視頻監(jiān)控設(shè)備安全事件頻發(fā),凸顯安防企業(yè)網(wǎng)絡(luò)安全意識(shí)缺失
當(dāng)今的全球信息化時(shí)代,隨著信息通信技術(shù)的發(fā)展和普及,聯(lián)接已成為新的常態(tài)。越來(lái)越多的攝像頭、傳感器、手機(jī)等終端被廣泛部署,并由無(wú)處不在的網(wǎng)絡(luò)聯(lián)接起來(lái),物理世界得以更準(zhǔn)確地在數(shù)字世界中呈現(xiàn),這使得我們可以更好地觀察、分析、應(yīng)用物理世界的數(shù)據(jù),且不再受時(shí)空束縛。
而當(dāng)終端設(shè)備一旦分布在互聯(lián)網(wǎng)、移動(dòng)通信網(wǎng)、物聯(lián)網(wǎng)、車聯(lián)網(wǎng)等物理網(wǎng)絡(luò),就不可避免的會(huì)遭受入侵、攻擊、竊聽、篡改等網(wǎng)絡(luò)威脅。可以說(shuō),便捷拜網(wǎng)絡(luò)和技術(shù)所賜,風(fēng)險(xiǎn)也因網(wǎng)絡(luò)和技術(shù)而生。安防系統(tǒng)目的是為了維護(hù)整個(gè)社會(huì)治安穩(wěn)定,涉及大量的用戶隱私數(shù)據(jù),因此從事安防行業(yè)的企業(yè)更加應(yīng)該重視網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。然而現(xiàn)實(shí),卻不容樂(lè)觀:
2014年4月,央視報(bào)道市場(chǎng)上大部分家庭攝像機(jī)"曝光"隱私,攝像機(jī)不再照看家庭的安全,而是將家庭的隱私曝光在網(wǎng)絡(luò)上;
2014年12月,烏云安全團(tuán)隊(duì)披露,某廠商數(shù)字錄像機(jī)被攻擊后感染了病毒,變成了僵尸網(wǎng)絡(luò)的一部分,被用于掃描存在漏洞的其它網(wǎng)站。此外有的DVR還被安裝了比特幣挖礦程序,淪為黑客的掙錢工具;
2015年2月,媒體曝光了某廠商監(jiān)控設(shè)備"存在嚴(yán)重安全隱患"、"部分設(shè)備已經(jīng)被境外IP地址控制"嚴(yán)重安全事件;
諸如此類事件不勝枚舉。
作為守護(hù)大眾安全的設(shè)備,為何自身的網(wǎng)絡(luò)安全漏洞反而如此之多?其實(shí),這背后反映的是安防業(yè)內(nèi)大多數(shù)企業(yè)的網(wǎng)絡(luò)安全意識(shí)淡薄、產(chǎn)品安全防護(hù)技術(shù)手段欠缺的普遍現(xiàn)狀。
三組重拳,華為打造安全防范手段最豐富的網(wǎng)絡(luò)攝像機(jī)
網(wǎng)絡(luò)攝像機(jī)"麻雀雖小五臟俱全",除了光學(xué)鏡頭、圖像傳感器、圖像編碼壓縮芯片、控制器、網(wǎng)絡(luò)服務(wù)器等硬件外,還包含操作系統(tǒng)、硬件驅(qū)動(dòng)軟件、圖像編碼壓縮算法軟件、視頻應(yīng)用軟件等各類軟件。網(wǎng)絡(luò)攝像機(jī)安全防范機(jī)制的設(shè)計(jì)需要從系統(tǒng)層面、應(yīng)用層面、管理層面全面考慮。
華為基于對(duì)網(wǎng)絡(luò)安全的深透理解和多年技術(shù)積累,為華為的所有網(wǎng)絡(luò)攝像機(jī)打造了全方位的網(wǎng)絡(luò)攝像機(jī)技術(shù)安全體系,確保網(wǎng)絡(luò)攝像機(jī)的系統(tǒng)安全和數(shù)據(jù)隱私安全。
