警惕網(wǎng)絡(luò)黑手，集光安防攜手華為打造更安全的網(wǎng)絡(luò)攝像機

    視頻監(jiān)控設(shè)備安全事件頻發(fā)，凸顯安防企業(yè)網(wǎng)絡(luò)安全意識缺失

    當(dāng)今的全球信息化時代，隨著信息通信技術(shù)的發(fā)展和普及，聯(lián)接已成為新的常態(tài)。越來越多的攝像頭、傳感器、手機等終端被廣泛部署，并由無處不在的網(wǎng)絡(luò)聯(lián)接起來，物理世界得以更準(zhǔn)確地在數(shù)字世界中呈現(xiàn)，這使得我們可以更好地觀察、分析、應(yīng)用物理世界的數(shù)據(jù)，且不再受時空束縛。

    而當(dāng)終端設(shè)備一旦分布在互聯(lián)網(wǎng)、移動通信網(wǎng)、物聯(lián)網(wǎng)、車聯(lián)網(wǎng)等物理網(wǎng)絡(luò)，就不可避免的會遭受入侵、攻擊、竊聽、篡改等網(wǎng)絡(luò)威脅�？梢哉f，便捷拜網(wǎng)絡(luò)和技術(shù)所賜，風(fēng)險也因網(wǎng)絡(luò)和技術(shù)而生。安防系統(tǒng)目的是為了維護整個社會治安穩(wěn)定，涉及大量的用戶隱私數(shù)據(jù)，因此從事安防行業(yè)的企業(yè)更加應(yīng)該重視網(wǎng)絡(luò)安全風(fēng)險。然而現(xiàn)實，卻不容樂觀：

    2014年4月，央視報道市場上大部分家庭攝像機“曝光”隱私，攝像機不再照看家庭的安全，而是將家庭的隱私曝光在網(wǎng)絡(luò)上；

    2014年12月，烏云安全團隊披露，某廠商數(shù)字錄像機被攻擊后感染了病毒，變成了僵尸網(wǎng)絡(luò)的一部分，被用于掃描存在漏洞的其它網(wǎng)站。此外有的DVR還被安裝了比特幣挖礦程序，淪為黑客的掙錢工具；

    包括近期大家熟知的江蘇公安廳發(fā)文稱某廠商設(shè)備“存在嚴(yán)重安全隱患”、“部分設(shè)備已經(jīng)被境外IP地址控制”事件；

    諸如此類事件不勝枚舉。

    作為守護大眾安全的設(shè)備，為何自身的網(wǎng)絡(luò)安全漏洞反而如此之多？其實，這背后反映的是安防業(yè)內(nèi)大多數(shù)企業(yè)的網(wǎng)絡(luò)安全意識淡薄、產(chǎn)品安全防護技術(shù)手段欠缺的普遍現(xiàn)狀。

    集光安防攜手華為打造IPC（網(wǎng)絡(luò)攝像機）安全接入解決方案

    網(wǎng)絡(luò)攝像機“麻雀雖小五臟俱全”，除了光學(xué)鏡頭、圖像傳感器、圖像編碼壓縮芯片、控制器、網(wǎng)絡(luò)服務(wù)器等硬件外，還包含操作系統(tǒng)、硬件驅(qū)動軟件、圖像編碼壓縮算法軟件、視頻應(yīng)用軟件等各類軟件。網(wǎng)絡(luò)攝像機安全防范機制的設(shè)計需要從系統(tǒng)層面、應(yīng)用層面、管理層面全面考慮。

    該方案基于對網(wǎng)絡(luò)安全的深透理解和多年技術(shù)積累，為集光安防的所有網(wǎng)絡(luò)攝像機打造了全方位的網(wǎng)絡(luò)攝像機技術(shù)安全體系，確保網(wǎng)絡(luò)攝像機的系統(tǒng)安全和數(shù)據(jù)隱私安全。

    首先，該方案在安全性架構(gòu)設(shè)計時采用了7重安全防護機制：

    強密碼管理機制：使用強密碼策略：如密碼長度限制、強制字符組合及弱密碼檢測等，防止密碼攻擊；修改密碼時驗證舊密碼、驗證通過才能修改，初始密碼可配置為必須修改才可登錄系統(tǒng)；

