探析網絡視頻監控系統的安全現狀

◆王玉藏 齊志 周端文

探析網絡視頻監控系統的安全現狀

◆王玉藏 齊志 周端文

（中國人民解放軍63610部隊 新疆 841000）

近些年，互聯網視頻監控安全問題頻發，“水滴直播”、“黑天鵝”等安全事件影響惡劣，這也給專網安全管理人員敲了警鐘。本文基于網絡視頻監控系統的基本架構，重點對視頻前端模塊、視頻傳輸模塊、中心管理模塊和視頻應用模塊存在的信息安全隱患進行分析，并提出安全防護建議。

視頻監控系統；信息安全；安全風險；安全防護

1 引言

隨著網絡通信、視頻編碼、計算機處理等技術的發展，網絡視頻監控系統廣泛應用于軍事、金融、交通、公安等領域，幫助各單位實現廣域監控、實時監控、統一管理、協同指揮。網絡視頻監控系統逐漸成為了各單位不可或缺的一部分，在無形中擴展了傳統網絡安全邊界，擴大了傳統觀念里安全風險的發生范圍，本文從專網安全防護的角度出發，重點對網絡視頻監控系統存在的信息安全隱患進行分析，并提出安全防護建議。

2 網絡視頻監控系統的架構

網絡視頻監控系統涉及的環節多、設備多，是一個多元復雜的體系，網絡視頻監控系統的基本構架主要可分為視頻前端模塊、視頻傳輸模塊、中心管理模塊和視頻應用模塊四大部分，如圖1所示。

2.1 視頻前端模塊

視頻前端模塊，包括攝像機、網絡攝像機、云臺、高/標清視頻編碼器等前端設備，實現視頻、音頻信息的實時采集和壓縮編碼。

2.2 視頻傳輸模塊

視頻傳輸模塊，主要包括交換機、路由器、光端機、防火墻、視頻光端機、同軸電纜、雙絞線、光纖等設備，實現視頻在本級、上下級TCP/IP網絡之間的傳輸。

2.3 中心管理模塊

中心管理模塊是統一的管理平臺，包括圖像中心管理服務器、錄像存儲服務器、視頻回放服務器、設備接入服務器、媒體轉發服務器、視頻存儲系統等集中管理設備，主要實現五大集中管理：（1）視頻源接入管理；（2）視頻錄像、存儲、檢索、回放以及轉發管理；（3）客戶端管理；（4）用戶身份鑒別、權限管理；（5）日志管理。

2.4 視頻應用模塊

視頻應用模塊，包括服務/視頻管理終端、監視終端、視頻分配器、視頻解碼器、視頻矩陣切換、D/A轉換器、電視墻、投影儀等后端顯示控制設備，實現視頻的監控、投放、錄像等功能。

圖1 網絡視頻監控系統構架圖

3 網絡視頻監控系統存在的安全隱患

3.1 視頻前端模塊安全風險

專網視頻監控系統往往監控“點位”涉及許多區域、跨網段，所需的前端視頻采集設備具備數量多、部署位置關鍵敏感、7*24小時持續采集等特點，是需要重點防護的對象。但是前端采集設備自身存在大量安全隱患，而傳統安全防護體系大多沒有考慮配套的安全措施，導致其成為網絡中極易被突破的薄弱環節。攻擊者一旦成功入侵網絡攝像機等前端設備，可以輕易控制監控現場的前端設備，非法獲取監控區域的敏感信息，甚至可以進一步將其作為一個跳板或僵尸主機，進而滲透、攻擊業務承載網，造成更加嚴重的后果。

前端視頻采集設備的安全風險主要來自以下幾個方面：

（1）網絡攝像機集傳統攝像機、視頻編碼和網絡技術為一體，一般由嵌入式硬件平臺、嵌入式Linux系統、嵌入式Web服務器、USB攝像頭采集前端和WiFi無線網卡組成，自身容易存在弱口令、緩沖區溢出、未授權訪問、拒絕服務、命令注入、信息泄露、認證缺陷、目錄穿越、特權提升、目錄遍歷、SQL注入等漏洞。

