◆王玉藏 齊志 周端文

探析網(wǎng)絡(luò)視頻監(jiān)控系統(tǒng)的安全現(xiàn)狀

◆王玉藏 齊志 周端文

（中國(guó)人民解放軍63610部隊(duì) 新疆 841000）

近些年，互聯(lián)網(wǎng)視頻監(jiān)控安全問題頻發(fā)，“水滴直播”、“黑天鵝”等安全事件影響惡劣，這也給專網(wǎng)安全管理人員敲了警鐘。本文基于網(wǎng)絡(luò)視頻監(jiān)控系統(tǒng)的基本架構(gòu)，重點(diǎn)對(duì)視頻前端模塊、視頻傳輸模塊、中心管理模塊和視頻應(yīng)用模塊存在的信息安全隱患進(jìn)行分析，并提出安全防護(hù)建議。

視頻監(jiān)控系統(tǒng)；信息安全；安全風(fēng)險(xiǎn)；安全防護(hù)

1 引言

隨著網(wǎng)絡(luò)通信、視頻編碼、計(jì)算機(jī)處理等技術(shù)的發(fā)展，網(wǎng)絡(luò)視頻監(jiān)控系統(tǒng)廣泛應(yīng)用于軍事、金融、交通、公安等領(lǐng)域，幫助各單位實(shí)現(xiàn)廣域監(jiān)控、實(shí)時(shí)監(jiān)控、統(tǒng)一管理、協(xié)同指揮。網(wǎng)絡(luò)視頻監(jiān)控系統(tǒng)逐漸成為了各單位不可或缺的一部分，在無形中擴(kuò)展了傳統(tǒng)網(wǎng)絡(luò)安全邊界，擴(kuò)大了傳統(tǒng)觀念里安全風(fēng)險(xiǎn)的發(fā)生范圍，本文從專網(wǎng)安全防護(hù)的角度出發(fā)，重點(diǎn)對(duì)網(wǎng)絡(luò)視頻監(jiān)控系統(tǒng)存在的信息安全隱患進(jìn)行分析，并提出安全防護(hù)建議。

2 網(wǎng)絡(luò)視頻監(jiān)控系統(tǒng)的架構(gòu)

網(wǎng)絡(luò)視頻監(jiān)控系統(tǒng)涉及的環(huán)節(jié)多、設(shè)備多，是一個(gè)多元復(fù)雜的體系，網(wǎng)絡(luò)視頻監(jiān)控系統(tǒng)的基本構(gòu)架主要可分為視頻前端模塊、視頻傳輸模塊、中心管理模塊和視頻應(yīng)用模塊四大部分，如圖1所示。

2.1 視頻前端模塊

視頻前端模塊，包括攝像機(jī)、網(wǎng)絡(luò)攝像機(jī)、云臺(tái)、高/標(biāo)清視頻編碼器等前端設(shè)備，實(shí)現(xiàn)視頻、音頻信息的實(shí)時(shí)采集和壓縮編碼。

2.2 視頻傳輸模塊

視頻傳輸模塊，主要包括交換機(jī)、路由器、光端機(jī)、防火墻、視頻光端機(jī)、同軸電纜、雙絞線、光纖等設(shè)備，實(shí)現(xiàn)視頻在本級(jí)、上下級(jí)TCP/IP網(wǎng)絡(luò)之間的傳輸。

2.3 中心管理模塊

中心管理模塊是統(tǒng)一的管理平臺(tái)，包括圖像中心管理服務(wù)器、錄像存儲(chǔ)服務(wù)器、視頻回放服務(wù)器、設(shè)備接入服務(wù)器、媒體轉(zhuǎn)發(fā)服務(wù)器、視頻存儲(chǔ)系統(tǒng)等集中管理設(shè)備，主要實(shí)現(xiàn)五大集中管理：（1）視頻源接入管理；（2）視頻錄像、存儲(chǔ)、檢索、回放以及轉(zhuǎn)發(fā)管理；（3）客戶端管理；（4）用戶身份鑒別、權(quán)限管理；（5）日志管理。

