视频监控设备安全事件频发,凸显安防企业网络安全意识缺失
当今的全球信息化时代,随着信息通信技术的发展和普及,联接已成为新的常态。越来越多的摄像头、传感器、手机等终端被广泛部署,并由无处不在的网络联接起来,物理世界得以更准确地在数字世界中呈现,这使得我们可以更好地观察、分析、应用物理世界的数据,且不再受时空束缚。
而当终端设备一旦分布在互联网、移动通信网、物联网、车联网等物理网络,就不可避免的会遭受入侵、攻击、窃听、篡改等网络威胁。可以说,便捷拜网络和技术所赐,风险也因网络和技术而生。安防系统目的是为了维护整个社会治安稳定,涉及大量的用户隐私数据,因此从事安防行业的企业更加应该重视网络安全风险。然而现实,却不容乐观:
2014年4月,央视报道市场上大部分家庭摄像机“曝光”隐私,摄像机不再照看家庭的安全,而是将家庭的隐私曝光在网络上;
2014年12月,乌云安全团队披露,某厂商数字录像机被攻击后感染了病毒,变成了僵尸网络的一部分,被用于扫描存在漏洞的其它网站。此外有的DVR还被安装了比特币挖矿程序,沦为黑客的挣钱工具;
2015年2月,媒体曝光了某厂商监控设备“存在严重安全隐患”、“部分设备已经被境外IP地址控制”严重安全事件;
诸如此类事件不胜枚举。
作为守护大众安全的设备,为何自身的网络安全漏洞反而如此之多?其实,这背后反映的是安防业内大多数企业的网络安全意识淡薄、产品安全防护技术手段欠缺的普遍现状。
三组重拳,华为打造安全防范手段最丰富的网络摄像机
网络摄像机“麻雀虽小五脏俱全”,除了光学镜头、图像传感器、图像编码压缩芯片、控制器、网络服务器等硬件外,还包含操作系统、硬件驱动软件、图像编码压缩算法软件、视频应用软件等各类软件。网络摄像机安全防范机制的设计需要从系统层面、应用层面、管理层面全面考虑。
华为基于对网络安全的深透理解和多年技术积累,为华为的所有网络摄像机打造了全方位的网络摄像机技术安全体系,确保网络摄像机的系统安全和数据隐私安全。
7重安全防护机制
华为网络摄像机在安全性架构设计时采用了7重安全防护机制:
◆ 强密码管理机制:
使用强密码策略:如密码长度限制、强制字符组合及弱密码检测等,防止密码攻击;修改密码时验证旧密码、验证通过才能修改,初始密码可配置为必须修改才可登录系统;
密码加密保存,不允许明文保存或显示;
◆ 认证与会话控制:能对设备系统进行管理的物理接口和协议均有接入认证机制,必须输入正确的用户名和口令才能登录系统;用户登录连续多次输入错误密码后用户名被锁定,无法登录系统;
◆ 最小授权规则:系统中新建的用户,默认只有最小的权限;
◆ 文件授权管理:非授权用户不能访问文件;
◆ 安全日志:所有的用户活动和操作指令均记录日志,日志内容能支撑事后的审计,日志有访问控制,且只有管理员才能有删除权限。
◆ 加密算法:使用高安全等级加密算法(SHA256、AES128等),降低敏感信息被破解的风险;不使用私有算法;
◆ 安全协议,使用高级别安全协议对设备进行维护管理,如SSHV2、TLS1.1、FTPS。
108条网络安全测试
华为摄像机与华为公司其他产品一样,出厂前必须经过华为自己定义的13类108条的网络安全测试规范,全面的、严格的测试网络摄像机等所有产品的网络安全防护体系的实现情况,确保华为公司的产品在法律合规下确保用户的通信内容、个人数据及隐私的安全。
8项防护技术
华为网络摄像机在设备上线后,还有8种特色技术来保障系统安全和数据完整:
◆ IP地址过滤:为了防止恶意IP对IPC进行网络攻击,设置可以或禁止访问IPC的特定IP地址段,IPC将丢弃非法IP发过来的所有数据包。
◆ 802.1x 接入认证:限制未经授权的用户/设备通过交换机接入端口访问到LAN/WLAN中的网络摄像机图像,杜绝未授权用户或设备的非法访问。
◆ AES码流加密:编码输出后RTP打包之前对视频流进行AES加密后在进行平台侧再解密后存储;因此,即使码流在传输过程中被窃取也无法使用,从而避免视频被非法使用;
◆ 数字水印:编码时提取当前帧的特征信息,并结合用户设置的特征值运算得到帧数据的唯一水印值,平台使用同样算法判断接收到水印值与当前计算出来的水印值是否一致,不一致时提示告警。
◆ 媒体流前向纠错:在网络状况差而导致丢包错包较多时,IPC编码时增加数据纠错包,平台利用算法将丢失的数据恢复出来,避免数据丢失;
◆ MTU可设置:摄像机根据用户设置的最大传输单元调整发送媒体数据包大小,网络设备自动以合适大小数据包改善网络传输情况,避免网络传输中丢失媒体数据包;
◆ QoS可设置:用户可根据实际网络情况设置IPC媒体流和信令流的优先级,网络传输设备则据此优先级传输媒体流和信令流,避免延迟或丢弃;
借助上述三组网络安全防护手段,华为网络摄像机构建起了堪称业界最完善的安全防护体系,产品系统安全和业务数据完整都得到了最大的保障。
华为公司将构筑并全面实施端到端的全球网络安全保障体系作为公司的重要发展战略之一
值得强调的是,华为公司将构筑并全面实施端到端的全球网络安全保障体系作为公司的重要发展战略之一,在遵从所有适用的国家和地区安全法规、国际电信标准和参考行业最佳实践的基础上,从政策、组织、流程、管理、技术和规范等方面建立和完善可持续、可信赖的安全保障体系。在组织方面,全球网络安全委员会作为华为公司的最高网络安全管理机构,负责决策和批准公司总体网络安全战略。在业务流程方面,安全保障活动融入研发、供应链、市场与销售、工程交付及技术服务等各环节中,作为质量管理体系的基本要求,通过管理制度和技术规范来确保其有效实施。在人员管理方面,华为全体员工以及合作伙伴、外部顾问都必须严格执行公司相关安全政策,接受安全培训,使安全理念融入整个组织之中。
华为公司愿意并正在与有关政府、客户及行业伙伴以开放和透明的方式,共同应对安全方面的挑战,全面满足客户的网络安全需求。