◆王玉藏 齊志 周端文

探析網(wǎng)絡(luò)視頻監(jiān)控系統(tǒng)的安全現(xiàn)狀

◆王玉藏 齊志 周端文

（中國人民解放軍63610部隊 新疆 841000）

近些年，互聯(lián)網(wǎng)視頻監(jiān)控安全問題頻發(fā)，“水滴直播”、“黑天鵝”等安全事件影響惡劣，這也給專網(wǎng)安全管理人員敲了警鐘。本文基于網(wǎng)絡(luò)視頻監(jiān)控系統(tǒng)的基本架構(gòu)，重點對視頻前端模塊、視頻傳輸模塊、中心管理模塊和視頻應(yīng)用模塊存在的信息安全隱患進行分析，并提出安全防護建議。

視頻監(jiān)控系統(tǒng)；信息安全；安全風險；安全防護

1 引言

隨著網(wǎng)絡(luò)通信、視頻編碼、計算機處理等技術(shù)的發(fā)展，網(wǎng)絡(luò)視頻監(jiān)控系統(tǒng)廣泛應(yīng)用于軍事、金融、交通、公安等領(lǐng)域，幫助各單位實現(xiàn)廣域監(jiān)控、實時監(jiān)控、統(tǒng)一管理、協(xié)同指揮。網(wǎng)絡(luò)視頻監(jiān)控系統(tǒng)逐漸成為了各單位不可或缺的一部分，在無形中擴展了傳統(tǒng)網(wǎng)絡(luò)安全邊界，擴大了傳統(tǒng)觀念里安全風險的發(fā)生范圍，本文從專網(wǎng)安全防護的角度出發(fā)，重點對網(wǎng)絡(luò)視頻監(jiān)控系統(tǒng)存在的信息安全隱患進行分析，并提出安全防護建議。

2 網(wǎng)絡(luò)視頻監(jiān)控系統(tǒng)的架構(gòu)

網(wǎng)絡(luò)視頻監(jiān)控系統(tǒng)涉及的環(huán)節(jié)多、設(shè)備多，是一個多元復雜的體系，網(wǎng)絡(luò)視頻監(jiān)控系統(tǒng)的基本構(gòu)架主要可分為視頻前端模塊、視頻傳輸模塊、中心管理模塊和視頻應(yīng)用模塊四大部分，如圖1所示。

2.1 視頻前端模塊

視頻前端模塊，包括攝像機、網(wǎng)絡(luò)攝像機、云臺、高/標清視頻編碼器等前端設(shè)備，實現(xiàn)視頻、音頻信息的實時采集和壓縮編碼。

2.2 視頻傳輸模塊

視頻傳輸模塊，主要包括交換機、路由器、光端機、防火墻、視頻光端機、同軸電纜、雙絞線、光纖等設(shè)備，實現(xiàn)視頻在本級、上下級TCP/IP網(wǎng)絡(luò)之間的傳輸。

2.3 中心管理模塊

中心管理模塊是統(tǒng)一的管理平臺，包括圖像中心管理服務(wù)器、錄像存儲服務(wù)器、視頻回放服務(wù)器、設(shè)備接入服務(wù)器、媒體轉(zhuǎn)發(fā)服務(wù)器、視頻存儲系統(tǒng)等集中管理設(shè)備，主要實現(xiàn)五大集中管理：（1）視頻源接入管理；（2）視頻錄像、存儲、檢索、回放以及轉(zhuǎn)發(fā)管理；（3）客戶端管理；（4）用戶身份鑒別、權(quán)限管理；（5）日志管理。

2.4 視頻應(yīng)用模塊

視頻應(yīng)用模塊，包括服務(wù)/視頻管理終端、監(jiān)視終端、視頻分配器、視頻解碼器、視頻矩陣切換、D/A轉(zhuǎn)換器、電視墻、投影儀等后端顯示控制設(shè)備，實現(xiàn)視頻的監(jiān)控、投放、錄像等功能。

