视频监控系统作为维护国家公共安全的重要工具,遍布国家重要机构和群众生活的各个领域,涵盖了国家安全机密及普通百姓日常生活隐私的各个方面,也成为案事件处理的最直接和最关键的线索证据来源,重要性日益凸显。然而视频监控系统的安全防护和保障机制却没有跟上前端摄像头和网络的发展,针对视频监控系统的威胁事件持续发生,严重时导致业务中断和数据失窃,甚至可能被不法分子利用进行犯罪活动。
信息安全威胁来自哪里?
信息安全威胁来自四面八方,每一个环节都可能会受到攻击。视频监控系统虽为安全防范而生,但其本身也面临着诸多安全威胁,如:非法访问、协议攻击、密码盗取、恶意代码植入、非法获取数据、日志擦除和篡改。
如何防范?
信息安全不能仅仅依靠某一个或某一类产品,而是要将安全基因融入到视频监控系统中的每一个环节中,才能构建可靠的安全解决方案。STRIDE安全威胁分析方法是一个从信息安全的威胁源开篇,以终结这些威胁为终点的方法论,华为公司以此为基础构建了一套完善的安全设计体系,每一款产品和解决方案在设计过程中都严格遵循这个安全体系,构建安全的摄像头、安全的传输网络、安全的平台、安全的IT系统。
常见的安全威胁内容如下:
仿冒:非法用户通过构造仿冒身份接入网络;
篡改:非法用户通过截获数据流在未经授权的情况下篡改数据;
抵赖:某些用户下发了危险操作导致事故后拒不承认;
信息泄露:非法用户通过某些渠道获取到关键信息,如密钥文件、明文 存储的密码等;
拒绝服务:非法用户通过发送大量并发请求或者构造缓冲区溢出导致系统拒绝服务;
权限提升:低权限用户通过系统漏洞或其他手段获取到高权限甚至系统管理员权限;
图1-STRIDE安全威胁分析方法
华为如何构建安全的视频监控系统
华为采用分层的安全架构模型,通过标准的威胁模型和STRIDE安全威胁分析方法,构建安全的视频监控系统,具体方案如下图:
图2:华为视频监控方案
华为视频监控方案从接入层、网络边界、应用及存储四个层面保障系统安全:
接入安全:
· 针对终端接入认证、行为审计策略,非法文件传输告警;
· 针对U盘拷贝、光盘刻录控制、审计,保护案件录像安全;
· 终端病毒、木马、蠕虫查杀、恶意软件防护;
· 操作系统,数据库,中间件系统全面安全补丁;
· 最小化安装、最小化服务、内核参数优化、主机防火墙。
网络&边界安全:
· 网络拓扑安全设计、网络边界保护(如防火墙ACL控制);
· 网络数据加密(VPN等)、网络协议安全、网络设备保护。
应用安全:
· 客户端和前端自身安全及接入认证安全(口令策略,用户管理,访问控制和授权,加密会话管理,运行安全,输入校验等);
· 用户侧敏感信息存储安全加密;
· 媒体安全及媒体水印技术;
存储安全:
作为自主可控的专业存储系统提供商,华为针对存储设备和存储网络的各类安全威胁,对存储系统进行全面数据安全保障。
1. 存储业务安全层面:ACL访问控制、CHAP连接认证和共享协议鉴权机制、数据彻底销毁机制、采用国家密码管理局支持的标准国密算法实现关键视频数据加密。
2. 存储网络安全层面:存储系统依据功能的不同而划分为业务平面、控制平面和管理平面,彼此互相隔离运行;系统远程访问均采用安全的传输协议,消除不安全协议带来的安全风险。
3. 存储设备安全层面:最小化操作系统及加固、安全补丁的定期升级、防SQL注入式攻击机制、防跨站请求伪造机制、防跨站脚本攻击机制、防UL越权机制、限制上传和下载文件等。
4. 管理系统安全层面:强密码复杂度策略、口令加密存储与传输、日志审计和告警管理;严格的权限管理,杜绝越权访问。
华为经过10年在数据安全的技术积累与实践经验沉淀,致力于提供业界最安全和专业的视频监控方案和服务,携手合作伙伴共同保障视频监控系统的每一道防线,共同构建智慧、安全、轻松、稳定的高品质生活不懈努力。
2015年3月12日到13日,华为将在西安曲江国际会展中心举办“2015华为中国合作伙伴大会”。本届大会将以“智汇阳光 共襄新程 —— 超越梦想 共铸辉煌”为主题,面向数千家合作伙伴全方位展示华为针对企业市场的ICT产品和解决方案,并发布最新的渠道战略和更加完善的渠道政策。