2.4 視頻應(yīng)用模塊

視頻應(yīng)用模塊，包括服務(wù)/視頻管理終端、監(jiān)視終端、視頻分配器、視頻解碼器、視頻矩陣切換、D/A轉(zhuǎn)換器、電視墻、投影儀等后端顯示控制設(shè)備，實(shí)現(xiàn)視頻的監(jiān)控、投放、錄像等功能。

圖1 網(wǎng)絡(luò)視頻監(jiān)控系統(tǒng)構(gòu)架圖

3 網(wǎng)絡(luò)視頻監(jiān)控系統(tǒng)存在的安全隱患

3.1 視頻前端模塊安全風(fēng)險(xiǎn)

專網(wǎng)視頻監(jiān)控系統(tǒng)往往監(jiān)控“點(diǎn)位”涉及許多區(qū)域、跨網(wǎng)段，所需的前端視頻采集設(shè)備具備數(shù)量多、部署位置關(guān)鍵敏感、7*24小時(shí)持續(xù)采集等特點(diǎn)，是需要重點(diǎn)防護(hù)的對(duì)象。但是前端采集設(shè)備自身存在大量安全隱患，而傳統(tǒng)安全防護(hù)體系大多沒有考慮配套的安全措施，導(dǎo)致其成為網(wǎng)絡(luò)中極易被突破的薄弱環(huán)節(jié)。攻擊者一旦成功入侵網(wǎng)絡(luò)攝像機(jī)等前端設(shè)備，可以輕易控制監(jiān)控現(xiàn)場(chǎng)的前端設(shè)備，非法獲取監(jiān)控區(qū)域的敏感信息，甚至可以進(jìn)一步將其作為一個(gè)跳板或僵尸主機(jī)，進(jìn)而滲透、攻擊業(yè)務(wù)承載網(wǎng)，造成更加嚴(yán)重的后果。

前端視頻采集設(shè)備的安全風(fēng)險(xiǎn)主要來自以下幾個(gè)方面：

（1）網(wǎng)絡(luò)攝像機(jī)集傳統(tǒng)攝像機(jī)、視頻編碼和網(wǎng)絡(luò)技術(shù)為一體，一般由嵌入式硬件平臺(tái)、嵌入式Linux系統(tǒng)、嵌入式Web服務(wù)器、USB攝像頭采集前端和WiFi無線網(wǎng)卡組成，自身容易存在弱口令、緩沖區(qū)溢出、未授權(quán)訪問、拒絕服務(wù)、命令注入、信息泄露、認(rèn)證缺陷、目錄穿越、特權(quán)提升、目錄遍歷、SQL注入等漏洞。

（2）網(wǎng)絡(luò)攝像機(jī)等前端采集設(shè)備端口使用比較固定，例如“?？低暋边h(yuǎn)程監(jiān)控客戶端使用554端口；大華遠(yuǎn)程監(jiān)控客戶端使用37777端口，瀏覽器訪問使用80、8000端口；雄邁遠(yuǎn)程監(jiān)控客戶端使用34567。攻擊者通過端口掃描、資產(chǎn)探測(cè)等工具，即可快速發(fā)現(xiàn)網(wǎng)內(nèi)部署的視頻采集設(shè)備。

（3）目前全國(guó)并未形成統(tǒng)一的網(wǎng)絡(luò)視頻框架協(xié)議，使不同廠商所生產(chǎn)的網(wǎng)絡(luò)視頻產(chǎn)品，包括網(wǎng)絡(luò)攝像機(jī)、圖像服務(wù)器、錄像存儲(chǔ)等完全互通。因此在視頻監(jiān)控系統(tǒng)中，往往采用一個(gè)或少數(shù)幾個(gè)廠商的視頻采集設(shè)備，且視頻采集設(shè)備型號(hào)比較固定，這就導(dǎo)致視頻采集設(shè)備在軟硬件上高度相似，安全缺陷高度一致，一點(diǎn)被攻破，會(huì)引發(fā)連鎖反應(yīng)，導(dǎo)致整個(gè)視頻監(jiān)控網(wǎng)絡(luò)被控制和癱瘓。

