國家互聯(lián)網(wǎng)應(yīng)急中心 北京 100029

引言

隨著我國政府“互聯(lián)網(wǎng)+”和“中國制造2025”技術(shù)發(fā)展戰(zhàn)略的推動，物聯(lián)網(wǎng)技術(shù)和市場空前繁榮，智能設(shè)備的物聯(lián)網(wǎng)安全問題也迫在眉睫。視頻監(jiān)控系統(tǒng)(包括傳統(tǒng)攝像頭和智能攝像頭)作為“物聯(lián)網(wǎng)之眼”，其安全問題也成為物聯(lián)網(wǎng)安全的焦點所在。關(guān)注視頻監(jiān)控系統(tǒng)的安全是穩(wěn)步健康發(fā)展物聯(lián)網(wǎng)市場的必要條件。近年來發(fā)生了多起影響重大的視頻監(jiān)控系統(tǒng)安全事件。2016年5月11日上海亞洲電子展(CES Asia 2016)上，奇虎360公司發(fā)布的《國內(nèi)智能家庭攝像頭安全狀況評估報告》指出[1]，經(jīng)過安全測評發(fā)現(xiàn)：國內(nèi)市場上近八成攝像頭存在用戶信息泄露、數(shù)據(jù)傳輸未加密、APP不防護、代碼邏輯存在缺陷、硬件存在調(diào)試接口、可橫向控制等安全缺陷，這些安全缺陷的存在讓接入網(wǎng)絡(luò)的智能攝像頭可以輕易被黑客控制，并隨時獲取攝像頭的圖像和語音信息，對用戶進行監(jiān)控甚至網(wǎng)上直播，再一次把智能家居安全問題推到風口浪尖。

1 視頻監(jiān)控系統(tǒng)安全現(xiàn)狀

近年來，網(wǎng)絡(luò)上公布的視頻監(jiān)控系統(tǒng)的安全案例屢見不鮮。

1)2009年到2011年期間，伊朗核電站大規(guī)模遭受一種名為“震網(wǎng)”(Stuxnet)的蠕蟲病毒入侵，直接導(dǎo)致伊朗布什爾核電站放射性物質(zhì)泄漏，危害不亞于切爾諾貝利核電站事故，致使伊朗的核工業(yè)倒退了十年；值得我們關(guān)注的是，整個攻擊過程和視頻監(jiān)控的失靈有關(guān)：由于被病毒感染，實時監(jiān)控錄像已被黑客通過錄播篡改，監(jiān)控人員看到的監(jiān)控畫面一直是正常的，而實際上離心機在失控情況下不斷加速而最終損毀[2]。

2)2014年12月，黑客利用攝像頭攻擊引爆了巴庫-第比利斯-杰伊漢石油管道，過程是首先通過攝像頭安全漏洞攻入內(nèi)部系統(tǒng)，進而入侵警報系統(tǒng)，成功關(guān)閉警報并切斷了壓力傳感器通信，接著給管道內(nèi)的原油大幅增壓最終導(dǎo)致壓力過載爆炸，同時全過程多達60個小時的監(jiān)控錄像也被黑客刪除[3]。

3)2015年2月27日國家互聯(lián)網(wǎng)應(yīng)急中心(CN-CERT)江蘇分中心通報，省各級公關(guān)機關(guān)使用的?？低暠O(jiān)控設(shè)備存在嚴重安全隱患，部分設(shè)備已經(jīng)被境外IP地址控制；28日中石化宣布對?？低暤漠a(chǎn)品禁止采購；3月3日?？低晱?fù)牌后股價大跌7個多點，市值瞬間蒸發(fā)90多億[4]。

以上只是可以在互聯(lián)網(wǎng)上搜索到的典型的視頻監(jiān)控系統(tǒng)安全事件，還有很多不勝枚舉，實際上發(fā)生的安全事件遠遠超乎我們的想象。視頻監(jiān)控安全威脅影響廣泛，涉及家庭安全、個人隱私、政治軍事秘密、經(jīng)濟損失，甚至是國家級的工業(yè)安全等方方面面。

