監(jiān)控成網(wǎng)絡(luò)安全重災(zāi)區(qū)

　　近年來(lái)，網(wǎng)絡(luò)安全問(wèn)題正從幕后走到臺(tái)前。全球范圍內(nèi)爆發(fā)了大量針對(duì)政府、企業(yè)、高校等局域網(wǎng)用戶的網(wǎng)絡(luò)攻擊事件。而國(guó)內(nèi)的內(nèi)網(wǎng)安全形勢(shì)更是不容樂(lè)觀，僅過(guò)去的兩個(gè)月內(nèi)，就爆發(fā)了多起大規(guī)模網(wǎng)絡(luò)攻擊。

　　在最近的幾次特別具有影響力的網(wǎng)絡(luò)攻擊戰(zhàn)中，攝像機(jī)和視頻錄像機(jī)等監(jiān)控設(shè)備都成為事件的”被害主角”。

　　2014年11月，俄羅斯一家網(wǎng)站利用安全漏洞入侵英國(guó)部分居民的家庭網(wǎng)絡(luò)攝像頭，并將影像信息放到網(wǎng)站上共人隨意瀏覽，使數(shù)以百計(jì)英國(guó)用戶的生活“被直播”。

　　2015年2月，江蘇省公安廳標(biāo)記為“特急”的通知稱，該通知告知江蘇省各市公安局科技信息化處，省各級(jí)公關(guān)機(jī)關(guān)使用的國(guó)內(nèi)某品牌的監(jiān)控設(shè)備存在嚴(yán)重安全隱患，部分設(shè)備已經(jīng)被境外IP地址控制。

　　2016年10月，一場(chǎng)始于東部的大規(guī)?；ヂ?lián)網(wǎng)癱瘓席卷了半個(gè)美國(guó)網(wǎng)絡(luò)，包括推特、聲田以及紐約時(shí)報(bào)等網(wǎng)站平臺(tái)都受到黑客攻擊。據(jù)悉，共有超過(guò)百萬(wàn)臺(tái)包括監(jiān)控設(shè)備在內(nèi)的物聯(lián)網(wǎng)終端是導(dǎo)致此次“癱瘓”的媒介。

　　在安防IT化的大背景下，視頻監(jiān)控的網(wǎng)絡(luò)安全形勢(shì)變得相當(dāng)嚴(yán)峻起來(lái)。視頻監(jiān)控網(wǎng)絡(luò)安全威脅正呈現(xiàn)出攻擊來(lái)源更加多樣，攻擊手法更加復(fù)雜，攻擊方式更加隱蔽。另外，傳統(tǒng)互聯(lián)網(wǎng)威脅也在向安防系統(tǒng)擴(kuò)散，監(jiān)控?cái)?shù)據(jù)竊取事件高發(fā)，可以說(shuō)，當(dāng)前視頻監(jiān)控網(wǎng)絡(luò)安全問(wèn)題正在侵入個(gè)人隱私，甚至威脅國(guó)家安全及權(quán)益。

　　漏洞不只是“弱密碼”

　　從信息安全角度審視，絕大多數(shù)安防監(jiān)控設(shè)備幾乎是裸露在外的。有別于PC、服務(wù)器等IT產(chǎn)品，監(jiān)控設(shè)備在設(shè)計(jì)之初主要應(yīng)用在專網(wǎng)、或者不聯(lián)網(wǎng)的領(lǐng)域，并沒(méi)有將互聯(lián)網(wǎng)作為應(yīng)用場(chǎng)景。比如攝像機(jī)，最初都是通過(guò)硬盤來(lái)存儲(chǔ)數(shù)據(jù)，其產(chǎn)品特性也主要考慮編解碼、清晰度等特性。但隨著攝像機(jī)數(shù)量增多，越來(lái)越多設(shè)備需要遠(yuǎn)程控制能力，也因此開始連接互聯(lián)網(wǎng)。此時(shí)，缺少安全防護(hù)的問(wèn)題開始大規(guī)模暴露。

