一、 需求背景
在“重建設、重應用、輕安全”的建設思路影響,當前網絡視頻監控系統在建設和應用過程中存在著資產不清、管理不規范、前端設備易被非正常替換、弱口令及系統安全問題,易被入侵和控制。從信息安全角度審視,絕大多數安防監控設備幾乎是在外的。有別于PC、服務器等IT產品,監控設備在設計之初主要應用在專網、或者不聯網的領域,并沒有將互聯網作為應用場景。比如攝像機,最初都是通過硬盤來存儲數據,其產品特性也主要考慮編解碼、清晰度等特性。但隨著攝像機數量增多,越來越多設備需要遠程控制能力,也因此開始連接互聯網。此時,缺少安全防護的問題開始大規模暴露。
現階段,公安系統的視頻監控平臺已經開始對二類重點行業、三類社會場所逐步接入,國家也在2018年出臺了GB35114的公共安全視頻監控聯網的安全技術要求,大多數的視頻監控系統都是基于TCP/IP協議進行遠程監控、傳輸、存儲、管理的,所以網絡安全漏洞不局限在前端,而是整個監控網絡體系都面臨一系列的安全風險,具體主要體現在四大方面:
·用戶接入安全,例如:客戶端接入協議安全、用戶權限控制等;
·前端攝像頭接入安全,例如:前端接入協議安全、前端接入認證等;
·數據傳輸安全,例如:網絡設備管理安全、傳輸通道安全等;
·服務器自身安全,例如:服務器操作系統安全、數據庫安全、應用程序安全等等。
二、 解決方案
方案概述
以國產密碼技術、訪問控制技術為基礎,以視頻安全相關標準為依據,構建視頻監控系統主動防御體系。
圖1-1 視頻安全接入部署圖
通過在服務端部署安全接入網關,在視頻采集端部署安全接入終端,采用“信源加密”模式,通過前端攝像頭處部署信息安全接入終端,從采集點開始數據即為“密態”,利用國密算法對監控數據進行數據加密,以最簡潔有效的模式解決數據采集、傳輸和存儲安全。以高安全專用加密芯片為運算核心由安全接入網關進行數據的解密,驗證,保證數據的安全可靠,同時安全網關與安全接入終端中載有數字證書,視頻采集端和服務端通過數字證書的方式進行雙向身份的認證,可對每一個終端每一個訪問者進行身份的鑒別。
服務端部署遠程管控系統對部署在不同物理位置的終端進行統一的管理、控制而開發的系統,實現對終端的基本控制,對終端進行實時監控,保證終端的平穩運行。
三、 方案價值
序號 |
常見攻擊手段 |
安全需求 |
防范措施 |
方案價值 |
1 |
訪問控制 |
1. 應加強對攝像頭訪問權限的控制,默認情況下除必須允許的通信外,其他的通信應一概拒絕; 2. 優化訪問控制列表,保證訪問控制規則數量的最小化; 3. 應對源地址、目的地址、源端口、目的端口和協議進行安全檢查,并制定針對端口、協議的允許/拒絕策略; |
安全接入網關和安全接入終端上通過防火墻配置可以實現訪問控制。 |
1. 配置安全接入終端的防火墻功能,除必要通信之外,其他通信默認拒絕。 2. 安全接入網關和安全接入終端都設有訪問控制白名單。 3. 通過防火墻策略制定出合法源地址源端口目的地址和目的端口進行管控。 |
2 |
強身份鑒別 |
1. 應對訪問攝像頭的用戶進行強身份鑒別,建議采用基于數字證書認證方式; 2. 應對攝像頭的訪問連接采取加密措施,防止身份信息、操作指令等敏感信息在網絡傳輸過程中被竊聽; |
安全接入網關和安全接入終端通過國密SSLVPN可以實現強身份鑒別。 |
1. 用戶通過安全接入網關的國密數字證書認證后才可以訪問攝像頭。 2. 攝像頭訪問連接的整個數據傳輸過程均由網關和終端之間的國密對稱算法SM1進行加密。 |
3 |
通信安全 |
1. 應采用校驗技術或密碼技術保證通信過程中數據的完整性; 2. 應采用密碼技術保證通信過程中數據的保密性; |
安全接入網關和安全接入終端通過國密SSLVPN可以實現通信安全。 |
安全接入網關和安全接入終端建立國密SSLVPN時,整個數據傳輸中的通信中數據均為國密SM1對稱加密。數據傳輸時使用國密SM3摘要算法進行摘要效驗,防止數據被篡改,保證數據完整性。 |
4 |
入侵防范 |
1. 應在攝像頭部署源頭檢測、防止或限制從外部發起的網絡攻擊行為; 2. 應在關鍵網絡節點處檢測、防止或限制從內部發起的網絡攻擊行為; 3. 加固后的視頻監控網絡,應能夠有效切斷常見的惡意代碼C&C攻擊路徑,系統初始化時應內置Mirai、Dofloo等家族及變種的安全防控策略。 |
在攝像頭源頭部署安全接入終端可以有效防止外部網絡攻擊。 |
1. 部署安全接入終端,使用其防火墻策略對外部通信進行過濾。所有非法連接請求全部拒絕。可以有效防止外部網絡攻擊。 2. 內部網絡攻擊使用安全接入網關的防火墻規則檢查。除預設的合法人員合法請求之外,其他人和請求默認拒絕。(可以繞過安全接入網關直接攻擊視頻服務器除外) 5.在安全接入網關和安全接入終端的防火墻中對沒有用到的端口進行全部阻斷。沒有授權的數據全部拒絕。可以切斷絕大部分常見的惡意代碼攻擊。 |
Copyright ?2019 ALL Rights Reserved 世紀先承 版權所有 京ICP備13022376號-1
掃一掃關注公眾號