目前視頻監(jiān)控系統(tǒng)的安全現(xiàn)狀有如下兩點。

1)安全問題普遍存在：安全漏洞多(截止到發(fā)稿日期已報出126個相關(guān)漏洞，2015年報出61個漏洞，2016年報出13個漏洞——數(shù)據(jù)來自烏云)；涉及設(shè)備多(全球掃描結(jié)果顯示5%具有高危漏洞、13%具有中危漏洞——數(shù)據(jù)來自CN-CERT)；廠商重視力度不夠，系統(tǒng)設(shè)備安全性先天不足。

2)用戶安全意識薄弱：弱口令和統(tǒng)一密碼普遍存在(包括使用產(chǎn)品初始密碼或其他簡單密碼，如123456、888888、admin等)；安全漏洞幾乎不修復(fù)(漏洞通報給用戶，經(jīng)常被忽略)；安全防護不健全(缺乏相應(yīng)的技術(shù)手段和成熟的商業(yè)工具)。

視頻監(jiān)控系統(tǒng)的安全問題主要表現(xiàn)為各種安全漏洞或設(shè)計缺陷：終端設(shè)備漏洞(涉及攝像頭、后臺存儲設(shè)備和視頻接入交換機等)、協(xié)議漏洞(RTSP實時流傳輸協(xié)議漏洞、CGI腳本缺陷、ONVIF規(guī)范認證缺失、緩沖區(qū)溢出等)、視頻管理系統(tǒng)(VMS)軟件漏洞、管理漏洞(缺省密鑰、弱密鑰和克隆密鑰等)和惡意后門等。造成的危害主要包括：視頻內(nèi)容篡改(“偷天換日”)、視頻監(jiān)控服務(wù)中斷(“有眼無珠”)、隱私信息被泄漏或機密情報被竊取(“皇帝新裝”)、成為“跳板”攻擊其他設(shè)備(“盲人瞎馬”)等[5-6]。

2 視頻監(jiān)控系統(tǒng)安全分析

2.1 視頻監(jiān)控系統(tǒng)攻擊

視頻監(jiān)控系統(tǒng)按攻擊方式主要分兩種。1)獲得訪問權(quán)限，諸如弱密鑰攻擊、SQL注入、緩沖區(qū)溢出等。2)控制主機，直接獲取有用信息(視頻內(nèi)容本身或者視頻所有者信息等)，或者進行其他惡意網(wǎng)絡(luò)行為，比如成為僵尸網(wǎng)絡(luò)一部分發(fā)動DDoS攻擊，或被植入程序成為比特幣挖礦機等。

2.2 視頻監(jiān)控系統(tǒng)風險

視頻監(jiān)控系統(tǒng)按層級可分為五個部分，分別為物理層、網(wǎng)絡(luò)層、系統(tǒng)層、應(yīng)用層、管理層，各層級均面臨嚴峻的信息安全風險，具體分析如下[7]。

1)物理層。物理層包括視頻監(jiān)控相關(guān)攝像頭設(shè)備及網(wǎng)絡(luò)單元。由于物理層一般暴露于外部復(fù)雜多變的環(huán)境中，且常缺乏專人實時監(jiān)管，因此物理層面臨諸多安全不確定性。比如，雷電、臺風、水災(zāi)等常發(fā)生的自然災(zāi)害及供電異常、設(shè)備老化等系統(tǒng)故障對視頻監(jiān)控系統(tǒng)安全運行危害重大；環(huán)境污染及人為盜竊、破壞等現(xiàn)象加劇了視頻監(jiān)控設(shè)備面臨的安全威脅。

2)網(wǎng)絡(luò)層。網(wǎng)絡(luò)層主要包括連接攝像頭的視頻監(jiān)控專網(wǎng)。網(wǎng)絡(luò)層主要面臨傳統(tǒng)互聯(lián)網(wǎng)網(wǎng)絡(luò)安全風險，如DDoS攻擊、IP地址仿冒、非授權(quán)訪問或入侵等。這些安全威脅一方面會造成網(wǎng)絡(luò)癱瘓，致使視頻監(jiān)控系統(tǒng)無法工作，另一方面也可能會造成視頻監(jiān)控內(nèi)容被惡意篡改、丟失或公開。

