序號

常見攻擊手段

安全需求

防范措施

方案價值

1

訪問控制

1.  應加強對攝像頭訪問權限的控制，默認情況下除必須允許的通信外，其他的通信應一概拒絕；

2.  優化訪問控制列表，保證訪問控制規則數量的最小化；

3.  應對源地址、目的地址、源端口、目的端口和協議進行安全檢查，并制定針對端口、協議的允許/拒絕策略；

安全接入網關和安全接入終端上通過防火墻配置可以實現訪問控制。

1.  配置安全接入終端的防火墻功能，除必要通信之外，其他通信默認拒絕。

2.  安全接入網關和安全接入終端都設有訪問控制白名單。

3.  通過防火墻策略制定出合法源地址源端口目的地址和目的端口進行管控。

2

強身份鑒別

1.  應對訪問攝像頭的用戶進行強身份鑒別，建議采用基于數字證書認證方式；

2.  應對攝像頭的訪問連接采取加密措施，防止身份信息、操作指令等敏感信息在網絡傳輸過程中被竊聽；

安全接入網關和安全接入終端通過國密SSLVPN可以實現強身份鑒別。

1.  用戶通過安全接入網關的國密數字證書認證后才可以訪問攝像頭。

2.  攝像頭訪問連接的整個數據傳輸過程均由網關和終端之間的國密對稱算法SM1進行加密。

3

通信安全

1.  應采用校驗技術或密碼技術保證通信過程中數據的完整性；

2.  應采用密碼技術保證通信過程中數據的保密性；

安全接入網關和安全接入終端通過國密SSLVPN可以實現通信安全。

安全接入網關和安全接入終端建立國密SSLVPN時，整個數據傳輸中的通信中數據均為國密SM1對稱加密。數據傳輸時使用國密SM3摘要算法進行摘要效驗，防止數據被篡改，保證數據完整性。

4

入侵防范

1.  應在攝像頭部署源頭檢測、防止或限制從外部發起的網絡攻擊行為；

2.  應在關鍵網絡節點處檢測、防止或限制從內部發起的網絡攻擊行為；

3.  加固后的視頻監控網絡，應能夠有效切斷常見的惡意代碼C&C攻擊路徑，系統初始化時應內置Mirai、Dofloo等家族及變種的安全防控策略。

在攝像頭源頭部署安全接入終端可以有效防止外部網絡攻擊。

1.  部署安全接入終端，使用其防火墻策略對外部通信進行過濾。所有非法連接請求全部拒絕。可以有效防止外部網絡攻擊。

2.  內部網絡攻擊使用安全接入網關的防火墻規則檢查。除預設的合法人員合法請求之外，其他人和請求默認拒絕。（可以繞過安全接入網關直接攻擊視頻服務器除外）

5.在安全接入網關和安全接入終端的防火墻中對沒有用到的端口進行全部阻斷。沒有授權的數據全部拒絕。可以切斷絕大部分常見的惡意代碼攻擊。