    密碼加密保存，不允許明文保存或顯示；

    認(rèn)證與會話控制：能對設(shè)備系統(tǒng)進行管理的物理接口和協(xié)議均有接入認(rèn)證機制，必須輸入正確的用戶名和口令才能登錄系統(tǒng)；用戶登錄連續(xù)多次輸入錯誤密碼后用戶名被鎖定，無法登錄系統(tǒng)；

    最小授權(quán)規(guī)則：系統(tǒng)中新建的用戶，默認(rèn)只有最小的權(quán)限；

    文件授權(quán)管理：非授權(quán)用戶不能訪問文件；

    安全日志：所有的用戶活動和操作指令均記錄日志，日志內(nèi)容能支撐事后的審計，日志有訪問控制，且只有管理員才能有刪除權(quán)限。

    加密算法：使用高安全等級加密算法（SHA256、AES128等），降低敏感信息被破解的風(fēng)險；不使用私有算法；

    安全協(xié)議：使用高級別安全協(xié)議對設(shè)備進行維護管理，如SSHV2、TLS1.1、FTPS。

    其次，集光安防的所有產(chǎn)品出廠前必須經(jīng)過華為定義的13類108條的網(wǎng)絡(luò)安全測試規(guī)范，全面的、嚴(yán)格的測試網(wǎng)絡(luò)攝像機等所有產(chǎn)品的網(wǎng)絡(luò)安全防護體系的實現(xiàn)情況，確保集光安防的產(chǎn)品在法律合規(guī)下確保用戶的通信內(nèi)容、個人數(shù)據(jù)及隱私的安全。

    另外，集光安防網(wǎng)絡(luò)攝像機在設(shè)備上線后，還有8種特色技術(shù)來保障系統(tǒng)安全和數(shù)據(jù)完整：

    IP地址過濾：為了防止惡意IP對IPC進行網(wǎng)絡(luò)攻擊，設(shè)置可以或禁止訪問IPC的特定IP地址段，IPC將丟棄非法IP發(fā)過來的所有數(shù)據(jù)包。

    802.1x 接入認(rèn)證：限制未經(jīng)授權(quán)的用戶/設(shè)備通過交換機接入端口訪問到LAN/WLAN中的網(wǎng)絡(luò)攝像機圖像，杜絕未授權(quán)用戶或設(shè)備的非法訪問。

    AES碼流加密：編碼輸出后RTP打包之前對視頻流進行AES加密后在進行平臺側(cè)再解密后存儲；因此，即使碼流在傳輸過程中被竊取也無法使用，從而避免視頻被非法使用；

    數(shù)字水印：編碼時提取當(dāng)前幀的特征信息，并結(jié)合用戶設(shè)置的特征值運算得到幀數(shù)據(jù)的唯一水印值，平臺使用同樣算法判斷接收到水印值與當(dāng)前計算出來的水印值是否一致，不一致時提示告警。

    緩存補錄：出現(xiàn)網(wǎng)絡(luò)故障時，錄像緩存在攝像機內(nèi)部的存儲介質(zhì)上；當(dāng)網(wǎng)絡(luò)恢復(fù)后發(fā)起補錄，避免視頻數(shù)據(jù)因網(wǎng)絡(luò)故障而丟失；

    媒體流前向糾錯：在網(wǎng)絡(luò)狀況差而導(dǎo)致丟包錯包較多時，IPC編碼時增加數(shù)據(jù)糾錯包，平臺利用算法將丟失的數(shù)據(jù)恢復(fù)出來，避免數(shù)據(jù)丟失；

    MTU可設(shè)置：攝像機根據(jù)用戶設(shè)置的最大傳輸單元調(diào)整發(fā)送媒體數(shù)據(jù)包大小，網(wǎng)絡(luò)設(shè)備自動以合適大小數(shù)據(jù)包改善網(wǎng)絡(luò)傳輸情況，避免網(wǎng)絡(luò)傳輸中丟失媒體數(shù)據(jù)包；

    QoS可設(shè)置：用戶可根據(jù)實際網(wǎng)絡(luò)情況設(shè)置IPC媒體流和信令流的優(yōu)先級，網(wǎng)絡(luò)傳輸設(shè)備則據(jù)此優(yōu)先級傳輸媒體流和信令流，避免延遲或丟棄；

    借助上述三組網(wǎng)絡(luò)安全防護手段，集光安防網(wǎng)絡(luò)攝像機構(gòu)建起了堪稱業(yè)界最完善的安全防護體系，產(chǎn)品系統(tǒng)安全和業(yè)務(wù)數(shù)據(jù)完整都得到了最大的保障。