引言

　　視頻監(jiān)控設備/系統(tǒng)遍布于公安、交警、金融、能源、司法、企業(yè)及家庭等各個領域，其中不少涉及到敏感場所的信息采集。監(jiān)控設備/系統(tǒng)一旦被不法分子控制或將敏感信息截取，后果不堪設想。在視頻監(jiān)控數(shù)字化及聯(lián)網(wǎng)技術的普遍使用的今天，進一步增加了安全隱患和風險，必須從源頭加以防范。

　　監(jiān)控系統(tǒng)安全事件頻發(fā)

　　好萊塢電影中常有這樣的鏡頭：黑客只需要敲擊幾下鍵盤就可以調出所要的錄像資料，還可用錄像替代實時畫面呈現(xiàn)在安保人員的屏幕上;這固然有藝術夸張的成分，但在現(xiàn)實中，類似的安全隱患在現(xiàn)實世界中與我們并不遙遠。

　　2015年2月28日“棱鏡門”后再曝重大信息安全事故!27日中午，江蘇省公安廳發(fā)布的特急通知稱，主營安防產(chǎn)品的XX廠商其生產(chǎn)的監(jiān)控設備被曝嚴重的安全隱患，部分監(jiān)控設備已被境外IP地址控制，并要求各地立即進行全面清查，開展安全加固，消除安全隱患。 2015年10月 浙江電視臺錢江頻道、鳳凰衛(wèi)視等多家媒體曝光全球私人視頻被公布到網(wǎng)上。圖中左上一名男子正在看電視、右上方空無一人的嬰兒床、中下方一名女子正在洗碗!這些都是安裝在家中的攝像頭拍攝的視頻，呈現(xiàn)在互聯(lián)網(wǎng)上!

　　不論是紐約的夜景、上海的路況、還是麗江的小巷，甚至客棧、酒店、街景、商店、健身房、辦公場所，乃至家中的視頻，只要安裝監(jiān)控攝像機的地方，都有可能被非法獲取。視頻在成為人們?nèi)粘Ｉ钜徊糠?，讓生活變得充實的同時，也勾起了別人的好奇心和利益鏈。

　　從baidu搜索“網(wǎng)絡監(jiān)控視頻泄露”，搜索結果高達1,630,000。多么驚人的數(shù)字!沒準有一天，您在瀏覽網(wǎng)上視頻的時候，會發(fā)現(xiàn)畫面中的主角正是自己!

　　網(wǎng)絡視頻監(jiān)控安全風險

　　如今建設視頻監(jiān)控加強安全防范的意識已經(jīng)普及，國內(nèi)這些年的平安城市、智慧城市等項目部署了大量的視頻監(jiān)控設備，而在小區(qū)、樓宇、企業(yè)和商業(yè)設施工作的監(jiān)控設備更數(shù)十倍于此，這既形成了龐大的視頻監(jiān)控資源，為提高社會治安做出了巨大貢獻，但同時也成為了高科技犯罪的潛在目標。尤其是近年來興起了互聯(lián)網(wǎng)視頻監(jiān)控應用，視頻信息安全問題越來越嚴重。

　　信息安全領域遵從“木桶原理”，即整體安全決定于最短的那塊“板”;視頻監(jiān)控信息安全同樣也是如此。所以安全規(guī)劃和建設必須考慮到各個方面的風險，主要包括：

　　1) 前端設備入侵風險

　　前端設備包括網(wǎng)絡攝像機(IPC)、網(wǎng)絡編碼器和控制主機等，其具有24小時在線、運算能力強、接口帶寬高，設備數(shù)量巨大等特點，是不法分子理想的攻擊目標。通過弱口令、暴力破解以及相關系統(tǒng)漏洞等可實現(xiàn)對設備的控制，進而竊取敏感信息。

　　2) 來自內(nèi)部的網(wǎng)絡攻擊風險

　　視頻監(jiān)控網(wǎng)絡在規(guī)劃時往往考慮了邊界的安全防護，在網(wǎng)絡邊界上部署防火墻、安全網(wǎng)關等設備，但是對網(wǎng)絡內(nèi)部的安全防范幾乎沒有涉及。一旦位于內(nèi)部網(wǎng)絡的客戶端PC感染病毒或木馬，即使是有防火墻保護，也可以通過直接對外發(fā)起連接的方式繞過防火墻，泄露敏感信息，或對內(nèi)網(wǎng)發(fā)起攻擊。如下圖：

