视频监控设备安全事件频发,凸显安防企业网络安全意识缺失
当今的全球信息化时代,随着信息通信技术的发展和普及,联接已成为新的常态。越来越多的摄像头、传感器、手机等终端被广泛部署,并由无处不在的网络联接起来,物理世界得以更准确地在数字世界中呈现,这使得我们可以更好地观察、分析、应用物理世界的数据,且不再受时空束缚。
而当终端设备一旦分布在互联网、移动通信网、物联网、车联网等物理网络,就不可避免的会遭受入侵、攻击、窃听、篡改等网络威胁。可以说,便捷拜网络和技术所赐,风险也因网络和技术而生。安防系统目的是为了维护整个社会治安稳定,涉及大量的用户隐私数据,因此从事安防行业的企业更加应该重视网络安全风险。然而现实,却不容乐观:
2014年4月,央视报道市场上大部分家庭摄像机“曝光”隐私,摄像机不再照看家庭的安全,而是将家庭的隐私曝光在网络上;
2014年12月,乌云安全团队披露,某厂商数字录像机被攻击后感染了病毒,变成了僵尸网络的一部分,被用于扫描存在漏洞的其它网站。此外有的DVR还被安装了比特币挖矿程序,沦为黑客的挣钱工具;
包括近期大家熟知的江苏公安厅发文称某厂商设备“存在严重安全隐患”、“部分设备已经被境外IP地址控制”事件;
诸如此类事件不胜枚举。
作为守护大众安全的设备,为何自身的网络安全漏洞反而如此之多?其实,这背后反映的是安防业内大多数企业的网络安全意识淡薄、产品安全防护技术手段欠缺的普遍现状。
集光安防携手华为打造IPC(网络摄像机)安全接入解决方案
网络摄像机“麻雀虽小五脏俱全”,除了光学镜头、图像传感器、图像编码压缩芯片、控制器、网络服务器等硬件外,还包含操作系统、硬件驱动软件、图像编码压缩算法软件、视频应用软件等各类软件。网络摄像机安全防范机制的设计需要从系统层面、应用层面、管理层面全面考虑。
该方案基于对网络安全的深透理解和多年技术积累,为集光安防的所有网络摄像机打造了全方位的网络摄像机技术安全体系,确保网络摄像机的系统安全和数据隐私安全。
首先,该方案在安全性架构设计时采用了7重安全防护机制:
强密码管理机制:使用强密码策略:如密码长度限制、强制字符组合及弱密码检测等,防止密码攻击;修改密码时验证旧密码、验证通过才能修改,初始密码可配置为必须修改才可登录系统;
密码加密保存,不允许明文保存或显示;
认证与会话控制:能对设备系统进行管理的物理接口和协议均有接入认证机制,必须输入正确的用户名和口令才能登录系统;用户登录连续多次输入错误密码后用户名被锁定,无法登录系统;
最小授权规则:系统中新建的用户,默认只有最小的权限;
文件授权管理:非授权用户不能访问文件;
安全日志:所有的用户活动和操作指令均记录日志,日志内容能支撑事后的审计,日志有访问控制,且只有管理员才能有删除权限。
加密算法:使用高安全等级加密算法(SHA256、AES128等),降低敏感信息被破解的风险;不使用私有算法;
安全协议:使用高级别安全协议对设备进行维护管理,如SSHV2、TLS1.1、FTPS。
其次,集光安防的所有产品出厂前必须经过华为定义的13类108条的网络安全测试规范,全面的、严格的测试网络摄像机等所有产品的网络安全防护体系的实现情况,确保集光安防的产品在法律合规下确保用户的通信内容、个人数据及隐私的安全。
另外,集光安防网络摄像机在设备上线后,还有8种特色技术来保障系统安全和数据完整:
IP地址过滤:为了防止恶意IP对IPC进行网络攻击,设置可以或禁止访问IPC的特定IP地址段,IPC将丢弃非法IP发过来的所有数据包。
802.1x 接入认证:限制未经授权的用户/设备通过交换机接入端口访问到LAN/WLAN中的网络摄像机图像,杜绝未授权用户或设备的非法访问。
AES码流加密:编码输出后RTP打包之前对视频流进行AES加密后在进行平台侧再解密后存储;因此,即使码流在传输过程中被窃取也无法使用,从而避免视频被非法使用;
数字水印:编码时提取当前帧的特征信息,并结合用户设置的特征值运算得到帧数据的唯一水印值,平台使用同样算法判断接收到水印值与当前计算出来的水印值是否一致,不一致时提示告警。
缓存补录:出现网络故障时,录像缓存在摄像机内部的存储介质上;当网络恢复后发起补录,避免视频数据因网络故障而丢失;
媒体流前向纠错:在网络状况差而导致丢包错包较多时,IPC编码时增加数据纠错包,平台利用算法将丢失的数据恢复出来,避免数据丢失;
MTU可设置:摄像机根据用户设置的最大传输单元调整发送媒体数据包大小,网络设备自动以合适大小数据包改善网络传输情况,避免网络传输中丢失媒体数据包;
QoS可设置:用户可根据实际网络情况设置IPC媒体流和信令流的优先级,网络传输设备则据此优先级传输媒体流和信令流,避免延迟或丢弃;
借助上述三组网络安全防护手段,集光安防网络摄像机构建起了堪称业界最完善的安全防护体系,产品系统安全和业务数据完整都得到了最大的保障。