3)系統(tǒng)層。系統(tǒng)層主要包括視頻監(jiān)控總體控制及維護系統(tǒng)。城市視頻監(jiān)控主機操作系統(tǒng)和核心數(shù)據(jù)庫容易留下非授權(quán)后門或漏洞，而攻擊者常利用這些后門和漏洞對視頻監(jiān)控系統(tǒng)注入病毒、盜取重要信息或發(fā)動其他各種攻擊。

4)應(yīng)用層。應(yīng)用層主要包括各類視頻監(jiān)控系統(tǒng)應(yīng)用軟件。應(yīng)用層的安全威脅主要來自于人為因素和惡意代碼。用戶未經(jīng)授權(quán)以非法手段越權(quán)使用某個系統(tǒng)或出于某種原因?qū)ο到y(tǒng)蓄意發(fā)起惡意操作達到破壞應(yīng)用功能或性能的目的。此外，病毒侵害智能化越來越高，目前已經(jīng)成為應(yīng)用層最大的威脅。

5)管理層。管理層主要包括密鑰、人員和制度等內(nèi)容。這方面的安全問題主要包括如下方面：弱口令或密鑰丟失、泄露造成的口令和密鑰管理風險；安全管理相關(guān)人員工作疏漏造成的安全事故；安全管理制度缺失等帶來的安全事件原因不可查等。

3 安全測評體系建設(shè)

3.1 安全測評平臺建設(shè)

1)搭建在網(wǎng)設(shè)備檢測平臺。

搭建如圖1所示在網(wǎng)設(shè)備檢測平臺，應(yīng)包括以下內(nèi)容。

①實現(xiàn)監(jiān)控系統(tǒng)、工業(yè)控制系統(tǒng)、托管服務(wù)器等的發(fā)現(xiàn)。

②建設(shè)完備的指紋庫，實現(xiàn)軟硬件識別。要求覆蓋監(jiān)控行業(yè)的前20強品牌產(chǎn)品，覆蓋率至少應(yīng)達到75%，識別準確度應(yīng)超過85%。

③視頻監(jiān)控系統(tǒng)漏洞庫的建設(shè)。要求近五年漏洞占比90%；高危和中危占95%；至少覆蓋主流20個品牌、300多款設(shè)備；覆蓋各類監(jiān)控設(shè)備和相關(guān)軟件系統(tǒng)(攝像頭、DVR、NVR和VMS)。

④實現(xiàn)區(qū)域、網(wǎng)絡(luò)、系統(tǒng)安全態(tài)勢評估。

⑤漏洞掃描工具的開發(fā)研制，弱密鑰分析工具、無線設(shè)備發(fā)現(xiàn)工具等。

2)搭建監(jiān)控系統(tǒng)評測研究平臺?？梢詫崿F(xiàn)漏洞的挖掘、研究和驗證，可以實施攻防演練。

3)配備典型的安全測試工具。諸如Peach(HTTP協(xié)議指紋提取和漏洞檢測)和Codenomicon DEFENSICS?(RTSP server和Profinet server兩個協(xié)議的健全性和安全性測試)等，以及典型的滲透測試工具諸如Nexpose(長矛漏掃)和Metaspoilt(長矛深度安全)等。

4)建設(shè)漏洞智能挖掘平臺。以軟件的二進制代碼輸入，首先進行控制依賴、數(shù)據(jù)依賴和控制流分析等；再進行漏洞敏感區(qū)域分析，最后得到存在漏洞風險較高的代碼段，以便進行最后的人工分析。漏洞挖掘的工作流程可見圖2。

在線設(shè)備發(fā)現(xiàn)、漏洞掃描、漏洞挖掘、漏洞驗證和安全檢測并不是相互獨立的，是一個具有生命周期的有機過程，環(huán)環(huán)相扣，并且相互服務(wù)，詳見圖3。

3.2 安全測評能力建設(shè)

圖1 在網(wǎng)設(shè)備檢測平臺架構(gòu)示意圖

圖2 漏洞挖掘流程框圖圖

圖3 設(shè)備掃描、識別和漏洞檢測的過程圖

視頻監(jiān)控系統(tǒng)安全評測應(yīng)涉及機房動環(huán)、樓宇、城市和高速公路交通、城市安防等應(yīng)用場景；應(yīng)包括前端設(shè)備、網(wǎng)絡(luò)協(xié)議、中間件、后臺服務(wù)系統(tǒng)的漏洞檢測和漏洞挖掘，數(shù)據(jù)安全防護、綜合安全解決方案及相關(guān)安全咨詢。

