說一個(gè)“不作死就不會(huì)死”的神奇黑客故事。

迪普科技的大佬透露，他們?cè)鴰椭粉櫫艘黄鸢讣航痪袷虬l(fā)現(xiàn)，不知道為什么，自家的管控系統(tǒng)竟然會(huì)非?！吧埔狻钡貛瓦`規(guī)扣分的人士自動(dòng)“銷分”。。。

交警系統(tǒng)對(duì)這個(gè)“鬼銷分”事件追蹤了一年，終于發(fā)現(xiàn)了罪魁禍?zhǔn)祝阂粋€(gè)“樂于助人”的黑客。

這個(gè)黑客很有意思，將自家路由器與街道上的監(jiān)控?cái)z像頭放在一起，然后通過這個(gè)渠道入侵了交警視頻監(jiān)控后臺(tái)，進(jìn)入車輛違規(guī)系統(tǒng)，植入惡意軟件，將自己所在單位的所有車牌信息輸入，只要本單位的車輛違規(guī)扣分，自動(dòng)啟動(dòng)“銷分”程序。

這個(gè)黑客不僅善于給自己公司做貢獻(xiàn)，還對(duì)外提供了“銷分”服務(wù)，成功地在違法致富的道路上一頓狂奔，并順利奔進(jìn)了監(jiān)獄。。。

連交警蜀黍的視頻監(jiān)控系統(tǒng)都可能被盯上，想想中國暴露在網(wǎng)上的 260 萬個(gè)視頻監(jiān)控系統(tǒng)設(shè)備 IP ，真是瑟瑟發(fā)抖。

那么，視頻監(jiān)控設(shè)備都用在哪些地方呢？

雷鋒網(wǎng)宅客頻道編輯了解到，視頻監(jiān)控系統(tǒng)設(shè)備有 7 類 IP應(yīng)用場(chǎng)景：住宅用戶、企業(yè)專線、數(shù)據(jù)中心、學(xué)校單位、組織機(jī)構(gòu)、專用出口和其他，排名前三的是住宅用戶、企業(yè)專線和數(shù)據(jù)中心，占總量的 95.6%。

這意味著，視頻監(jiān)控安全涉及的絕不僅僅涉及大眾理解的個(gè)人隱私問題。

從技術(shù)架構(gòu)和復(fù)雜程度上說，視頻監(jiān)控分為四類：個(gè)人(家庭)、小型(社區(qū)、酒店、醫(yī)療機(jī)構(gòu)等)、中型(銀行、教育機(jī)構(gòu)、檢察院、法院等)、大型(城市、公共安全)。

當(dāng)然，從這個(gè)遞進(jìn)順序，你大概猜到了，視頻監(jiān)控產(chǎn)生的數(shù)據(jù)量也是遞增的。

以最復(fù)雜的大型（城市、公共安全）為例，這個(gè)技術(shù)架構(gòu)里包含攝像頭、服務(wù)器群、存儲(chǔ)矩陣、終端監(jiān)控、大屏監(jiān)控、廣域網(wǎng)等，數(shù)據(jù)量是海量級(jí)別。

雷鋒網(wǎng)宅客頻道編輯從一份《視頻監(jiān)控安全應(yīng)用指南報(bào)告》對(duì)大型視頻監(jiān)控的技術(shù)梳理中發(fā)現(xiàn)了一些有意思的信息——因?yàn)檫@些不僅是安全人員的防守點(diǎn)，也是潛在的可被攻擊點(diǎn)。

編輯把這些概括為：黑客順著視頻監(jiān)控發(fā)大招的九種路徑及反制措施。

1.前端設(shè)備信息采集與管理

視頻數(shù)據(jù)采集以 IPC 攝像頭為主，如何防止非法攝像頭接入以及對(duì)現(xiàn)有攝像頭進(jìn)行管理是關(guān)鍵技術(shù)點(diǎn)。 依據(jù) GB/T28181，GB35114-2017 要求，視頻安全廠商的數(shù)據(jù)采集設(shè)備應(yīng)可識(shí)別主流符合國標(biāo)要求的安防廠商 IPC。并盡可能的采集視頻專網(wǎng)中 IPC、PC、NVR 等接入設(shè)備的各類資產(chǎn)信息，包括設(shè)備 IP、設(shè)備類型、 在線狀態(tài)、接入鏈路狀態(tài)、廠家、地理位等，建立統(tǒng)一的資產(chǎn)庫，解決多安防廠家并存的情況下接入資產(chǎn)難以統(tǒng)一監(jiān)管的問題。

