20世紀80年代，模擬攝像機開始應(yīng)用在街面以及重要場所，在安全防控領(lǐng)域發(fā)揮重要作用；90年代，計算機技術(shù)發(fā)展推動了數(shù)字攝像機的發(fā)展。進入21世紀，物聯(lián)網(wǎng)、大數(shù)據(jù)、移動網(wǎng)絡(luò)和云計算技術(shù)的發(fā)展，使視頻安防系統(tǒng)呈現(xiàn)網(wǎng)絡(luò)化、智能化趨勢，隨之而來的，是網(wǎng)絡(luò)安全的風險和隱患。本文探討視頻安防系統(tǒng)聯(lián)網(wǎng)帶來的安全隱患，從技術(shù)、管理和法規(guī)層面提出對策和建議。


一、家庭視頻網(wǎng)絡(luò)的安全隱患

隨著人們安防意識的提升，家用數(shù)字攝像機聯(lián)網(wǎng)方案得到普及和廣泛應(yīng)用，市場涌現(xiàn)大量網(wǎng)絡(luò)攝像機產(chǎn)品。然而，一些品牌的家用網(wǎng)絡(luò)攝像機由工業(yè)安防攝像機演變而來，廠商出于易用性和成本因素削減安全投入；一些新興廠商更是在設(shè)計之初就未考慮完備的安全機制，導(dǎo)致家用網(wǎng)絡(luò)攝像機存在很多安全隱患：允許使用默認密碼以及弱密碼登錄；缺乏有效的身份認證機制；傳輸未加密，或者通信加密措施簡單易破解等。

家用數(shù)字攝像機一般通過無線路由器與家庭中的電腦、手機以及其他物聯(lián)網(wǎng)設(shè)備組成家庭網(wǎng)絡(luò)。網(wǎng)絡(luò)攝像機的安全性低，一旦遭到入侵或攻擊，則存在視頻信息外泄的風險，此外，網(wǎng)絡(luò)攝像機還可能成為黑客的跳板，攻擊家庭網(wǎng)絡(luò)的其他聯(lián)網(wǎng)設(shè)備或利用這些設(shè)備進行挖礦和成為僵尸機進行分布式拒絕服務(wù)（DDoS）攻擊等非法獲利行為。


二、行業(yè)視頻網(wǎng)絡(luò)的安全隱患

視頻安防技術(shù)廣泛應(yīng)用于能源、交通、金融、司法以及教育、衛(wèi)生領(lǐng)域，尤其是“智慧城市”“平安城市”“天網(wǎng)工程”等視頻安防系統(tǒng)的建設(shè)，逐漸形成了覆蓋城市和鄉(xiāng)鎮(zhèn)的立體化安防網(wǎng)絡(luò)，在維護社會公共安全中發(fā)揮重要作用。盡管與家用網(wǎng)絡(luò)攝像機相比，這些視頻安防系統(tǒng)的功能、性能以及安全性都有很大的提升。但是，行業(yè)視頻網(wǎng)絡(luò)也因為聯(lián)網(wǎng)設(shè)備種類多且覆蓋范圍廣、網(wǎng)絡(luò)結(jié)構(gòu)復(fù)雜且多網(wǎng)互聯(lián)、用戶數(shù)量多且用戶權(quán)限多樣等特征，安全風險不容忽視。

1.攝像機安全隱患

行業(yè)視頻網(wǎng)絡(luò)的攝像機點位多、數(shù)量大，并大多分散安裝在室外，常見的安全隱患包括：一是資產(chǎn)底數(shù)不清，導(dǎo)致運營管理部門很難及時發(fā)現(xiàn)和監(jiān)管非法接入/替換到視頻網(wǎng)絡(luò)的攝像機。二是設(shè)備管理不規(guī)范。網(wǎng)絡(luò)攝像機經(jīng)常因為弱口令或隨意開放端口等問題被攻擊者利用。三是設(shè)備存在漏洞利用風險，由于行業(yè)視頻網(wǎng)絡(luò)與互聯(lián)網(wǎng)隔離，前端設(shè)備修補漏洞不及時，易受網(wǎng)絡(luò)攻擊和感染僵尸、木馬、蠕蟲等惡意破壞性程序。

2. 網(wǎng)絡(luò)邊界安全隱患

行業(yè)視頻網(wǎng)絡(luò)，在設(shè)計上與互聯(lián)網(wǎng)及其他網(wǎng)絡(luò)物理隔離，需要通過邊界安全設(shè)施在不同網(wǎng)絡(luò)之間進行信息交換與共享。在實際工作中，視頻網(wǎng)絡(luò)的主機通過多網(wǎng)卡、無線接入訪問點（AP）或接入4G手機等形式繞過網(wǎng)絡(luò)邊界，與外部網(wǎng)絡(luò)聯(lián)通的情況屢見不鮮，嚴重破壞視頻網(wǎng)絡(luò)的物理隔離性，極易造成信息泄露、病毒木馬的傳播甚至成為外部攻擊入口。

