企業(yè)網(wǎng)絡(luò)攝像機(jī)安全分析與技術(shù)防范

霍燚 李鐵 程利 李紅

中國石油遼河油田公司勘探開發(fā)研究院 遼寧 盤錦 124010

引言

網(wǎng)絡(luò)攝像機(jī)是由傳統(tǒng)攝像機(jī)和網(wǎng)絡(luò)編碼模塊組合而成，將采集到的模擬信號壓縮成數(shù)字信號后通過網(wǎng)線傳輸，用戶可直接在瀏覽器上觀看影像。企業(yè)一般把網(wǎng)絡(luò)攝像機(jī)作為網(wǎng)絡(luò)設(shè)備節(jié)點(diǎn)直接接入網(wǎng)絡(luò)交換機(jī)或路由器,用于視頻監(jiān)控、工業(yè)生產(chǎn)控制、門禁控制、客流大數(shù)據(jù)分析、在線教育等用途，如不能及時(shí)采取系統(tǒng)加固措施，容易被他人入侵，為企業(yè)的安全生產(chǎn)帶來極大的風(fēng)險(xiǎn)隱患，可能造成人、財(cái)、物的損失，甚至危害到國家的安全穩(wěn)定[1]。網(wǎng)絡(luò)攝像機(jī)的信息安全事件時(shí)有發(fā)生，時(shí)有報(bào)道，呈現(xiàn)高發(fā)、頻發(fā)態(tài)勢，解決其信息安全問題迫在眉睫。本文分析總結(jié)了當(dāng)前網(wǎng)絡(luò)攝像機(jī)存在的主要信息安全隱患，以某型號網(wǎng)絡(luò)攝像機(jī)配置為例，闡述如何對其進(jìn)行系統(tǒng)加固，為網(wǎng)絡(luò)攝像機(jī)的信息安全防范措施提供了一些可行性建議。

1 網(wǎng)絡(luò)攝像機(jī)的信息安全隱患及其風(fēng)險(xiǎn)分析

網(wǎng)絡(luò)攝像機(jī)自帶操作系統(tǒng)，也是網(wǎng)絡(luò)節(jié)點(diǎn)設(shè)備，具有存量大、24小時(shí)在線、地理位置分散、攻擊不易被察覺、人為管理困難等特點(diǎn)，越來越受到黑客青睞。由于其加工工藝日益完善，物理入侵難度較大，最常發(fā)生的是通過軟件入侵，如何防范軟件入侵是本文探討主要方向。

網(wǎng)絡(luò)攝像機(jī)的信息安全隱患主要在管理、技術(shù)兩個(gè)方面。管理上，存在著信息安全防護(hù)意識不足、網(wǎng)絡(luò)攝像機(jī)缺乏日常運(yùn)維支持的風(fēng)險(xiǎn)[2]。技術(shù)上，網(wǎng)絡(luò)攝像機(jī)可能存在四類安全漏洞：一是弱口令類漏洞，系統(tǒng)使用了默認(rèn)口令或簡單口令，例如賬戶口令為admin/admin、admin/123456等，很容易被猜到或被破解軟件攻破；二是越權(quán)訪問類漏洞，權(quán)限驗(yàn)證環(huán)節(jié)的缺陷使得黑客在非管理員權(quán)限時(shí)越權(quán)獲得視頻流信息、用戶信息、配置文件等，甚至通過此漏洞訪問用戶數(shù)據(jù)庫，提取出所有用戶的登錄名、哈希密碼，再以此用戶名、哈希密碼直接登錄網(wǎng)絡(luò)攝像機(jī)，并獲得相應(yīng)的訪問權(quán)限；三是遠(yuǎn)程代碼執(zhí)行類漏洞，黑客在客戶端提交惡意構(gòu)造語句在服務(wù)端執(zhí)行，由于開發(fā)人員編寫源代碼時(shí)沒有過濾system()、eval()、exec() 等可執(zhí)行函數(shù)，導(dǎo)致攻擊者獲得設(shè)備的Shell權(quán)限；四是專用協(xié)議遠(yuǎn)程控制類漏洞，系統(tǒng)開放了Telnet、Rlogin、視頻控制協(xié)議等服務(wù)，原本是方便網(wǎng)絡(luò)攝像機(jī)使用者可以不受辦公地點(diǎn)限制，隨時(shí)可遠(yuǎn)程登錄查看，但由于開發(fā)者未對源代碼中可執(zhí)行的特殊函數(shù)入口進(jìn)行針對性的過濾，致使攻擊者可提交惡意構(gòu)造語句在服務(wù)器端執(zhí)行，實(shí)現(xiàn)遠(yuǎn)程控制[3]。

