20世紀(jì)80年代，模擬攝像機(jī)開始應(yīng)用在街面以及重要場(chǎng)所，在安全防控領(lǐng)域發(fā)揮重要作用；90年代，計(jì)算機(jī)技術(shù)發(fā)展推動(dòng)了數(shù)字?jǐn)z像機(jī)的發(fā)展。進(jìn)入21世紀(jì)，物聯(lián)網(wǎng)、大數(shù)據(jù)、移動(dòng)網(wǎng)絡(luò)和云計(jì)算技術(shù)的發(fā)展，使視頻安防系統(tǒng)呈現(xiàn)網(wǎng)絡(luò)化、智能化趨勢(shì)，隨之而來的，是網(wǎng)絡(luò)安全的風(fēng)險(xiǎn)和隱患。本文探討視頻安防系統(tǒng)聯(lián)網(wǎng)帶來的安全隱患，從技術(shù)、管理和法規(guī)層面提出對(duì)策和建議。


一、家庭視頻網(wǎng)絡(luò)的安全隱患

隨著人們安防意識(shí)的提升，家用數(shù)字?jǐn)z像機(jī)聯(lián)網(wǎng)方案得到普及和廣泛應(yīng)用，市場(chǎng)涌現(xiàn)大量網(wǎng)絡(luò)攝像機(jī)產(chǎn)品。然而，一些品牌的家用網(wǎng)絡(luò)攝像機(jī)由工業(yè)安防攝像機(jī)演變而來，廠商出于易用性和成本因素削減安全投入；一些新興廠商更是在設(shè)計(jì)之初就未考慮完備的安全機(jī)制，導(dǎo)致家用網(wǎng)絡(luò)攝像機(jī)存在很多安全隱患：允許使用默認(rèn)密碼以及弱密碼登錄；缺乏有效的身份認(rèn)證機(jī)制；傳輸未加密，或者通信加密措施簡(jiǎn)單易破解等。

家用數(shù)字?jǐn)z像機(jī)一般通過無線路由器與家庭中的電腦、手機(jī)以及其他物聯(lián)網(wǎng)設(shè)備組成家庭網(wǎng)絡(luò)。網(wǎng)絡(luò)攝像機(jī)的安全性低，一旦遭到入侵或攻擊，則存在視頻信息外泄的風(fēng)險(xiǎn)，此外，網(wǎng)絡(luò)攝像機(jī)還可能成為黑客的跳板，攻擊家庭網(wǎng)絡(luò)的其他聯(lián)網(wǎng)設(shè)備或利用這些設(shè)備進(jìn)行挖礦和成為僵尸機(jī)進(jìn)行分布式拒絕服務(wù)（DDoS）攻擊等非法獲利行為。


二、行業(yè)視頻網(wǎng)絡(luò)的安全隱患

視頻安防技術(shù)廣泛應(yīng)用于能源、交通、金融、司法以及教育、衛(wèi)生領(lǐng)域，尤其是“智慧城市”“平安城市”“天網(wǎng)工程”等視頻安防系統(tǒng)的建設(shè)，逐漸形成了覆蓋城市和鄉(xiāng)鎮(zhèn)的立體化安防網(wǎng)絡(luò)，在維護(hù)社會(huì)公共安全中發(fā)揮重要作用。盡管與家用網(wǎng)絡(luò)攝像機(jī)相比，這些視頻安防系統(tǒng)的功能、性能以及安全性都有很大的提升。但是，行業(yè)視頻網(wǎng)絡(luò)也因?yàn)槁?lián)網(wǎng)設(shè)備種類多且覆蓋范圍廣、網(wǎng)絡(luò)結(jié)構(gòu)復(fù)雜且多網(wǎng)互聯(lián)、用戶數(shù)量多且用戶權(quán)限多樣等特征，安全風(fēng)險(xiǎn)不容忽視。

1.攝像機(jī)安全隱患

行業(yè)視頻網(wǎng)絡(luò)的攝像機(jī)點(diǎn)位多、數(shù)量大，并大多分散安裝在室外，常見的安全隱患包括：一是資產(chǎn)底數(shù)不清，導(dǎo)致運(yùn)營(yíng)管理部門很難及時(shí)發(fā)現(xiàn)和監(jiān)管非法接入/替換到視頻網(wǎng)絡(luò)的攝像機(jī)。二是設(shè)備管理不規(guī)范。網(wǎng)絡(luò)攝像機(jī)經(jīng)常因?yàn)槿蹩诹罨螂S意開放端口等問題被攻擊者利用。三是設(shè)備存在漏洞利用風(fēng)險(xiǎn)，由于行業(yè)視頻網(wǎng)絡(luò)與互聯(lián)網(wǎng)隔離，前端設(shè)備修補(bǔ)漏洞不及時(shí)，易受網(wǎng)絡(luò)攻擊和感染僵尸、木馬、蠕蟲等惡意破壞性程序。