數(shù)據(jù)中心機房動力環(huán)境監(jiān)控系統(tǒng)中存在大量多源異構(gòu)性的傳感器節(jié)點。安全評測工作用于檢測這些傳感器節(jié)點對偽造報文和竊聽等惡意攻擊行為的辨別能力，同時檢測系統(tǒng)還可以判斷網(wǎng)絡(luò)中存在大量數(shù)據(jù)包時是否會阻塞，從而導(dǎo)致拒絕服務(wù)。

樓宇視頻監(jiān)控的安全測評工作主要包括檢測監(jiān)控系統(tǒng)中是否存在弱口令等安全隱患和監(jiān)控攝像頭的固件版本是否存在嚴重的已知漏洞。通過該安全評測工作，用戶能夠及時發(fā)現(xiàn)視頻監(jiān)控系統(tǒng)可能被黑客入侵的薄弱環(huán)節(jié)，并對這些薄弱環(huán)節(jié)進行加固。

攻擊者可能利用城市交通監(jiān)控系統(tǒng)中現(xiàn)有的漏洞(弱口令等)，進行未授權(quán)的訪問劫持，對信息進行盜取、篡改，對系統(tǒng)進行破壞。通過安全測評檢測出城市交通監(jiān)控系統(tǒng)中的漏洞，給出修復(fù)建議；檢測出可能的非授權(quán)訪問的途徑，保障監(jiān)控系統(tǒng)信息的完整性和機密性，保證大量的視頻流數(shù)據(jù)、抓拍圖像信息(車牌、車況、行駛狀態(tài)等)、位置及定位、車輛行駛軌跡和規(guī)則、闖紅燈記錄等信息不被篡改、竊取。

高速公路的事故監(jiān)管與處理是保障交通暢通的關(guān)鍵。監(jiān)控系統(tǒng)一旦遭受攻擊會大大降低交通指揮效率。必須保障交通控制設(shè)備和系統(tǒng)的信息安全，防止被黑客攻擊或劫持。檢測高速公路交通監(jiān)控系統(tǒng)設(shè)備與系統(tǒng)的系統(tǒng)漏洞；檢測系統(tǒng)信息傳送的機密性、完整性和可認證性；檢測系統(tǒng)的訪問控制策略的設(shè)計缺陷等；給出系統(tǒng)安全評估和建議報告。

3.3 測評方法

通過軟件工具自動化掃描和人為手工驗證相結(jié)合的方式，以存活掃描、端口掃描、服務(wù)識別和漏洞掃描為主要手段，根據(jù)軟件的掃描結(jié)果，進一步對可能存在漏洞的設(shè)備進行更為詳細和準確的人為驗證。

1)存活掃描。利用zmap掃描工具中TCP、UDP和ICMP三種協(xié)議探測相結(jié)合的方式，對檢測目標網(wǎng)段內(nèi)的設(shè)備進行是否存活在線的掃描。

2)端口掃描。根據(jù)第一步的存活掃描結(jié)果，確定當前檢測目標網(wǎng)絡(luò)中存活的設(shè)備數(shù)量，然后利用nmap中的“-sV”命令，執(zhí)行對每個設(shè)備的常用端口的掃描。查看當前設(shè)備開放的端口信息，為下一步的服務(wù)識別和確定設(shè)備的品牌、型號等信息，提供依據(jù)。

3)服務(wù)識別。利用nmap進行端口掃描時，主要是將端口號在端口服務(wù)表數(shù)據(jù)庫中進行查找，然后返回慣例情況下該端口開放的相應(yīng)服務(wù)，諸如21號端口是ftp服務(wù)。

4)漏洞掃描。主要是基于所建視頻監(jiān)控系統(tǒng)漏洞數(shù)據(jù)庫，通過掃描工具對待測視頻監(jiān)控系統(tǒng)實施安全脆弱性檢測，從而發(fā)現(xiàn)可以利用的已知漏洞，實則是滲透測試的一種手段。

