在物聯(lián)網(wǎng)、大數(shù)據(jù)等技術(shù)應(yīng)用的推動下，視頻監(jiān)控網(wǎng)絡(luò)已滲透到生活的方方面面，在家庭安防、交通監(jiān)控、智慧城市建設(shè)等領(lǐng)域發(fā)揮著不可替代的作用。尤其是在全國范圍內(nèi)推行的“科技強警建設(shè)工程”、“3111 工程”、“平安城市”、“天網(wǎng)工程”等重大安防項目，視頻監(jiān)控網(wǎng)絡(luò)建設(shè)是核心的“驅(qū)動力”之一。

但是，視頻監(jiān)控網(wǎng)絡(luò)覆蓋面的急劇擴大，網(wǎng)絡(luò)安全問題也日趨嚴重，針對攝像頭等視頻監(jiān)控網(wǎng)絡(luò)的惡意程序頻繁出現(xiàn)。2015年初，國內(nèi)政府機關(guān)和公共行業(yè)廣泛使用的某型號監(jiān)控設(shè)備被曝存在高危漏洞，并已被利用植入惡意代碼，導致部分設(shè)備被遠程控制并可對外發(fā)動網(wǎng)絡(luò)攻擊；2017年，物聯(lián)網(wǎng)惡意軟件Mirai利用接入互聯(lián)網(wǎng)的視頻監(jiān)控設(shè)備實施大規(guī)模DDoS攻擊，其感染的僵尸網(wǎng)絡(luò)迅速擴大，數(shù)百萬的視頻監(jiān)控終端被感染成為“肉雞”……

針對視頻監(jiān)控網(wǎng)絡(luò)存在的問題，安恒信息從前端安全、邊界安全、網(wǎng)絡(luò)安全、數(shù)據(jù)安全和管理安全入手，采用自適應(yīng)的安全防護系統(tǒng)架構(gòu)，結(jié)合安全體系中的“事前檢測、事中防護、事后追溯”的防護理念，以視頻監(jiān)控網(wǎng)絡(luò)安全態(tài)勢感知平臺為核心，構(gòu)建立體化的視頻監(jiān)控網(wǎng)絡(luò)安全防護體系。

視頻監(jiān)控網(wǎng)絡(luò)風險分析

視頻監(jiān)控網(wǎng)絡(luò)與傳統(tǒng)網(wǎng)絡(luò)不同，整體架構(gòu)更為復雜，大量終端部署在室外等非隔離網(wǎng)絡(luò)環(huán)境中，存在終端資產(chǎn)數(shù)量特別多、網(wǎng)絡(luò)邊界不清晰、網(wǎng)絡(luò)關(guān)系復雜、部署環(huán)境多樣化等特點，這也導致了視頻監(jiān)控網(wǎng)絡(luò)內(nèi)外網(wǎng)，都面臨著多樣化的安全風險。主要包含以下幾個方面：

1、資產(chǎn)狀態(tài)無法實時感知

視頻監(jiān)控設(shè)備通常數(shù)量非常龐大、部署位置分散，可能會出現(xiàn)斷網(wǎng)、設(shè)備故障、狀態(tài)異常等情況，因此，需要對物聯(lián)網(wǎng)設(shè)備狀態(tài)進行實時的監(jiān)控，及時發(fā)現(xiàn)異常設(shè)備并預警。

2、前端設(shè)備弱口令或無口令

視頻監(jiān)控設(shè)備往往管理難度極大，極易存在弱口令，甚至不設(shè)置密碼等問題，一旦被黑客利用后果嚴重。因此，需要及時發(fā)現(xiàn)監(jiān)控系統(tǒng)存在的弱口令問題，并采取更復雜的的鑒權(quán)或口令強化。

3、前端設(shè)備系統(tǒng)漏洞被利用

視頻監(jiān)控設(shè)備通常都已經(jīng)智能化，大多都有自己的操作系統(tǒng)，以Linux為主，而系統(tǒng)自身可能會存在系統(tǒng)漏洞，比如溢出、越權(quán)等。因此，需要實時監(jiān)測未修復漏洞，并進行及時修復，否則極易被不法分子利用而入侵設(shè)備。

4、前端非法接入敏感信息易泄露

視頻監(jiān)控設(shè)備類型多樣、地理位置分布廣，一旦前端有非法接入，即可連接到系統(tǒng)網(wǎng)絡(luò)內(nèi)部，內(nèi)部敏感信息極容易被泄露；同時，不法分子還能對系統(tǒng)網(wǎng)絡(luò)內(nèi)部其他聯(lián)網(wǎng)設(shè)備進行攻擊，可能會產(chǎn)生極為嚴重的影響。因此，需要對這些設(shè)備進行及時監(jiān)控，發(fā)現(xiàn)其中非法接入的物聯(lián)網(wǎng)設(shè)備類型并告知監(jiān)管人員及時作出處理。

