jù)傳輸、隱私保護(hù)、認(rèn)證授權(quán)等方面確保靈活個(gè)性的安全保障機(jī)制，從而提供更高保障的安全能力。

1.3 5G時(shí)代移動(dòng)智能拍攝的安全隱患

相較4G時(shí)代，5G在速度、功耗、時(shí)延全面提升的同時(shí)，也面臨著不同場(chǎng)景下更加多樣化的信息安全挑戰(zhàn)。傳統(tǒng)4G時(shí)代的通信和終端等方面的信息安全問(wèn)題將繼續(xù)存在，同時(shí)5G將加劇安全威脅的擴(kuò)散[4]。傳統(tǒng)的安全防護(hù)措施在流量暴增、多樣化應(yīng)用場(chǎng)景的情況下產(chǎn)生了瓶頸[5]，隨著各類(lèi)風(fēng)險(xiǎn)出現(xiàn)也對(duì)網(wǎng)絡(luò)安全技術(shù)帶來(lái)全新挑戰(zhàn)，例如頻譜資源非法占用、信令欺詐與風(fēng)暴攻擊、網(wǎng)絡(luò)虛擬控制端惡意操控、敏感信息與數(shù)據(jù)泄露、通信鏈路流量嗅探與非法監(jiān)聽(tīng)、邊緣層流量監(jiān)管存在盲點(diǎn)及安全責(zé)任邊界難以界定等。

傳統(tǒng)有線方式的視頻數(shù)據(jù)傳輸?shù)膬?yōu)勢(shì)包括受干擾少、保密性強(qiáng)、可靠性強(qiáng)等，但只適合區(qū)域傳輸，局限性大。雖然5G網(wǎng)絡(luò)相較固網(wǎng)的穩(wěn)定性和速度稍有劣勢(shì)，但對(duì)于移動(dòng)場(chǎng)景下的智能拍攝與日益豐富多元的業(yè)務(wù)需求，5G所具備的靈活性、移動(dòng)性、泛在性是無(wú)法替代的。因此，基于本文所提出的應(yīng)用場(chǎng)景，在使用5G無(wú)線連接方式替代固網(wǎng)的連接方式時(shí)，存在相關(guān)安全問(wèn)題亟待討論解決。針對(duì)前端拍攝設(shè)備，傳統(tǒng)安全防護(hù)體系大多沒(méi)有考慮配套的安全措施，導(dǎo)致其成為網(wǎng)絡(luò)中極易被突破的薄弱環(huán)節(jié)。攻擊者一旦成功入侵網(wǎng)絡(luò)攝像機(jī)等前端設(shè)備，可以輕易控制監(jiān)控現(xiàn)場(chǎng)的前端設(shè)備，非法獲取監(jiān)控區(qū)域的敏感信息，甚至可以進(jìn)一步將其作為一個(gè)跳板或僵尸主機(jī)，進(jìn)而滲透、攻擊業(yè)務(wù)承載網(wǎng)，造成更加嚴(yán)重的后果[6]。針對(duì)傳輸過(guò)程，5G網(wǎng)絡(luò)中多種無(wú)線網(wǎng)絡(luò)技術(shù)和安全機(jī)制共存。因此，多模式快速接入認(rèn)證、無(wú)縫漫游切換等安全保障困難。4G網(wǎng)絡(luò)通常只對(duì)通信鏈路的空口無(wú)線通信數(shù)據(jù)進(jìn)行加密保護(hù)，但傳輸過(guò)程易受攻擊。為了保障5G下異構(gòu)多域環(huán)境的端到端統(tǒng)一認(rèn)證，需建立跨域安全機(jī)制。

