在物聯(lián)網(wǎng)、大數(shù)據(jù)等技術(shù)應(yīng)用的推動(dòng)下，視頻監(jiān)控網(wǎng)絡(luò)已滲透到生活的方方面面，在家庭安防、交通監(jiān)控、智慧城市建設(shè)等領(lǐng)域發(fā)揮著不可替代的作用。尤其是在全國范圍內(nèi)推行的“科技強(qiáng)警建設(shè)工程”、“3111 工程”、“平安城市”、“天網(wǎng)工程”等重大安防項(xiàng)目，視頻監(jiān)控網(wǎng)絡(luò)建設(shè)是核心的“驅(qū)動(dòng)力”之一。

但是，視頻監(jiān)控網(wǎng)絡(luò)覆蓋面的急劇擴(kuò)大，網(wǎng)絡(luò)安全問題也日趨嚴(yán)重，針對(duì)攝像頭等視頻監(jiān)控網(wǎng)絡(luò)的惡意程序頻繁出現(xiàn)。2015年初，國內(nèi)政府機(jī)關(guān)和公共行業(yè)廣泛使用的某型號(hào)監(jiān)控設(shè)備被曝存在高危漏洞，并已被利用植入惡意代碼，導(dǎo)致部分設(shè)備被遠(yuǎn)程控制并可對(duì)外發(fā)動(dòng)網(wǎng)絡(luò)攻擊；2017年，物聯(lián)網(wǎng)惡意軟件Mirai利用接入互聯(lián)網(wǎng)的視頻監(jiān)控設(shè)備實(shí)施大規(guī)模DDoS攻擊，其感染的僵尸網(wǎng)絡(luò)迅速擴(kuò)大，數(shù)百萬的視頻監(jiān)控終端被感染成為“肉雞”……

針對(duì)視頻監(jiān)控網(wǎng)絡(luò)存在的問題，安恒信息從前端安全、邊界安全、網(wǎng)絡(luò)安全、數(shù)據(jù)安全和管理安全入手，采用自適應(yīng)的安全防護(hù)系統(tǒng)架構(gòu)，結(jié)合安全體系中的“事前檢測、事中防護(hù)、事后追溯”的防護(hù)理念，以視頻監(jiān)控網(wǎng)絡(luò)安全態(tài)勢感知平臺(tái)為核心，構(gòu)建立體化的視頻監(jiān)控網(wǎng)絡(luò)安全防護(hù)體系。

視頻監(jiān)控網(wǎng)絡(luò)風(fēng)險(xiǎn)分析

視頻監(jiān)控網(wǎng)絡(luò)與傳統(tǒng)網(wǎng)絡(luò)不同，整體架構(gòu)更為復(fù)雜，大量終端部署在室外等非隔離網(wǎng)絡(luò)環(huán)境中，存在終端資產(chǎn)數(shù)量特別多、網(wǎng)絡(luò)邊界不清晰、網(wǎng)絡(luò)關(guān)系復(fù)雜、部署環(huán)境多樣化等特點(diǎn)，這也導(dǎo)致了視頻監(jiān)控網(wǎng)絡(luò)內(nèi)外網(wǎng)，都面臨著多樣化的安全風(fēng)險(xiǎn)。主要包含以下幾個(gè)方面：

1、資產(chǎn)狀態(tài)無法實(shí)時(shí)感知

視頻監(jiān)控設(shè)備通常數(shù)量非常龐大、部署位置分散，可能會(huì)出現(xiàn)斷網(wǎng)、設(shè)備故障、狀態(tài)異常等情況，因此，需要對(duì)物聯(lián)網(wǎng)設(shè)備狀態(tài)進(jìn)行實(shí)時(shí)的監(jiān)控，及時(shí)發(fā)現(xiàn)異常設(shè)備并預(yù)警。

2、前端設(shè)備弱口令或無口令

視頻監(jiān)控設(shè)備往往管理難度極大，極易存在弱口令，甚至不設(shè)置密碼等問題，一旦被黑客利用后果嚴(yán)重。因此，需要及時(shí)發(fā)現(xiàn)監(jiān)控系統(tǒng)存在的弱口令問題，并采取更復(fù)雜的的鑒權(quán)或口令強(qiáng)化。