　　3) 外部接入的安全風險

　　部署網(wǎng)絡攝像機的地方就有網(wǎng)絡接入點存在，而這些接入點基本都沒有設置任何防護措施，不需要較為專業(yè)的技術手段就可以接入視頻專網(wǎng)，隨時入侵和攻擊。

　　4) 系統(tǒng)平臺安全風險

　　視頻監(jiān)控平臺是基于操作系統(tǒng)、數(shù)據(jù)庫、網(wǎng)絡通信協(xié)議等系統(tǒng)或軟件運行的，其安全性依賴于這些系統(tǒng)或軟件本身的安全性。從已公開的信息看，這些系統(tǒng)或軟件往往有許多開放的服務、協(xié)議端口以及漏洞和缺陷;隨著技術的發(fā)展，新的潛在漏洞和缺陷逐漸被發(fā)現(xiàn)和利用。如果在系統(tǒng)部署及運行過程中沒有關閉多余端口或服務，及時修補漏洞和缺陷，很容易被病毒或木馬程序感染。

　　5) 視頻數(shù)據(jù)傳輸、存儲安全風險

　　在網(wǎng)絡監(jiān)控視頻傳輸、播放/回放、下載、分發(fā)等環(huán)節(jié)，當前的監(jiān)控系統(tǒng)沒有有效的安全防護措施和手段，容易被不法份子中途竊取、篡改視頻信息。

　　提高視頻監(jiān)控安全性，刻不容緩

　　網(wǎng)絡安全問題已成為互聯(lián)網(wǎng)的一大痼疾，安防監(jiān)控更是安全防范、治安反恐、交通和城市治理等領域的關鍵系統(tǒng)，對保障家庭、企業(yè)，乃至國家和社會的安全、穩(wěn)定具有重大意義。提升網(wǎng)絡監(jiān)控系統(tǒng)的安全性，單靠個人以及企業(yè)的力量遠遠無法根除，需要從政策、技術、管理等多個方面著手：

　　從政策層面：

　　首先，網(wǎng)絡安全戰(zhàn)略定位明確，法制環(huán)境日趨成熟。2015年4月15日，習近平總書記在中央國家安全委員會第一次會議上提出“總體國家安全觀”，信息安全被列為中國特色國家安全體系的重要部分。同年7月1日，全國人大常委會通過《國家安全法》，明確提出將維護網(wǎng)絡和信息安全作為國家安全工作的重要內(nèi)容之一。2015年8月5日，《網(wǎng)絡安全法》(草案)結束向社會公開征求意見階段，進入下一階段的立法程序。

　　其次，組織體系建設不斷完備，部門行動更趨順暢。2013年6月，外交部設立了網(wǎng)絡事務辦公室，負責協(xié)調開展有關網(wǎng)絡事務的外交活動。2014年2月27日，隨著中央網(wǎng)絡安全和信息化領導小組的正式成立，其下設的辦公室(“中央網(wǎng)信辦”)成為國家網(wǎng)絡安全與信息化工作的領導與協(xié)調機構。2014、2015年，兩屆“世界互聯(lián)網(wǎng)大會”的成功舉辦表明我國政府的網(wǎng)絡管理與協(xié)調能力穩(wěn)步提升，機構調整成果得到體現(xiàn)。

　　第三，重視網(wǎng)絡安全文化建設，提升全社會的網(wǎng)絡安全意識。2014、2015年，中央網(wǎng)信辦、教育部、科技部、工信部、公安部等部門先后組織了兩屆“國家網(wǎng)絡安全宣傳周”，幫助公眾增強網(wǎng)絡安全意識，提高網(wǎng)絡安全防護技能，共同維護國家網(wǎng)絡安全。

　　從管理層面：

　　加強網(wǎng)絡安全教育，增高網(wǎng)絡安全意識、提高網(wǎng)絡安全防護技能，完善安全管理制度和監(jiān)督機制，將安全落到實處是根本。

　　從技術層面：

　　視頻監(jiān)控系統(tǒng)的安全性涉及到硬件(IPC，編碼器，PC機或服務器)、操作系統(tǒng)、數(shù)據(jù)庫、網(wǎng)絡通信協(xié)議、應用軟件等諸多方面，系統(tǒng)整體的安全遵從木桶原理——安全強度取決于最短的板，所以強化系統(tǒng)的安全性要從各個層面入手。