同時(shí)，由于尚未形成統(tǒng)一的網(wǎng)絡(luò)視頻框架協(xié)議，不同前端視頻采集設(shè)備廠商的網(wǎng)絡(luò)視頻產(chǎn)品未能完全互通。尤其面向移動(dòng)智能拍攝遠(yuǎn)程控制領(lǐng)域，尚未基于5G網(wǎng)絡(luò)的傳輸環(huán)境下形成行業(yè)標(biāo)準(zhǔn)。因此在視頻遠(yuǎn)程控制系統(tǒng)中所選擇的視頻采集設(shè)備型號(hào)比較單一，可能會(huì)導(dǎo)致視頻采集設(shè)備在軟硬件上高度相似，安全缺陷高度一致，易被一點(diǎn)攻破，從而引發(fā)連鎖反應(yīng)，導(dǎo)致整個(gè)端到端視頻網(wǎng)絡(luò)傳輸鏈路被控制和惡意攻擊。

2 基于5G網(wǎng)絡(luò)的移動(dòng)智能視頻信息安全研究

2.1 移動(dòng)遠(yuǎn)程視頻拍攝系統(tǒng)的架構(gòu)

總體來(lái)看，移動(dòng)智能遠(yuǎn)程控制拍攝系統(tǒng)主要由三部分組成，分別為前端拍攝設(shè)備、智能終端執(zhí)行單元(Terminal Actor Unit，TAU)、智能終端控制單元(Terminal Controller Unit，TCU)。TAU主要指以智能拍攝云臺(tái)為代表的終端接入設(shè)備，具備視頻流處理、云臺(tái)運(yùn)動(dòng)控制及5G網(wǎng)絡(luò)接入能力。TCU主要指以控制器為代表的終端控制設(shè)備，具備多路接入設(shè)備控制能力、多路視頻流切換能力以及5G接入能力，可以通過(guò)5G或者其他寬帶網(wǎng)絡(luò)訪問(wèn)智能接入設(shè)備，也支持系統(tǒng)外的遠(yuǎn)程訪問(wèn)及控制信號(hào)轉(zhuǎn)發(fā)。

2.2 移動(dòng)智能遠(yuǎn)程拍攝系統(tǒng)安全風(fēng)險(xiǎn)

從前端拍攝設(shè)備角度，一方面，網(wǎng)絡(luò)攝像機(jī)集傳統(tǒng)攝像機(jī)、視頻編碼和網(wǎng)絡(luò)技術(shù)為一體，一般由嵌入式硬件平臺(tái)、嵌入式Linux系統(tǒng)、嵌入式Web服務(wù)器、無(wú)線網(wǎng)卡以及集成5G模組的智能云臺(tái)等組成，前端硬件相應(yīng)存在弱口令、緩沖區(qū)溢出、未授權(quán)訪問(wèn)、拒絕服務(wù)、命令注入、信息泄露、認(rèn)證缺陷、目錄穿越、特權(quán)提升、目錄遍歷、SQL注入等漏洞。另一方面，網(wǎng)絡(luò)攝像機(jī)等前端采集設(shè)備端口使用比較固定，易被黑客通過(guò)端口掃描等技術(shù)攻擊[7]。

從TAU角度，前端設(shè)備大多不具備數(shù)據(jù)加密功能，數(shù)據(jù)采集后直接明文傳輸視頻碼流，如果沒(méi)有部署專(zhuān)門(mén)的視頻專(zhuān)用信道或VPN，可通過(guò)“網(wǎng)絡(luò)嗅探”方式非法截獲視頻數(shù)據(jù)加工、篡改。

從TCU角度，由于遠(yuǎn)程控制信令需要通過(guò)特定的視頻管理平臺(tái)，軟件本身容易遭受入侵和控制，因此容易在遠(yuǎn)程命令執(zhí)行的過(guò)程中，出現(xiàn)授權(quán)繞過(guò)、目錄遍歷、遠(yuǎn)程緩沖區(qū)溢出等高危漏洞，以及部分操作系統(tǒng)的常見(jiàn)漏洞，存在一定的風(fēng)險(xiǎn)隱患。由于后端的軟件客戶(hù)端由缺乏計(jì)算機(jī)專(zhuān)業(yè)知識(shí)的行業(yè)客戶(hù)使用，大多采用簡(jiǎn)單的身份認(rèn)證和權(quán)限管理，缺乏專(zhuān)用的安全加密和身份認(rèn)證機(jī)制，安全意識(shí)缺乏，無(wú)法保證端到端的唯一性，因此難以抵御非法入侵與攻擊。

