安恒信息構建“立體化”的視頻監控網絡安全防護體系

　　在物聯網、大數據等技術應用的推動下，視頻監控網絡已滲透到生活的方方面面，在家庭安防、交通監控、智慧城市建設等領域發揮著不可替代的作用。尤其是在全國范圍內推行的“科技強警建設工程”、“3111 工程”、“平安城市”、“天網工程”等重大安防項目，視頻監控網絡建設是核心的“驅動力”之一。

　　但是，視頻監控網絡覆蓋面的急劇擴大，網絡安全問題也日趨嚴重，針對攝像頭等視頻監控網絡的惡意程序頻繁出現。2015年初，國內政府機關和公共行業廣泛使用的某型號監控設備被曝存在高危漏洞，并已被利用植入惡意代碼，導致部分設備被遠程控制并可對外發動網絡攻擊;2017年，物聯網惡意軟件Mirai利用接入互聯網的視頻監控設備實施大規模DDoS攻擊，其感染的僵尸網絡迅速擴大，數百萬的視頻監控終端被感染成為“肉雞”……

　　針對視頻監控網絡存在的問題，安恒信息從前端安全、邊界安全、網絡安全、數據安全和管理安全入手，采用自適應的安全防護系統架構，結合安全體系中的“事前檢測、事中防護、事后追溯”的防護理念，以視頻監控網絡安全態勢感知平臺為核心，構建立體化的視頻監控網絡安全防護體系。

　　視頻監控網絡風險分析

　　視頻監控網絡與傳統網絡不同，整體架構更為復雜，大量終端部署在室外等非隔離網絡環境中，存在終端資產數量特別多、網絡邊界不清晰、網絡關系復雜、部署環境多樣化等特點，這也導致了視頻監控網絡內外網，都面臨著多樣化的安全風險。主要包含以下幾個方面：

　　1、資產狀態無法實時感知

　　視頻監控設備通常數量非常龐大、部署位置分散，可能會出現斷網、設備故障、狀態異常等情況，因此，需要對物聯網設備狀態進行實時的監控，及時發現異常設備并預警。

　　2、前端設備弱口令或無口令

　　視頻監控設備往往管理難度極大，極易存在弱口令，甚至不設置密碼等問題，一旦被黑客利用后果嚴重。因此，需要及時發現監控系統存在的弱口令問題，并采取更復雜的的鑒權或口令強化。

　　3、前端設備系統漏洞被利用

　　視頻監控設備通常都已經智能化，大多都有自己的操作系統，以Linux為主，而系統自身可能會存在系統漏洞，比如溢出、越權等。因此，需要實時監測未修復漏洞，并進行及時修復，否則極易被不法分子利用而入侵設備。

　　4、前端非法接入敏感信息易泄露

　　視頻監控設備類型多樣、地理位置分布廣，一旦前端有非法接入，即可連接到系統網絡內部，內部敏感信息極容易被泄露;同時，不法分子還能對系統網絡內部其他聯網設備進行攻擊，可能會產生極為嚴重的影響。因此，需要對這些設備進行及時監控，發現其中非法接入的物聯網設備類型并告知監管人員及時作出處理。

　　5、身份偽造被惡意利用

　　視頻監控設備可能分布位置非常分散，容易被惡意攻擊利用，遭到替換設備并偽造身份，被利用作為攻擊源，甚至會通過偽造的設備入侵到內網，對其他相關設備進行攻擊，進而對整體物聯網造成安全威脅。

　　6、惡意代碼入侵傳播

　　視頻傳輸專網與其他專網、互聯網網絡邊界互聯缺乏規范的技術防護。在內部網絡，前端設備基本處于零防護的狀態，僅有系統用戶密碼認證等簡單的安全措施。面對越來越復雜的APT攻擊、黑客入侵、內部非法人員的滲透，網絡極易被攻破，內部網絡中的服務器、終端和視頻設備一旦被入侵，可能造成視頻監控設備被感染、內部大規模傳播、網絡不可用等安全風險。

　　搭建視頻監控網絡安全架構

　　根據視頻監控網絡的系統現狀與特點，需要有重點的合理劃分安全區域、確定安全邊界，進行分區分域防護。依據國家信息安全等級保護制度和信息保障技術框架，針對視頻監控網絡各區域脆弱點與風險，結合前端、邊界、網絡和管理多個層次安全綜合考慮，構建一套以視頻監控網絡安全態勢感知為核心的立體化網絡安全防護體系。