3. 系統(tǒng)應(yīng)用區(qū)域的安全隱患

系統(tǒng)應(yīng)用區(qū)域存在的安全隱患是因為視頻網(wǎng)絡(luò)缺乏等級保護機制。一方面，視頻網(wǎng)絡(luò)缺乏安全域的概念，導(dǎo)致重點區(qū)域的計算機信息系統(tǒng)沒有得到有效的安全防護。另一方面，當前視頻網(wǎng)絡(luò)僅僅能夠通過審計數(shù)據(jù)識別、檢測非視頻傳輸?shù)漠惓f(xié)議通信，但是，無法確保視頻傳輸通信完全符合信息安全的保密性、完整性、可用性、可控性和不可否認性。

4. 管理層面的安全隱患

視頻網(wǎng)絡(luò)沒有一個完整的態(tài)勢感知與預(yù)警響應(yīng)處置體系，在發(fā)生安全事件時，難以有效協(xié)同主管單位、應(yīng)用單位、網(wǎng)絡(luò)運營商、設(shè)備提供商和集成商，處置和弱化安全事件帶來的影響。另一方面，用戶的網(wǎng)絡(luò)安全意識不強，內(nèi)網(wǎng)監(jiān)管措施仍然比較簡陋。因為采用弱口令，USB存儲設(shè)備濫用、非法外聯(lián)等情況存在，對內(nèi)網(wǎng)絡(luò)造成嚴重的安全隱患。


三、視頻網(wǎng)絡(luò)建設(shè)中的關(guān)鍵問題

視頻網(wǎng)絡(luò)在建設(shè)和應(yīng)用快速發(fā)展的同時，其安全建設(shè)卻相對滯后，不論家庭使用的視頻網(wǎng)絡(luò)還是行業(yè)視頻網(wǎng)絡(luò)，在規(guī)劃、建設(shè)過程中，普遍存在“重應(yīng)用，輕安全”的情況，涉及國家安全、社會穩(wěn)定等安全問題，不容忽視。

1. 法律制度不健全

我國視頻安防系統(tǒng)規(guī)劃、安裝、管理、使用和監(jiān)督等環(huán)節(jié)，急需完善法律法規(guī)，更好地明確各方的權(quán)利義務(wù)關(guān)系，并促進視頻安防技術(shù)發(fā)揮其維護社會安全、公眾權(quán)利的積極作用。立法首先需要明確安裝安防攝像機的條件與程序，其次，應(yīng)明確法律視頻安防系統(tǒng)擁有者的管理責任與義務(wù)，既要確保視頻網(wǎng)絡(luò)和信息安全，不得隨意泄露視頻信息，不得買賣、非法查看、復(fù)制、獲取、傳播、使用視頻安防系統(tǒng)獲取的信息。

2. 安全標準和規(guī)范缺乏

視頻安防系統(tǒng)缺乏產(chǎn)品安全標準，導(dǎo)致家用網(wǎng)絡(luò)攝像機安全性能低，且部分廠商缺乏安全服務(wù)意識。針對行業(yè)視頻網(wǎng)絡(luò)安全防護的系列標準和技術(shù)規(guī)范，還未制訂發(fā)布。在各地視頻網(wǎng)絡(luò)安全防護體系建設(shè)中，或盲目進行安全建設(shè)投入，導(dǎo)致安全防護效果無法達到預(yù)期，造成資源浪費；或缺乏整體安全規(guī)劃，安全建設(shè)上投入不足，導(dǎo)致視頻網(wǎng)絡(luò)存在較大的安全風險。作為涉及國家公共安全、社會秩序的重要信息系統(tǒng)和基礎(chǔ)設(shè)施，視頻安防系統(tǒng)重要性不言而喻。但是，視頻安防系統(tǒng)沒有安全等級劃分相關(guān)的規(guī)范要求，更沒有針對該類系統(tǒng)的專業(yè)化和系統(tǒng)性的信息安全評測，建設(shè)單位難以平衡安全性、易用性、成本等因素，最終導(dǎo)致視頻網(wǎng)絡(luò)安全策略與安全機制難以落實。