（4）大華、?？低?、ＴＰ－Ｌｉｎｋ、華為等網(wǎng)絡(luò)攝像機(jī)在斷網(wǎng)后圖像可滯留30-60秒，部分“老款”設(shè)備甚至可滯留15分鐘，而視頻監(jiān)控管理人員可能很久才意識(shí)到并采取措施，尤其是在靜態(tài)畫面的情況下。攻擊者利用這種特性可以替換網(wǎng)內(nèi)攝像機(jī)，制造虛假錄像，在已知線路連接的情況下，替換過程只需幾秒鐘。

3.2 視頻傳輸模塊安全風(fēng)險(xiǎn)

視頻傳輸模塊安全風(fēng)險(xiǎn)主要來自視頻傳輸過程中對(duì)數(shù)據(jù)的非法訪問、竊取、篡改。前端視頻采集設(shè)備大多不帶數(shù)據(jù)加密功能，采集視頻并壓縮后直接明文傳輸MPEG4、H.263、H.264、H.265等視頻碼流，如果沒有部署專門的視頻專用信道或VPN，攻擊者可以通過“網(wǎng)絡(luò)嗅探”方式，非法截獲視頻流數(shù)據(jù)，然后進(jìn)行加工、篡改。

3.3 中心管理模塊安全風(fēng)險(xiǎn)

（1）中心管理模塊是網(wǎng)絡(luò)視頻監(jiān)控系統(tǒng)的核心部分，其中圖像中心管理、錄像存儲(chǔ)、視頻回放、設(shè)備接入、媒體轉(zhuǎn)發(fā)、視頻存儲(chǔ)等服務(wù)器設(shè)備，不僅存在視頻管理平臺(tái)特有軟件漏洞，如遠(yuǎn)程命令執(zhí)行、授權(quán)繞過、目錄遍歷、遠(yuǎn)程緩沖區(qū)溢出等高危漏洞，而且存在大量的操作系統(tǒng)常見漏洞，本身容易遭受入侵和控制。

（2）中心管理平臺(tái)針對(duì)前端視頻采集設(shè)備和后端客戶端，僅采用簡(jiǎn)單的身份認(rèn)證和權(quán)限管理，缺乏專用的安全加密和身份認(rèn)證機(jī)制，無法確保前端采集設(shè)備、客戶端的唯一性，無法充分保證端到端通信的合法性，難以抵御來自非法訪問者的入侵和攻擊。

（3）網(wǎng)絡(luò)視頻監(jiān)控系統(tǒng)中，目前主流的視頻監(jiān)控存儲(chǔ)技術(shù)為FC-SAN與IP-SAN，其中FC-SAN技術(shù)需要專屬網(wǎng)絡(luò)，部署成本高，因此大部分系統(tǒng)采用IP-SAN技術(shù)集中存儲(chǔ)，拓?fù)浣Y(jié)構(gòu)如圖2所示。網(wǎng)絡(luò)視頻監(jiān)控系統(tǒng)中前端采集設(shè)備數(shù)量多，“錄制”全時(shí)段視頻需要的存儲(chǔ)量巨大，因此一般只集中存儲(chǔ)高清晰度、高價(jià)值的視頻，且大多不進(jìn)行視頻標(biāo)記和加密存儲(chǔ)，無形中存儲(chǔ)系統(tǒng)成了高風(fēng)險(xiǎn)區(qū)域，一方面攻擊者采取常規(guī)的入侵模式就可以非法竊取、刪除、破壞視頻信息，另一方面無標(biāo)記的視頻泄漏后，無法快速定位泄漏點(diǎn)。