（2）網絡攝像機等前端采集設備端口使用比較固定，例如“?？低暋边h程監控客戶端使用554端口；大華遠程監控客戶端使用37777端口，瀏覽器訪問使用80、8000端口；雄邁遠程監控客戶端使用34567。攻擊者通過端口掃描、資產探測等工具，即可快速發現網內部署的視頻采集設備。

（3）目前全國并未形成統一的網絡視頻框架協議，使不同廠商所生產的網絡視頻產品，包括網絡攝像機、圖像服務器、錄像存儲等完全互通。因此在視頻監控系統中，往往采用一個或少數幾個廠商的視頻采集設備，且視頻采集設備型號比較固定，這就導致視頻采集設備在軟硬件上高度相似，安全缺陷高度一致，一點被攻破，會引發連鎖反應，導致整個視頻監控網絡被控制和癱瘓。

（4）大華、海康威視、ＴＰ－Ｌｉｎｋ、華為等網絡攝像機在斷網后圖像可滯留30-60秒，部分“老款”設備甚至可滯留15分鐘，而視頻監控管理人員可能很久才意識到并采取措施，尤其是在靜態畫面的情況下。攻擊者利用這種特性可以替換網內攝像機，制造虛假錄像，在已知線路連接的情況下，替換過程只需幾秒鐘。

3.2 視頻傳輸模塊安全風險

視頻傳輸模塊安全風險主要來自視頻傳輸過程中對數據的非法訪問、竊取、篡改。前端視頻采集設備大多不帶數據加密功能，采集視頻并壓縮后直接明文傳輸MPEG4、H.263、H.264、H.265等視頻碼流，如果沒有部署專門的視頻專用信道或VPN，攻擊者可以通過“網絡嗅探”方式，非法截獲視頻流數據，然后進行加工、篡改。

3.3 中心管理模塊安全風險

（1）中心管理模塊是網絡視頻監控系統的核心部分，其中圖像中心管理、錄像存儲、視頻回放、設備接入、媒體轉發、視頻存儲等服務器設備，不僅存在視頻管理平臺特有軟件漏洞，如遠程命令執行、授權繞過、目錄遍歷、遠程緩沖區溢出等高危漏洞，而且存在大量的操作系統常見漏洞，本身容易遭受入侵和控制。

（2）中心管理平臺針對前端視頻采集設備和后端客戶端，僅采用簡單的身份認證和權限管理，缺乏專用的安全加密和身份認證機制，無法確保前端采集設備、客戶端的唯一性，無法充分保證端到端通信的合法性，難以抵御來自非法訪問者的入侵和攻擊。

（3）網絡視頻監控系統中，目前主流的視頻監控存儲技術為FC-SAN與IP-SAN，其中FC-SAN技術需要專屬網絡，部署成本高，因此大部分系統采用IP-SAN技術集中存儲，拓撲結構如圖2所示。網絡視頻監控系統中前端采集設備數量多，“錄制”全時段視頻需要的存儲量巨大，因此一般只集中存儲高清晰度、高價值的視頻，且大多不進行視頻標記和加密存儲，無形中存儲系統成了高風險區域，一方面攻擊者采取常規的入侵模式就可以非法竊取、刪除、破壞視頻信息，另一方面無標記的視頻泄漏后，無法快速定位泄漏點。

圖2 IP-SAN存儲拓撲結構示意圖

（4）部分中心管理平臺在設計之初，缺乏安全考慮，在數據庫中明文存儲用戶名、密碼，導致除了系統管理員以外的其他人員，很容易從數據庫獲取到管理員的用戶名和密碼，從而輕易進入系統，進行非法操作，比如提升用戶權限、遠程控制和操作前端視頻采集設備等等。