2. 網(wǎng)絡(luò)邊界安全隱患

行業(yè)視頻網(wǎng)絡(luò)，在設(shè)計(jì)上與互聯(lián)網(wǎng)及其他網(wǎng)絡(luò)物理隔離，需要通過邊界安全設(shè)施在不同網(wǎng)絡(luò)之間進(jìn)行信息交換與共享。在實(shí)際工作中，視頻網(wǎng)絡(luò)的主機(jī)通過多網(wǎng)卡、無線接入訪問點(diǎn)（AP）或接入4G手機(jī)等形式繞過網(wǎng)絡(luò)邊界，與外部網(wǎng)絡(luò)聯(lián)通的情況屢見不鮮，嚴(yán)重破壞視頻網(wǎng)絡(luò)的物理隔離性，極易造成信息泄露、病毒木馬的傳播甚至成為外部攻擊入口。

3. 系統(tǒng)應(yīng)用區(qū)域的安全隱患

系統(tǒng)應(yīng)用區(qū)域存在的安全隱患是因?yàn)橐曨l網(wǎng)絡(luò)缺乏等級(jí)保護(hù)機(jī)制。一方面，視頻網(wǎng)絡(luò)缺乏安全域的概念，導(dǎo)致重點(diǎn)區(qū)域的計(jì)算機(jī)信息系統(tǒng)沒有得到有效的安全防護(hù)。另一方面，當(dāng)前視頻網(wǎng)絡(luò)僅僅能夠通過審計(jì)數(shù)據(jù)識(shí)別、檢測(cè)非視頻傳輸?shù)漠惓f(xié)議通信，但是，無法確保視頻傳輸通信完全符合信息安全的保密性、完整性、可用性、可控性和不可否認(rèn)性。

4. 管理層面的安全隱患

視頻網(wǎng)絡(luò)沒有一個(gè)完整的態(tài)勢(shì)感知與預(yù)警響應(yīng)處置體系，在發(fā)生安全事件時(shí)，難以有效協(xié)同主管單位、應(yīng)用單位、網(wǎng)絡(luò)運(yùn)營(yíng)商、設(shè)備提供商和集成商，處置和弱化安全事件帶來的影響。另一方面，用戶的網(wǎng)絡(luò)安全意識(shí)不強(qiáng)，內(nèi)網(wǎng)監(jiān)管措施仍然比較簡(jiǎn)陋。因?yàn)椴捎萌蹩诹睿琔SB存儲(chǔ)設(shè)備濫用、非法外聯(lián)等情況存在，對(duì)內(nèi)網(wǎng)絡(luò)造成嚴(yán)重的安全隱患。


三、視頻網(wǎng)絡(luò)建設(shè)中的關(guān)鍵問題

視頻網(wǎng)絡(luò)在建設(shè)和應(yīng)用快速發(fā)展的同時(shí)，其安全建設(shè)卻相對(duì)滯后，不論家庭使用的視頻網(wǎng)絡(luò)還是行業(yè)視頻網(wǎng)絡(luò)，在規(guī)劃、建設(shè)過程中，普遍存在“重應(yīng)用，輕安全”的情況，涉及國(guó)家安全、社會(huì)穩(wěn)定等安全問題，不容忽視。

1. 法律制度不健全

我國(guó)視頻安防系統(tǒng)規(guī)劃、安裝、管理、使用和監(jiān)督等環(huán)節(jié)，急需完善法律法規(guī)，更好地明確各方的權(quán)利義務(wù)關(guān)系，并促進(jìn)視頻安防技術(shù)發(fā)揮其維護(hù)社會(huì)安全、公眾權(quán)利的積極作用。立法首先需要明確安裝安防攝像機(jī)的條件與程序，其次，應(yīng)明確法律視頻安防系統(tǒng)擁有者的管理責(zé)任與義務(wù)，既要確保視頻網(wǎng)絡(luò)和信息安全，不得隨意泄露視頻信息，不得買賣、非法查看、復(fù)制、獲取、傳播、使用視頻安防系統(tǒng)獲取的信息。