圖2 IP-SAN存儲(chǔ)拓?fù)浣Y(jié)構(gòu)示意圖

（4）部分中心管理平臺(tái)在設(shè)計(jì)之初，缺乏安全考慮，在數(shù)據(jù)庫(kù)中明文存儲(chǔ)用戶名、密碼，導(dǎo)致除了系統(tǒng)管理員以外的其他人員，很容易從數(shù)據(jù)庫(kù)獲取到管理員的用戶名和密碼，從而輕易進(jìn)入系統(tǒng)，進(jìn)行非法操作，比如提升用戶權(quán)限、遠(yuǎn)程控制和操作前端視頻采集設(shè)備等等。

（5）網(wǎng)絡(luò)視頻監(jiān)控系統(tǒng)管理人員，安全意識(shí)缺乏，為了便于管理，通常同一型號(hào)的前端采集設(shè)備采用同一用戶名、密碼，且往往是設(shè)備初始密碼或是非常簡(jiǎn)單的密碼，如admin、administrator、123456、666666等，導(dǎo)致弱口令問題。

3.4 視頻應(yīng)用模塊安全風(fēng)險(xiǎn)

大量視頻管理終端、監(jiān)視終端也是網(wǎng)絡(luò)視頻監(jiān)控系統(tǒng)的一個(gè)關(guān)鍵風(fēng)險(xiǎn)點(diǎn)。一方面中心管理平臺(tái)缺少可靠的身份驗(yàn)證措施，身份驗(yàn)證強(qiáng)度不足，不能保證視頻管理終端的操作都是被授權(quán)和可信任的。另一方面視頻管理終端、監(jiān)視終端的操作系統(tǒng)和應(yīng)用軟件，本身存在安全漏洞，面臨來自主機(jī)、網(wǎng)絡(luò)、應(yīng)用多個(gè)層面的威脅，容易感染病毒、蠕蟲、木馬、勒索軟件等惡意軟件。

4 網(wǎng)絡(luò)視頻監(jiān)控系統(tǒng)安全防護(hù)建議

以入侵檢測(cè)、防火墻、終端防病毒為主的傳統(tǒng)被動(dòng)式防護(hù)體系，已不足以應(yīng)對(duì)日益增加的安全風(fēng)險(xiǎn)，尤其是新增的物聯(lián)網(wǎng)視頻監(jiān)控系統(tǒng)的安全風(fēng)險(xiǎn)。本文建議有能力的專網(wǎng)，建立以安全態(tài)勢(shì)感知為主的主動(dòng)式安全防御體系，運(yùn)用大數(shù)據(jù)、人工智能等技術(shù)進(jìn)行“多域”安全信息融合，形成網(wǎng)絡(luò)視頻監(jiān)控系統(tǒng)的事前、事中、事后安全閉環(huán)防護(hù)，形成有效的信息安全管理機(jī)制。

（1）事前安全防護(hù)。首先對(duì)網(wǎng)絡(luò)視頻監(jiān)控系統(tǒng)進(jìn)行資產(chǎn)探測(cè)、統(tǒng)計(jì)，快速掌握前端、中心管理、后端等各類資產(chǎn)的組成與分布情況，然后使用專用的漏洞掃描工具檢測(cè)資產(chǎn)存在的漏洞，并對(duì)安全漏洞進(jìn)行加固，定期升級(jí)資產(chǎn)固件、更新密碼、增強(qiáng)密碼強(qiáng)度，同時(shí)加強(qiáng)前后端設(shè)備的統(tǒng)一安全認(rèn)證機(jī)制，甚至可引入信源加密技術(shù)，從源頭上封堵攻擊者的入侵和前后端設(shè)備的非法接入。