　　現(xiàn)階段，大多數(shù)的視頻監(jiān)控系統(tǒng)都是基于TCP/IP網(wǎng)進(jìn)行遠(yuǎn)程監(jiān)控、傳輸、存儲(chǔ)、管理的，所以網(wǎng)絡(luò)安全漏洞不局限在前端，而是整個(gè)監(jiān)控網(wǎng)絡(luò)體系都面臨一系列的安全風(fēng)險(xiǎn)，具體主要體現(xiàn)在四大方面：

　　·用戶接入安全，例如：客戶端接入?yún)f(xié)議安全、用戶權(quán)限控制等；

　　·前端攝像頭接入安全，例如：前端接入?yún)f(xié)議安全、前端接入認(rèn)證等；

　　·數(shù)據(jù)傳輸安全 ，例如：網(wǎng)絡(luò)設(shè)備管理安全、傳輸通道安全等；

　　·服務(wù)器自身安全，例如：服務(wù)器操作系統(tǒng)安全、數(shù)據(jù)庫(kù)安全、應(yīng)用程序安全等等。

　　而值得一提的是，網(wǎng)絡(luò)監(jiān)控平臺(tái)弱口令漏洞是個(gè)世界性的問(wèn)題。“口令”相當(dāng)于門鑰匙，“弱口令”意味著把鑰匙放在了外人很容易找到的地方。前面提及的某公安系統(tǒng)所稱的“安全隱患”，便是該系統(tǒng)沒(méi)有修改設(shè)備的初始密碼。

　　而據(jù)安防業(yè)內(nèi)人士稱，“通過(guò)12345、1234、password”等簡(jiǎn)單密碼，可以控制10%以上的監(jiān)控設(shè)備。

　　還有，筆者觀察到，近期一系列的監(jiān)控網(wǎng)絡(luò)大規(guī)模癱瘓事件多是由一種叫Mirai的臭名昭著的僵尸網(wǎng)絡(luò)驅(qū)動(dòng)發(fā)起的攻擊。據(jù)悉，Mirai通過(guò)60多組密碼組合，高效掃描互聯(lián)網(wǎng)，源代碼被公布之初就已經(jīng)控制了38萬(wàn)個(gè)物聯(lián)網(wǎng)設(shè)備。相對(duì)于通過(guò)僵尸主機(jī)、服務(wù)器發(fā)起的DDoS攻擊而言，監(jiān)控設(shè)備幾乎等同于無(wú)門檻、無(wú)成本的廉價(jià)“肉雞”。

　　另外，根據(jù)安天安全研究與應(yīng)急處理中心發(fā)布的分析報(bào)告，安防產(chǎn)業(yè)內(nèi)多家知名公司的部分設(shè)備均存在單一默認(rèn)密碼的問(wèn)題。這些廠商聯(lián)合他們的客戶一起對(duì)上述情況做出適當(dāng)響應(yīng)以減輕Mirai的危害程度，但同時(shí)仍然必須強(qiáng)調(diào)這些只是我們能夠看到的冰山一角，也許還需要更多其他設(shè)備廠商一起來(lái)做更多的網(wǎng)絡(luò)安全工作。

　　構(gòu)建全方位防御體系

　　自從2015年年初的那起“黑天鵝”事件之后，安全性越來(lái)越受到安防監(jiān)控產(chǎn)業(yè)界的重視。網(wǎng)絡(luò)安全亦儼然成為一場(chǎng)永無(wú)休止的攻防戰(zhàn)，一些業(yè)內(nèi)企業(yè)開始積極著手尋求網(wǎng)絡(luò)安全方案，譬如嘗試通過(guò)增加安全芯片等方式來(lái)進(jìn)行硬件加密。

　　不過(guò)現(xiàn)階段，由于視頻監(jiān)控的安全涉及到前端設(shè)備、傳輸鏈路、后端管理平臺(tái)和數(shù)據(jù)協(xié)議，設(shè)備種類繁多，通信協(xié)議各異，傳統(tǒng)的安防企業(yè)暫時(shí)很難通過(guò)一種解決方案來(lái)解決安防的網(wǎng)絡(luò)安全問(wèn)題。