2.前端設(shè)備準(zhǔn)入控制 

在解決前端設(shè)備指紋信息發(fā)生變化時(shí)，應(yīng)對(duì)非授信設(shè)備接入視頻監(jiān)控網(wǎng)絡(luò)進(jìn)行告警和阻斷，并且可以識(shí)別和阻斷對(duì)前端設(shè)備或視頻監(jiān)控平臺(tái)進(jìn)行 IP 地址掃描、端口掃描攻擊、強(qiáng)力攻擊、拒絕服務(wù)器等網(wǎng)絡(luò)攻擊。例如可以通過 TCP、Telnet 和 FTP 等多種協(xié)議組合的主動(dòng)掃描技術(shù)，及 RTP、RTCP 和 RTSP 等多種網(wǎng)絡(luò) 承載協(xié)議組合的被動(dòng)檢測(cè)技術(shù)來實(shí)現(xiàn)。另外應(yīng)對(duì)通信過程中的會(huì)話控制信令及媒體流的所有會(huì)話過程進(jìn)行加密， 身份認(rèn)證應(yīng)包括采用基于口令、基于數(shù)字證書的等認(rèn)證方式。

3.監(jiān)控終端防止泄密

終端防止泄密主要是在屏幕防拍攝功能及導(dǎo)出加密。防拍攝實(shí)現(xiàn)方法包括顯示包含終端物理特征、用戶特 征、訪問行為特征的透明水印或二維碼信息。通過識(shí)別不同調(diào)閱者實(shí)現(xiàn)數(shù)據(jù)溯源，達(dá)到威懾拍攝者目的。另外，拍屏所顯示的水印和二維碼信息應(yīng)具備防編輯能力，防止拍屏者利用修圖軟件對(duì)拍屏所得圖片中水印和二維碼信息進(jìn)行二次處理，對(duì)視頻錄像及圖片導(dǎo)出自動(dòng)加密通常使用安全軟件實(shí)現(xiàn)。當(dāng)視頻數(shù)據(jù)被黑客或內(nèi)部人員非法獲取后，在非授權(quán)機(jī)器上無法打開。

4.指揮大屏防止泄密

指揮大屏防止泄密主要是在指揮中心顯示大屏防拍攝功能。實(shí)現(xiàn)方法包括顯示包含終端物理特征、用戶特征、訪問行為特征的透明水印信息。通過識(shí)別不同調(diào)閱者實(shí)現(xiàn)數(shù)據(jù)溯源，達(dá)到威懾拍攝者目的。

5.存儲(chǔ)設(shè)備防止泄密 

存儲(chǔ)設(shè)備防泄密通常是采用安全 U 盾來進(jìn)行文件交換，防止隨意拷貝視頻數(shù)據(jù)，另外也可通過加解密算法， 對(duì)視頻系統(tǒng)存儲(chǔ)的數(shù)據(jù)進(jìn)行透明加解密處理，確保非法進(jìn)程無法通過拷貝、盜取磁盤等方式竊取數(shù)據(jù)。

6.監(jiān)控服務(wù)器訪問控制 

在監(jiān)控服務(wù)器上進(jìn)行訪問控制與授權(quán)時(shí)，需要對(duì)登錄用戶進(jìn)行身份標(biāo)識(shí)和鑒別，對(duì)于無身份標(biāo)識(shí)或沒有通過身份鑒別的用戶禁止其登陸系統(tǒng)。 

登陸服務(wù)器后，對(duì)于調(diào)閱視頻文件的提交申請(qǐng)、批復(fù)和授權(quán)操作均應(yīng)被記錄，以便于審計(jì)與跟蹤。在視頻 文件外發(fā)管控方面，只有授權(quán)的用戶終端可以對(duì)前端設(shè)備進(jìn)行配置、變更、升級(jí)、調(diào)閱視頻圖像等。在用戶終 端將視頻監(jiān)控文件制作成外發(fā)數(shù)據(jù)，并應(yīng)具有設(shè)置密碼、時(shí)效、編輯、自刪除等修改、調(diào)整功能。外發(fā)數(shù)據(jù)可 以添加定制化的溯源信息，如地理特征、用戶特征、警示信息、時(shí)間等信息。

另外需要對(duì)服務(wù)器安裝防病毒軟件，防止如勒索病毒對(duì)視頻數(shù)據(jù)非法加密、非法損毀。

7.視頻數(shù)據(jù)共享防護(hù) 

支持通過 DPI、DFI 等技術(shù)對(duì)流出視頻大數(shù)據(jù)平臺(tái)的數(shù)據(jù)做協(xié)議識(shí)別、應(yīng)用識(shí)別、內(nèi)容識(shí)別，確保數(shù)據(jù)沒有非法大規(guī)模外流，支持通過大數(shù)據(jù)分析與建模技術(shù)對(duì)流出視頻大數(shù)據(jù)平臺(tái)的數(shù)據(jù)做更深層次的異常檢測(cè)，確 保數(shù)據(jù)沒有非法夾帶外流，支持對(duì)流出視頻大數(shù)據(jù)平臺(tái)的數(shù)據(jù)按規(guī)則進(jìn)行脫敏處理。

8.通信安全 

通信安全常規(guī)采取加密方式。在視頻專網(wǎng)中需要對(duì)通信過程中的會(huì)話控制信令及媒體流的所有會(huì)話過程進(jìn) 行加密，包括 SIP、RTP、RTCP、RTSP 等協(xié)議。前端設(shè)備到監(jiān)控中心的實(shí)時(shí)視頻，及監(jiān)控中心到其他監(jiān) 控中心調(diào)看視頻流的通信安全。

