浅谈网络视频监控系统的安全

近日,由江苏省公安厅发布的一纸通告引发了大讨论,网络视频监控系统的安全性再次成为了大家关注生点。网络视频监控系统更易用的同时如何确保网络视频监控系统的安全性?未来网络视频监控系统如何发展?广大厂商都在思考。

网络摄像机安全防护

为什么你的视频监控系统不“安全”?
安防视频监控IP化对于安防行业来说,是一个必然的发展方向。相对于传统的 CCTV 模拟监控系统,IP 网络视频监控系统的安全性已经跃升了几个数量级。网络视频监控系统的特殊性,别有用心的人可以通过破解非法连接远程观看受限制的视频图像;通过攻击使视频监控中断或者利用此网络设备作为通道扫描攻击其它网络设备。从网络安全的角度来看,并没有绝对安全的网络系统。只要设备接入网络,就有可能存在安全隐患。网络视频监控系统的安全主要存在于以下几个方面:网络视频监控设备的健壮性、用户对网络安全的重视程度、网络安全的级别和手段等。

从网络视频监控设备方面来看,我们的很多传统安防监控设备厂商都是生产的专业型安防监控产品,主要应用于局域网和专网,对于暴露在公网中的设备安全缺乏有效的防范措施。而从现代网络视频监控系统的发展来看,视频监控已经由专网向公网,由专用向民用化方向发展,由于用户的需求不同,势必会有很多安防视频监控产品会用到各种跨界融合的场合。而我们的很多安防设备生产商对于系统安全缺乏认识,产品漏洞较多。比如系统中开放很多不必要的端口,为了维护方便开放Telnet等较不安全的远程连接服务且没有很好的密码保护。网络设备是否安全首先就取决于你的设备厂商的对网络安全采取的态度。

其次,网络视频监控系统的安全受到用户对网络安全的重视程度影响。我们还有很多用户认为的只要把几个摄像头接入网络联起来就是安防网络视频监控系统了。很多用户对网络安全重视程度不够,缺乏安全意识,在安装完监控产品之后,没有对初始默认密码进行修改。实际上只要用户按照产品说明书的说明修改了初始默认密码,就能在很大程度上增强网络设备的安全性。所以,用户端的行政管理手段也是网络视频监控安全的重要保障。

再有,网络安全的级别不同,需要根据应用场合选用适当的网络安全管理方式。比如军队、金融银行、保密机构等具有较高的安全级别,应该采取专网、多次数据加密、硬件防火墙等等安全性较高的管理方式;而普通小区、商店的监控限于投资可以采取局域网、强口令等成本低的安全管理方式。对于民用安防监控,由于暴露于公网中,则需要在公网安全性和易用性方面找到一个平衡点。

网络视频监控设备厂商可以做什么?
对于网络视频监控厂商,需要在网络视频安全上承担更多的责任。厂商应完善认证和权限管理机制,对系统进行多种方式的入侵测试,评估系统的安全,自查网络监控设备的漏洞。重点是文本输入提交、检索查询、RTSP连接等容易注入的地方。关闭Telnet等危险的服务,发现漏洞应及时修复、更新补丁、及时告知用户并提供完善的修复解决方案。

面对新形势下的挑战应区分专用产品和民用产品,对于专用产品和民用产品等细分市场,需要集成不同的安全保障方式,提供多种方式的网络视频监控安全保障。

对于提供默认密码初始密码的,需要在用户手册、登录界面、用户界面等醒目的位置提供网络安全须知并明确告知修改密码的正确方式。必要时也可以采用强制修改密码的方式。对于密码的强度进行检测,如果是 1234、8888 等弱口令应提示并拒绝设置。对于公网中的设备,应提供手机短信、邮件等多重密码验证方式。应记录用户访问日志,一旦出现异常访问应及时通过用户。对于多次尝试登录且登录失败的用户进行屏蔽等禁止访问措施。系统中可以结合设置登录IP白名单和黑名单,对访问的用户进行限制。

对网络视频监控设备的数据进行多重加密。第一重是对用户和密码等重要信息进行加密传输,避免用户密码外泄;第二重是对连接协议、端口等进行加密和防火墙加固,避免轻易攻破;第三重是要对视频流进行加密,仅允许授权用户或者客户端才能浏览完整的视频流。

对于访问的多重验证。对于网络监控设备的访问应采取多重验证模式。除密码之外,还可以提供手机短信验证码、邮件验证、设备ID/MAC地址绑定、U盾等方式建立多重验证机制。

视频监控前后端应积极配合,组成有机的整体。对于重置系统、设备移位、设备异常、非绑定设备接入等要有告警机制及时告警通知管理人员。

对于安保等级要求较高的,网络视频监控设备厂商还可以提供硬件级加密的解决方案。比如提供在客户端一对一的U盾保护,提供一对一的编码和解码设备等。

用户可以做些什么?
从用户端来看,首先从组网方式上,对于网络安全级别要求较高的行业和场所应该采用视频专网组网,与公网进行物理隔离;对于平安城市等超大型系统无法完全脱离公网线路的,需要在公网与专网之间设立防火墙并随时监控。对于不能做到物理隔离的都需要采取强数据加密措施,防止“破墙而入”的人轻易窥视视频数据。

其次,用户应多测试比较网络视频监控产品,选择符合自己需要和定位的具有较高安全性能的网络视频监控产品和配套网络设备及后端解决方案。从技术上建立网络安全保障的屏障。

再有,网络视频监控设备的使用方,即最终用户,应加强安保系统安全的防范意识,联合供应商对安保人员进行系统有效的培训,通过行政手段确保网络视频监控系统的使用安全。对于供应商、工程商、集成商设置的初始密码、默认密码、调试密码应及时修改,且不能使用12345、88888、admin等简单常用的弱口令密码;对于密码位数建议设置8位以上,数字字母符号大小写混合的密码,增加暴力破解的难度,从管理上堵住这种网络安全中最低级的安全漏洞。

总的来看,网络视频监控漏洞事件对整个安防行业是个好事,它警醒了人们的安全意识,使用户更加明确安防监控系统自身安全的重要性。用户安全意识的提高,是系统正常运营、发挥效能的重要环节。信息安全任重而道远,所以在信息安全上,应仔细排查安全隐患,防患于未然。

(本文作者:四川艾普视达数码科技有限公司市场部 范清华,保留所有权利,转载必须注明作者出处。)

Posted in and tagged .