由于上述的前端拍攝設(shè)備、TAU、TCU都需要依靠5G實(shí)現(xiàn)數(shù)據(jù)與信令交互，因此還要考慮網(wǎng)絡(luò)入侵層面的風(fēng)險(xiǎn)，主要包含四類(lèi)攻擊：DOS(Denial of Service)拒絕服務(wù)攻擊，Probing監(jiān)視和其他探測(cè)活動(dòng)，R2L(Remote to Local)來(lái)自遠(yuǎn)程機(jī)器的非法訪問(wèn)，U2R(User-to-Root)普通用戶(hù)對(duì)本地超級(jí)用戶(hù)特權(quán)的非法訪問(wèn)。

2.3 面向移動(dòng)智能遠(yuǎn)程拍攝的安全需求

廣義上是5G行業(yè)應(yīng)用場(chǎng)景本身的安全需求，包括但不限于5G應(yīng)用的安全框架、終端安全要求、接入安全要求、平臺(tái)安全要求，以及重點(diǎn)風(fēng)險(xiǎn)管控要求等[8]。面向網(wǎng)絡(luò)隔離度，5G網(wǎng)絡(luò)面向行業(yè)場(chǎng)景，可提供端到端切片能力，為視頻傳輸提供專(zhuān)用業(yè)務(wù)數(shù)據(jù)通道，從邏輯上或物理上為移動(dòng)遠(yuǎn)程智能拍攝提供區(qū)隔于公網(wǎng)的資源。面向數(shù)據(jù)保護(hù)度，實(shí)時(shí)高清視頻數(shù)據(jù)與控制信令傳輸，建議為此場(chǎng)景提供接入雙向認(rèn)證、數(shù)據(jù)本地化存儲(chǔ)與處理、數(shù)據(jù)防泄露、惡意攻擊防御等能力。為應(yīng)對(duì)實(shí)況直播等特殊場(chǎng)景，額外需要安全風(fēng)險(xiǎn)與安全事件的監(jiān)測(cè)與告警、安全等級(jí)響應(yīng)等安全檢測(cè)服務(wù)。面向網(wǎng)絡(luò)可靠性，主要是為超高清分辨率的視頻數(shù)據(jù)流提供良好的QoS保證，以應(yīng)對(duì)未來(lái)更加高清的4K、8K等終端拍攝設(shè)備。因此，可為行業(yè)場(chǎng)景提供定制化會(huì)話與數(shù)據(jù)級(jí)別的策略控制，實(shí)現(xiàn)差異化的帶寬、速率、時(shí)延、丟包率等網(wǎng)絡(luò)服務(wù)質(zhì)量保障。

狹義上是5G與智能拍攝細(xì)分領(lǐng)域的安全要求。2B行業(yè)對(duì)移動(dòng)智能拍攝場(chǎng)景的安全需求主要包含兩部分內(nèi)容，一是數(shù)據(jù)的安全性，打造獨(dú)有流控安全機(jī)制，保障音視頻媒體流數(shù)據(jù)高優(yōu)先級(jí)、可靠傳輸。二是網(wǎng)絡(luò)的可靠性，通過(guò)支持視頻傳輸加密功能，解除非法/惡意攻擊威脅。數(shù)據(jù)信息安全與網(wǎng)絡(luò)可靠，是打通端到端業(yè)務(wù)場(chǎng)景的基本保障，網(wǎng)絡(luò)視頻數(shù)據(jù)信息與控制信令信息的安全傳輸是重中之重。同時(shí)，移動(dòng)智能拍攝場(chǎng)景下對(duì)實(shí)時(shí)性要求非常高，5G網(wǎng)絡(luò)連接中斷將嚴(yán)重影響按時(shí)序性流程生產(chǎn)的順利進(jìn)行。因此，在提供無(wú)人化遠(yuǎn)程管控、智能信號(hào)收錄、云端平臺(tái)等服務(wù)前，應(yīng)當(dāng)強(qiáng)化安全性方案的高效保障，從而確保實(shí)現(xiàn)超高清視頻的高帶寬、低延時(shí)、高可靠直播。