3. 視頻網(wǎng)絡(luò)安全防護能力低

在視頻網(wǎng)絡(luò)中，攝像機多數(shù)通過運營商購置、安裝和更換，管理部門只有運營商上報的數(shù)據(jù)，缺乏有效機制進行核實。視頻網(wǎng)絡(luò)的電腦接入也缺乏有效控制和注冊管理。視頻網(wǎng)絡(luò)設(shè)計與互聯(lián)網(wǎng)及其他網(wǎng)絡(luò)物理隔離，但是，通過多網(wǎng)卡、網(wǎng)絡(luò)出口、網(wǎng)絡(luò)代理、無線接入訪問點、網(wǎng)絡(luò)地址翻譯等形式繞過安全設(shè)施監(jiān)管，與外部網(wǎng)絡(luò)的聯(lián)通情況，屢見不鮮，嚴重破壞視頻網(wǎng)絡(luò)的物理隔離性，極易造成信息的泄露與病毒木馬的傳播，甚至成為外部攻擊的入口。

4. 用戶安全意識薄弱

目前，視頻網(wǎng)絡(luò)管理人員、操作人員、業(yè)務(wù)人員，對視頻網(wǎng)絡(luò)面臨的安全風險還存在認識不足、安全責任不清、保護對象不明、缺乏安全技能培訓(xùn)、安全運營維護能力缺失等問題，導(dǎo)致視頻網(wǎng)絡(luò)安全保障體系建設(shè)存在諸多困難。

5. 監(jiān)測預(yù)警和應(yīng)急響應(yīng)機制不完善

視頻網(wǎng)絡(luò)主管單位和運營單位對復(fù)雜網(wǎng)絡(luò)環(huán)境下安全威脅和攻擊行為的全面感知和預(yù)警能力有待提高，一方面，視頻網(wǎng)絡(luò)缺少網(wǎng)絡(luò)安全監(jiān)測技術(shù)平臺，無法第一時間檢測到網(wǎng)絡(luò)中存在的漏洞和新出現(xiàn)的攻擊，無法快速研判評估安全態(tài)勢；另一方面，缺乏暢通、便捷的預(yù)警信息傳遞渠道，無法針對用戶群體在受控范圍內(nèi)，及時、精準地發(fā)布安全公告預(yù)警。


四、對策與建議

在當前復(fù)雜的政治形勢和新技術(shù)背景下，針對視頻網(wǎng)絡(luò)的安全事件頻發(fā)，需要不斷完善視頻安防法律法規(guī)、構(gòu)建視頻網(wǎng)絡(luò)安全保障體系、強化安全監(jiān)督管理、建立視頻網(wǎng)絡(luò)安全監(jiān)測預(yù)警和應(yīng)急響應(yīng)機制。

1．需要盡快出臺視頻安防相關(guān)的法律法規(guī)

為更好明確安防攝像機使用的各方權(quán)利義務(wù)關(guān)系，需要盡快出臺完善有效的、專門的視頻安防的法律法規(guī)，以實現(xiàn)視頻安防發(fā)揮其維護社會安全和公眾權(quán)利的正能量，在充分發(fā)揮視頻安防系統(tǒng)預(yù)防打擊違法犯罪作用的同時，也有利于監(jiān)管機關(guān)對其進行有效管理。

2.  研究制定視頻網(wǎng)絡(luò)與信息安全標準體系

研究制定公共安全視頻網(wǎng)絡(luò)與信息安全標準完整體系，涵蓋且適用于視頻安防網(wǎng)絡(luò)的信息安全、網(wǎng)絡(luò)安全、邊界安全、攝像機安全、視頻云安全等內(nèi)容的視頻安全防護完整體系。對視頻安防系統(tǒng)的安全等級進行劃分，建立、規(guī)范不同安全等級下的視頻網(wǎng)絡(luò)安全策略與安全機制。

3．采用技術(shù)措施提升視頻網(wǎng)絡(luò)安全防護能力

采用技術(shù)措施構(gòu)建視頻網(wǎng)絡(luò)安全防護能力，確保攝像機安全、邊界安全、內(nèi)網(wǎng)安全、用戶安全。

攝像機安全：有效識別前端接入攝像機的相關(guān)信息并對前端攝像機進行認證。高效識別網(wǎng)絡(luò)終端設(shè)備的類型、品牌、操作系統(tǒng)、運行狀態(tài)等信息，自動形成資產(chǎn)信息庫。通過定期掃描，與資產(chǎn)庫比對，及時發(fā)現(xiàn)地址變更、設(shè)備地址冒用、視頻設(shè)備非法接入、非法替換等資產(chǎn)異常問題，從而實現(xiàn)對設(shè)備在線、故障、非法接入/替換進行監(jiān)管。

邊界安全：在視頻網(wǎng)絡(luò)與互聯(lián)網(wǎng)、其他專網(wǎng)之間建立安全邊界，有效隔離跨網(wǎng)的惡意代碼傳播和攻擊。

內(nèi)網(wǎng)安全：靈活的定義訪問控制策略，高效識別非法訪問流量并實現(xiàn)有效管控。支持對主流視頻協(xié)議的精準識別和深度分析。通過部署安全管理措施，實線對全網(wǎng)態(tài)勢的感知、預(yù)測、預(yù)警和通報。

