警惕網絡黑手,打造更安全的網絡攝像機
視頻監(jiān)控設備安全事件頻發(fā),凸顯安防企業(yè)網絡安全意識缺失
當今的全球信息化時代,隨著信息通信技術的發(fā)展和普及,聯接已成為新的常態(tài)。越來越多的攝像頭、傳感器、手機等終端被廣泛部署,并由無處不在的網絡聯接起來,物理世界得以更準確地在數字世界中呈現,這使得我們可以更好地觀察、分析、應用物理世界的數據,且不再受時空束縛。
而當終端設備一旦分布在互聯網、移動通信網、物聯網、車聯網等物理網絡,就不可避免的會遭受入侵、攻擊、竊聽、篡改等網絡威脅??梢哉f,便捷拜網絡和技術所賜,風險也因網絡和技術而生。安防系統(tǒng)目的是為了維護整個社會治安穩(wěn)定,涉及大量的用戶隱私數據,因此從事安防行業(yè)的企業(yè)更加應該重視網絡安全風險。然而現實,卻不容樂觀:
2014年4月,央視報道市場上大部分家庭攝像機“曝光”隱私,攝像機不再照看家庭的安全,而是將家庭的隱私曝光在網絡上;
2014年12月,烏云安全團隊披露,某廠商數字錄像機被攻擊后感染了病毒,變成了僵尸網絡的一部分,被用于掃描存在漏洞的其它網站。此外有的DVR還被安裝了比特幣挖礦程序,淪為黑客的掙錢工具;
2015年2月,媒體曝光了某廠商監(jiān)控設備“存在嚴重安全隱患”、“部分設備已經被境外IP地址控制”嚴重安全事件;
諸如此類事件不勝枚舉。
作為守護大眾安全的設備,為何自身的網絡安全漏洞反而如此之多?其實,這背后反映的是安防業(yè)內大多數企業(yè)的網絡安全意識淡薄、產品安全防護技術手段欠缺的普遍現狀。
三組重拳,華為打造安全防范手段最豐富的網絡攝像機
網絡攝像機“麻雀雖小五臟俱全”,除了光學鏡頭、圖像傳感器、圖像編碼壓縮芯片、控制器、網絡服務器等硬件外,還包含操作系統(tǒng)、硬件驅動軟件、圖像編碼壓縮算法軟件、視頻應用軟件等各類軟件。網絡攝像機安全防范機制的設計需要從系統(tǒng)層面、應用層面、管理層面全面考慮。
華為基于對網絡安全的深透理解和多年技術積累,為華為的所有網絡攝像機打造了全方位的網絡攝像機技術安全體系,確保網絡攝像機的系統(tǒng)安全和數據隱私安全。
7重安全防護機制
華為網絡攝像機在安全性架構設計時采用了7重安全防護機制:
◆ 強密碼管理機制:
使用強密碼策略:如密碼長度限制、強制字符組合及弱密碼檢測等,防止密碼攻擊;修改密碼時驗證舊密碼、驗證通過才能修改,初始密碼可配置為必須修改才可登錄系統(tǒng);
密碼加密保存,不允許明文保存或顯示;
◆ 認證與會話控制:能對設備系統(tǒng)進行管理的物理接口和協(xié)議均有接入認證機制,必須輸入正確的用戶名和口令才能登錄系統(tǒng);用戶登錄連續(xù)多次輸入錯誤密碼后用戶名被鎖定,無法登錄系統(tǒng);
◆ 最小授權規(guī)則:系統(tǒng)中新建的用戶,默認只有最小的權限;
◆ 文件授權管理:非授權用戶不能訪問文件;
◆ 安全日志:所有的用戶活動和操作指令均記錄日志,日志內容能支撐事后的審計,日志有訪問控制,且只有管理員才能有刪除權限。
◆ 加密算法:使用高安全等級加密算法(SHA256、AES128等),降低敏感信息被破解的風險;不使用私有算法;
◆ 安全協(xié)議,使用高級別安全協(xié)議對設備進行維護管理,如SSHV2、TLS1.1、FTPS。
108條網絡安全測試
華為攝像機與華為公司其他產品一樣,出廠前必須經過華為自己定義的13類108條的網絡安全測試規(guī)范,全面的、嚴格的測試網絡攝像機等所有產品的網絡安全防護體系的實現情況,確保華為公司的產品在法律合規(guī)下確保用戶的通信內容、個人數據及隱私的安全。
8項防護技術
華為網絡攝像機在設備上線后,還有8種特色技術來保障系統(tǒng)安全和數據完整:
◆ IP地址過濾:為了防止惡意IP對IPC進行網絡攻擊,設置可以或禁止訪問IPC的特定IP地址段,IPC將丟棄非法IP發(fā)過來的所有數據包。
◆ 802.1x 接入認證:限制未經授權的用戶/設備通過交換機接入端口訪問到LAN/WLAN中的網絡攝像機圖像,杜絕未授權用戶或設備的非法訪問。
◆ AES碼流加密:編碼輸出后RTP打包之前對視頻流進行AES加密后在進行平臺側再解密后存儲;因此,即使碼流在傳輸過程中被竊取也無法使用,從而避免視頻被非法使用;
◆ 數字水?。壕幋a時提取當前幀的特征信息,并結合用戶設置的特征值運算得到幀數據的唯一水印值,平臺使用同樣算法判斷接收到水印值與當前計算出來的水印值是否一致,不一致時提示告警。
◆ 媒體流前向糾錯:在網絡狀況差而導致丟包錯包較多時,IPC編碼時增加數據糾錯包,平臺利用算法將丟失的數據恢復出來,避免數據丟失;
◆ MTU可設置:攝像機根據用戶設置的最大傳輸單元調整發(fā)送媒體數據包大小,網絡設備自動以合適大小數據包改善網絡傳輸情況,避免網絡傳輸中丟失媒體數據包;
◆ QoS可設置:用戶可根據實際網絡情況設置IPC媒體流和信令流的優(yōu)先級,網絡傳輸設備則據此優(yōu)先級傳輸媒體流和信令流,避免延遲或丟棄;
借助上述三組網絡安全防護手段,華為網絡攝像機構建起了堪稱業(yè)界最完善的安全防護體系,產品系統(tǒng)安全和業(yè)務數據完整都得到了最大的保障。
華為公司將構筑并全面實施端到端的全球網絡安全保障體系作為公司的重要發(fā)展戰(zhàn)略之一
值得強調的是,華為公司將構筑并全面實施端到端的全球網絡安全保障體系作為公司的重要發(fā)展戰(zhàn)略之一,在遵從所有適用的國家和地區(qū)安全法規(guī)、國際電信標準和參考行業(yè)最佳實踐的基礎上,從政策、組織、流程、管理、技術和規(guī)范等方面建立和完善可持續(xù)、可信賴的安全保障體系。在組織方面,全球網絡安全委員會作為華為公司的最高網絡安全管理機構,負責決策和批準公司總體網絡安全戰(zhàn)略。在業(yè)務流程方面,安全保障活動融入研發(fā)、供應鏈、市場與銷售、工程交付及技術服務等各環(huán)節(jié)中,作為質量管理體系的基本要求,通過管理制度和技術規(guī)范來確保其有效實施。在人員管理方面,華為全體員工以及合作伙伴、外部顧問都必須嚴格執(zhí)行公司相關安全政策,接受安全培訓,使安全理念融入整個組織之中。
華為公司愿意并正在與有關政府、客戶及行業(yè)伙伴以開放和透明的方式,共同應對安全方面的挑戰(zhàn),全面滿足客戶的網絡安全需求。