3 新一代信息技術(shù)賦能視頻信息安全保障

針對(duì)2.2節(jié)中所提出的風(fēng)險(xiǎn)，分別從智能拍攝系統(tǒng)的前、中、后端提出相應(yīng)的安全解決方案思路。

3.1 智能拍攝終端層安全方案

終端層主要實(shí)現(xiàn)視頻數(shù)據(jù)的發(fā)送和控制指令的接收，由于智能拍攝終端的計(jì)算和存儲(chǔ)資源有限，難以部署復(fù)雜的安全策略，因此存在被攻擊的風(fēng)險(xiǎn)。一方面，為了防止終端側(cè)的DDoS/DoS攻擊，可以考慮在網(wǎng)絡(luò)側(cè)打造安全防御機(jī)制，從而智能檢測(cè)攻擊行為并及時(shí)自我保護(hù)。另一方面，考慮對(duì)終端側(cè)增加身份驗(yàn)證和內(nèi)置安全功能，包括但不限于SSH安全登錄、TLS加密、內(nèi)置安全芯片以及信令/數(shù)據(jù)的加密保護(hù)等[9]。

3.2 網(wǎng)絡(luò)傳輸層安全方案

3.2.1 安全與網(wǎng)絡(luò)切片能力融合保障

本文所提出的基于5G的移動(dòng)智能遠(yuǎn)程控制拍攝場(chǎng)景，多用于大型活動(dòng)及專(zhuān)業(yè)級(jí)媒體領(lǐng)域，由于此場(chǎng)景下媒體轉(zhuǎn)播方及參與者時(shí)間和空間集中度高，相同時(shí)間下視頻流與控制信令傳輸需要使用更佳的頻譜資源傳輸，同時(shí)對(duì)控制流信號(hào)有較高的安全性要求，因此選擇網(wǎng)絡(luò)切片技術(shù)實(shí)施按需分配，為不同的場(chǎng)景和客戶(hù)打造專(zhuān)用資源并構(gòu)建專(zhuān)屬5G視頻業(yè)務(wù)切片，從而實(shí)現(xiàn)等級(jí)差異化的網(wǎng)絡(luò)隔離機(jī)制。對(duì)于敏感數(shù)據(jù)，切片還需提供安全加密、安全傳輸和認(rèn)證鑒權(quán)等安全服務(wù)。

考慮成本和現(xiàn)實(shí)因素，針對(duì)5G智能拍攝場(chǎng)景主要討論公網(wǎng)切片方案。公網(wǎng)切片解決方案需要考慮移動(dòng)拍攝與其他行業(yè)之間的隔離，以及智能遠(yuǎn)程拍攝本身不同業(yè)務(wù)之間的隔離，如圖1所示。因此，又可以從軟切片和硬切片兩個(gè)角度來(lái)看。一是針對(duì)普通視頻傳輸業(yè)務(wù)的軟切片方案，通常的模式依靠運(yùn)營(yíng)商建設(shè)端到端5G網(wǎng)絡(luò)，需求方租用公網(wǎng)的一張或多張切片，實(shí)現(xiàn)端到端網(wǎng)絡(luò)資源共享。根據(jù)視頻傳輸類(lèi)業(yè)務(wù)和遠(yuǎn)程控制類(lèi)業(yè)務(wù)，分配不同的切片。接入網(wǎng)切片，通過(guò)動(dòng)態(tài)分配視頻資源或完成調(diào)度優(yōu)先級(jí)設(shè)置；傳輸網(wǎng)切片，配置不同的隧道/偽線通道，根據(jù)不同切片標(biāo)識(shí)映射到不同VLAN；核心網(wǎng)切片，為不同的切片分配獨(dú)占的AMF/UPF/SMF。二是針對(duì)硬切片，適用于區(qū)分普通視頻業(yè)務(wù)和特需業(yè)務(wù)。接入網(wǎng)切片，采用時(shí)域、頻域、區(qū)域隔離，可分配靜態(tài)視頻資源并共享AAU/DU/CU等資源；傳輸網(wǎng)切片考慮配置L1或L0硬切片；核心網(wǎng)切片，通過(guò)分配獨(dú)占的UPF等網(wǎng)元設(shè)備能夠?qū)崿F(xiàn)完全隔離。針對(duì)移動(dòng)遠(yuǎn)程拍攝，可以共享部分控制面板網(wǎng)元，媒體面和其他控制面網(wǎng)元不共享。需求方可按需選擇軟硬混合的方案，靈活處理場(chǎng)景應(yīng)用需求和切片技術(shù)。