圖1 網(wǎng)絡(luò)視頻監(jiān)控系統(tǒng)構(gòu)架圖

3 網(wǎng)絡(luò)視頻監(jiān)控系統(tǒng)存在的安全隱患

3.1 視頻前端模塊安全風險

專網(wǎng)視頻監(jiān)控系統(tǒng)往往監(jiān)控“點位”涉及許多區(qū)域、跨網(wǎng)段，所需的前端視頻采集設(shè)備具備數(shù)量多、部署位置關(guān)鍵敏感、7*24小時持續(xù)采集等特點，是需要重點防護的對象。但是前端采集設(shè)備自身存在大量安全隱患，而傳統(tǒng)安全防護體系大多沒有考慮配套的安全措施，導致其成為網(wǎng)絡(luò)中極易被突破的薄弱環(huán)節(jié)。攻擊者一旦成功入侵網(wǎng)絡(luò)攝像機等前端設(shè)備，可以輕易控制監(jiān)控現(xiàn)場的前端設(shè)備，非法獲取監(jiān)控區(qū)域的敏感信息，甚至可以進一步將其作為一個跳板或僵尸主機，進而滲透、攻擊業(yè)務(wù)承載網(wǎng)，造成更加嚴重的后果。

前端視頻采集設(shè)備的安全風險主要來自以下幾個方面：

（1）網(wǎng)絡(luò)攝像機集傳統(tǒng)攝像機、視頻編碼和網(wǎng)絡(luò)技術(shù)為一體，一般由嵌入式硬件平臺、嵌入式Linux系統(tǒng)、嵌入式Web服務(wù)器、USB攝像頭采集前端和WiFi無線網(wǎng)卡組成，自身容易存在弱口令、緩沖區(qū)溢出、未授權(quán)訪問、拒絕服務(wù)、命令注入、信息泄露、認證缺陷、目錄穿越、特權(quán)提升、目錄遍歷、SQL注入等漏洞。

（2）網(wǎng)絡(luò)攝像機等前端采集設(shè)備端口使用比較固定，例如“?？低暋边h程監(jiān)控客戶端使用554端口；大華遠程監(jiān)控客戶端使用37777端口，瀏覽器訪問使用80、8000端口；雄邁遠程監(jiān)控客戶端使用34567。攻擊者通過端口掃描、資產(chǎn)探測等工具，即可快速發(fā)現(xiàn)網(wǎng)內(nèi)部署的視頻采集設(shè)備。

（3）目前全國并未形成統(tǒng)一的網(wǎng)絡(luò)視頻框架協(xié)議，使不同廠商所生產(chǎn)的網(wǎng)絡(luò)視頻產(chǎn)品，包括網(wǎng)絡(luò)攝像機、圖像服務(wù)器、錄像存儲等完全互通。因此在視頻監(jiān)控系統(tǒng)中，往往采用一個或少數(shù)幾個廠商的視頻采集設(shè)備，且視頻采集設(shè)備型號比較固定，這就導致視頻采集設(shè)備在軟硬件上高度相似，安全缺陷高度一致，一點被攻破，會引發(fā)連鎖反應(yīng)，導致整個視頻監(jiān)控網(wǎng)絡(luò)被控制和癱瘓。

（4）大華、?？低?、ＴＰ－Ｌｉｎｋ、華為等網(wǎng)絡(luò)攝像機在斷網(wǎng)后圖像可滯留30-60秒，部分“老款”設(shè)備甚至可滯留15分鐘，而視頻監(jiān)控管理人員可能很久才意識到并采取措施，尤其是在靜態(tài)畫面的情況下。攻擊者利用這種特性可以替換網(wǎng)內(nèi)攝像機，制造虛假錄像，在已知線路連接的情況下，替換過程只需幾秒鐘。

3.2 視頻傳輸模塊安全風險

視頻傳輸模塊安全風險主要來自視頻傳輸過程中對數(shù)據(jù)的非法訪問、竊取、篡改。前端視頻采集設(shè)備大多不帶數(shù)據(jù)加密功能，采集視頻并壓縮后直接明文傳輸MPEG4、H.263、H.264、H.265等視頻碼流，如果沒有部署專門的視頻專用信道或VPN，攻擊者可以通過“網(wǎng)絡(luò)嗅探”方式，非法截獲視頻流數(shù)據(jù)，然后進行加工、篡改。

