在物聯(lián)網(wǎng)、大數(shù)據(jù)等技術(shù)應(yīng)用的推動下,視頻監(jiān)控網(wǎng)絡(luò)已滲透到生活的方方面面,在家庭安防、交通監(jiān)控、智慧城市建設(shè)等領(lǐng)域發(fā)揮著不可替代的作用。尤其是在全國范圍內(nèi)推行的“科技強(qiáng)警建設(shè)工程”、“3111 工程”、“平安城市”、“天網(wǎng)工程”等重大安防項目,視頻監(jiān)控網(wǎng)絡(luò)建設(shè)是核心的“驅(qū)動力”之一。
但是,視頻監(jiān)控網(wǎng)絡(luò)覆蓋面的急劇擴(kuò)大,網(wǎng)絡(luò)安全問題也日趨嚴(yán)重,針對攝像頭等視頻監(jiān)控網(wǎng)絡(luò)的惡意程序頻繁出現(xiàn)。2015年初,國內(nèi)政府機(jī)關(guān)和公共行業(yè)廣泛使用的某型號監(jiān)控設(shè)備被曝存在高危漏洞,并已被利用植入惡意代碼,導(dǎo)致部分設(shè)備被遠(yuǎn)程控制并可對外發(fā)動網(wǎng)絡(luò)攻擊;2017年,物聯(lián)網(wǎng)惡意軟件Mirai利用接入互聯(lián)網(wǎng)的視頻監(jiān)控設(shè)備實施大規(guī)模DDoS攻擊,其感染的僵尸網(wǎng)絡(luò)迅速擴(kuò)大,數(shù)百萬的視頻監(jiān)控終端被感染成為“肉雞”……
針對視頻監(jiān)控網(wǎng)絡(luò)存在的問題,安恒信息從前端安全、邊界安全、網(wǎng)絡(luò)安全、數(shù)據(jù)安全和管理安全入手,采用自適應(yīng)的安全防護(hù)系統(tǒng)架構(gòu),結(jié)合安全體系中的“事前檢測、事中防護(hù)、事后追溯”的防護(hù)理念,以視頻監(jiān)控網(wǎng)絡(luò)安全態(tài)勢感知平臺為核心,構(gòu)建立體化的視頻監(jiān)控網(wǎng)絡(luò)安全防護(hù)體系。
視頻監(jiān)控網(wǎng)絡(luò)風(fēng)險分析
視頻監(jiān)控網(wǎng)絡(luò)與傳統(tǒng)網(wǎng)絡(luò)不同,整體架構(gòu)更為復(fù)雜,大量終端部署在室外等非隔離網(wǎng)絡(luò)環(huán)境中,存在終端資產(chǎn)數(shù)量特別多、網(wǎng)絡(luò)邊界不清晰、網(wǎng)絡(luò)關(guān)系復(fù)雜、部署環(huán)境多樣化等特點,這也導(dǎo)致了視頻監(jiān)控網(wǎng)絡(luò)內(nèi)外網(wǎng),都面臨著多樣化的安全風(fēng)險。主要包含以下幾個方面:
1、資產(chǎn)狀態(tài)無法實時感知
視頻監(jiān)控設(shè)備通常數(shù)量非常龐大、部署位置分散,可能會出現(xiàn)斷網(wǎng)、設(shè)備故障、狀態(tài)異常等情況,因此,需要對物聯(lián)網(wǎng)設(shè)備狀態(tài)進(jìn)行實時的監(jiān)控,及時發(fā)現(xiàn)異常設(shè)備并預(yù)警。
2、前端設(shè)備弱口令或無口令
視頻監(jiān)控設(shè)備往往管理難度極大,極易存在弱口令,甚至不設(shè)置密碼等問題,一旦被黑客利用后果嚴(yán)重。因此,需要及時發(fā)現(xiàn)監(jiān)控系統(tǒng)存在的弱口令問題,并采取更復(fù)雜的的鑒權(quán)或口令強(qiáng)化。
3、前端設(shè)備系統(tǒng)漏洞被利用
視頻監(jiān)控設(shè)備通常都已經(jīng)智能化,大多都有自己的操作系統(tǒng),以Linux為主,而系統(tǒng)自身可能會存在系統(tǒng)漏洞,比如溢出、越權(quán)等。因此,需要實時監(jiān)測未修復(fù)漏洞,并進(jìn)行及時修復(fù),否則極易被不法分子利用而入侵設(shè)備。
4、前端非法接入敏感信息易泄露
視頻監(jiān)控設(shè)備類型多樣、地理位置分布廣,一旦前端有非法接入,即可連接到系統(tǒng)網(wǎng)絡(luò)內(nèi)部,內(nèi)部敏感信息極容易被泄露;同時,不法分子還能對系統(tǒng)網(wǎng)絡(luò)內(nèi)部其他聯(lián)網(wǎng)設(shè)備進(jìn)行攻擊,可能會產(chǎn)生極為嚴(yán)重的影響。因此,需要對這些設(shè)備進(jìn)行及時監(jiān)控,發(fā)現(xiàn)其中非法接入的物聯(lián)網(wǎng)設(shè)備類型并告知監(jiān)管人員及時作出處理。