圖1 5G切片賦能移動(dòng)遠(yuǎn)程拍攝架構(gòu)圖

5G網(wǎng)絡(luò)切片可向需求方/使用方按需提供定制化網(wǎng)絡(luò)服務(wù)，并通過(guò)可視化WEB實(shí)現(xiàn)可視化操作管理等一系列服務(wù)。每一類(lèi)切片可按需構(gòu)建多個(gè)網(wǎng)絡(luò)切片實(shí)例，為智能拍攝領(lǐng)域提供端到端5G切片能力。通過(guò)動(dòng)態(tài)分配相互隔離的網(wǎng)絡(luò)資源，保障不同的業(yè)務(wù)數(shù)據(jù)之間實(shí)現(xiàn)隔離，同時(shí)確保多域協(xié)同。從而通過(guò)切片融合方案，提高整體系統(tǒng)服務(wù)的安全性。

此外，為了提供更加完善的全流程服務(wù)，可以通過(guò)運(yùn)營(yíng)商提供的5G切片能力和CDN管理平臺(tái)，進(jìn)一步對(duì)接拉通切片管理平臺(tái)、專(zhuān)業(yè)級(jí)視頻終端設(shè)備管理平臺(tái)，能夠打通各個(gè)應(yīng)用服務(wù)平臺(tái)，建立和維護(hù)視頻終端領(lǐng)域的業(yè)務(wù)管理平臺(tái)，如圖2所示。

圖2 基于5G切片的專(zhuān)業(yè)級(jí)智能遠(yuǎn)程拍攝構(gòu)建綜合管理平臺(tái)

3.2.2 安全+AI+邊緣計(jì)算輔助優(yōu)化

移動(dòng)智能拍攝的遠(yuǎn)程控制場(chǎng)景，通常具備固定機(jī)位和布線的特性，遠(yuǎn)程控制的移動(dòng)拍攝行為范圍能夠提前預(yù)知，因此有助于定制MEC安全防護(hù)策略。與傳統(tǒng)的攝影師行為復(fù)雜性、臨時(shí)性和不確定性相比，基于智能云臺(tái)和智能軌道的移動(dòng)遠(yuǎn)程拍攝模式較為簡(jiǎn)單可控，業(yè)務(wù)流量模型可預(yù)測(cè)。因此，在未來(lái)工作中，可以基于采集的網(wǎng)絡(luò)信息數(shù)據(jù)流，采用人工智能技術(shù)快速地進(jìn)行自主學(xué)習(xí)和訓(xùn)練，更加準(zhǔn)確地對(duì)智能拍攝的不同業(yè)務(wù)流量類(lèi)別和異常行為進(jìn)行檢測(cè)、定位和根源分析。針對(duì)戶(hù)外運(yùn)動(dòng)機(jī)位，當(dāng)畫(huà)面大面積區(qū)域景色沒(méi)有明顯變化時(shí)或大面積拍攝畫(huà)面都在實(shí)時(shí)變化時(shí)，通過(guò)AI技術(shù)實(shí)現(xiàn)預(yù)測(cè)分析，為不同的機(jī)位畫(huà)面提供更加智能的網(wǎng)絡(luò)流量分配，并同步為5G視頻智能拍攝提供全方位的安全分析預(yù)警、故障定位、業(yè)務(wù)感知及差異化服務(wù)，進(jìn)一步提供防御各類(lèi)安全威脅的能力。