5、身份偽造被惡意利用

視頻監(jiān)控設(shè)備可能分布位置非常分散，容易被惡意攻擊利用，遭到替換設(shè)備并偽造身份，被利用作為攻擊源，甚至會通過偽造的設(shè)備入侵到內(nèi)網(wǎng)，對其他相關(guān)設(shè)備進行攻擊，進而對整體物聯(lián)網(wǎng)造成安全威脅。

6、惡意代碼入侵傳播

視頻傳輸專網(wǎng)與其他專網(wǎng)、互聯(lián)網(wǎng)網(wǎng)絡(luò)邊界互聯(lián)缺乏規(guī)范的技術(shù)防護。在內(nèi)部網(wǎng)絡(luò)，前端設(shè)備基本處于零防護的狀態(tài)，僅有系統(tǒng)用戶密碼認證等簡單的安全措施。面對越來越復雜的APT攻擊、黑客入侵、內(nèi)部非法人員的滲透，網(wǎng)絡(luò)極易被攻破，內(nèi)部網(wǎng)絡(luò)中的服務(wù)器、終端和視頻設(shè)備一旦被入侵，可能造成視頻監(jiān)控設(shè)備被感染、內(nèi)部大規(guī)模傳播、網(wǎng)絡(luò)不可用等安全風險。

搭建視頻監(jiān)控網(wǎng)絡(luò)安全架構(gòu)

根據(jù)視頻監(jiān)控網(wǎng)絡(luò)的系統(tǒng)現(xiàn)狀與特點，需要有重點的合理劃分安全區(qū)域、確定安全邊界，進行分區(qū)分域防護。依據(jù)國家信息安全等級保護制度和信息保障技術(shù)框架，針對視頻監(jiān)控網(wǎng)絡(luò)各區(qū)域脆弱點與風險，結(jié)合前端、邊界、網(wǎng)絡(luò)和管理多個層次安全綜合考慮，構(gòu)建一套以視頻監(jiān)控網(wǎng)絡(luò)安全態(tài)勢感知為核心的立體化網(wǎng)絡(luò)安全防護體系。

圖：視頻監(jiān)控網(wǎng)絡(luò)總體安全架構(gòu)

1.前端安全

主要包括前端接入的攝像機及其他設(shè)備。應(yīng)建立前端安全防護機制，實現(xiàn)對前端接入資源的有效識別和安全管理。通過對前端智能設(shè)備，如智能攝像頭等前端資產(chǎn)安全狀態(tài)監(jiān)測，快速對視頻監(jiān)控前端設(shè)備進行安全檢查，掃描資產(chǎn)，形成資產(chǎn)指紋庫，發(fā)現(xiàn)弱口令、漏洞、非法接入等安全問題，提供安全加固技術(shù)手段，實現(xiàn)對前端的安全防護、數(shù)據(jù)加密和安全管控。

2.邊界安全

視頻監(jiān)控網(wǎng)絡(luò)邊界主要包含視頻監(jiān)控網(wǎng)絡(luò)與社會資源網(wǎng)，及其他專網(wǎng)等區(qū)域之間的通信邊界。邊界安全建設(shè)必須實現(xiàn)網(wǎng)絡(luò)隔離，并實現(xiàn)訪問權(quán)限控制；針對前端攝像頭接入視頻專網(wǎng)，進行嚴密準入管控，確保僅有授權(quán)的、合法的視頻終端接入網(wǎng)絡(luò)。通過識別傳輸數(shù)據(jù)的應(yīng)用層協(xié)議特征與動態(tài)端口號，只允許授權(quán)的數(shù)據(jù)流及控制信令進入視頻監(jiān)控系統(tǒng)，禁止其他非法數(shù)據(jù)接入。

3.網(wǎng)絡(luò)安全

視頻監(jiān)控網(wǎng)絡(luò)安全須針對網(wǎng)絡(luò)中的威脅進行實時檢測、準確監(jiān)測網(wǎng)絡(luò)異常流量，能夠?qū)α髁恐袏A雜的DDoS攻擊實現(xiàn)有效防御；具有網(wǎng)絡(luò)攻擊防護、入侵防護、病毒防護等安全防護措施，實現(xiàn)對各類攻擊有效識別和阻斷；對鏈路中的相關(guān)設(shè)備運行狀況、網(wǎng)絡(luò)流量、用戶行為等進行審計和管控。

