自全國視頻專網大力推進了智慧城市和視頻監控系統的建設,各省市逐漸形成了覆蓋整個城市的視頻專網,用以實現區域的實時監控。
央視曾播出的紀錄片《輝煌中國》中報道:“中國已經建設了全世界最大的視頻監控聯網,視頻攝像頭超過2000萬個”。然而攝像頭的入侵、劫持和非法信息銷售已經形成產業鏈,其影響不僅限于隱私泄露,還正在向刑事案件乃至金融交易信息、商業辦公機密、國防安全信息等領域蔓延。
2018年9月,根據中國信息通信研究院發布的《物聯網安全白皮書(2018)》顯示:在視頻監控設備方面,我國國產設備的視頻監控設備暴露嚴重, ??低暫驼憬笕A的視頻監控設備暴露嚴重,其中,??低暠┞对O備總量超過了 580 萬臺,浙江大華、 D-Link等廠商的視頻監控設備暴露數量也都達到了百萬量級。
同時,我國暴露于互聯網的視頻監控設備數量已屬于全球前列,暴露的視頻監控設備總數超過 240 萬臺,安全問題存在較大隱患,亟需重視!
(圖片源于中國信通院)
視頻專網作為視頻監控系統的主要承載網絡,具有網絡安全級別高、網絡規模龐大、網絡分支較多、網絡攝像機接入地理位置分散、人為監管困難等特點,導致現在各單位視頻專網前端設備、系統應用、存儲系統、網絡攝像機、公安應用等設備存在較大的安全風險。
早期建設的視頻專網專注于業務可用性而忽略了安全性和管理性,導致大量的前端設備僅僅滿足網絡可達就立即交付,并未嚴格遵守相關單位要求的專用設備專用網段管理規范。數據庫系統內的視頻、圖像、車輛軌跡等多種敏感信息,一旦外泄將會造成重大損失,比如前端設備,在大部分情況下無人值守,攻擊者很容易將這些終端作為入侵的跳板,入侵到視頻專網,盜取相關重要敏感信息。
“事后補救”僅能止損,“居安思危”才能防范于未然
不少黑客在攻擊單位的視頻監控后,相關部門都采取了第一時間補救措施,或給系統打補丁、升級,或找專業安全運維團隊進行各種深度安全排查,雖然在一定程度上可以降低或挽救損失,但還是得為不夠完善的安全管理付出代價。因此,只有“居安思危”,進一步完善自身的安全建設,管控好網絡邊界安全,才能避免帶來的損失。
世安網絡準入控制系統,采用多種準入技術把控網絡邊界安全
世安網絡準入控制系統(以下稱“世安NAC”)采用秒級旁路部署,結合DHCP準入管控、VLAN準入管控、ARP準入管控、SNMP準入管控、TCP準入管控等多種準入技術,通過自動化運維技術實時檢測入網終端的合規性,對非法入網終端實現自動化隔離和引導;同時具備可視化的網絡管理技術,可以實現終端認證、訪問控制和物理定位的一體化管理,便于固定資產的集中管理和臨時設備的有限交互,保證內部網絡的安全。
精準資產識別,杜絕安全隱患
目前,視頻專網前端設備存在種類繁多,品牌復雜等問題,因此在管理設備方面存在較多困難。對此,世安NAC配置了五重資產識別技術,內置強大的公安視頻專網專用指紋識別庫,可精準識別視頻專網的資產信息,將資產IP、資產MAC、品牌廠商、操作系統、運行服務、入網端口、應用業務等入網信息有機結合,實現IT資產的多元素自定義綁定的效果。同時,系統在資產識別的準確率高達95%,更能識別出攝像機的ID和版本,區分攝像機為球型、槍型等信息,更有利于視頻專網對攝像頭的檢查與信息完善。
自動繪制網絡拓撲,進一步管控網絡資源
視頻終端基數大,大部分視頻終端為啞終端,一旦更換設備地址,繪制網絡拓撲耗時嚴重。針對頻率變動和復雜的網絡環境,世安NAC支持發現可實時自動繪制網絡拓撲圖,節省手動查詢與繪制時間。
同時,根據識別網絡中交換機廠商、型號,世安NAC可實現交換機面板視圖管理與端口列表管理,直觀的展示交換機工作狀態,實時監控交換機CPU、內存、端口流量統計等,并支持SNMP模板,節省手動配置交換機時間。
網絡準入控制是視頻專網安全管理的第一步,也是構建更為安全、穩定智慧城市的重要環節。為進一步實現交通數字化監測與信息共享、治安重點區域實時監控,全面提升對突發案件、群體性事件和重大保衛活動的監控力度和響應能力,世安網絡準入控制系統,積極助力各行各業進行視頻網絡安全事前預防和管控,讓整個社會與互聯網生態,逐步走上“可管、可控”的可持續發展道路。