安全挑戰

目前視頻專網規模迅速擴大并廣泛應用于公共安全建設,服務于視頻取證、風險監測等領域,視頻網絡的安全問題也日益凸顯,視頻專網的安全防護也將是重中之重。如2016年,美國發生大規模斷網事件,共有超過百萬臺攝像頭設備化身肉雞參與了此次DDoS攻擊;某監控產品攝像頭存在遠程執行漏洞,被提權后導致部分攝像頭被境外控制,進行非法監測活動。

視頻專網在建設過程中雖然采用網絡邏輯隔離(VLAN)等技術進行安全域的劃分,但物理上仍然處于同一張網絡,視頻專網IPC攝像頭、監控終端工作站、視頻NVR服務器以及其他配套網絡設備在同一張網絡中,任何一個環節安全防護不到位,都有可能擴散到全網,影響整個網絡的安全。主要面臨有如下風險特性。

1.攝像頭資產很難及時發現和全面統計

視頻專網終端設備分布極為廣泛,數量巨大,信息采集時間周期長,而且隨著建設范圍擴大,不斷有新設備接入和端點改造變化,基層數據維護管理不到位,導致資產信息不全、資產丟失等情況,無法建立完善的設備規范化管理機制。

2.非法設備接入安全風險

視頻專網以攝像頭為主,而且無人值守,分布和接入點非常散,黑客進行仿冒接入和視頻劫持的成本非常低,很容易就能進行網絡實施入侵攻擊和視頻數據的非法訪問,且事后很難對其進行追蹤。

3.網絡邊界模糊的安全風險

雖然視頻網絡內采用邏輯隔離(VLAN)等技術進行安全域的劃分,但物理上仍然是同一張網絡,非法人員可以使用各種網絡設備插入視頻專網中,如私接路由、非法外聯等,網絡的隨意擴展造成了網絡邊界的不確定,也就非常容易引入安全威脅。

4.視頻設備缺乏有效監測

前端攝像頭傳輸圖像要求連續性極高,需要不間斷運行,但由于攝像頭分布非常散,無人值守,很容易出現脫網或離線等情況,造成視頻數據不全,無法取證,無法實時監測和掌握設備的上下線、數據傳輸、接入等情況。

5.前端設備健康狀態安全風險

前端攝像頭設備如果使用了默認口令或弱口令,開放了風險端口,存在后門漏洞,或出現傳輸不穩定等“亞健康”狀態,很容易被控制,成為“睜眼瞎”,甚至被變為肉雞進行代理攻擊,會給敏感區域的監控和網絡造成嚴重影響。

6.管理工作站安全風險

視頻專網中各主要節點位置都分布有若干管理電腦和其他辦公設備,主要提供視頻圖像的監控和調取等管理工作。這類管理終端如果缺乏有效的安全加固和集中管理措施,遭到感染、入侵、控制,也就意味著整個視頻專網暴露在黑客面前。

解決方案

隨著“雪亮工程”“平安城市”等視頻專網多年建設,視頻設備規模迅速擴大,安全問題也日益凸顯。奇安信視頻終端安全準入解決方案通過對設備的發現和識別、接入感知與風險監測、仿冒與準入控制、安全基線合規等能力,解決視頻專網設備接入場景下的安全問題,實現多類型設備的統一接入管理。

視頻終端安全準入解決方案

1.資產發現和識別

具備主動識別和被動監測多種方式,能夠快速發現網絡內的設備資產,通過設備特征指紋識別、自動學習等技術,發現設備類型、用戶、操作系統、品牌、廠商、IP/MAC等資產屬性信息。

2.接入和仿冒控制

設備接入前先要經過認證、授權,才能正常進行上行數據傳輸和信令交互。視頻終端正常上線后,在正常業務交互過程中,通過內容感知、識別等技術,每一個設備自動建立學習業務模型,當有非法終端仿冒接入網絡,能夠迅速發現并通過制定安全策略進行處置,防止IP、MAC偽造,通過指紋特征信息,防止設備層面的偽造,杜絕非法接入和仿冒行為。

3.安全基線及狀態監測

前端攝像頭或其他終端接入網絡時,通過監測引擎實現立即發現,然后持續監控設備在線、離線、接入等活動狀態信息,通過主動掃描和被動監聽等技術對攝像頭的弱口令、開放端口、漏洞、流量協議、流量波動等情況進行全面檢查,一旦發現異常,發出預警并采取隔離措施,實時掌握設備的安全風險信息,隔離具有威脅的“亞健康”設備。

4.接入發現和控制

支持對網絡進行拓撲發現,并對無正常外聯能力的終端進行主動探測,探測其是否有違規外聯能力。如果有外聯能力,則在取證服務器上對其能力探測結果進行記錄,同時標記終端有違規外聯能力,通知管理員或對其進行阻斷。通過對終端網絡行為流量的深入分析,感知并檢查網絡是否由NAT方式接入,并嘗試分析NAT前的接入設備信息。

5.工作終端安全防護

視頻專網中分散著各種管理工作站和監控PC機,如果防護不到位,同樣會影響到視頻專網的安全,需對這些終端進行合理的安全防護、入網合規檢查、準入控制等,防止“亞健康”狀態終端接入對視頻專網的影響。
方案特點

1.視頻專網混合類型設備接入的統一安全管理。

2.分布式部署,集中管理,分權分區的靈活管理模式。

3.具備有客戶端和無客戶端的設備安全基線檢查能力。

4.通過學習建模、指紋庫、協議庫、設備類型庫等多種方式,精準感知接入資產及仿冒設備。

應用價值

1.看得見

及時發現網內的所有前端攝像頭、NVR、存儲設備、管理終端、網絡設備等,并實時感知新設備的接入和網絡訪問行為。

2.看得清

對所發現的設備進行靜態配置深入識別,發現其操作系統、類型、廠商、型號、序列號等信息,并對其網絡行為進行智能學習和監控,并對其出入站行為進行可視化分析。

3.看的牢

對設備進行持續監控,確認其網絡可達性、服務可用性、健康狀態和安全性,有效阻斷仿冒設備及不合規設備接入網絡。

4.管得住

對設備進行接入控制和安全合規檢查,防止非法人員使用各種網絡設備插入視頻專網中,造成網絡邊界的不確定,避免引入安全威脅。