由于網(wǎng)絡(luò)攝像機(jī)的破解技術(shù)日趨隱蔽化、專業(yè)化，犯罪組織逐漸產(chǎn)業(yè)化、鏈條化，網(wǎng)絡(luò)攝像機(jī)的上述安全隱患會(huì)帶來一系列嚴(yán)重后果。不法分子利用技術(shù)手段破解網(wǎng)絡(luò)攝像機(jī)后，可能長期監(jiān)控，獲取隱私信息及其他敏感信息，可能高價(jià)售賣破解軟件和網(wǎng)絡(luò)攝像機(jī)IP地址，更有甚者把網(wǎng)絡(luò)攝像機(jī)的內(nèi)容在網(wǎng)上實(shí)時(shí)直播。攻擊者還可能使用Mirai、http81、Persirai、LizardStresser、DvrHelper等病毒入侵控制網(wǎng)絡(luò)攝像機(jī)后，組建大型僵尸網(wǎng)絡(luò)，對互聯(lián)網(wǎng)上的其他網(wǎng)絡(luò)基礎(chǔ)設(shè)施、信息系統(tǒng)發(fā)起分布式拒絕服務(wù)（Distributed Denial of Service，簡稱DDos）攻擊。2016年美國東海岸地區(qū)大面積斷網(wǎng)就是這方面典型案例。三位大學(xué)生利用Mirai病毒在互聯(lián)網(wǎng)上搜索網(wǎng)絡(luò)攝像機(jī)等物聯(lián)網(wǎng)設(shè)備，利用它們的弱口令和未修復(fù)的漏洞，控制其系統(tǒng)組成僵尸網(wǎng)絡(luò)，于10月21日對美國Dynamic Network Service公司（簡稱Dyn公司）的DNS基礎(chǔ)設(shè)施發(fā)起大規(guī)模DDoS攻擊，致使Dyn公司無法提供域名解析服務(wù)。最初影響了美國東北部用戶訪問國際互聯(lián)網(wǎng)，隨后該國其他地區(qū)用戶也受到影響。受到影響的網(wǎng)站包括Twitter、Paypal、亞馬孫、GitHub、Reddit、Netflix、Spotify、Tumblr和紐約時(shí)報(bào)等。此次事件攻擊規(guī)模巨大，影響范圍廣泛，僅Dyn公司的直接損失就超過了1.1億美元，事件的總體損失難以估量。網(wǎng)絡(luò)攝像機(jī)被入侵還有可能造成人、財(cái)、物損失，甚至危害到國際關(guān)系等其他方面。例如，2008年8月5日土耳其境內(nèi)的巴庫-第比利斯-杰伊漢石油管道爆炸起火，但控制室沒有收到管道探測器發(fā)來的任何警報(bào)，直到爆炸發(fā)生40分鐘后才從一位看到起火的工人得知此事。事后調(diào)查分析發(fā)現(xiàn)，攻擊者利用石油管道的監(jiān)控?cái)z像頭漏洞入侵系統(tǒng)后，繼續(xù)深入到內(nèi)部系統(tǒng)，發(fā)現(xiàn)一臺Windows操作系統(tǒng)的電腦負(fù)責(zé)警報(bào)管理，在其上面安裝了一個(gè)惡意程序，然后再進(jìn)入到管道操作控制系統(tǒng)，在不觸發(fā)警報(bào)的情況下，通過小型的工業(yè)電腦操縱加大管道內(nèi)壓力致使管道爆炸。攻擊者把事發(fā)前后長達(dá)60個(gè)小時(shí)的監(jiān)控錄像全部刪除，現(xiàn)場幾乎找不到什么可用線索。此次事件導(dǎo)致輸往西方國家的原油運(yùn)輸中斷大約兩周，國際油價(jià)漲回每桶120美元以上，還導(dǎo)致相關(guān)國家之間的猜疑。

2 網(wǎng)絡(luò)攝像機(jī)的安全防范措施

網(wǎng)絡(luò)攝像機(jī)的安全防范要從管理、技術(shù)兩方面著手，切實(shí)提升對其安全態(tài)勢的掌控能力。管理上提升維護(hù)人員網(wǎng)絡(luò)安全意識，將網(wǎng)絡(luò)攝像機(jī)納入日常維護(hù)資產(chǎn)范圍，明確安全責(zé)任，建立監(jiān)管機(jī)制，通過制度保障其運(yùn)維管理[4]。技術(shù)上普及網(wǎng)絡(luò)攝像機(jī)安全防范知識，做好以下工作：

管理員賬戶使用復(fù)雜密碼。建議密碼長度在12位以上，至少包含大小寫字母、數(shù)字、特殊字符中的三種，不要使用生日、電話、賬戶名稱、人名等，更不能用123456、111、222這種連續(xù)或重疊字符，定期修改密碼，降低被猜測或破解的風(fēng)險(xiǎn)。請牢記密碼，重置網(wǎng)絡(luò)攝像機(jī)的密碼可能需要拆下設(shè)備去廠家指定服務(wù)點(diǎn)付費(fèi)處理。