（5）網絡視頻監控系統管理人員，安全意識缺乏，為了便于管理，通常同一型號的前端采集設備采用同一用戶名、密碼，且往往是設備初始密碼或是非常簡單的密碼，如admin、administrator、123456、666666等，導致弱口令問題。

3.4 視頻應用模塊安全風險

大量視頻管理終端、監視終端也是網絡視頻監控系統的一個關鍵風險點。一方面中心管理平臺缺少可靠的身份驗證措施，身份驗證強度不足，不能保證視頻管理終端的操作都是被授權和可信任的。另一方面視頻管理終端、監視終端的操作系統和應用軟件，本身存在安全漏洞，面臨來自主機、網絡、應用多個層面的威脅，容易感染病毒、蠕蟲、木馬、勒索軟件等惡意軟件。

4 網絡視頻監控系統安全防護建議

以入侵檢測、防火墻、終端防病毒為主的傳統被動式防護體系，已不足以應對日益增加的安全風險，尤其是新增的物聯網視頻監控系統的安全風險。本文建議有能力的專網，建立以安全態勢感知為主的主動式安全防御體系，運用大數據、人工智能等技術進行“多域”安全信息融合，形成網絡視頻監控系統的事前、事中、事后安全閉環防護，形成有效的信息安全管理機制。

（1）事前安全防護。首先對網絡視頻監控系統進行資產探測、統計，快速掌握前端、中心管理、后端等各類資產的組成與分布情況，然后使用專用的漏洞掃描工具檢測資產存在的漏洞，并對安全漏洞進行加固，定期升級資產固件、更新密碼、增強密碼強度，同時加強前后端設備的統一安全認證機制，甚至可引入信源加密技術，從源頭上封堵攻擊者的入侵和前后端設備的非法接入。

（2）事中安全防護。通過部署保密機、安全網關、堡壘機、應用層防火墻、防毒墻、終端殺毒、數據庫防火墻、數據加密等安全系統，從主機層面、網絡層面、應用層面、數據層面形成7*24小時全面防護，并通過信息融合，具備全天候全方位態勢感知能力，發現異常流量、異常行為時及時告警和阻斷，使系統免受病毒、蠕蟲、木馬、勒索軟件等惡意代碼威脅，防止重要視頻數據泄露。

（3）事后安全防護。一方面建立系統和數據異地容災機制，防止因感染惡意代碼導致系統癱瘓、重要視頻數據丟失，另一方面通過數字簽名技術、字符疊加水印技術，對視頻數據進行標記，并建立有效的安全審計機制，記錄前后端設備接入、訪問、圖像調用、錄像下載等行為，一旦出現視頻數據泄露，即可通過相關的標記和日志記錄進行追蹤溯源。

5 結語

網絡視頻監控系統在業務網中逐漸占據重要地位，其系統規模龐大、部署分散、接入承載網、內容敏感等特性，在網絡上打破了原有的安全域，在業務承載網中引入了諸多安全隱患，而大部分已建的網絡視頻監控系統在建設之初，著重實現系統功能，未考慮安全防護措施，導致其成為現有安全防護體系的薄弱環節。因此，有必要對已建或在建的系統配套相應的安全措施，分析、識別、應對安全風險，確保信息安全。

[1]陶槊，魏海利.視頻監控系統的安全風險及技術解決[J].西安文理學院學報，2020.

[2]祝彥峰.網絡接入認證技術在視頻監控系統中的應用[J].電腦知識與技術，2020.

[3]鄧中翰.確保公共安全視頻監控系統自主可控[J].人民政協報，2020.

[4]杜慶靈.平安城市視頻監控系統網絡安全研究[J].科技與創新，2019.

[5]于勝.電力系統視頻監控網絡信息安全風險及GB 35114實施意義[J].自動化系統技術及應用，2019.

[6]尚寶麒.視頻監控專屬存儲技術分析[J].中國管理信息化，2017.

[7]梅大成，楊大千，趙娜.基于Linux的嵌入式網絡攝像機設計[J].嵌入式網絡技術應用，2007.