5、身份偽造被惡意利用
視頻監(jiān)控設(shè)備可能分布位置非常分散,容易被惡意攻擊利用,遭到替換設(shè)備并偽造身份,被利用作為攻擊源,甚至?xí)ㄟ^偽造的設(shè)備入侵到內(nèi)網(wǎng),對其他相關(guān)設(shè)備進(jìn)行攻擊,進(jìn)而對整體物聯(lián)網(wǎng)造成安全威脅。
6、惡意代碼入侵傳播
視頻傳輸專網(wǎng)與其他專網(wǎng)、互聯(lián)網(wǎng)網(wǎng)絡(luò)邊界互聯(lián)缺乏規(guī)范的技術(shù)防護(hù)。在內(nèi)部網(wǎng)絡(luò),前端設(shè)備基本處于零防護(hù)的狀態(tài),僅有系統(tǒng)用戶密碼認(rèn)證等簡單的安全措施。面對越來越復(fù)雜的APT攻擊、黑客入侵、內(nèi)部非法人員的滲透,網(wǎng)絡(luò)極易被攻破,內(nèi)部網(wǎng)絡(luò)中的服務(wù)器、終端和視頻設(shè)備一旦被入侵,可能造成視頻監(jiān)控設(shè)備被感染、內(nèi)部大規(guī)模傳播、網(wǎng)絡(luò)不可用等安全風(fēng)險。
搭建視頻監(jiān)控網(wǎng)絡(luò)安全架構(gòu)
根據(jù)視頻監(jiān)控網(wǎng)絡(luò)的系統(tǒng)現(xiàn)狀與特點,需要有重點的合理劃分安全區(qū)域、確定安全邊界,進(jìn)行分區(qū)分域防護(hù)。依據(jù)國家信息安全等級保護(hù)制度和信息保障技術(shù)框架,針對視頻監(jiān)控網(wǎng)絡(luò)各區(qū)域脆弱點與風(fēng)險,結(jié)合前端、邊界、網(wǎng)絡(luò)和管理多個層次安全綜合考慮,構(gòu)建一套以視頻監(jiān)控網(wǎng)絡(luò)安全態(tài)勢感知為核心的立體化網(wǎng)絡(luò)安全防護(hù)體系。
圖:視頻監(jiān)控網(wǎng)絡(luò)總體安全架構(gòu)
1.前端安全
主要包括前端接入的攝像機(jī)及其他設(shè)備。應(yīng)建立前端安全防護(hù)機(jī)制,實現(xiàn)對前端接入資源的有效識別和安全管理。通過對前端智能設(shè)備,如智能攝像頭等前端資產(chǎn)安全狀態(tài)監(jiān)測,快速對視頻監(jiān)控前端設(shè)備進(jìn)行安全檢查,掃描資產(chǎn),形成資產(chǎn)指紋庫,發(fā)現(xiàn)弱口令、漏洞、非法接入等安全問題,提供安全加固技術(shù)手段,實現(xiàn)對前端的安全防護(hù)、數(shù)據(jù)加密和安全管控。
2.邊界安全
視頻監(jiān)控網(wǎng)絡(luò)邊界主要包含視頻監(jiān)控網(wǎng)絡(luò)與社會資源網(wǎng),及其他專網(wǎng)等區(qū)域之間的通信邊界。邊界安全建設(shè)必須實現(xiàn)網(wǎng)絡(luò)隔離,并實現(xiàn)訪問權(quán)限控制;針對前端攝像頭接入視頻專網(wǎng),進(jìn)行嚴(yán)密準(zhǔn)入管控,確保僅有授權(quán)的、合法的視頻終端接入網(wǎng)絡(luò)。通過識別傳輸數(shù)據(jù)的應(yīng)用層協(xié)議特征與動態(tài)端口號,只允許授權(quán)的數(shù)據(jù)流及控制信令進(jìn)入視頻監(jiān)控系統(tǒng),禁止其他非法數(shù)據(jù)接入。
3.網(wǎng)絡(luò)安全
視頻監(jiān)控網(wǎng)絡(luò)安全須針對網(wǎng)絡(luò)中的威脅進(jìn)行實時檢測、準(zhǔn)確監(jiān)測網(wǎng)絡(luò)異常流量,能夠?qū)α髁恐袏A雜的DDoS攻擊實現(xiàn)有效防御;具有網(wǎng)絡(luò)攻擊防護(hù)、入侵防護(hù)、病毒防護(hù)等安全防護(hù)措施,實現(xiàn)對各類攻擊有效識別和阻斷;對鏈路中的相關(guān)設(shè)備運行狀況、網(wǎng)絡(luò)流量、用戶行為等進(jìn)行審計和管控。
4.數(shù)據(jù)安全