4.數(shù)據(jù)安全

針對視頻數(shù)據(jù)傳輸安全需要結(jié)合數(shù)據(jù)簽名和鏈路加密等多方面的技術(shù)，針對接入前端進行設(shè)備和用戶身份認證，在視頻數(shù)據(jù)源進行簽名和結(jié)果進行完整性校驗，結(jié)合傳輸和存儲加密機制，基于統(tǒng)一的秘鑰更新與分發(fā)體系，從多個方面確保數(shù)據(jù)安全。

5.管理安全

視頻監(jiān)控網(wǎng)絡(luò)管理安全包含漏洞管理、資產(chǎn)管理、應(yīng)用防護、日志審計、秘鑰管理和運維管理等幾個方面，達到視頻監(jiān)控網(wǎng)絡(luò)各種類型資產(chǎn)監(jiān)管及風險預警的效果，可對本前端資產(chǎn)狀態(tài)、網(wǎng)絡(luò)狀態(tài)及安全狀態(tài)進行統(tǒng)一監(jiān)測，可發(fā)現(xiàn)異常接入、異常鏈路、非法入侵等并進行實時告警及溯源，與各區(qū)域安全設(shè)備及平臺進行數(shù)據(jù)對接，實現(xiàn)整體視頻監(jiān)控網(wǎng)絡(luò)的安全態(tài)勢感知。

6.架構(gòu)與服務(wù)

實現(xiàn)立體化的視頻監(jiān)控網(wǎng)絡(luò)安全防護體系，需要基于視頻監(jiān)控網(wǎng)絡(luò)的特點構(gòu)建自適應(yīng)的安全防護架構(gòu)，從檢測、響應(yīng)、防護和預測幾個維度實現(xiàn)安全閉環(huán)。當檢測到某個區(qū)域/節(jié)點出現(xiàn)安全事件時，能夠自動響應(yīng)并對事件進行處置，同時將處置策略同步到整體平臺，基于對視頻監(jiān)控網(wǎng)絡(luò)的持續(xù)評估，在風險被利用之前能夠進行預測并采取防護措施，再結(jié)合人工安全響應(yīng)服務(wù)，建立周期性的自適應(yīng)安全防護體系。

方案特點

1.端到端的數(shù)據(jù)安全加密

采用端到端的數(shù)據(jù)安全加密技術(shù)，內(nèi)置高強度標準加密算法，利用密文密鑰分離機制確保數(shù)據(jù)全過程加密，從而實現(xiàn)全過程數(shù)據(jù)安全加密防護，提供數(shù)據(jù)從客戶端、傳輸、存儲和應(yīng)用加密服務(wù)，保障音視頻數(shù)據(jù)傳輸安全。

2.聯(lián)網(wǎng)資產(chǎn)安全監(jiān)測

物聯(lián)網(wǎng)安全監(jiān)測引擎通過高速對視頻監(jiān)控設(shè)備安全監(jiān)測和狀態(tài)監(jiān)測，及時識別資產(chǎn)指紋、漏洞、非法接入、異常偽造等問題，并上報視頻監(jiān)控網(wǎng)絡(luò)安全態(tài)勢感知與管控中心。

3.機器學習驅(qū)動的安全分析

針對海量的多維原始行為數(shù)據(jù)，建立機器學習算法模型，基于多維數(shù)據(jù)樣本訓練進行分類聚類，快速識別異常行為。

4.事前、事中、事后的一體化防護

針對視頻監(jiān)控網(wǎng)絡(luò)安全事件的事前、事中、事后三個生命周期過程，不同的階段我們可以有針對性地采用安全措施，三個生命周期的安全任務(wù)即事前預防為主，事中有效防護，事后追溯審計。

5.統(tǒng)一安全管理與態(tài)勢評估

通過部署視頻監(jiān)控網(wǎng)絡(luò)安全態(tài)勢感知與管控中心，實現(xiàn)整網(wǎng)資產(chǎn)安全狀態(tài)可視化，威脅情報實時通報預警，網(wǎng)絡(luò)安全態(tài)勢實時可查、整網(wǎng)安全態(tài)勢可評估。

在法制日報舉辦的2019全國政法智能化建設(shè)創(chuàng)新案例征集活動，安恒視頻監(jiān)控物聯(lián)網(wǎng)態(tài)勢感知平臺入選“雪亮工程十大創(chuàng)新產(chǎn)品”。目前該解決方案已經(jīng)成功應(yīng)用在北京、浙江、江蘇、安徽、山東等多個省市，有效解決了用戶在視頻網(wǎng)建設(shè)中攝像頭終端及數(shù)據(jù)面臨的安全防護難題。