　　針對前端設備網(wǎng)絡安全風險，來自內(nèi)部的網(wǎng)絡攻擊，視頻專網(wǎng)的安全風險，系統(tǒng)平臺安全風險這些問題應從如下幾個前面加以解決：

　　1) 設備口令問題。首先，包括IPC，編碼器，PC機或服務器等硬件設備的口令需要定期更改，且口令長度、復雜度也應有一定要求;其次，IPC、編碼器等監(jiān)控前端設備一般采用admin/Admin/root等作為用戶名，遇到暴力破解，只要“猜測”口令就可以，建議更改用戶名，這樣變單一口令破解為“用戶名+口令”的雙重破解，破解難度將提高幾個數(shù)量級。

　　2) 明文傳輸問題。目前大部分IPC、編碼器乃至服務器設備采用telnet或瀏覽器方式登錄，用戶名和口令通過明碼傳送，建議采用加密協(xié)議作為遠程通信方式。

　　3) 安全加密和認證問題。無論是前端設備還是客戶端、以及用戶，都需要與中心平臺進行更安全的認證和加密通信。建議采用CA認證系統(tǒng)、設備內(nèi)置數(shù)字證書等方式或技術，加強系統(tǒng)在認證和通信等方面的安全性。

　　4) 操作系統(tǒng)、數(shù)據(jù)庫、網(wǎng)絡協(xié)議和軟件的潛在漏洞和缺陷是很難避免的;但對于已知和新發(fā)現(xiàn)的漏洞及時地加以修補。

　　5) 建議有條件的部門或單位，請專業(yè)公司對系統(tǒng)進行全面、系統(tǒng)的安全評估和加固，整體把控系統(tǒng)的安全性。

　　針對視頻數(shù)據(jù)傳輸、存儲安全風險

　　公安部第一研究所與中星微集團牽頭，在公安部、工信部、國標委的領導和支持下，聯(lián)合國內(nèi)40多家產(chǎn)學研用單位、歷時3年制定的具有我國自主知識產(chǎn)權、技術達到世界領先水平的GB/T25724(SVAC)國家標準。該標準定義了信源加密和基于數(shù)字證書的視頻認證規(guī)范，不僅可保障視頻在傳輸和存儲過程中的安全，還可對視頻的完整性進行驗證，這是一部我國安防監(jiān)控領域的一項基礎性關鍵技術標準。

　　該標準在信源端實現(xiàn)加密，即壓縮層加密(端到端加密)，在傳輸及存儲過程中對數(shù)據(jù)的安全性有更好的保護，支持視音頻加密數(shù)據(jù)的傳輸、存儲，支持用戶在權限范圍內(nèi)對實時加密視音頻播放、歷史加密視音頻回放、加密視音頻的存儲/下載/分發(fā)/導出等操作; 視音頻完整性認證，由符合SVAC標準的前端設備(攝像機、編碼器) 通過數(shù)字證書方式，進行視音頻簽名操作，支持視音頻簽名數(shù)據(jù)的傳輸、存儲，和驗證，實現(xiàn)視音頻源的可追溯及完整性，防止數(shù)據(jù)被篡改;

　　寫在最后

　　顯然，監(jiān)控系統(tǒng)安全問題已經(jīng)是不爭的事實，如何查漏補缺?國家層面已經(jīng)出臺了《網(wǎng)絡安全法》，并不斷完善，各部門也已經(jīng)積極行動起來了;廠家也要從產(chǎn)品上多下下功夫，不斷改進產(chǎn)品的安全性能;用戶更要提高自身安全意識、完善安全管理制度并嚴格執(zhí)行，將安全落到實處才是根本。

　　中星電子，堅持自主創(chuàng)新道路，肩負 “星光中國芯”使命，“科技強國”是每個中星人畢生的夙愿，也是我們中星人的驕傲!

　　中星電子，中國人自己的安防監(jiān)控領域核心技術及服務提供商!