7重安全防護(hù)機(jī)制
華為網(wǎng)絡(luò)攝像機(jī)在安全性架構(gòu)設(shè)計(jì)時(shí)采用了7重安全防護(hù)機(jī)制:
● 強(qiáng)密碼管理機(jī)制:
使用強(qiáng)密碼策略:如密碼長(zhǎng)度限制、強(qiáng)制字符組合及弱密碼檢測(cè)等,防止密碼攻擊;修改密碼時(shí)驗(yàn)證舊密碼、驗(yàn)證通過(guò)才能修改,初始密碼可配置為必須修改才可登錄系統(tǒng);
密碼加密保存,不允許明文保存或顯示;
● 認(rèn)證與會(huì)話控制:能對(duì)設(shè)備系統(tǒng)進(jìn)行管理的物理接口和協(xié)議均有接入認(rèn)證機(jī)制,必須輸入正確的用戶名和口令才能登錄系統(tǒng);用戶登錄連續(xù)多次輸入錯(cuò)誤密碼后用戶名被鎖定,無(wú)法登錄系統(tǒng);
● 最小授權(quán)規(guī)則:系統(tǒng)中新建的用戶,默認(rèn)只有最小的權(quán)限;
● 文件授權(quán)管理:非授權(quán)用戶不能訪問(wèn)文件;
● 安全日志:所有的用戶活動(dòng)和操作指令均記錄日志,日志內(nèi)容能支撐事后的審計(jì),日志有訪問(wèn)控制,且只有管理員才能有刪除權(quán)限。
● 加密算法:使用高安全等級(jí)加密算法(SHA256、AES128等),降低敏感信息被破解的風(fēng)險(xiǎn);不使用私有算法;
● 安全協(xié)議,使用高級(jí)別安全協(xié)議對(duì)設(shè)備進(jìn)行維護(hù)管理,如SSHV2、TLS1.1、FTPS。
108條網(wǎng)絡(luò)安全測(cè)試
華為攝像機(jī)與華為公司其他產(chǎn)品一樣,出廠前必須經(jīng)過(guò)華為自己定義的13類108條的網(wǎng)絡(luò)安全測(cè)試規(guī)范,全面的、嚴(yán)格的測(cè)試網(wǎng)絡(luò)攝像機(jī)等所有產(chǎn)品的網(wǎng)絡(luò)安全防護(hù)體系的實(shí)現(xiàn)情況,確保華為公司的產(chǎn)品在法律合規(guī)下確保用戶的通信內(nèi)容、個(gè)人數(shù)據(jù)及隱私的安全。
8項(xiàng)防護(hù)技術(shù)
華為網(wǎng)絡(luò)攝像機(jī)在設(shè)備上線后,還有8種特色技術(shù)來(lái)保障系統(tǒng)安全和數(shù)據(jù)完整:
● IP地址過(guò)濾:為了防止惡意IP對(duì)IPC進(jìn)行網(wǎng)絡(luò)攻擊,設(shè)置可以或禁止訪問(wèn)IPC的特定IP地址段,IPC將丟棄非法IP發(fā)過(guò)來(lái)的所有數(shù)據(jù)包。
● 802.1x 接入認(rèn)證:限制未經(jīng)授權(quán)的用戶/設(shè)備通過(guò)交換機(jī)接入端口訪問(wèn)到LAN/WLAN中的網(wǎng)絡(luò)攝像機(jī)圖像,杜絕未授權(quán)用戶或設(shè)備的非法訪問(wèn)。
● AES碼流加密:編碼輸出后RTP打包之前對(duì)視頻流進(jìn)行AES加密后在進(jìn)行平臺(tái)側(cè)再解密后存儲(chǔ);因此,即使碼流在傳輸過(guò)程中被竊取也無(wú)法使用,從而避免視頻被非法使用;