3、前端設(shè)備系統(tǒng)漏洞被利用

視頻監(jiān)控設(shè)備通常都已經(jīng)智能化，大多都有自己的操作系統(tǒng)，以Linux為主，而系統(tǒng)自身可能會(huì)存在系統(tǒng)漏洞，比如溢出、越權(quán)等。因此，需要實(shí)時(shí)監(jiān)測未修復(fù)漏洞，并進(jìn)行及時(shí)修復(fù)，否則極易被不法分子利用而入侵設(shè)備。

4、前端非法接入敏感信息易泄露

視頻監(jiān)控設(shè)備類型多樣、地理位置分布廣，一旦前端有非法接入，即可連接到系統(tǒng)網(wǎng)絡(luò)內(nèi)部，內(nèi)部敏感信息極容易被泄露；同時(shí)，不法分子還能對(duì)系統(tǒng)網(wǎng)絡(luò)內(nèi)部其他聯(lián)網(wǎng)設(shè)備進(jìn)行攻擊，可能會(huì)產(chǎn)生極為嚴(yán)重的影響。因此，需要對(duì)這些設(shè)備進(jìn)行及時(shí)監(jiān)控，發(fā)現(xiàn)其中非法接入的物聯(lián)網(wǎng)設(shè)備類型并告知監(jiān)管人員及時(shí)作出處理。

5、身份偽造被惡意利用

視頻監(jiān)控設(shè)備可能分布位置非常分散，容易被惡意攻擊利用，遭到替換設(shè)備并偽造身份，被利用作為攻擊源，甚至?xí)ㄟ^偽造的設(shè)備入侵到內(nèi)網(wǎng)，對(duì)其他相關(guān)設(shè)備進(jìn)行攻擊，進(jìn)而對(duì)整體物聯(lián)網(wǎng)造成安全威脅。

6、惡意代碼入侵傳播

視頻傳輸專網(wǎng)與其他專網(wǎng)、互聯(lián)網(wǎng)網(wǎng)絡(luò)邊界互聯(lián)缺乏規(guī)范的技術(shù)防護(hù)。在內(nèi)部網(wǎng)絡(luò)，前端設(shè)備基本處于零防護(hù)的狀態(tài)，僅有系統(tǒng)用戶密碼認(rèn)證等簡單的安全措施。面對(duì)越來越復(fù)雜的APT攻擊、黑客入侵、內(nèi)部非法人員的滲透，網(wǎng)絡(luò)極易被攻破，內(nèi)部網(wǎng)絡(luò)中的服務(wù)器、終端和視頻設(shè)備一旦被入侵，可能造成視頻監(jiān)控設(shè)備被感染、內(nèi)部大規(guī)模傳播、網(wǎng)絡(luò)不可用等安全風(fēng)險(xiǎn)。

搭建視頻監(jiān)控網(wǎng)絡(luò)安全架構(gòu)

根據(jù)視頻監(jiān)控網(wǎng)絡(luò)的系統(tǒng)現(xiàn)狀與特點(diǎn)，需要有重點(diǎn)的合理劃分安全區(qū)域、確定安全邊界，進(jìn)行分區(qū)分域防護(hù)。依據(jù)國家信息安全等級(jí)保護(hù)制度和信息保障技術(shù)框架，針對(duì)視頻監(jiān)控網(wǎng)絡(luò)各區(qū)域脆弱點(diǎn)與風(fēng)險(xiǎn)，結(jié)合前端、邊界、網(wǎng)絡(luò)和管理多個(gè)層次安全綜合考慮，構(gòu)建一套以視頻監(jiān)控網(wǎng)絡(luò)安全態(tài)勢感知為核心的立體化網(wǎng)絡(luò)安全防護(hù)體系。

圖：視頻監(jiān)控網(wǎng)絡(luò)總體安全架構(gòu)