針對視頻數(shù)據(jù)傳輸安全需要結(jié)合數(shù)據(jù)簽名和鏈路加密等多方面的技術(shù),針對接入前端進(jìn)行設(shè)備和用戶身份認(rèn)證,在視頻數(shù)據(jù)源進(jìn)行簽名和結(jié)果進(jìn)行完整性校驗,結(jié)合傳輸和存儲加密機(jī)制,基于統(tǒng)一的秘鑰更新與分發(fā)體系,從多個方面確保數(shù)據(jù)安全。
5.管理安全
視頻監(jiān)控網(wǎng)絡(luò)管理安全包含漏洞管理、資產(chǎn)管理、應(yīng)用防護(hù)、日志審計、秘鑰管理和運維管理等幾個方面,達(dá)到視頻監(jiān)控網(wǎng)絡(luò)各種類型資產(chǎn)監(jiān)管及風(fēng)險預(yù)警的效果,可對本前端資產(chǎn)狀態(tài)、網(wǎng)絡(luò)狀態(tài)及安全狀態(tài)進(jìn)行統(tǒng)一監(jiān)測,可發(fā)現(xiàn)異常接入、異常鏈路、非法入侵等并進(jìn)行實時告警及溯源,與各區(qū)域安全設(shè)備及平臺進(jìn)行數(shù)據(jù)對接,實現(xiàn)整體視頻監(jiān)控網(wǎng)絡(luò)的安全態(tài)勢感知。
6.架構(gòu)與服務(wù)
實現(xiàn)立體化的視頻監(jiān)控網(wǎng)絡(luò)安全防護(hù)體系,需要基于視頻監(jiān)控網(wǎng)絡(luò)的特點構(gòu)建自適應(yīng)的安全防護(hù)架構(gòu),從檢測、響應(yīng)、防護(hù)和預(yù)測幾個維度實現(xiàn)安全閉環(huán)。當(dāng)檢測到某個區(qū)域/節(jié)點出現(xiàn)安全事件時,能夠自動響應(yīng)并對事件進(jìn)行處置,同時將處置策略同步到整體平臺,基于對視頻監(jiān)控網(wǎng)絡(luò)的持續(xù)評估,在風(fēng)險被利用之前能夠進(jìn)行預(yù)測并采取防護(hù)措施,再結(jié)合人工安全響應(yīng)服務(wù),建立周期性的自適應(yīng)安全防護(hù)體系。
方案特點
1.端到端的數(shù)據(jù)安全加密
采用端到端的數(shù)據(jù)安全加密技術(shù),內(nèi)置高強(qiáng)度標(biāo)準(zhǔn)加密算法,利用密文密鑰分離機(jī)制確保數(shù)據(jù)全過程加密,從而實現(xiàn)全過程數(shù)據(jù)安全加密防護(hù),提供數(shù)據(jù)從客戶端、傳輸、存儲和應(yīng)用加密服務(wù),保障音視頻數(shù)據(jù)傳輸安全。
2.聯(lián)網(wǎng)資產(chǎn)安全監(jiān)測
物聯(lián)網(wǎng)安全監(jiān)測引擎通過高速對視頻監(jiān)控設(shè)備安全監(jiān)測和狀態(tài)監(jiān)測,及時識別資產(chǎn)指紋、漏洞、非法接入、異常偽造等問題,并上報視頻監(jiān)控網(wǎng)絡(luò)安全態(tài)勢感知與管控中心。
3.機(jī)器學(xué)習(xí)驅(qū)動的安全分析
針對海量的多維原始行為數(shù)據(jù),建立機(jī)器學(xué)習(xí)算法模型,基于多維數(shù)據(jù)樣本訓(xùn)練進(jìn)行分類聚類,快速識別異常行為。
4.事前、事中、事后的一體化防護(hù)
針對視頻監(jiān)控網(wǎng)絡(luò)安全事件的事前、事中、事后三個生命周期過程,不同的階段我們可以有針對性地采用安全措施,三個生命周期的安全任務(wù)即事前預(yù)防為主,事中有效防護(hù),事后追溯審計。
5.統(tǒng)一安全管理與態(tài)勢評估
通過部署視頻監(jiān)控網(wǎng)絡(luò)安全態(tài)勢感知與管控中心,實現(xiàn)整網(wǎng)資產(chǎn)安全狀態(tài)可視化,威脅情報實時通報預(yù)警,網(wǎng)絡(luò)安全態(tài)勢實時可查、整網(wǎng)安全態(tài)勢可評估。
在法制日報舉辦的2019全國政法智能化建設(shè)創(chuàng)新案例征集活動,安恒視頻監(jiān)控物聯(lián)網(wǎng)態(tài)勢感知平臺入選“雪亮工程十大創(chuàng)新產(chǎn)品”。目前該解決方案已經(jīng)成功應(yīng)用在北京、浙江、江蘇、安徽、山東等多個省市,有效解決了用戶在視頻網(wǎng)建設(shè)中攝像頭終端及數(shù)據(jù)面臨的安全防護(hù)難題。
申請創(chuàng)業(yè)報道,分享創(chuàng)業(yè)好點子。點擊此處,共同探討創(chuàng)業(yè)新機(jī)遇!