3.3 平臺(tái)側(cè)安全方案

本節(jié)面向移動(dòng)遠(yuǎn)程拍攝場(chǎng)景的安全領(lǐng)域構(gòu)想一個(gè)全新的安全態(tài)勢(shì)感知平臺(tái)，可用于但不限于大型活動(dòng)的安全監(jiān)管方，綜合運(yùn)用大數(shù)據(jù)、AI等技術(shù)對(duì)智能拍攝的海量數(shù)據(jù)流進(jìn)行實(shí)時(shí)收集和綜合智能分析，使被動(dòng)防御變主動(dòng)預(yù)警，針對(duì)整個(gè)拍攝區(qū)域中各業(yè)務(wù)流量進(jìn)行分析，基于安全威脅態(tài)勢(shì)感知，以應(yīng)對(duì)網(wǎng)絡(luò)蠕蟲(chóng)、大規(guī)模網(wǎng)絡(luò)攻擊等各種安全威脅。

網(wǎng)絡(luò)態(tài)勢(shì)感知的基本目標(biāo)之一是對(duì)網(wǎng)絡(luò)環(huán)境的安全態(tài)勢(shì)進(jìn)行預(yù)測(cè)，隨著5G網(wǎng)絡(luò)廣泛覆蓋及其帶來(lái)的海量數(shù)據(jù)，這項(xiàng)工作對(duì)于各類(lèi)業(yè)務(wù)發(fā)展具有重要意義，也是網(wǎng)絡(luò)信息安全領(lǐng)域的研究熱點(diǎn)之一，幫助垂直行業(yè)領(lǐng)域的使用者以及網(wǎng)絡(luò)行業(yè)的從業(yè)者提供決策支持和快速響應(yīng)。其中，基于數(shù)據(jù)驅(qū)動(dòng)的方法是產(chǎn)業(yè)與學(xué)術(shù)界的主流選擇之一。利用可觀測(cè)數(shù)據(jù)和機(jī)器學(xué)習(xí)算法能夠按照業(yè)務(wù)需求建立相應(yīng)的數(shù)據(jù)模型。由于網(wǎng)絡(luò)側(cè)攻擊行為屬于非線性時(shí)間序列數(shù)據(jù)，因此本節(jié)主要選擇基于支持向量機(jī)SVM的改進(jìn)算法，用于移動(dòng)智能拍攝環(huán)境中的安全態(tài)勢(shì)預(yù)測(cè)。在確保視頻采集設(shè)備、智能云臺(tái)終端處于被監(jiān)管的前提下部署安全探針，對(duì)其在5G網(wǎng)絡(luò)下的各類(lèi)活動(dòng)操作進(jìn)行周期性采集，包括但不限于惡意軟件檢測(cè)、IDS和防火墻、漏洞掃描、滲透測(cè)試、在線測(cè)試和安全服務(wù)檢測(cè)等。同時(shí)，獲取網(wǎng)絡(luò)攻擊等惡意行為，全面覆蓋包括網(wǎng)絡(luò)結(jié)構(gòu)數(shù)據(jù)、網(wǎng)絡(luò)服務(wù)數(shù)據(jù)、漏洞數(shù)據(jù)、脆弱性數(shù)據(jù)、威脅與入侵?jǐn)?shù)據(jù)、用戶(hù)異常行為數(shù)據(jù)等。