1.前端安全

主要包括前端接入的攝像機(jī)及其他設(shè)備。應(yīng)建立前端安全防護(hù)機(jī)制，實(shí)現(xiàn)對(duì)前端接入資源的有效識(shí)別和安全管理。通過對(duì)前端智能設(shè)備，如智能攝像頭等前端資產(chǎn)安全狀態(tài)監(jiān)測，快速對(duì)視頻監(jiān)控前端設(shè)備進(jìn)行安全檢查，掃描資產(chǎn)，形成資產(chǎn)指紋庫，發(fā)現(xiàn)弱口令、漏洞、非法接入等安全問題，提供安全加固技術(shù)手段，實(shí)現(xiàn)對(duì)前端的安全防護(hù)、數(shù)據(jù)加密和安全管控。

2.邊界安全

視頻監(jiān)控網(wǎng)絡(luò)邊界主要包含視頻監(jiān)控網(wǎng)絡(luò)與社會(huì)資源網(wǎng)，及其他專網(wǎng)等區(qū)域之間的通信邊界。邊界安全建設(shè)必須實(shí)現(xiàn)網(wǎng)絡(luò)隔離，并實(shí)現(xiàn)訪問權(quán)限控制；針對(duì)前端攝像頭接入視頻專網(wǎng)，進(jìn)行嚴(yán)密準(zhǔn)入管控，確保僅有授權(quán)的、合法的視頻終端接入網(wǎng)絡(luò)。通過識(shí)別傳輸數(shù)據(jù)的應(yīng)用層協(xié)議特征與動(dòng)態(tài)端口號(hào)，只允許授權(quán)的數(shù)據(jù)流及控制信令進(jìn)入視頻監(jiān)控系統(tǒng)，禁止其他非法數(shù)據(jù)接入。

3.網(wǎng)絡(luò)安全

視頻監(jiān)控網(wǎng)絡(luò)安全須針對(duì)網(wǎng)絡(luò)中的威脅進(jìn)行實(shí)時(shí)檢測、準(zhǔn)確監(jiān)測網(wǎng)絡(luò)異常流量，能夠?qū)α髁恐袏A雜的DDoS攻擊實(shí)現(xiàn)有效防御；具有網(wǎng)絡(luò)攻擊防護(hù)、入侵防護(hù)、病毒防護(hù)等安全防護(hù)措施，實(shí)現(xiàn)對(duì)各類攻擊有效識(shí)別和阻斷；對(duì)鏈路中的相關(guān)設(shè)備運(yùn)行狀況、網(wǎng)絡(luò)流量、用戶行為等進(jìn)行審計(jì)和管控。

4.數(shù)據(jù)安全

針對(duì)視頻數(shù)據(jù)傳輸安全需要結(jié)合數(shù)據(jù)簽名和鏈路加密等多方面的技術(shù)，針對(duì)接入前端進(jìn)行設(shè)備和用戶身份認(rèn)證，在視頻數(shù)據(jù)源進(jìn)行簽名和結(jié)果進(jìn)行完整性校驗(yàn)，結(jié)合傳輸和存儲(chǔ)加密機(jī)制，基于統(tǒng)一的秘鑰更新與分發(fā)體系，從多個(gè)方面確保數(shù)據(jù)安全。

5.管理安全

視頻監(jiān)控網(wǎng)絡(luò)管理安全包含漏洞管理、資產(chǎn)管理、應(yīng)用防護(hù)、日志審計(jì)、秘鑰管理和運(yùn)維管理等幾個(gè)方面，達(dá)到視頻監(jiān)控網(wǎng)絡(luò)各種類型資產(chǎn)監(jiān)管及風(fēng)險(xiǎn)預(yù)警的效果，可對(duì)本前端資產(chǎn)狀態(tài)、網(wǎng)絡(luò)狀態(tài)及安全狀態(tài)進(jìn)行統(tǒng)一監(jiān)測，可發(fā)現(xiàn)異常接入、異常鏈路、非法入侵等并進(jìn)行實(shí)時(shí)告警及溯源，與各區(qū)域安全設(shè)備及平臺(tái)進(jìn)行數(shù)據(jù)對(duì)接，實(shí)現(xiàn)整體視頻監(jiān)控網(wǎng)絡(luò)的安全態(tài)勢感知。