（2）事中安全防護(hù)。通過部署保密機(jī)、安全網(wǎng)關(guān)、堡壘機(jī)、應(yīng)用層防火墻、防毒墻、終端殺毒、數(shù)據(jù)庫(kù)防火墻、數(shù)據(jù)加密等安全系統(tǒng)，從主機(jī)層面、網(wǎng)絡(luò)層面、應(yīng)用層面、數(shù)據(jù)層面形成7*24小時(shí)全面防護(hù)，并通過信息融合，具備全天候全方位態(tài)勢(shì)感知能力，發(fā)現(xiàn)異常流量、異常行為時(shí)及時(shí)告警和阻斷，使系統(tǒng)免受病毒、蠕蟲、木馬、勒索軟件等惡意代碼威脅，防止重要視頻數(shù)據(jù)泄露。

（3）事后安全防護(hù)。一方面建立系統(tǒng)和數(shù)據(jù)異地容災(zāi)機(jī)制，防止因感染惡意代碼導(dǎo)致系統(tǒng)癱瘓、重要視頻數(shù)據(jù)丟失，另一方面通過數(shù)字簽名技術(shù)、字符疊加水印技術(shù)，對(duì)視頻數(shù)據(jù)進(jìn)行標(biāo)記，并建立有效的安全審計(jì)機(jī)制，記錄前后端設(shè)備接入、訪問、圖像調(diào)用、錄像下載等行為，一旦出現(xiàn)視頻數(shù)據(jù)泄露，即可通過相關(guān)的標(biāo)記和日志記錄進(jìn)行追蹤溯源。

5 結(jié)語

網(wǎng)絡(luò)視頻監(jiān)控系統(tǒng)在業(yè)務(wù)網(wǎng)中逐漸占據(jù)重要地位，其系統(tǒng)規(guī)模龐大、部署分散、接入承載網(wǎng)、內(nèi)容敏感等特性，在網(wǎng)絡(luò)上打破了原有的安全域，在業(yè)務(wù)承載網(wǎng)中引入了諸多安全隱患，而大部分已建的網(wǎng)絡(luò)視頻監(jiān)控系統(tǒng)在建設(shè)之初，著重實(shí)現(xiàn)系統(tǒng)功能，未考慮安全防護(hù)措施，導(dǎo)致其成為現(xiàn)有安全防護(hù)體系的薄弱環(huán)節(jié)。因此，有必要對(duì)已建或在建的系統(tǒng)配套相應(yīng)的安全措施，分析、識(shí)別、應(yīng)對(duì)安全風(fēng)險(xiǎn)，確保信息安全。

[1]陶槊，魏海利.視頻監(jiān)控系統(tǒng)的安全風(fēng)險(xiǎn)及技術(shù)解決[J].西安文理學(xué)院學(xué)報(bào)，2020.

[2]祝彥峰.網(wǎng)絡(luò)接入認(rèn)證技術(shù)在視頻監(jiān)控系統(tǒng)中的應(yīng)用[J].電腦知識(shí)與技術(shù)，2020.

[3]鄧中翰.確保公共安全視頻監(jiān)控系統(tǒng)自主可控[J].人民政協(xié)報(bào)，2020.

[4]杜慶靈.平安城市視頻監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全研究[J].科技與創(chuàng)新，2019.

[5]于勝.電力系統(tǒng)視頻監(jiān)控網(wǎng)絡(luò)信息安全風(fēng)險(xiǎn)及GB 35114實(shí)施意義[J].自動(dòng)化系統(tǒng)技術(shù)及應(yīng)用，2019.

[6]尚寶麒.視頻監(jiān)控專屬存儲(chǔ)技術(shù)分析[J].中國(guó)管理信息化，2017.

[7]梅大成，楊大千，趙娜.基于Linux的嵌入式網(wǎng)絡(luò)攝像機(jī)設(shè)計(jì)[J].嵌入式網(wǎng)絡(luò)技術(shù)應(yīng)用，2007.