結(jié)合圖3所述流程圖，本節(jié)所提出的網(wǎng)絡(luò)安全態(tài)勢(shì)感知預(yù)測(cè)流程主要包含5個(gè)步驟。步驟1根據(jù)移動(dòng)遠(yuǎn)程控制智能拍攝應(yīng)用場(chǎng)景采集網(wǎng)絡(luò)原始數(shù)據(jù)，分別構(gòu)造樣本集和測(cè)試集，分離得到特征矩陣和標(biāo)簽矩陣。步驟2對(duì)樣本數(shù)據(jù)進(jìn)行LDA優(yōu)化處理以去除冗余、復(fù)雜的信息，計(jì)算獲得最佳投影空間內(nèi)的樣本矩陣和投影矩陣。步驟3構(gòu)建基于SVM的模型，將步驟2中的樣本矩陣作為輸入、樣本矩陣對(duì)應(yīng)的攻擊類(lèi)別作為訓(xùn)練輸出。步驟4經(jīng)過(guò)一輪SVM感知后，加入粒子群優(yōu)化算法輔助預(yù)測(cè)模型，通過(guò)適應(yīng)度函數(shù)調(diào)整每個(gè)粒子至較優(yōu)的區(qū)域，從而整體上能搜尋到最優(yōu)解。步驟5得到對(duì)應(yīng)的態(tài)勢(shì)感知結(jié)果，融合移動(dòng)智能拍攝應(yīng)用方的系統(tǒng)控制平臺(tái)，支持網(wǎng)絡(luò)安全結(jié)果監(jiān)控與展示。

圖3 算法流程圖

在網(wǎng)絡(luò)安全態(tài)勢(shì)預(yù)測(cè)的能力基礎(chǔ)之上，進(jìn)一步提出面向移動(dòng)智能遠(yuǎn)程控制拍攝的安全態(tài)勢(shì)感知與風(fēng)險(xiǎn)控制系統(tǒng)，整體工作流程框架如圖4所示。借助于底層的通用組件能力，以基于LDA-SVM的感知預(yù)測(cè)模型作為安全態(tài)勢(shì)感知核心模塊，結(jié)合數(shù)據(jù)采集和智能拍攝控制系統(tǒng)，打造一套完整的遠(yuǎn)程控制拍攝下網(wǎng)絡(luò)安全態(tài)勢(shì)感知體系。

圖4 安全態(tài)勢(shì)感知平臺(tái)系統(tǒng)架構(gòu)圖

首先，利用安全探針技術(shù)進(jìn)行設(shè)備運(yùn)行數(shù)據(jù)采集與要素提取，采集基于智能云臺(tái)或智能軌道的移動(dòng)拍攝設(shè)備的狀態(tài)信息和配置信息，結(jié)合現(xiàn)場(chǎng)網(wǎng)絡(luò)的復(fù)雜性和不確定性，從視頻業(yè)務(wù)流量指標(biāo)、威脅指標(biāo)、環(huán)境指標(biāo)三個(gè)維度提取態(tài)勢(shì)要素，通過(guò)量化算法獲取觀測(cè)序列，構(gòu)建態(tài)勢(shì)感知框架。其次，通過(guò)設(shè)計(jì)層次化視頻領(lǐng)域網(wǎng)絡(luò)態(tài)勢(shì)評(píng)估模型，結(jié)合多指標(biāo)信息融合，實(shí)現(xiàn)安全態(tài)勢(shì)評(píng)估。由于視頻拍攝的不同時(shí)間段、不同區(qū)域的網(wǎng)絡(luò)性能有所區(qū)別，從而受到攻擊的影響和程度也有所不同，因此可基于評(píng)估環(huán)節(jié)實(shí)現(xiàn)威脅的權(quán)重分析。最后，進(jìn)行安全態(tài)勢(shì)感知與防御，在端到端通信鏈路中，持續(xù)采集告警數(shù)據(jù)和運(yùn)行狀態(tài)數(shù)據(jù)，通過(guò)攻擊步驟與告警信息的關(guān)聯(lián)度完成安全風(fēng)險(xiǎn)預(yù)警?？擅嫦虼笠?guī)模視頻采集場(chǎng)景實(shí)現(xiàn)網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估和穩(wěn)定集中監(jiān)控，為管理方提供全域安全態(tài)勢(shì)監(jiān)控[10]。