3.3 中心管理模塊安全風險

（1）中心管理模塊是網(wǎng)絡(luò)視頻監(jiān)控系統(tǒng)的核心部分，其中圖像中心管理、錄像存儲、視頻回放、設(shè)備接入、媒體轉(zhuǎn)發(fā)、視頻存儲等服務(wù)器設(shè)備，不僅存在視頻管理平臺特有軟件漏洞，如遠程命令執(zhí)行、授權(quán)繞過、目錄遍歷、遠程緩沖區(qū)溢出等高危漏洞，而且存在大量的操作系統(tǒng)常見漏洞，本身容易遭受入侵和控制。

（2）中心管理平臺針對前端視頻采集設(shè)備和后端客戶端，僅采用簡單的身份認證和權(quán)限管理，缺乏專用的安全加密和身份認證機制，無法確保前端采集設(shè)備、客戶端的唯一性，無法充分保證端到端通信的合法性，難以抵御來自非法訪問者的入侵和攻擊。

（3）網(wǎng)絡(luò)視頻監(jiān)控系統(tǒng)中，目前主流的視頻監(jiān)控存儲技術(shù)為FC-SAN與IP-SAN，其中FC-SAN技術(shù)需要專屬網(wǎng)絡(luò)，部署成本高，因此大部分系統(tǒng)采用IP-SAN技術(shù)集中存儲，拓撲結(jié)構(gòu)如圖2所示。網(wǎng)絡(luò)視頻監(jiān)控系統(tǒng)中前端采集設(shè)備數(shù)量多，“錄制”全時段視頻需要的存儲量巨大，因此一般只集中存儲高清晰度、高價值的視頻，且大多不進行視頻標記和加密存儲，無形中存儲系統(tǒng)成了高風險區(qū)域，一方面攻擊者采取常規(guī)的入侵模式就可以非法竊取、刪除、破壞視頻信息，另一方面無標記的視頻泄漏后，無法快速定位泄漏點。

圖2 IP-SAN存儲拓撲結(jié)構(gòu)示意圖

（4）部分中心管理平臺在設(shè)計之初，缺乏安全考慮，在數(shù)據(jù)庫中明文存儲用戶名、密碼，導致除了系統(tǒng)管理員以外的其他人員，很容易從數(shù)據(jù)庫獲取到管理員的用戶名和密碼，從而輕易進入系統(tǒng)，進行非法操作，比如提升用戶權(quán)限、遠程控制和操作前端視頻采集設(shè)備等等。

（5）網(wǎng)絡(luò)視頻監(jiān)控系統(tǒng)管理人員，安全意識缺乏，為了便于管理，通常同一型號的前端采集設(shè)備采用同一用戶名、密碼，且往往是設(shè)備初始密碼或是非常簡單的密碼，如admin、administrator、123456、666666等，導致弱口令問題。

3.4 視頻應(yīng)用模塊安全風險

大量視頻管理終端、監(jiān)視終端也是網(wǎng)絡(luò)視頻監(jiān)控系統(tǒng)的一個關(guān)鍵風險點。一方面中心管理平臺缺少可靠的身份驗證措施，身份驗證強度不足，不能保證視頻管理終端的操作都是被授權(quán)和可信任的。另一方面視頻管理終端、監(jiān)視終端的操作系統(tǒng)和應(yīng)用軟件，本身存在安全漏洞，面臨來自主機、網(wǎng)絡(luò)、應(yīng)用多個層面的威脅，容易感染病毒、蠕蟲、木馬、勒索軟件等惡意軟件。

4 網(wǎng)絡(luò)視頻監(jiān)控系統(tǒng)安全防護建議

以入侵檢測、防火墻、終端防病毒為主的傳統(tǒng)被動式防護體系，已不足以應(yīng)對日益增加的安全風險，尤其是新增的物聯(lián)網(wǎng)視頻監(jiān)控系統(tǒng)的安全風險。本文建議有能力的專網(wǎng)，建立以安全態(tài)勢感知為主的主動式安全防御體系，運用大數(shù)據(jù)、人工智能等技術(shù)進行“多域”安全信息融合，形成網(wǎng)絡(luò)視頻監(jiān)控系統(tǒng)的事前、事中、事后安全閉環(huán)防護，形成有效的信息安全管理機制。