3.4 測評指標項

依據(jù)已有技術(shù)手段，分別對輸入輸出驗證、身份驗證、會話過程、配置管理、任意代碼執(zhí)行、敏感數(shù)據(jù)、授權(quán)與邏輯、阻斷服務(wù)等各項做逐項安全檢測，詳見表1。

4 安全視頻監(jiān)控系統(tǒng)和安全防護建議

隨著智慧城市的建設(shè)進程，視頻監(jiān)控系統(tǒng)日趨網(wǎng)絡(luò)化和智能化，面臨的是更大規(guī)模的使用，而現(xiàn)狀是現(xiàn)有視頻監(jiān)控設(shè)備和系統(tǒng)普遍缺乏信息安全機制，極易被網(wǎng)絡(luò)攻擊，視頻數(shù)據(jù)內(nèi)容常常被竊取和非法使用，從而面臨著前所未有的挑戰(zhàn)。具備一定安全機制的視頻監(jiān)控系統(tǒng)成為一種較為迫切的市場需求。安全視頻監(jiān)控系統(tǒng)應(yīng)當致力于利用信息安全技術(shù)手段，解決視頻監(jiān)控系統(tǒng)在終端接入、網(wǎng)絡(luò)傳輸、存儲和處理等關(guān)鍵環(huán)節(jié)的安全問題，構(gòu)筑從前端設(shè)備到后端平臺的安全防線，提高現(xiàn)有類似系統(tǒng)的信息安全防護水平。下面介紹一種比較典型的安全視頻監(jiān)控系統(tǒng)[8]。

表1 檢測項列表

1)系統(tǒng)組成。

整個安全視頻監(jiān)控系統(tǒng)遵循GB/T28181的體系架構(gòu)，通過在現(xiàn)有SIP框架上擴展身份鑒別、加密傳輸?shù)劝踩珯C制，形成由安全網(wǎng)絡(luò)攝像頭、安全網(wǎng)絡(luò)硬盤錄像機、安全基礎(chǔ)設(shè)施、安全視頻客戶端等四部分組成的面向GB/T28181的安全視頻監(jiān)控體系，如圖4所示。

圖4 基于SIP協(xié)議的安全視頻監(jiān)控系統(tǒng)架構(gòu)示意圖

其中，安全網(wǎng)絡(luò)攝像頭內(nèi)嵌支持國密算法的安全芯片，可與連接設(shè)備完成雙向身份鑒別，并對H.264視頻流進行加密傳輸；安全網(wǎng)絡(luò)硬盤錄像機可實現(xiàn)密文視頻流的多線程存儲，可提供對密文視頻流的檢索服務(wù)；安全基礎(chǔ)設(shè)施采用國密算法進行數(shù)字證書的生成、簽發(fā)、以及基于國密證書的設(shè)備認證；安全視頻客戶端是本系統(tǒng)在客戶端的安全解決方案，可實現(xiàn)用戶接入系統(tǒng)的身份認證、實時密文視頻解密播放等功能。

2)關(guān)鍵技術(shù)。

①基于SIP的雙向設(shè)備身份鑒別機制：面向視頻監(jiān)控設(shè)備接入場景，利用國密算法構(gòu)造數(shù)字證書，實現(xiàn)快速設(shè)備接入身份鑒別。

②基于國密算法的H.264視頻流高速硬件加密機制：采用國密算法芯片，對H.264視頻流進行可選方式的加密，實現(xiàn)實時視頻流加解密。

③基于Hadoop的海量密文視頻快速安全存儲和密文檢索機制：對密文視頻流進行多線程存儲，構(gòu)造視頻標簽標定視頻內(nèi)容，利用同態(tài)加密算法實現(xiàn)密文檢索。

