通过分析近年爆发的视频监控系统安全事件,总结视频监控系统面临的安全威胁,其主要体现在视频采集设备自身存在的漏洞和视频信息的安全性未得到有效保护。
针对前端设备的安全威胁主要包括设备劫持或替换、视频资源非法访问以及协议攻击三类。
(1)设备劫持和替换:
前端视频采集设备(主要是网络摄像机)均采用嵌入式操作系统,系统软件在启动及运行过程中未针对性进行安全防护,无法确保基础运行环境可信,黑客可通过植入病毒、木马等手段入侵前端设备,造成设备被非法控制成为“肉鸡”;同时,前端设备不具备标识身份的唯一证明,设备容易被恶意替换。这不仅可导致视频监控系统无法正常运行,还存在将整个视频监控系统作为攻击源,对网络上的其他设备和服务器发起攻击的风险。年底,美国爆发的大规模DDoS攻击致瘫整个互联网,就是由该安全漏洞触发的,影响极为恶劣。
(2)视频资源非法访问:
大多数监控前端设备的登录方式为用户名/口令的认证方法,容易遭受到字典扫描和暴力破解攻击,安全性差,视频资源面临被非法访问风险。
(3)协议攻击:
监控业务信令由于缺乏完整性保护机制,可通过仿造或纂改通信协议,非法控制设备,扰乱正常业务流程。
针对视频数据的安全威胁主要包括视频数据篡改和视频数据窃取两类。
(1)视频数据篡改:
由于视频数据是明文传输且编码方式具有标准化特征,攻击者可通过伪造相同编码格式视频数据替换原有采集视频数据,导致视频数据被篡改。
(2)视频数据窃取:
视频在传输过程中采用网络旁路或通过非法途径从后台下载的方式截获视频数据。
因此,针对视频监控领域暴露的安全威胁,需要综合运用密码技术、数字身份认证技术和可信计算技术,从系统层面制定安全解决方案,保障视频数据在采集、传输、存储、查看等各个环节的安全,从而构建安全的视频监控系统。
#1
产品构成
光电安辰自主研发的国密高安全音视频监控系统主要由相关的硬件产品和软件管理平台组成。其中,硬件产品包括加密摄像机、加密客户端、解密服务器和国密NVR;软件产品包括系统管理平台。就功能而言,上述产品可划分为三类:
01
音视频加密产品:
加密客户端和加密摄像机,对音视频数据进行加密;
02
音视频解密产品:
解密服务器和国密NVR,对音视频数据进行解密;
03
软件类产品:
软件管理平台,对加解密硬件产品进行配置和管理。
#2
产品部署方案
根据现有音视频监控系统的特点,以及客户需求和应用场景的不同,本产品主要通过以下两种部署方案对音视频监控系统完成加解密处理:
部署方案1
加密客户端+解密服务器
如上图所示:该方案通过加密客户端对摄像机采集到的音视频数据流进行加密,确保传输过程中的音视频数据为加密状态,然后在解密服务器端对音视频数据流进行解密,并将解密后的数据传送到NVR。
部署方案2
国密摄像机+国密NVR
如上图所示:该方案通过专用的国密摄像机对音视频数据进行采集,这样就能确保采集到以及传输过程中的音视频数据均为加密数据,然后通过国密NVR在存储端对音视频数据流进行解密。
分析总结
方案(1)的优点是:对于现有监控系统而言,加密客户端和解密服务器都是“透明”的,因此对现有监控系统改动较小,适合比较稳定或者规模较大的监控系统。
而方案(2)需要对现有监控设备进行更换,比如摄像机和NVR。因此,方案(2)比较适合新建或者规模较小的监控系统。
当然,在实际情况中,也可能会采用其他方案,比如“加密摄像机+解密服务器”的搭配方式,但基本都是先加密后解密的模式,一切要视客户的需求和实际应用场景而定。
#3
产品性能参数
01
加密客户端
加密客户端内置硬件加密模块,能够对前端传送过来的音视频流数据进行加密,然后再发送到后端的接收设备,确保音视频数据的安全。加密客户端还具备身份鉴别、访问控制、数据签名验证等其他安全防护功能。加密客户端有两个RJ45以太网接口,一入一出,输入端接网络摄像机等前端设备,输出端接交换机等后端设备。
02
国密摄像机
国密摄像机内置硬件加密模块,能够对采集到的音视频数据进行加密,确保音视频数据的安全。国密摄像机还内置身份认证模块,每个国密摄像机都具有唯一的身份证书,可防止被非法替换。除了网络高清摄像头的通用特性之外,国密摄像头还具备身份鉴别、访问控制、数据签名验证等其他安全防护功能。
03
解密服务器
图片
解密服务器内置硬件解密模块,能够对前端传送过来的音视频流数据进行高速实时无损解密,然后再发送到后端的接收设备,确保加密数据在安全区域能够得到完整的还原。解密服务器有两个RJ45以太网接口,一入一出,输入端接交换机等前端设备,输出端接NVR等后端设备。
一台解密服务器能够解密多路加密视频数据,目前解密服务器一共有两种型号,其中GMJMFW64最大支持64路解密,GMJMFW最大支持路解密。
04
国密NVR
国密NVR内置硬件解密模块,能够对前端传送过来的音视频流数据进行高速实时无损解密,然后将解密后的音视频数据存储到该NVR上,或者将其转发到客户端PC、电视墙等后端设备,确保加密后的数据能够得到正常的存储和转发。
05
软件配置管理平台
软件配置管理平台可对前端的加解密设备进行网络配置、加密链路配置以及设备管理,比如黑白名单等等。有关软件配置管理平台相关功能和性能的详细描述,请参见软件配置管理平台的使用手册。
产品优势
01
“信源加密”模式,解决数据采集、传输和存储安全问题,防止信息泄露
02
视频安全准入控制,保障整体网络安全运行,杜绝二次泄密事件的发生
03
视频数据防泄密技术,从网络数据流层面保障视频资源的访问安全
04
PKI体系身份认证机制,有效保证用户的身份安全,防止非法入侵