当安防行业大跨步迈入网络时代的时候,视频监控其实已经进入了IT的范畴,跻身成为IT家族的重要一员。可是,正如我们所见到的,网络监控就像一枚硬币,有好的方面,也有不好的一面,在带来组网便利、结构简单、可扩展性强等利好的同时,也顺道“捎”上一个极大的烦恼——网络安全漏洞。
监控成网络安全重灾区
近年来,网络安全问题正从幕后走到台前。全球范围内爆发了大量针对政府、企业、高校等局域网用户的网络攻击事件。而国内的内网安全形势更是不容乐观,仅过去的两个月内,就爆发了多起大规模网络攻击。
在最近的几次特别具有影响力的网络攻击战中,摄像机和视频录像机等监控设备都成为事件的”被害主角”。
2014年11月,俄罗斯一家网站利用安全漏洞入侵英国部分居民的家庭网络摄像头,并将影像信息放到网站上共人随意浏览,使数以百计英国用户的生活“被直播”。
2015年2月,江苏省公安厅标记为“特急”的通知称,该通知告知江苏省各市公安局科技信息化处,省各级公关机关使用的国内某品牌的监控设备存在严重安全隐患,部分设备已经被境外IP地址控制。
2016年10月,一场始于东部的大规模互联网瘫痪席卷了半个美国网络,包括推特、声田以及纽约时报等网站平台都受到黑客攻击。据悉,共有超过百万台包括监控设备在内的物联网终端是导致此次“瘫痪”的媒介。
在安防IT化的大背景下,视频监控的网络安全形势变得相当严峻起来。视频监控网络安全威胁正呈现出攻击来源更加多样,攻击手法更加复杂,攻击方式更加隐蔽。另外,传统互联网威胁也在向安防系统扩散,监控数据窃取事件高发,可以说,当前视频监控网络安全问题正在侵入个人隐私,甚至威胁国家安全及权益。
漏洞不只是“弱密码”
从信息安全角度审视,绝大多数安防监控设备几乎是**在外的。有别于PC、服务器等IT产品,监控设备在设计之初主要应用在专网、或者不联网的领域,并没有将互联网作为应用场景。比如摄像机,最初都是通过硬盘来存储数据,其产品特性也主要考虑编解码、清晰度等特性。但随着摄像机数量增多,越来越多设备需要远程控制能力,也因此开始连接互联网。此时,缺少安全防护的问题开始大规模暴露。
现阶段,大多数的视频监控系统都是基于TCP/IP网进行远程监控、传输、存储、管理的,所以网络安全漏洞不局限在前端,而是整个监控网络体系都面临一系列的安全风险,具体主要体现在四大方面:
·用户接入安全,例如:客户端接入协议安全、用户权限控制等;
·前端摄像头接入安全,例如:前端接入协议安全、前端接入认证等;
·数据传输安全 ,例如:网络设备管理安全、传输通道安全等;
·服务器自身安全,例如:服务器操作系统安全、数据库安全、应用程序安全等等。
而值得一提的是,网络监控平台弱口令漏洞是个世界性的问题。“口令”相当于门钥匙,“弱口令”意味着把钥匙放在了外人很容易找到的地方。前面提及的某公安系统所称的“安全隐患”,便是该系统没有修改设备的初始密码。
而据安防业内人士称,“通过12345、1234、password”等简单密码,可以控制10%以上的监控设备。
还有,笔者观察到,近期一系列的监控网络大规模瘫痪事件多是由一种叫Mirai的臭名昭著的僵尸网络驱动发起的攻击。据悉,Mirai通过60多组密码组合,高效扫描互联网,源代码被公布之初就已经控制了38万个物联网设备。相对于通过僵尸主机、服务器发起的DDoS攻击而言,监控设备几乎等同于无门槛、无成本的廉价“肉鸡”。
另外,根据安天安全研究与应急处理中心发布的分析报告,安防产业内多家知名公司的部分设备均存在单一默认密码的问题。这些厂商联合他们的客户一起对上述情况做出适当响应以减轻Mirai的危害程度,但同时仍然必须强调这些只是我们能够看到的冰山一角,也许还需要更多其他设备厂商一起来做更多的网络安全工作。
构建全方位防御体系
自从2015年年初的那起“黑天鹅”事件之后,安全性越来越受到安防监控产业界的重视。网络安全亦俨然成为一场永无休止的攻防战,一些业内企业开始积极着手寻求网络安全方案,譬如尝试通过增加安全芯片等方式来进行硬件加密。
不过现阶段,由于视频监控的安全涉及到前端设备、传输链路、后端管理平台和数据协议,设备种类繁多,通信协议各异,传统的安防企业暂时很难通过一种解决方案来解决安防的网络安全问题。
在安防大数据时代,IT厂商应对网络安全似乎经验更足道、也更老练一些。以华为为例,在积淀了多年一线抗击网络攻击的经验之后,华为已经逐渐摸索出一系列有效的处理方式。
为了更彻底的解决视频监控安全风险,华为推出一套全方位的安全防御体系:“端、管、云”相互配合,通过多种安全产品(安全网关SVN、企业移动管理服务器EMM server、PKI/CA等)协同联动的方案来解决让用户棘手的安全问题。
援引一位接近华为的消息人士称,这套安全方案广泛适用于公安、交通、运营商等关注接入安全的实际使用场景的需要。
另外据了解,华为视频监控解决方案采用了分层的安全架构模型,可以抽象为四个层次:应用层安全、网络层安全、系统层安全和物理层安全,同时加上贯穿所有层次的重要安全因素-安全管理(包括技术和非技术的方法)。通过标准的威胁模型对安全架构的四个层次进行安全威胁分析、针对威胁点进行安全特性设计、以及其他安全活动,为IVS提供全面的,端到端的安全防御体系。
此外,华为还率先在业内推出视频监控领域的安全SDK解决方案,可以应用与所有和网络摄像机对接的产品包括自研产品和第三方接入平台,并且能解决标准协议安全上的缺陷,适用性广。华为在视频监控网络安全领域的造诣,令传统安防企业望其项背。
未来网络安全环境将会越来越复杂多变,网络安全事件也将层出不穷,网络攻击不断呈现出跨行业、跨地域、技术不断变异的特点,安防企业或应该通过各种前沿技术武装自己的网络安全防御体系,并且充分考虑和预见未来可能会出现的潜在威胁。
”华为在不断向安防监控领域输出安全实力的同时,也希望与更多管理部门、业内企业,一同打造更加健康的网络安全生态。”华为视频监控业务相关人士说。
本文作者 林克章/华为视频监控产品领域安全专家(从事视频大数据产品分析设计、安全解决方案工作,9年视频监控从业经历,主导华为视频监控领域主打产品VCN/VCM/IPC的安全方案设计,具备丰富的视频大数据产品安全知识以及行业应用经验。)