近年來,視頻監控設備快速擴張,從標清到高清的跨越,實現了視頻監控從“看得見”到“看得清”的轉變。由于高清視頻?監控的分辨率在不斷提高,信息化項目在大力推進,視頻監控數據存儲囚量在日益大幅增加,海量信息數據存儲下導致自身的問題也越來越多。
視頻監控現狀:
視頻監控系統攝像頭廣泛分布在路邊、樓宇、廣場、車站等室外場所,很難進行高強度的物理防護,同時視頻監控設備軟硬件相似度高,缺陷高度一致,任何一點被攻擊可能就會會引發連鎖反應進而導致整個監控網絡被控制和癱瘓。
NVR、視頻管理系統不僅存在視頻設備特有漏洞而且大量存在操作系統常見漏洞,容易被攻擊和控制,導致視頻數據被盜取和破壞;視頻監控終端缺乏持續維護手段,常成為黑客和病毒攻擊目標;視頻監控系統Q維護管理人員、外包服務人員等,都可能因管理不善而對視頻專網造成威脅。
目前監控攝像機基本都采用IP網絡連接,連網即可傳輸數據,極有可能因為用戶的大意,不修改密碼或采用簡單的密碼登陸造成不的隱患。黑客也有可能將攻擊攝像頭當做一個跳板,而給整個家庭網絡、辦公網絡整垮帶來嚴重的后果。
網絡監控系統被攻擊的原因各式各樣,有些是監控設備本身存在的漏洞,有些則是連接互聯網后引發的危害。這些網絡監控隱患問題無疑為我們敲了警鐘。如何為用戶營造的監控應用環境,如何保障公共場合監控視頻不被泄露,成為安防廠商和廠商應當關注的問題。
視頻監控存在的風險隱患:
現在的高清攝像頭都是基于IP網絡進行傳輸,前端模塊也是網絡模塊,網絡容易被黑客攻擊,而且攝像頭是全天24小時工作,多數攝像頭的安裝位置偏遠、有的存在監控盲區,不能24小時實時監控所有監控畫面,更不能及時掌握設備運行情況,這樣就給黑客攻擊帶來了可乘之機。
視頻監控前端及傳輸隱患
目前攝像頭前端采用的都是網絡模塊傳輸數據,使用起開方便、接入靈活,數據采集是全天候24小時,但是采集裝置在傳輸中存在多方面的隱患,現在使用的傳輸系統沒有相應的管控,這也成為網絡傳輸中存在的薄弱環節。
攻擊者可以通過端口掃描、IP地址搜索軟件等方式,可以快速發現在網絡中、運行的設備信息,黑客就可以通過筆記本等外聯設備對服務器進行遠程訪問、攻擊、破壞。如果攻擊者成功破解網絡攝像頭的前端設備后,攻擊者就可以對控制中心的所有設備輕松的掌控操作,順利的獲取監控中心的敏感信息,甚至可以被用作入侵和攻擊網絡的跳板,進行信息數據的收集的系統木馬病毒的植入等操作。監控中心調閱風險
監控中心是視頻監控系統的核心,主要有圖像監控設備、存儲服務器等,具有視頻回放、設備訪問、網絡傳輸、視頻存儲等功能,監控中心存儲許多易受入侵的重要數據,控制設備的權限、設置入侵漏洞等設備信息。攝像頭前端和后端的視頻數據采集后,監控中心僅用于簡單的權限識別和管理,沒有集中的存儲機房,或者存儲設備放置隨意,且沒有專門的加密設備和認證機制提供的設備,客戶端和用戶的數據信息,不能完全保證最終數據信息的合法性,不能及時阻止非法訪客的入侵攻擊。
視頻監控管理員有時缺乏意識,通常使用相同的用戶名來方便維護人員管理,密碼通常是原始設備密碼或非常簡單的密碼,也沒有做到存儲設備與監控設備密碼分離,在添加設備時與存儲密碼一致,密碼過于簡單目沒有做到定期更新,造成密碼泄露擴散,這些都是風險存在的隱患。
視頻監控系統防護如何做?
當前視頻監控系統主要存在前端設備、終端設備、網絡傳輸、操作系統、設備應用、數據存儲、管理等方面的風險,目前的防護設備主要有入侵檢測、防火墻、終端防病毒等,不能滿足日益增長的巨大風險隱患,隨著信息化建設的不斷升級,網系之間的融合等問題凸顯。針對現有問題及時建立基于態勢感知的主動防御系統,通過對視頻端到端的防護,形成正向的閉環保護,在視頻監控事件發生前后,形成有效的信息管理措施。
一是對視頻監控系統中的資產進行實時檢測和統計,及時掌握前端設備、中心管理、后端設備等資產的組成和分布使用情況,利用有效的漏洞掃描工具檢測資產漏洞,定期更新設備密碼。
二是通過部署視頻綜合網關、視頻防泄密、水印網關、單項網閘等防護設備,從網絡層、應用層、數據層,形成7*24小時綜合保護態勢,確保設備運行、網絡傳輸、視頻調閱、監管管理等環節的性。
設備入網準入
以終端驗證和終端為基礎,通過身份認證以及域控制等手段,從根本上保證接入網絡的終端可信,為終端入網管理提供強有效的保障,規避由于不可信終端的隨意接入而可能帶來的網絡及信息資源違規占用、病毒木馬泛濫、資料泄密以及越權訪問等諸多問題。能夠統一管理準入設備,輕松掌控網絡邊界。
數據傳輸防護
網絡中部署視頻綜合網關,提供視頻防火墻功能,做好端口的限制策略防護,在確保信息網絡抗攻擊能力的同時,加強對基礎網絡的控制和數據監控,有效提升基礎網絡的性,從而為上層應用提供的運行環境。視頻綜合網關可以限度的保障網絡正常運行,主要提高網絡的性、強化網絡的策略、防止信息泄露,同時具有信息認證、抗網絡攻擊、IP/MAC地址綁定等功能,有效防止陌生地址攻擊有效數據,保證訪問。
網絡隔離防護
通過視頻交換接入系統或數據交換接入系統,實現橫向邊界的隔離,通過縱向防護系統實現上下級網絡之間的隔離,可實現病毒查殺、防DoS/DdoS、漏洞防護、視頻信令過濾及視圖庫信令過濾等,確保問題在最小范圍內處理,不擴散。
視頻調閱防護
網絡監控中心部署視頻防泄密網關,保證視頻調閱過程中,無論是觀看還是分析中防止錄屏截屏,視頻下載加密,非授權終端無法訪問視頻。對視頻生命周期做管控,做到合法視頻轉發播放時間、次數可管理,可控制,可銷毀。
事后事件追溯
通過視頻審計系統實現對所有的前端設備、終端設備、網絡設備、設備、應用系統的操作行為的記錄,包括登錄時IP、登錄用戶、登錄時間、操作命令等內容實行的審計,審計后的結果可以對設備日志、操作系統日志、應用系統日志進行的查看分析判斷,有效的對各種威脅、異常行為事件進行處理,確實提高信息數據的。