9.視頻風(fēng)險(xiǎn)自動(dòng)發(fā)現(xiàn)及可視化 

目前風(fēng)險(xiǎn)數(shù)據(jù)可視化技術(shù)已經(jīng)比較成熟。只有有數(shù)據(jù)輸入，動(dòng)態(tài)展現(xiàn)到指揮大屏基本無障礙。因此視頻風(fēng) 險(xiǎn)可視化方面應(yīng)實(shí)現(xiàn)勒索病毒攻擊與防御情況動(dòng)態(tài)實(shí)時(shí)展示、網(wǎng)絡(luò)攻擊動(dòng)態(tài)實(shí)時(shí)展示與漏洞發(fā)現(xiàn)實(shí)時(shí)展現(xiàn)，但對(duì)于視頻數(shù)據(jù)非法使用風(fēng)險(xiǎn)與非法篡改風(fēng)險(xiǎn)實(shí)時(shí)動(dòng)態(tài)地展示在指揮中心大屏上技術(shù)需要進(jìn)一步加強(qiáng)。

哪家方案強(qiáng)

光提出問題，沒有解決方案是耍流氓。

在 3 月 21 日安全牛舉辦的《視頻監(jiān)控安全應(yīng)用指南報(bào)告》發(fā)布會(huì)上，迪普科技視頻專網(wǎng)拓展部部長李成認(rèn)為，視頻監(jiān)控網(wǎng)絡(luò)目前主要的風(fēng)險(xiǎn)來源是前端設(shè)備和網(wǎng)絡(luò)管道的失控。弱口令的暴力破解和命令執(zhí)行漏洞，占到視頻監(jiān)控網(wǎng)絡(luò)安全事件的 7 成，視頻監(jiān)控聯(lián)網(wǎng)應(yīng)用的特點(diǎn)是終端難以安裝安全防護(hù)軟件，同時(shí)網(wǎng)絡(luò)中的行為和通信雙方的身份相對(duì)固定。因此他介紹了物聯(lián)網(wǎng)終端準(zhǔn)入控制技術(shù)、L2~7層白名單技術(shù)等，并應(yīng)用在某市公安局轄區(qū)建設(shè)視頻專網(wǎng)上的 2 萬臺(tái)高清數(shù)字?jǐn)z像頭方案中。

慧盾安全首席運(yùn)營官蘇敬斫提出，視頻監(jiān)控行業(yè)，IP 化、標(biāo)準(zhǔn)化和智能化的發(fā)展趨勢(shì)，使得視頻數(shù)據(jù)應(yīng)用場(chǎng)景更佳復(fù)雜，也更易受到攻擊和泄漏。缺少準(zhǔn)入機(jī)制、設(shè)備漏洞易受攻擊、視頻流轉(zhuǎn)環(huán)節(jié)多、合法人員的非法使用，是視頻監(jiān)控安全風(fēng)險(xiǎn)的根本原因。因此，視頻監(jiān)控安全應(yīng)按照兩個(gè)維度設(shè)計(jì)：系統(tǒng)和業(yè)務(wù)，

其中，系統(tǒng)維度包括視頻采集層、核心層和應(yīng)用層。業(yè)務(wù)維度包括攝像頭準(zhǔn)入和防攻擊、視頻防泄密、視頻顯示安全、視頻共享安全和 GB35114 為代表的合規(guī)。特別是視頻數(shù)據(jù)的共享安全，慧盾的思路是使用數(shù)據(jù)水印和指紋等技術(shù)，以及權(quán)限審批等管理手段，實(shí)現(xiàn)視頻數(shù)據(jù)在跨單位和部門調(diào)閱時(shí)的防篡改和泄露溯源。

他還介紹了一個(gè)十分博眼球的功能：

萬物安全重點(diǎn)提及了建立視頻監(jiān)控的主動(dòng)防御體系，包括主動(dòng)探測(cè)、前端行為分析和細(xì)粒度的訪問控制。同時(shí)，核心業(yè)務(wù)連續(xù)性的保證也是重點(diǎn)。萬物安全CPO&合伙人鄭大義還介紹了萬物安全目前的三個(gè)產(chǎn)品，包括視頻終端準(zhǔn)入管控系統(tǒng)（北極星），對(duì)視頻數(shù)據(jù)質(zhì)量和有效性的監(jiān)測(cè)系統(tǒng)（天王星），針對(duì)大型物聯(lián)網(wǎng)環(huán)境中IT資產(chǎn)探測(cè)工具（南極星），以及基于SDP技術(shù)搭建可信網(wǎng)絡(luò)（銀河）。

你想先探究哪一家的技術(shù)？也許這就是我們視頻監(jiān)控安全系列（二）要聊的主題。歡迎關(guān)注雷鋒網(wǎng)旗下微信公眾號(hào)“宅客頻道”（微信ID：letshome），投票走一波，定制屬于你的“頭條”。

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。