2. 安全標(biāo)準(zhǔn)和規(guī)范缺乏

視頻安防系統(tǒng)缺乏產(chǎn)品安全標(biāo)準(zhǔn)，導(dǎo)致家用網(wǎng)絡(luò)攝像機(jī)安全性能低，且部分廠商缺乏安全服務(wù)意識(shí)。針對(duì)行業(yè)視頻網(wǎng)絡(luò)安全防護(hù)的系列標(biāo)準(zhǔn)和技術(shù)規(guī)范，還未制訂發(fā)布。在各地視頻網(wǎng)絡(luò)安全防護(hù)體系建設(shè)中，或盲目進(jìn)行安全建設(shè)投入，導(dǎo)致安全防護(hù)效果無法達(dá)到預(yù)期，造成資源浪費(fèi)；或缺乏整體安全規(guī)劃，安全建設(shè)上投入不足，導(dǎo)致視頻網(wǎng)絡(luò)存在較大的安全風(fēng)險(xiǎn)。作為涉及國(guó)家公共安全、社會(huì)秩序的重要信息系統(tǒng)和基礎(chǔ)設(shè)施，視頻安防系統(tǒng)重要性不言而喻。但是，視頻安防系統(tǒng)沒有安全等級(jí)劃分相關(guān)的規(guī)范要求，更沒有針對(duì)該類系統(tǒng)的專業(yè)化和系統(tǒng)性的信息安全評(píng)測(cè)，建設(shè)單位難以平衡安全性、易用性、成本等因素，最終導(dǎo)致視頻網(wǎng)絡(luò)安全策略與安全機(jī)制難以落實(shí)。

3. 視頻網(wǎng)絡(luò)安全防護(hù)能力低

在視頻網(wǎng)絡(luò)中，攝像機(jī)多數(shù)通過運(yùn)營(yíng)商購置、安裝和更換，管理部門只有運(yùn)營(yíng)商上報(bào)的數(shù)據(jù)，缺乏有效機(jī)制進(jìn)行核實(shí)。視頻網(wǎng)絡(luò)的電腦接入也缺乏有效控制和注冊(cè)管理。視頻網(wǎng)絡(luò)設(shè)計(jì)與互聯(lián)網(wǎng)及其他網(wǎng)絡(luò)物理隔離，但是，通過多網(wǎng)卡、網(wǎng)絡(luò)出口、網(wǎng)絡(luò)代理、無線接入訪問點(diǎn)、網(wǎng)絡(luò)地址翻譯等形式繞過安全設(shè)施監(jiān)管，與外部網(wǎng)絡(luò)的聯(lián)通情況，屢見不鮮，嚴(yán)重破壞視頻網(wǎng)絡(luò)的物理隔離性，極易造成信息的泄露與病毒木馬的傳播，甚至成為外部攻擊的入口。

4. 用戶安全意識(shí)薄弱

目前，視頻網(wǎng)絡(luò)管理人員、操作人員、業(yè)務(wù)人員，對(duì)視頻網(wǎng)絡(luò)面臨的安全風(fēng)險(xiǎn)還存在認(rèn)識(shí)不足、安全責(zé)任不清、保護(hù)對(duì)象不明、缺乏安全技能培訓(xùn)、安全運(yùn)營(yíng)維護(hù)能力缺失等問題，導(dǎo)致視頻網(wǎng)絡(luò)安全保障體系建設(shè)存在諸多困難。

5. 監(jiān)測(cè)預(yù)警和應(yīng)急響應(yīng)機(jī)制不完善

視頻網(wǎng)絡(luò)主管單位和運(yùn)營(yíng)單位對(duì)復(fù)雜網(wǎng)絡(luò)環(huán)境下安全威脅和攻擊行為的全面感知和預(yù)警能力有待提高，一方面，視頻網(wǎng)絡(luò)缺少網(wǎng)絡(luò)安全監(jiān)測(cè)技術(shù)平臺(tái)，無法第一時(shí)間檢測(cè)到網(wǎng)絡(luò)中存在的漏洞和新出現(xiàn)的攻擊，無法快速研判評(píng)估安全態(tài)勢(shì)；另一方面，缺乏暢通、便捷的預(yù)警信息傳遞渠道，無法針對(duì)用戶群體在受控范圍內(nèi)，及時(shí)、精準(zhǔn)地發(fā)布安全公告預(yù)警。


四、對(duì)策與建議

在當(dāng)前復(fù)雜的政治形勢(shì)和新技術(shù)背景下，針對(duì)視頻網(wǎng)絡(luò)的安全事件頻發(fā)，需要不斷完善視頻安防法律法規(guī)、構(gòu)建視頻網(wǎng)絡(luò)安全保障體系、強(qiáng)化安全監(jiān)督管理、建立視頻網(wǎng)絡(luò)安全監(jiān)測(cè)預(yù)警和應(yīng)急響應(yīng)機(jī)制。