建立白名單，嚴(yán)格控制授權(quán)訪問網(wǎng)絡(luò)攝像機(jī)的IP地址。只有在白名單上的IP地址才能訪問通過瀏覽器訪問網(wǎng)絡(luò)攝像機(jī)。

圖1 網(wǎng)絡(luò)攝像機(jī)的白名單

及時(shí)更新網(wǎng)絡(luò)攝像機(jī)的固件到最新版本，確保具有最新的功能和安全性。以大華某型號本地升級為例，先通過瀏覽器登錄網(wǎng)絡(luò)攝像機(jī)查看設(shè)備類型和系統(tǒng)版本。

圖2 網(wǎng)絡(luò)攝像機(jī)的設(shè)備型號及系統(tǒng)版本

然后到大華官網(wǎng)的“服務(wù)支持”欄目里，找到“工具軟件”--“程序升級包”，找到支持該設(shè)備類型的最新版固件下載，在本地進(jìn)行固件更新。更新前要根據(jù)官網(wǎng)提供的固件散列值確保下載的固件未經(jīng)篡改。

圖3 網(wǎng)絡(luò)攝像機(jī)的固件升級

如果網(wǎng)絡(luò)攝像機(jī)在Internet環(huán)境下，可以開啟在線升級自動(dòng)檢測功能實(shí)現(xiàn)在線升級。

為網(wǎng)絡(luò)攝像機(jī)提供安全的網(wǎng)絡(luò)環(huán)境。如果條件允許，可以把視頻監(jiān)控系統(tǒng)單獨(dú)組網(wǎng)，也可用VLAN、網(wǎng)閘等方式進(jìn)行網(wǎng)絡(luò)分割隔離，把它與辦公網(wǎng)、科研網(wǎng)（或生產(chǎn)網(wǎng)）分開，防止互相攻擊的可能。可以在網(wǎng)絡(luò)入口處通過防火墻的設(shè)置，攔截對網(wǎng)絡(luò)攝像機(jī)的非法訪問。

如果使用專門的客戶端軟件也要及時(shí)更新。

除上述措施外，還可以通過更改HTTP及其他服務(wù)默認(rèn)端口、開啟HTTPS、將網(wǎng)關(guān)設(shè)備的IP與MAC地址綁定、關(guān)閉非必要服務(wù)例如SNMP等、啟用音視頻加密傳輸、不定期進(jìn)行安全審計(jì)、啟用網(wǎng)絡(luò)日志等方式提升網(wǎng)絡(luò)攝像機(jī)的安全防護(hù)能力。網(wǎng)絡(luò)攝像機(jī)有生命周期限制，四、五年后可能不再有廠家官網(wǎng)技術(shù)支持，如果與廠家售后技術(shù)支持人員聯(lián)系也得不到更新補(bǔ)丁，建議及時(shí)更換設(shè)備。《公共安全視頻監(jiān)控聯(lián)網(wǎng)信息安全技術(shù)要求》國家強(qiáng)制標(biāo)準(zhǔn)在2018年11月1日正式實(shí)施，對之前生產(chǎn)的不符合國家標(biāo)準(zhǔn)的網(wǎng)絡(luò)攝像機(jī)，也建議盡早更換[5]。

3 結(jié)束語

數(shù)量眾多的視頻監(jiān)控系統(tǒng)是信息安全一道重要防線。在加固網(wǎng)絡(luò)攝像機(jī)的同時(shí)，有必要對數(shù)據(jù)傳輸加密、對網(wǎng)絡(luò)視頻錄像機(jī)（全稱Network Video Recorder，簡稱NVR）加固，客戶端PC機(jī)也要無毒安全可靠，建議使用視頻安全網(wǎng)關(guān)等具有網(wǎng)絡(luò)攝像機(jī)漏洞攻擊防護(hù)能力的專業(yè)網(wǎng)絡(luò)安全設(shè)備，通過全鏈路的防范措施實(shí)現(xiàn)主動(dòng)防御。必要時(shí)可用監(jiān)控設(shè)備漏洞自動(dòng)化檢測系統(tǒng)輔助做好系統(tǒng)加固。由于網(wǎng)絡(luò)攻擊的手段和來源多樣性，決定了解決此類問題不可能一勞永逸，我們要持續(xù)完善視頻監(jiān)控系統(tǒng)，不斷提高整體防護(hù)能力，確保互聯(lián)網(wǎng)安全、企業(yè)安全、家庭隱私、公共安全及國家安全。