用戶安全：建立用戶身份鑒別和訪問控制機制，并對用戶行為進行審計。

4．完善視頻網(wǎng)絡(luò)管理相關(guān)各項制度

      1）建立產(chǎn)品準入制度。加強對安防行業(yè)的監(jiān)管，提高視頻安防產(chǎn)品的市場準入門檻，可采取自愿認證工作方式，即可采用型式試驗、初始工廠檢查、獲證后跟蹤檢查相結(jié)合的基本認證模式。通過型式試驗對樣品的視頻安防功能以及安全防護能力進行檢測，以保證視頻安防類產(chǎn)品的功能性和安全性。通過初始工廠檢查確保生產(chǎn)企業(yè)質(zhì)量保證能力、產(chǎn)品一致性、產(chǎn)品與標準的符合性。產(chǎn)品獲得認證后，由認證機構(gòu)對獲證產(chǎn)品及其生產(chǎn)企業(yè)實施有效的跟蹤檢查，以驗證生產(chǎn)企業(yè)的質(zhì)量保證能力持續(xù)符合認證要求、確保獲證產(chǎn)品持續(xù)符合標準要求并保持與型式試驗樣品的一致性。

       2）建設(shè)安全性評估制度。針對已建成的視頻安防系統(tǒng)，應(yīng)在投入使用前通過指定檢測機構(gòu)的安全性評估。檢測機構(gòu)應(yīng)依據(jù)相應(yīng)的國家標準和行業(yè)標準對視頻安防系統(tǒng)的信息安全、網(wǎng)絡(luò)安全、邊界安全、攝像機安全、視頻云安全等內(nèi)容進行多維度的視頻安全防護能力評估，并出具相應(yīng)的評估報告。視頻安防系統(tǒng)須獲得合格的評估報告后，方能正式投入使用。

      3）建設(shè)網(wǎng)絡(luò)安全事件應(yīng)急機制。貫徹2017年中央網(wǎng)信辦關(guān)于印發(fā)《國家網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案》精神，建立行業(yè)視頻安防網(wǎng)絡(luò)應(yīng)急管理措施，層層落實責任，有效預(yù)防、及時控制和最大限度地消除網(wǎng)絡(luò)安全事件的危害和影響，確保視頻網(wǎng)絡(luò)的正常運行。

      4）加強安全教育與培訓(xùn)。加強視頻網(wǎng)絡(luò)相關(guān)管理人員、業(yè)務(wù)人員的安全意識教育，提升安全責任觀念；加強業(yè)務(wù)人員安全技能培訓(xùn)，提高安全運維能力；定期組織應(yīng)急事件處置演練，防患于未然。

5. 建立監(jiān)測預(yù)警通報會商研判機制

建立網(wǎng)絡(luò)安全事件會商研判機制，匯聚政府部門、行業(yè)主管部門、視頻網(wǎng)絡(luò)運營單位、網(wǎng)絡(luò)安全研究機構(gòu)及廠商網(wǎng)絡(luò)安全信息，建設(shè)綜合分析、信息比對、預(yù)案管理和應(yīng)急演練等系統(tǒng)。針對重大漏洞、網(wǎng)絡(luò)安全事件等，能夠快速、準確定位，并通報相關(guān)單位，提供應(yīng)急處置中心功能，實現(xiàn)與視頻網(wǎng)絡(luò)應(yīng)急處置現(xiàn)場實時連接，快速研判處置。

建立信息集中匯聚平臺，建設(shè)靈活快速的數(shù)據(jù)接入方式，及時匯總視頻網(wǎng)絡(luò)設(shè)施基礎(chǔ)信息及威脅信息，摸清視頻網(wǎng)絡(luò)的建設(shè)情況和運維情況，匯總相關(guān)的攻擊、漏洞、風險等威脅信息，從而為信息保護和應(yīng)急處置等工作提供依據(jù)和數(shù)據(jù)支撐。

通過平臺建立視頻網(wǎng)絡(luò)威脅信息常態(tài)化管理機制，實現(xiàn)快速向運營單位點對點提示網(wǎng)絡(luò)安全漏洞、攻擊等威脅信息，應(yīng)用單位及時反饋通報處置的情況，及時控制影響范圍，降低所造成的損害；應(yīng)用單位報送視頻網(wǎng)絡(luò)運行狀況、事件狀況和工作進展情況，不斷地更新和完善視頻網(wǎng)絡(luò)設(shè)施清單，保障網(wǎng)絡(luò)安全管理工作正常開展。

以上內(nèi)容由四川無國界(warmw001.com.cn) 整理編輯——專業(yè)從事網(wǎng)絡(luò)信息安全培訓(xùn)與IT風險管理咨詢服務(wù)。（來源：安全防范技術(shù)與風險評估公安部重點實驗室  黃淑華/廣寬）