4 應(yīng)對(duì)未來(lái)5G安全風(fēng)險(xiǎn)挑戰(zhàn)的建議

基于《超高清視頻產(chǎn)業(yè)發(fā)展行動(dòng)計(jì)劃(2019—2022年)》的發(fā)布實(shí)施，超高清視頻產(chǎn)業(yè)鏈各環(huán)節(jié)持續(xù)發(fā)力，產(chǎn)業(yè)市場(chǎng)規(guī)?？焖僭鲩L(zhǎng)[11]。超高清視頻與5G、AI、VR等新一代信息技術(shù)深度融合，將催生大量新場(chǎng)景、新應(yīng)用、新模式。本文所提出的5G移動(dòng)智能拍攝場(chǎng)景目前只是發(fā)展初期，未來(lái)更多富有創(chuàng)造力的應(yīng)用場(chǎng)景將會(huì)被實(shí)現(xiàn)，大視頻化、泛視頻化將成為發(fā)展趨勢(shì)。因此，網(wǎng)絡(luò)視頻信息的安全風(fēng)險(xiǎn)需要在當(dāng)前階段充分考慮，并在發(fā)展過(guò)程中不斷迭代完善形成行業(yè)認(rèn)同的可靠應(yīng)對(duì)策略。

結(jié)合5G技術(shù)和AI、大數(shù)據(jù)、區(qū)塊鏈等技術(shù)的廣泛應(yīng)用，為適應(yīng)更加復(fù)雜和難以預(yù)料的需求和場(chǎng)景，建議構(gòu)建完整的移動(dòng)網(wǎng)絡(luò)遠(yuǎn)程視頻拍攝系統(tǒng)的事前、事中、事后閉環(huán)防護(hù)鏈，打造安全高效的視頻信息安全管理機(jī)制。事前基于專(zhuān)用的漏洞掃描工具檢測(cè)前端采集設(shè)備及智能云臺(tái)等硬件本身存在的漏洞，提前加固，并定期升級(jí)資產(chǎn)固件、更新密碼、增強(qiáng)密碼強(qiáng)度，加強(qiáng)前后端設(shè)備的統(tǒng)一安全認(rèn)證機(jī)制，以此達(dá)到預(yù)防的效果。事中網(wǎng)絡(luò)傳輸過(guò)程，通過(guò)部署DDoS檢測(cè)防御系統(tǒng)、開(kāi)啟身份標(biāo)識(shí)以及空口數(shù)據(jù)包的加密功能保證空口安全；部署IPSEC安全加密保障承載網(wǎng)安全等[12]。事后建立系統(tǒng)和數(shù)據(jù)異地容災(zāi)機(jī)制，建立有效的安全審計(jì)機(jī)制，并考慮安全的數(shù)據(jù)存儲(chǔ)機(jī)制。綜上所述，安全風(fēng)險(xiǎn)應(yīng)對(duì)策略需要根據(jù)不同的使用場(chǎng)景進(jìn)行提前定制化規(guī)劃，才能達(dá)到最佳的安全防護(hù)效果。

5 結(jié)語(yǔ)

5G網(wǎng)絡(luò)演進(jìn)正在持續(xù)拓展新能力并發(fā)展跨行業(yè)創(chuàng)新應(yīng)用，未來(lái)更加開(kāi)放的網(wǎng)絡(luò)、豐富多樣化的各類(lèi)泛智能終端將加速泛在鏈接和泛在覆蓋，創(chuàng)新業(yè)務(wù)模式也需要不斷適應(yīng)更加復(fù)雜的網(wǎng)絡(luò)環(huán)境。因此，在開(kāi)展各類(lèi)創(chuàng)新業(yè)務(wù)的同時(shí)，應(yīng)同步考慮日益突出的網(wǎng)絡(luò)信息安全問(wèn)題，統(tǒng)籌建立5G安全智能應(yīng)對(duì)策略，為5G視頻領(lǐng)域乃至整個(gè)產(chǎn)業(yè)鏈、全行業(yè)的創(chuàng)新領(lǐng)域，共同構(gòu)建安全互信的健康5G生態(tài)。