1．需要盡快出臺(tái)視頻安防相關(guān)的法律法規(guī)

為更好明確安防攝像機(jī)使用的各方權(quán)利義務(wù)關(guān)系，需要盡快出臺(tái)完善有效的、專門的視頻安防的法律法規(guī)，以實(shí)現(xiàn)視頻安防發(fā)揮其維護(hù)社會(huì)安全和公眾權(quán)利的正能量，在充分發(fā)揮視頻安防系統(tǒng)預(yù)防打擊違法犯罪作用的同時(shí)，也有利于監(jiān)管機(jī)關(guān)對(duì)其進(jìn)行有效管理。

2.  研究制定視頻網(wǎng)絡(luò)與信息安全標(biāo)準(zhǔn)體系

研究制定公共安全視頻網(wǎng)絡(luò)與信息安全標(biāo)準(zhǔn)完整體系，涵蓋且適用于視頻安防網(wǎng)絡(luò)的信息安全、網(wǎng)絡(luò)安全、邊界安全、攝像機(jī)安全、視頻云安全等內(nèi)容的視頻安全防護(hù)完整體系。對(duì)視頻安防系統(tǒng)的安全等級(jí)進(jìn)行劃分，建立、規(guī)范不同安全等級(jí)下的視頻網(wǎng)絡(luò)安全策略與安全機(jī)制。

3．采用技術(shù)措施提升視頻網(wǎng)絡(luò)安全防護(hù)能力

采用技術(shù)措施構(gòu)建視頻網(wǎng)絡(luò)安全防護(hù)能力，確保攝像機(jī)安全、邊界安全、內(nèi)網(wǎng)安全、用戶安全。

攝像機(jī)安全：有效識(shí)別前端接入攝像機(jī)的相關(guān)信息并對(duì)前端攝像機(jī)進(jìn)行認(rèn)證。高效識(shí)別網(wǎng)絡(luò)終端設(shè)備的類型、品牌、操作系統(tǒng)、運(yùn)行狀態(tài)等信息，自動(dòng)形成資產(chǎn)信息庫。通過定期掃描，與資產(chǎn)庫比對(duì)，及時(shí)發(fā)現(xiàn)地址變更、設(shè)備地址冒用、視頻設(shè)備非法接入、非法替換等資產(chǎn)異常問題，從而實(shí)現(xiàn)對(duì)設(shè)備在線、故障、非法接入/替換進(jìn)行監(jiān)管。

邊界安全：在視頻網(wǎng)絡(luò)與互聯(lián)網(wǎng)、其他專網(wǎng)之間建立安全邊界，有效隔離跨網(wǎng)的惡意代碼傳播和攻擊。

內(nèi)網(wǎng)安全：靈活的定義訪問控制策略，高效識(shí)別非法訪問流量并實(shí)現(xiàn)有效管控。支持對(duì)主流視頻協(xié)議的精準(zhǔn)識(shí)別和深度分析。通過部署安全管理措施，實(shí)線對(duì)全網(wǎng)態(tài)勢(shì)的感知、預(yù)測(cè)、預(yù)警和通報(bào)。

用戶安全：建立用戶身份鑒別和訪問控制機(jī)制，并對(duì)用戶行為進(jìn)行審計(jì)。

4．完善視頻網(wǎng)絡(luò)管理相關(guān)各項(xiàng)制度

      1）建立產(chǎn)品準(zhǔn)入制度。加強(qiáng)對(duì)安防行業(yè)的監(jiān)管，提高視頻安防產(chǎn)品的市場(chǎng)準(zhǔn)入門檻，可采取自愿認(rèn)證工作方式，即可采用型式試驗(yàn)、初始工廠檢查、獲證后跟蹤檢查相結(jié)合的基本認(rèn)證模式。通過型式試驗(yàn)對(duì)樣品的視頻安防功能以及安全防護(hù)能力進(jìn)行檢測(cè)，以保證視頻安防類產(chǎn)品的功能性和安全性。通過初始工廠檢查確保生產(chǎn)企業(yè)質(zhì)量保證能力、產(chǎn)品一致性、產(chǎn)品與標(biāo)準(zhǔn)的符合性。產(chǎn)品獲得認(rèn)證后，由認(rèn)證機(jī)構(gòu)對(duì)獲證產(chǎn)品及其生產(chǎn)企業(yè)實(shí)施有效的跟蹤檢查，以驗(yàn)證生產(chǎn)企業(yè)的質(zhì)量保證能力持續(xù)符合認(rèn)證要求、確保獲證產(chǎn)品持續(xù)符合標(biāo)準(zhǔn)要求并保持與型式試驗(yàn)樣品的一致性。

