随着远程访问和控制的需求日益增长,以及对集成和云存储成本的优化,越来越多的安全监控系统通过互联网进行连接。许多监控摄像头系统也通过本地网络接入互联网,以实现远程访问和维护。然而,随着网络攻击手段的不断演进,大规模入侵事件频繁见诸报端,企业面临的损害赔偿责任风险也随之增大。因此,监控摄像系统的网络安全保护必须要与IT系统同等重视,确保其免受日益复杂的网络威胁。
监控摄像系统的五大网络攻击媒介是:
Windows 操作系统
Linux 操作系统
DVR、NVR、VMS
端点(摄像头)
防火墙端口
基于以上攻击媒介,如何保护您的监控系统免受攻击?
01摄像机密码安全问题
摄像头密码是一种太明显的安全措施,但是依然有很多企业没有重视。Network World 文章曾报道256 个国家/地区的 73,011 个 IP 摄像头位置被暴露在一个网站上。此外,五分之一的网络用户仍然使用如:123456、acc123、111111等类似的弱密码。
目前出售的几乎所有网络摄相机都具有基于网络的图形用户界面 (GUI),并带有在互联网上发布的默认用户名和密码。有些安装程序根本不更改密码,为所有摄像机保留相同的默认密码。黑客可以尝试通过 Web GUI 侵入摄像机并猜测密码。
最佳实践:
理想的做法是为每个摄像头分配一个独特的长而隐晦的密码。但是这也同样需要花费时间设置,管理起来更困难,很难追踪。为了应对这一挑战,可使用:
公共网络:每个摄像头设置不同的强密码;
VLAN 或物理专用网络:所有摄像头均使用相同的强密码;
使用烁博科技视频安全设备可对摄像头弱口令进行扫描,责令整改。
02端口转发安全问题
现在,大多数终端用户都期望能从远程移动设备访问视频。此功能通常需要将 DVR、NVR 或 VMS 以某种方式暴露在互联网上来实现。这种将 HTTP 服务器暴露在互联网上的情况非常危险,因为有大量恶意漏洞可用于获取访问权限。开放到互联网的设备通常每天被扫描超过 10,000 次。前些年的 Heartbleed OpenSSL 漏洞曾导致许多制造商不得不让用户重置密码。
最佳实践:
不要将不受保护的服务器连接到互联网。如果您确实需要将系统暴露在互联网上,则“端口转发”尽可能少的端口,并使用视频安全防护技术(视频综合安全网关)来分析协议并阻止通过错误端口发送的错误协议。另外烁博视频综合安全网关集成了 IDS/IPS /防病毒等功能以提供进一步的保护。
03网络拓扑安全问题
在标准网络上混合使用摄像机而不进行分离极易酿成灾难。
如果将安全摄像头系统连接到您的主网络,那么就会为黑客提供了一个门户,让他们通过监控系统进入主网络,或者通过主网络进入物理安全系统。
最佳实践:
将安全摄像头系统放置在与网络其他部分物理分离的网络上。
如果正在与复杂的 IT 环境集成,不能够物理地分离两个系统,则建议使用 VLAN。
04操作系统安全问题 所有的摄像机,包括现场 VMS、DVR、NVR 或录制系统都有一个操作系统,所有操作系统都存在漏洞,无论是基于 Windows 的还是基于 Linux 的。操作系统漏洞已导致百万个系统易受攻击,许多供应商并没有定期安全更新操作系统漏洞。 最佳实践: 为了确保您的系统和网络免受恶意攻击,您应该跟踪和监控已知的操作系统漏洞,然后确保您的操作系统已更新所有安全补丁。 还可以主动联系 DVR/NVR 供应商,了解 NVR/DVR 正在使用哪种操作系统(Linux、Windows)以及操作系统版本和操作系统上的附加模块的版本,这样就可以了解哪些安全漏洞会对您造成影响并及时修补。 05操作系统密码安全问题 与摄像头密码一样,弱的系统密码也会给监控系统和网络造成网络攻击的机会。目前,许多操作系统环境中,管理员共享根密码或管理员密码,从而分散了安全风险。但是因人员流失或角色变更,都可能造成意想不到的安全漏洞。 1、为操作系统设置高质量的长密码。 2、制定更改密码的政策和程序。例如,每次有密码访问权限的员工离开公司或更换职位时,都应更改根管理员密码。 06系统密码安全问题 未经授权访问您的安全摄像系统会导致监控系统和与其连接的网络都存在漏洞。 最佳实践 按计划更改监控系统密码,并使用强密码。 07设备连接安全问题 目前,仍有许多 DVR/NVR/VMS 使用未使用 SSL 或同等协议加密的连接。 这种风险与不使用 https 登录银行或进行网上购物的风险相同。它会产生密码漏洞,并可能导致隐私和窃听泄露。 最佳实践 必须使用 SSL 或同等方式加密连接,并只选择加密链接的供应商。 08视频调阅安全问题 除了由于缺乏加密而导致的不安全连接之外,当视频在存储、传输或调阅时未加密时也存在同样的隐私泄露风险,目前因视频调阅导致的数据泄露层出不穷。 最佳实践 1、对下载视频/图片进行加密,脱离授权环境后无法打开。 2、对下载视频/图片增加水印,确保视频图片使用安全,泄密可追溯。 3、支持第三方软件或截屏键对视频数据进行获取操作,防截屏/录屏。 4、提供给外单位视频文件需提交审批申请,安全共享文件支持权限控制。 以上可以使用烁博视图业务安全访问控制平台(视频防泄密网关)有效解决。 09视频共享安全问题 视频在共享到其他单位、部门使用时候,视频易泄露且无法溯源。 最佳实践 使用烁博科技透传水印网关,对调阅的视频流逐帧打码加水印,确保视频内容可控,可溯源。 10大屏翻拍安全问题 监控中心的显示屏,内部人员或临时进入人员通过数码设备(如智能手机、照相机、录像机等)可以在任意时间随意拍摄大屏显示的视频图像,而且无法有效管理,存在泄密风险。除了管理手段,需要通过拍屏溯源技术手段对视频拍摄行为进行管理和约束。 最佳实践 烁博科技大屏水印网关通过视频水印技术,显示用户自定义内容及实时时间,用于对拍摄泄密者进行事前震慑、事后追责。 11移动访问安全问题 密码、账户删除和加密漏洞在移动设备上尤其常见。 最佳实践 就像在个人电脑上运行应用程序一样,确保 iPhone 或 Android 上的移动应用程序与 VMS 或 NVR/DVR 之间有加密连接。设置高质量密码,并在人员变动时执行密码强制修改和帐户删除。 12设备和存储的物理访问问题 当下,窃取公司数据的经济回报足够高的情况,入侵者会试图通过直接侵入现场的物理设备来访问网络,盗取数据。 确保机柜、电缆和 DVR/NVR/VMS、交换机和视频存储服务器所在的房间安全。为房间提供安全访问控制,包括视频安全监控。这种做法不仅可以保护您的网络,还可以防止您的设施发生“砸毁和盗窃”或被盗事件。 13视频录制软件安全问题 视频管理软件使用操作系统以外的许多组件,例如 Microsoft 数据库应用程序。与操作系统本身一样,这些组件必须升级并保证安全。如果支持软件没有保持最新状态(包括安全补丁),则可能会引入新的系统漏洞。 向您的供应商询问他们关于保持所用组件最新和安全的政策。检查并安装定期更新。积极主动地监控行业中已知的安全漏洞,并在您发现新的漏洞时联系您的集成商或供应商修补。最佳实践:
最佳实践
最佳实践