　　在安防大數(shù)據(jù)時(shí)代，IT廠商應(yīng)對(duì)網(wǎng)絡(luò)安全似乎經(jīng)驗(yàn)更足道、也更老練一些。以華為為例，在積淀了多年一線抗擊網(wǎng)絡(luò)攻擊的經(jīng)驗(yàn)之后，華為已經(jīng)逐漸摸索出一系列有效的處理方式。

　　為了更徹底的解決視頻監(jiān)控安全風(fēng)險(xiǎn)，華為推出一套全方位的安全防御體系：“端、管、云”相互配合，通過(guò)多種安全產(chǎn)品（安全網(wǎng)關(guān)SVN、企業(yè)移動(dòng)管理服務(wù)器EMM server、PKI/CA等）協(xié)同聯(lián)動(dòng)的方案來(lái)解決讓用戶棘手的安全問(wèn)題。

　　援引一位接近華為的消息人士稱，這套安全方案廣泛適用于公安、交通、運(yùn)營(yíng)商等關(guān)注接入安全的實(shí)際使用場(chǎng)景的需要。

　　另外據(jù)了解，華為視頻監(jiān)控解決方案采用了分層的安全架構(gòu)模型，可以抽象為四個(gè)層次：應(yīng)用層安全、網(wǎng)絡(luò)層安全、系統(tǒng)層安全和物理層安全，同時(shí)加上貫穿所有層次的重要安全因素－安全管理（包括技術(shù)和非技術(shù)的方法）。通過(guò)標(biāo)準(zhǔn)的威脅模型對(duì)安全架構(gòu)的四個(gè)層次進(jìn)行安全威脅分析、針對(duì)威脅點(diǎn)進(jìn)行安全特性設(shè)計(jì)、以及其他安全活動(dòng)，為IVS提供全面的，端到端的安全防御體系。

　　此外，華為還率先在業(yè)內(nèi)推出視頻監(jiān)控領(lǐng)域的安全SDK解決方案，可以應(yīng)用與所有和網(wǎng)絡(luò)攝像機(jī)對(duì)接的產(chǎn)品包括自研產(chǎn)品和第三方接入平臺(tái)，并且能解決標(biāo)準(zhǔn)協(xié)議安全上的缺陷，適用性廣。華為在視頻監(jiān)控網(wǎng)絡(luò)安全領(lǐng)域的造詣，令傳統(tǒng)安防企業(yè)望其項(xiàng)背。

　　未來(lái)網(wǎng)絡(luò)安全環(huán)境將會(huì)越來(lái)越復(fù)雜多變，網(wǎng)絡(luò)安全事件也將層出不窮，網(wǎng)絡(luò)攻擊不斷呈現(xiàn)出跨行業(yè)、跨地域、技術(shù)不斷變異的特點(diǎn)，安防企業(yè)或應(yīng)該通過(guò)各種前沿技術(shù)武裝自己的網(wǎng)絡(luò)安全防御體系，并且充分考慮和預(yù)見(jiàn)未來(lái)可能會(huì)出現(xiàn)的潛在威脅。

　　”華為在不斷向安防監(jiān)控領(lǐng)域輸出安全實(shí)力的同時(shí)，也希望與更多管理部門、業(yè)內(nèi)企業(yè)，一同打造更加健康的網(wǎng)絡(luò)安全生態(tài)。”華為視頻監(jiān)控業(yè)務(wù)相關(guān)人士說(shuō)。

　　本文作者 林克章/華為視頻監(jiān)控產(chǎn)品領(lǐng)域安全專家（從事視頻大數(shù)據(jù)產(chǎn)品分析設(shè)計(jì)、安全解決方案工作，9年視頻監(jiān)控從業(yè)經(jīng)歷，主導(dǎo)華為視頻監(jiān)控領(lǐng)域主打產(chǎn)品VCN/VCM/IPC的安全方案設(shè)計(jì)，具備豐富的視頻大數(shù)據(jù)產(chǎn)品安全知識(shí)以及行業(yè)應(yīng)用經(jīng)驗(yàn)。）