本文探讨了视频监控设备的高清化趋势带来的数据存储增长引发的安全问题,包括物理防护不足、设备漏洞、网络连接安全风险等。文章强调了视频监控系统各环节的安全隐患,并提出基于安全态势感知的主动防御措施,如资产检测、网络综合保护、设备准入管理和数据传输防护等,以保障监控系统的安全性。
近年来,视频监控设备快速扩张,从标清到高清的跨越,实现了视频监控从“看得见”到“看得清”的转变 。由于高清视频监控的分辨率在不断提高,信息化项目在大力推进,视频监控数据存储量在日益大幅增加,海量信息数据存储下导致自身的安全问题也越来越多。
视频监控安全现状
视频监控系统摄像头广泛分布在路边、楼宇、广场、车站等室外场所,很难进行高强度的物理防护,同时视频监控设备软硬件相似度高,安全缺陷高度一致,任何一点被攻击可能就会会引发连锁反应进而导致整个监控网络被控制和瘫痪。
NVR、视频管理系统不仅存在视频设备特有漏洞而且大量存在操作系统常见漏洞,容易被攻击和控制,导致视频数据被盗取和破坏;视频监控终端缺乏持续安全维护手段,常成为黑客和病毒攻击目标;视频监控系统维护管理人员、外包服务人员等,都可能因管理不善而对视频专网造成威胁。
目前监控摄像机基本都采用IP网络连接,连网即可传输数据,极有可能因为用户的大意,不修改密码或采用简单的密码登陆造成不安全的隐患。黑客也有可能将攻击摄像头当做一个跳板,而给整个家庭网络、办公网络整垮带来严重的后果。
网络监控系统被攻击的原因各式各样,有些是监控设备本身存在的漏洞,有些则是连接互联网后引发的危害。这些网络监控安全隐患问题无疑为我们敲了警钟。如何为用户营造安全的监控应用环境,如何保障公共场合监控视频不被泄露,成为安防厂商和安全厂商应当关注的问题。
视频监控存在的风险隐患
现在的高清摄像头都是基于IP网络进行传输,前端模块也是网络模块,网络容易被黑客攻击,而且摄像头是全天24小时工作,多数摄像头的安装位置偏远、有的存在监控盲区,不能24小时实时监控所有监控画面,更不能全面及时掌握设备运行情况,这样就给黑客攻击带来了可乘之机。
视频监控前端及传输隐患
目前摄像头前端采用的都是网络模块传输数据,使用起开方便、接入灵活,数据采集是全天候24小时,但是采集装置在传输中存在多方面的安全隐患,现在使用的传输系统没有相应的安全管控,这也成为网络传输中存在的薄弱环节。
攻击者可以通过端口扫描、IP地址搜索软件等方式,可以快速发现在网络中激活、运行的设备信息,黑客就可以通过笔记本等外联设备对服务器进行远程访问、攻击、破坏。如果攻击者成功破解网络摄像头的前端设备后,攻击者就可以对控制中心的所有设备轻松的掌控操作,顺利的获取监控中心的敏感信息,甚至可以被用作入侵和攻击网络的跳板,进行信息数据的收集的系统木马病毒的植入等操作。
监控中心调阅安全风险
监控中心是视频监控系统的核心,主要有图像监控设备、存储服务器等,具有视频回放、设备访问、网络传输、视频存储等功能,监控中心存储许多易受入侵的重要数据,控制设备的权限、设置入侵漏洞等设备信息。摄像头前端和后端的视频数据采集后,监控中心仅用于简单的权限识别和管理,没有集中的存储机房,或者存储设备放置随意,且没有专门的加密设备和安全认证机制提供的设备,客户端和用户的数据信息,不能完全保证最终数据信息的合法性,不能及时阻止非法访客的入侵攻击。
视频监控管理员有时缺乏安全意识,通常使用相同的用户名来方便维护人员管理,密码通常是原始设备密码或非常简单的密码,也没有做到存储设备与监控设备密码分离,在添加设备时与存储激活密码一致,密码过于简单且没有做到定期更新,造成密码泄露扩散,这些都是安全风险存在的隐患。
视频监控系统安全防护如何做?
当前视频监控系统主要存在前端设备、终端设备、网络传输、操作系统、设备应用、数据存储、安全管理等方面的安全风险,目前的防护设备主要有入侵检测、防火墙、终端防病毒等,不能满足日益增长的巨大风险隐患,随着信息化建设的不断升级,网系之间的融合等问题凸显。针对现有问题及时建立基于安全态势感知的主动安全防御系统,通过对视频端到端的防护,形成正向的安全闭环保护,在视频监控事件发生前后,形成有效的信息安全管理措施。
一是对视频监控系统中的资产进行实时检测和统计,及时掌握前端设备、中心管理、后端设备等资产的组成和分布使用情况,利用有效的漏洞扫描工具检测资产漏洞,定期更新设备密码。
二是通过部署视频综合安全网关、视频防泄密、水印网关、单项网闸等安全防护设备,从网络层、应用层、数据层,形成7 * 24小时综合保护态势,确保设备运行、网络传输、视频调阅、监管管理等环节的安全性。
以终端验证和终端安全为基础,通过身份认证以及安全域控制等手段,从根本上保证接入网络的终端可信,为终端入网安全管理提供强有效的保障,规避由于不可信终端的随意接入而可能带来的网络及信息资源违规占用、病毒木马泛滥、资料泄密以及越权访问等诸多安全问题。能够统一管理准入设备,轻松掌控网络边界安全。
数据传输安全防护
网络中部署视频综合安全网关,提供视频防火墙功能,做好端口的限制策略防护,在确保信息网络抗攻击能力的同时,加强对基础网络的安全控制和数据监控,有效提升基础网络的安全性,从而为上层应用提供安全的运行环境。视频综合安全网关可以最大限度的保障网络正常运行,主要提高网络的安全性、强化网络的安全策略、防止信息泄露,同时具有信息认证、抗网络攻击、IP/MAC地址绑定等功能,有效防止陌生地址攻击有效数据,保证访问安全。
网络隔离防护
通过视频安全交换接入系统或数据安全交换接入系统,实现横向边界的安全隔离,通过纵向安全防护系统实现上下级网络之间的隔离,可实现病毒查杀、防DoS/DdoS、漏洞防护、视频信令过滤及视图库信令过滤等,确保安全问题在最小范围内处理,不扩散。
视频调阅防护
网络监控中心部署视频防泄密网关,保证视频调阅过程中,无论是观看还是分析中防止录屏截屏,视频下载加密,非授权终端无法访问视频。对视频生命周期做安全管控,做到合法视频转发播放时间、次数可管理,可控制,可销毁。
事后事件追溯
通过视频审计系统实现对所有的前端设备、终端设备、网络设备、安全设备、应用系统的操作行为全面的记录,包括登录时IP、登录用户、登录时间、操作命令等内容实行全方位的审计,审计后的结果可以对设备日志、操作系统日志、应用系统日志进行全面的查看分析判断,有效的对各种安全威胁、异常行为事件进行处理,确实提高信息数据的安全。
1395
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
