安全挑战

目前视频专网规模迅速扩大并广泛应用于公共安全建设,服务于视频取证、风险监测等领域,视频网络的安全问题也日益凸显,视频专网的安全防护也将是重中之重。如2016年,美国发生大规模断网事件,共有超过百万台摄像头设备化身肉鸡参与了此次DDoS攻击;某监控产品摄像头存在远程执行漏洞,被提权后导致部分摄像头被境外控制,进行非法监测活动。

视频专网在建设过程中虽然采用网络逻辑隔离(VLAN)等技术进行安全域的划分,但物理上仍然处于同一张网络,视频专网IPC摄像头、监控终端工作站、视频NVR服务器以及其他配套网络设备在同一张网络中,任何一个环节安全防护不到位,都有可能扩散到全网,影响整个网络的安全。主要面临有如下风险特性。

1.摄像头资产很难及时发现和全面统计

视频专网终端设备分布极为广泛,数量巨大,信息采集时间周期长,而且随着建设范围扩大,不断有新设备接入和端点改造变化,基层数据维护管理不到位,导致资产信息不全、资产丢失等情况,无法建立完善的设备规范化管理机制。

2.非法设备接入安全风险

视频专网以摄像头为主,而且无人值守,分布和接入点非常散,黑客进行仿冒接入和视频劫持的成本非常低,很容易就能进行网络实施入侵攻击和视频数据的非法访问,且事后很难对其进行追踪。

3.网络边界模糊的安全风险

虽然视频网络内采用逻辑隔离(VLAN)等技术进行安全域的划分,但物理上仍然是同一张网络,非法人员可以使用各种网络设备插入视频专网中,如私接路由、非法外联等,网络的随意扩展造成了网络边界的不确定,也就非常容易引入安全威胁。

4.视频设备缺乏有效监测

前端摄像头传输图像要求连续性极高,需要不间断运行,但由于摄像头分布非常散,无人值守,很容易出现脱网或离线等情况,造成视频数据不全,无法取证,无法实时监测和掌握设备的上下线、数据传输、接入等情况。

5.前端设备健康状态安全风险

前端摄像头设备如果使用了默认口令或弱口令,开放了风险端口,存在后门漏洞,或出现传输不稳定等“亚健康”状态,很容易被控制,成为“睁眼瞎”,甚至被变为肉鸡进行代理攻击,会给敏感区域的监控和网络造成严重影响。

6.管理工作站安全风险

视频专网中各主要节点位置都分布有若干管理电脑和其他办公设备,主要提供视频图像的监控和调取等管理工作。这类管理终端如果缺乏有效的安全加固和集中管理措施,遭到感染、入侵、控制,也就意味着整个视频专网暴露在黑客面前。

解决方案

随着“雪亮工程”“平安城市”等视频专网多年建设,视频设备规模迅速扩大,安全问题也日益凸显。奇安信视频终端安全准入解决方案通过对设备的发现和识别、接入感知与风险监测、仿冒与准入控制、安全基线合规等能力,解决视频专网设备接入场景下的安全问题,实现多类型设备的统一接入管理。


1.资产发现和识别

具备主动识别和被动监测多种方式,能够快速发现网络内的设备资产,通过设备特征指纹识别、自动学习等技术,发现设备类型、用户、操作系统、品牌、厂商、IP/MAC等资产属性信息。

2.接入和仿冒控制

设备接入前先要经过认证、授权,才能正常进行上行数据传输和信令交互。视频终端正常上线后,在正常业务交互过程中,通过内容感知、识别等技术,每一个设备自动建立学习业务模型,当有非法终端仿冒接入网络,能够迅速发现并通过制定安全策略进行处置,防止IP、MAC伪造,通过指纹特征信息,防止设备层面的伪造,杜绝非法接入和仿冒行为。

3.安全基线及状态监测

前端摄像头或其他终端接入网络时,通过监测引擎实现立即发现,然后持续监控设备在线、离线、接入等活动状态信息,通过主动扫描和被动监听等技术对摄像头的弱口令、开放端口、漏洞、流量协议、流量波动等情况进行全面检查,一旦发现异常,发出预警并采取隔离措施,实时掌握设备的安全风险信息,隔离具有威胁的“亚健康”设备。

4.接入发现和控制

支持对网络进行拓扑发现,并对无正常外联能力的终端进行主动探测,探测其是否有违规外联能力。如果有外联能力,则在取证服务器上对其能力探测结果进行记录,同时标记终端有违规外联能力,通知管理员或对其进行阻断。通过对终端网络行为流量的深入分析,感知并检查网络是否由NAT方式接入,并尝试分析NAT前的接入设备信息。

5.工作终端安全防护

视频专网中分散着各种管理工作站和监控PC机,如果防护不到位,同样会影响到视频专网的安全,需对这些终端进行合理的安全防护、入网合规检查、准入控制等,防止“亚健康”状态终端接入对视频专网的影响。
方案特点

1.视频专网混合类型设备接入的统一安全管理。

2.分布式部署,集中管理,分权分区的灵活管理模式。

3.具备有客户端和无客户端的设备安全基线检查能力。

4.通过学习建模、指纹库、协议库、设备类型库等多种方式,精准感知接入资产及仿冒设备。

应用价值

1.看得见

及时发现网内的所有前端摄像头、NVR、存储设备、管理终端、网络设备等,并实时感知新设备的接入和网络访问行为。

2.看得清

对所发现的设备进行静态配置深入识别,发现其操作系统、类型、厂商、型号、序列号等信息,并对其网络行为进行智能学习和监控,并对其出入站行为进行可视化分析。

3.看的牢

对设备进行持续监控,确认其网络可达性、服务可用性、健康状态和安全性,有效阻断仿冒设备及不合规设备接入网络。

4.管得住

对设备进行接入控制和安全合规检查,防止非法人员使用各种网络设备插入视频专网中,造成网络边界的不确定,避免引入安全威胁。