       2）建設(shè)安全性評(píng)估制度。針對(duì)已建成的視頻安防系統(tǒng)，應(yīng)在投入使用前通過指定檢測(cè)機(jī)構(gòu)的安全性評(píng)估。檢測(cè)機(jī)構(gòu)應(yīng)依據(jù)相應(yīng)的國(guó)家標(biāo)準(zhǔn)和行業(yè)標(biāo)準(zhǔn)對(duì)視頻安防系統(tǒng)的信息安全、網(wǎng)絡(luò)安全、邊界安全、攝像機(jī)安全、視頻云安全等內(nèi)容進(jìn)行多維度的視頻安全防護(hù)能力評(píng)估，并出具相應(yīng)的評(píng)估報(bào)告。視頻安防系統(tǒng)須獲得合格的評(píng)估報(bào)告后，方能正式投入使用。

      3）建設(shè)網(wǎng)絡(luò)安全事件應(yīng)急機(jī)制。貫徹2017年中央網(wǎng)信辦關(guān)于印發(fā)《國(guó)家網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案》精神，建立行業(yè)視頻安防網(wǎng)絡(luò)應(yīng)急管理措施，層層落實(shí)責(zé)任，有效預(yù)防、及時(shí)控制和最大限度地消除網(wǎng)絡(luò)安全事件的危害和影響，確保視頻網(wǎng)絡(luò)的正常運(yùn)行。

      4）加強(qiáng)安全教育與培訓(xùn)。加強(qiáng)視頻網(wǎng)絡(luò)相關(guān)管理人員、業(yè)務(wù)人員的安全意識(shí)教育，提升安全責(zé)任觀念；加強(qiáng)業(yè)務(wù)人員安全技能培訓(xùn)，提高安全運(yùn)維能力；定期組織應(yīng)急事件處置演練，防患于未然。

5. 建立監(jiān)測(cè)預(yù)警通報(bào)會(huì)商研判機(jī)制

建立網(wǎng)絡(luò)安全事件會(huì)商研判機(jī)制，匯聚政府部門、行業(yè)主管部門、視頻網(wǎng)絡(luò)運(yùn)營(yíng)單位、網(wǎng)絡(luò)安全研究機(jī)構(gòu)及廠商網(wǎng)絡(luò)安全信息，建設(shè)綜合分析、信息比對(duì)、預(yù)案管理和應(yīng)急演練等系統(tǒng)。針對(duì)重大漏洞、網(wǎng)絡(luò)安全事件等，能夠快速、準(zhǔn)確定位，并通報(bào)相關(guān)單位，提供應(yīng)急處置中心功能，實(shí)現(xiàn)與視頻網(wǎng)絡(luò)應(yīng)急處置現(xiàn)場(chǎng)實(shí)時(shí)連接，快速研判處置。

建立信息集中匯聚平臺(tái)，建設(shè)靈活快速的數(shù)據(jù)接入方式，及時(shí)匯總視頻網(wǎng)絡(luò)設(shè)施基礎(chǔ)信息及威脅信息，摸清視頻網(wǎng)絡(luò)的建設(shè)情況和運(yùn)維情況，匯總相關(guān)的攻擊、漏洞、風(fēng)險(xiǎn)等威脅信息，從而為信息保護(hù)和應(yīng)急處置等工作提供依據(jù)和數(shù)據(jù)支撐。

通過平臺(tái)建立視頻網(wǎng)絡(luò)威脅信息常態(tài)化管理機(jī)制，實(shí)現(xiàn)快速向運(yùn)營(yíng)單位點(diǎn)對(duì)點(diǎn)提示網(wǎng)絡(luò)安全漏洞、攻擊等威脅信息，應(yīng)用單位及時(shí)反饋通報(bào)處置的情況，及時(shí)控制影響范圍，降低所造成的損害；應(yīng)用單位報(bào)送視頻網(wǎng)絡(luò)運(yùn)行狀況、事件狀況和工作進(jìn)展情況，不斷地更新和完善視頻網(wǎng)絡(luò)設(shè)施清單，保障網(wǎng)絡(luò)安全管理工作正常開展。

以上內(nèi)容由四川無國(guó)界(mqptxio.cn) 整理編輯——專業(yè)從事網(wǎng)絡(luò)信息安全培訓(xùn)與IT風(fēng)險(xiǎn)管理咨詢服務(wù)。（來源：安全防范技術(shù)與風(fēng)險(xiǎn)評(píng)估公安部重點(diǎn)實(shí)驗(yàn)室  黃淑華/廣寬）