任何信息系統(tǒng)的網(wǎng)絡(luò)信息安全都是相對的。在一定程度上解決了視頻監(jiān)控系統(tǒng)安全先天不足的問題之后，作為系統(tǒng)使用單位，還需要注意日常系統(tǒng)的安全運維?？稍跅l件允許的情況下，適當配備安全防護設(shè)備或軟件；應(yīng)當健全和規(guī)范相關(guān)信息安全管理規(guī)章制度，規(guī)定獎懲措施并貫徹落實；定期組織管理人員和操作人員開展系統(tǒng)安全運維培訓(xùn)和宣貫；定期更換系統(tǒng)用戶名及密碼，要求密碼強度要盡可能包括大小寫字母、數(shù)字和符號，組成的密碼字符串應(yīng)當沒有實際含義；定期進行安全漏洞掃描，發(fā)現(xiàn)漏洞及時安裝補丁或者委托專業(yè)的安全服務(wù)公司做遠程監(jiān)測和防護；定期委托第三方安全測評機構(gòu)進行全方位多層次的徹底安全測評；在條件允許或者有必要的情況下建立相應(yīng)網(wǎng)絡(luò)信息安全事件應(yīng)急組織，建立相應(yīng)應(yīng)急預(yù)案，建設(shè)相關(guān)應(yīng)急基礎(chǔ)設(shè)施(如異地災(zāi)備)，在突發(fā)事件發(fā)生時可以協(xié)調(diào)應(yīng)對，有條不紊。

任何信息系統(tǒng)的網(wǎng)絡(luò)信息安全都以日常防護為主，防微杜漸，才能立于安全不敗之地。

5 結(jié)束語

隨著物聯(lián)網(wǎng)技術(shù)和智能設(shè)備的井噴式發(fā)展，作為“物聯(lián)網(wǎng)之眼”的視頻監(jiān)控系統(tǒng)無論在智能家居還是在智慧城市其他領(lǐng)域，都扮演著極其重要的角色，而且重要性日益提升。由于物聯(lián)網(wǎng)應(yīng)用市場的不成熟，網(wǎng)絡(luò)信息安全性事件層出不窮；而視頻監(jiān)控系統(tǒng)的安全問題尤為嚴重，“偷天換日”、“有眼無珠”、“皇帝新裝”、“盲人瞎馬”等情況屢屢發(fā)生，影響惡劣。本文列舉諸多網(wǎng)絡(luò)中盛傳的視頻監(jiān)控系統(tǒng)的安全事件，分析總結(jié)視頻監(jiān)控系統(tǒng)的安全現(xiàn)狀及安全攻擊；進而分析視頻監(jiān)控系統(tǒng)的安全風險；在此基礎(chǔ)上從視頻監(jiān)控系統(tǒng)安全測評平臺的建設(shè)、測評能力的建設(shè)和測評方案的提出以及測評指標的規(guī)范四個方面，探索視頻監(jiān)控系統(tǒng)的安全測評體系；最后介紹了一種安全的視頻監(jiān)控系統(tǒng)架構(gòu)，并在日常安全防護層面提出了一些可操作的建議。視頻監(jiān)控系統(tǒng)安全問題任重道遠，還需要設(shè)備系統(tǒng)廠商、安全服務(wù)提供商、用戶、相關(guān)工程師和研究者攜手共同努力。

參考文獻

[1] 八成家用攝像頭存泄密風險,家庭生活或被網(wǎng)上直播[EB/OL].[2016-05-07]. http://www.chinanews.com/sh/2016/05-15/7870722.shtml

[2] “震網(wǎng)”病毒奇襲伊朗核電站[EB/OL].[2016-05-07].http://reader.gmw.cn/2012-03/23/content_3827138.htm

[3] 美媒：黑客操控石油管道爆炸,開啟網(wǎng)絡(luò)戰(zhàn)時代[EB/OL].[2016-05-07].http://mil.cankaoxiaoxi.com/2014/1214/597001.shtml

[4] ?？低暋昂谔禊Z”驚魂“棱鏡門”[EB/OL].[2016-0-07].http://www.xinhuanet.com/fortune/caiyan/ksh/11.htm

[5] 韓煜,李明非,張繼國.平安城市視頻監(jiān)控系統(tǒng)應(yīng)用安全問題研討[J].警察技術(shù),2015(5):64-66

[6] 仲維國,于忠臣.視頻監(jiān)控系統(tǒng)安全形勢分析及對策[J].中國鐵路,2015(4):103-107

[7] 趙俊鈺.監(jiān)控系統(tǒng)安全形勢分析及對策[J].中國鐵路,2015(5):102-P104

[8] 蘆翔,呂世超,孫利民.一種SIP安全防范視頻監(jiān)控入網(wǎng)控制系統(tǒng)[P].201410352691.1,2014-07-23