● 數(shù)字水印:編碼時(shí)提取當(dāng)前幀的特征信息,并結(jié)合用戶設(shè)置的特征值運(yùn)算得到幀數(shù)據(jù)的唯一水印值,平臺(tái)使用同樣算法判斷接收到水印值與當(dāng)前計(jì)算出來(lái)的水印值是否一致,不一致時(shí)提示告警。
● 媒體流前向糾錯(cuò):在網(wǎng)絡(luò)狀況差而導(dǎo)致丟包錯(cuò)包較多時(shí),IPC編碼時(shí)增加數(shù)據(jù)糾錯(cuò)包,平臺(tái)利用算法將丟失的數(shù)據(jù)恢復(fù)出來(lái),避免數(shù)據(jù)丟失;
● MTU可設(shè)置:攝像機(jī)根據(jù)用戶設(shè)置的最大傳輸單元調(diào)整發(fā)送媒體數(shù)據(jù)包大小,網(wǎng)絡(luò)設(shè)備自動(dòng)以合適大小數(shù)據(jù)包改善網(wǎng)絡(luò)傳輸情況,避免網(wǎng)絡(luò)傳輸中丟失媒體數(shù)據(jù)包;
● QoS可設(shè)置:用戶可根據(jù)實(shí)際網(wǎng)絡(luò)情況設(shè)置IPC媒體流和信令流的優(yōu)先級(jí),網(wǎng)絡(luò)傳輸設(shè)備則據(jù)此優(yōu)先級(jí)傳輸媒體流和信令流,避免延遲或丟棄;
借助上述三組網(wǎng)絡(luò)安全防護(hù)手段,華為網(wǎng)絡(luò)攝像機(jī)構(gòu)建起了堪稱業(yè)界最完善的安全防護(hù)體系,產(chǎn)品系統(tǒng)安全和業(yè)務(wù)數(shù)據(jù)完整都得到了最大的保障。
華為公司將構(gòu)筑并全面實(shí)施端到端的全球網(wǎng)絡(luò)安全保障體系作為公司的重要發(fā)展戰(zhàn)略之一
值得強(qiáng)調(diào)的是,華為公司將構(gòu)筑并全面實(shí)施端到端的全球網(wǎng)絡(luò)安全保障體系作為公司的重要發(fā)展戰(zhàn)略之一,在遵從所有適用的國(guó)家和地區(qū)安全法規(guī)、國(guó)際電信標(biāo)準(zhǔn)和參考行業(yè)最佳實(shí)踐的基礎(chǔ)上,從政策、組織、流程、管理、技術(shù)和規(guī)范等方面建立和完善可持續(xù)、可信賴的安全保障體系。在組織方面,全球網(wǎng)絡(luò)安全委員會(huì)作為華為公司的最高網(wǎng)絡(luò)安全管理機(jī)構(gòu),負(fù)責(zé)決策和批準(zhǔn)公司總體網(wǎng)絡(luò)安全戰(zhàn)略。在業(yè)務(wù)流程方面,安全保障活動(dòng)融入研發(fā)、供應(yīng)鏈、市場(chǎng)與銷售、工程交付及技術(shù)服務(wù)等各環(huán)節(jié)中,作為質(zhì)量管理體系的基本要求,通過(guò)管理制度和技術(shù)規(guī)范來(lái)確保其有效實(shí)施。在人員管理方面,華為全體員工以及合作伙伴、外部顧問(wèn)都必須嚴(yán)格執(zhí)行公司相關(guān)安全政策,接受安全培訓(xùn),使安全理念融入整個(gè)組織之中。
華為公司愿意并正在與有關(guān)政府、客戶及行業(yè)伙伴以開放和透明的方式,共同應(yīng)對(duì)安全方面的挑戰(zhàn),全面滿足客戶的網(wǎng)絡(luò)安全需求。
京公網(wǎng)安備 11010502049343號(hào)