（1）事前安全防護。首先對網(wǎng)絡(luò)視頻監(jiān)控系統(tǒng)進行資產(chǎn)探測、統(tǒng)計，快速掌握前端、中心管理、后端等各類資產(chǎn)的組成與分布情況，然后使用專用的漏洞掃描工具檢測資產(chǎn)存在的漏洞，并對安全漏洞進行加固，定期升級資產(chǎn)固件、更新密碼、增強密碼強度，同時加強前后端設(shè)備的統(tǒng)一安全認證機制，甚至可引入信源加密技術(shù)，從源頭上封堵攻擊者的入侵和前后端設(shè)備的非法接入。

（2）事中安全防護。通過部署保密機、安全網(wǎng)關(guān)、堡壘機、應(yīng)用層防火墻、防毒墻、終端殺毒、數(shù)據(jù)庫防火墻、數(shù)據(jù)加密等安全系統(tǒng)，從主機層面、網(wǎng)絡(luò)層面、應(yīng)用層面、數(shù)據(jù)層面形成7*24小時全面防護，并通過信息融合，具備全天候全方位態(tài)勢感知能力，發(fā)現(xiàn)異常流量、異常行為時及時告警和阻斷，使系統(tǒng)免受病毒、蠕蟲、木馬、勒索軟件等惡意代碼威脅，防止重要視頻數(shù)據(jù)泄露。

（3）事后安全防護。一方面建立系統(tǒng)和數(shù)據(jù)異地容災(zāi)機制，防止因感染惡意代碼導致系統(tǒng)癱瘓、重要視頻數(shù)據(jù)丟失，另一方面通過數(shù)字簽名技術(shù)、字符疊加水印技術(shù)，對視頻數(shù)據(jù)進行標記，并建立有效的安全審計機制，記錄前后端設(shè)備接入、訪問、圖像調(diào)用、錄像下載等行為，一旦出現(xiàn)視頻數(shù)據(jù)泄露，即可通過相關(guān)的標記和日志記錄進行追蹤溯源。

5 結(jié)語

網(wǎng)絡(luò)視頻監(jiān)控系統(tǒng)在業(yè)務(wù)網(wǎng)中逐漸占據(jù)重要地位，其系統(tǒng)規(guī)模龐大、部署分散、接入承載網(wǎng)、內(nèi)容敏感等特性，在網(wǎng)絡(luò)上打破了原有的安全域，在業(yè)務(wù)承載網(wǎng)中引入了諸多安全隱患，而大部分已建的網(wǎng)絡(luò)視頻監(jiān)控系統(tǒng)在建設(shè)之初，著重實現(xiàn)系統(tǒng)功能，未考慮安全防護措施，導致其成為現(xiàn)有安全防護體系的薄弱環(huán)節(jié)。因此，有必要對已建或在建的系統(tǒng)配套相應(yīng)的安全措施，分析、識別、應(yīng)對安全風險，確保信息安全。

[1]陶槊，魏海利.視頻監(jiān)控系統(tǒng)的安全風險及技術(shù)解決[J].西安文理學院學報，2020.

[2]祝彥峰.網(wǎng)絡(luò)接入認證技術(shù)在視頻監(jiān)控系統(tǒng)中的應(yīng)用[J].電腦知識與技術(shù)，2020.

[3]鄧中翰.確保公共安全視頻監(jiān)控系統(tǒng)自主可控[J].人民政協(xié)報，2020.

[4]杜慶靈.平安城市視頻監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全研究[J].科技與創(chuàng)新，2019.

[5]于勝.電力系統(tǒng)視頻監(jiān)控網(wǎng)絡(luò)信息安全風險及GB 35114實施意義[J].自動化系統(tǒng)技術(shù)及應(yīng)用，2019.

[6]尚寶麒.視頻監(jiān)控專屬存儲技術(shù)分析[J].中國管理信息化，2017.

[7]梅大成，楊大千，趙娜.基于Linux的嵌入式網(wǎng)絡(luò)攝像機設(shè)計[J].嵌入式網(wǎng)絡(luò)技術(shù)應(yīng)用，2007.