6.架構(gòu)與服務(wù)

實(shí)現(xiàn)立體化的視頻監(jiān)控網(wǎng)絡(luò)安全防護(hù)體系，需要基于視頻監(jiān)控網(wǎng)絡(luò)的特點(diǎn)構(gòu)建自適應(yīng)的安全防護(hù)架構(gòu)，從檢測、響應(yīng)、防護(hù)和預(yù)測幾個(gè)維度實(shí)現(xiàn)安全閉環(huán)。當(dāng)檢測到某個(gè)區(qū)域/節(jié)點(diǎn)出現(xiàn)安全事件時(shí)，能夠自動(dòng)響應(yīng)并對(duì)事件進(jìn)行處置，同時(shí)將處置策略同步到整體平臺(tái)，基于對(duì)視頻監(jiān)控網(wǎng)絡(luò)的持續(xù)評(píng)估，在風(fēng)險(xiǎn)被利用之前能夠進(jìn)行預(yù)測并采取防護(hù)措施，再結(jié)合人工安全響應(yīng)服務(wù)，建立周期性的自適應(yīng)安全防護(hù)體系。

方案特點(diǎn)

1.端到端的數(shù)據(jù)安全加密

采用端到端的數(shù)據(jù)安全加密技術(shù)，內(nèi)置高強(qiáng)度標(biāo)準(zhǔn)加密算法，利用密文密鑰分離機(jī)制確保數(shù)據(jù)全過程加密，從而實(shí)現(xiàn)全過程數(shù)據(jù)安全加密防護(hù)，提供數(shù)據(jù)從客戶端、傳輸、存儲(chǔ)和應(yīng)用加密服務(wù)，保障音視頻數(shù)據(jù)傳輸安全。

2.聯(lián)網(wǎng)資產(chǎn)安全監(jiān)測

物聯(lián)網(wǎng)安全監(jiān)測引擎通過高速對(duì)視頻監(jiān)控設(shè)備安全監(jiān)測和狀態(tài)監(jiān)測，及時(shí)識(shí)別資產(chǎn)指紋、漏洞、非法接入、異常偽造等問題，并上報(bào)視頻監(jiān)控網(wǎng)絡(luò)安全態(tài)勢感知與管控中心。

3.機(jī)器學(xué)習(xí)驅(qū)動(dòng)的安全分析

針對(duì)海量的多維原始行為數(shù)據(jù)，建立機(jī)器學(xué)習(xí)算法模型，基于多維數(shù)據(jù)樣本訓(xùn)練進(jìn)行分類聚類，快速識(shí)別異常行為。

4.事前、事中、事后的一體化防護(hù)

針對(duì)視頻監(jiān)控網(wǎng)絡(luò)安全事件的事前、事中、事后三個(gè)生命周期過程，不同的階段我們可以有針對(duì)性地采用安全措施，三個(gè)生命周期的安全任務(wù)即事前預(yù)防為主，事中有效防護(hù)，事后追溯審計(jì)。

5.統(tǒng)一安全管理與態(tài)勢評(píng)估

通過部署視頻監(jiān)控網(wǎng)絡(luò)安全態(tài)勢感知與管控中心，實(shí)現(xiàn)整網(wǎng)資產(chǎn)安全狀態(tài)可視化，威脅情報(bào)實(shí)時(shí)通報(bào)預(yù)警，網(wǎng)絡(luò)安全態(tài)勢實(shí)時(shí)可查、整網(wǎng)安全態(tài)勢可評(píng)估。

在法制日報(bào)舉辦的2019全國政法智能化建設(shè)創(chuàng)新案例征集活動(dòng)，安恒視頻監(jiān)控物聯(lián)網(wǎng)態(tài)勢感知平臺(tái)入選“雪亮工程十大創(chuàng)新產(chǎn)品”。目前該解決方案已經(jīng)成功應(yīng)用在北京、浙江、江蘇、安徽、山東等多個(gè)省市，有效解決了用戶在視頻網(wǎng)建設(shè)中攝像頭終端及數(shù)據(jù)面臨的安全防護(hù)難題。