　　圖：視頻監控網絡總體安全架構

　　1.前端安全

　　主要包括前端接入的攝像機及其他設備。應建立前端安全防護機制，實現對前端接入資源的有效識別和安全管理。通過對前端智能設備，如智能攝像頭等前端資產安全狀態監測，快速對視頻監控前端設備進行安全檢查，掃描資產，形成資產指紋庫，發現弱口令、漏洞、非法接入等安全問題，提供安全加固技術手段，實現對前端的安全防護、數據加密和安全管控。

　　2.邊界安全

　　視頻監控網絡邊界主要包含視頻監控網絡與社會資源網，及其他專網等區域之間的通信邊界。邊界安全建設必須實現網絡隔離，并實現訪問權限控制;針對前端攝像頭接入視頻專網，進行嚴密準入管控，確保僅有授權的、合法的視頻終端接入網絡。通過識別傳輸數據的應用層協議特征與動態端口號，只允許授權的數據流及控制信令進入視頻監控系統，禁止其他非法數據接入。

　　3.網絡安全

　　視頻監控網絡安全須針對網絡中的威脅進行實時檢測、準確監測網絡異常流量，能夠對流量中夾雜的DDoS攻擊實現有效防御;具有網絡攻擊防護、入侵防護、病毒防護等安全防護措施，實現對各類攻擊有效識別和阻斷;對鏈路中的相關設備運行狀況、網絡流量、用戶行為等進行審計和管控。

　　4.數據安全

　　針對視頻數據傳輸安全需要結合數據簽名和鏈路加密等多方面的技術，針對接入前端進行設備和用戶身份認證，在視頻數據源進行簽名和結果進行完整性校驗，結合傳輸和存儲加密機制，基于統一的秘鑰更新與分發體系，從多個方面確保數據安全。

　　5.管理安全

　　視頻監控網絡管理安全包含漏洞管理、資產管理、應用防護、日志審計、秘鑰管理和運維管理等幾個方面，達到視頻監控網絡各種類型資產監管及風險預警的效果，可對本前端資產狀態、網絡狀態及安全狀態進行統一監測，可發現異常接入、異常鏈路、非法入侵等并進行實時告警及溯源，與各區域安全設備及平臺進行數據對接，實現整體視頻監控網絡的安全態勢感知。

　　6.架構與服務

　　實現立體化的視頻監控網絡安全防護體系，需要基于視頻監控網絡的特點構建自適應的安全防護架構，從檢測、響應、防護和預測幾個維度實現安全閉環。當檢測到某個區域/節點出現安全事件時，能夠自動響應并對事件進行處置，同時將處置策略同步到整體平臺，基于對視頻監控網絡的持續評估，在風險被利用之前能夠進行預測并采取防護措施，再結合人工安全響應服務，建立周期性的自適應安全防護體系。

　　方案特點

　　1.端到端的數據安全加密

　　采用端到端的數據安全加密技術，內置高強度標準加密算法，利用密文密鑰分離機制確保數據全過程加密，從而實現全過程數據安全加密防護，提供數據從客戶端、傳輸、存儲和應用加密服務，保障音視頻數據傳輸安全。

　　2.聯網資產安全監測

　　物聯網安全監測引擎通過高速對視頻監控設備安全監測和狀態監測，及時識別資產指紋、漏洞、非法接入、異常偽造等問題，并上報視頻監控網絡安全態勢感知與管控中心。

　　3.機器學習驅動的安全分析

　　針對海量的多維原始行為數據，建立機器學習算法模型，基于多維數據樣本訓練進行分類聚類，快速識別異常行為。

　　4.事前、事中、事后的一體化防護

　　針對視頻監控網絡安全事件的事前、事中、事后三個生命周期過程，不同的階段我們可以有針對性地采用安全措施，三個生命周期的安全任務即事前預防為主，事中有效防護，事后追溯審計。

　　5.統一安全管理與態勢評估

　　通過部署視頻監控網絡安全態勢感知與管控中心，實現整網資產安全狀態可視化，威脅情報實時通報預警，網絡安全態勢實時可查、整網安全態勢可評估。

　　在法制日報舉辦的2019全國政法智能化建設創新案例征集活動，安恒視頻監控物聯網態勢感知平臺入選“雪亮工程十大創新產品”。目前該解決方案已經成功應用在北京、浙江、江蘇、安徽、山東等多個省市，有效解決了用戶在視頻網建設中攝像頭終端及數據面臨的安全防護難題。

　　轉自：華夏小康網

　　【版權及免責聲明】凡本網所屬版權作品，轉載時須獲得授權并注明來源“中國產業經濟信息網”，違者本網將保留追究其相關法律責任的權力。凡轉載文章及企業宣傳資訊，僅代表作者個人觀點，不代表本網觀點和立場。版權事宜請聯系：010-65367254。

延伸閱讀