經驗 | 如何讓視頻專網準入安全達標?
視頻專網已成為城市最重要的基礎設施之一,在防范打擊犯罪、維護社會治安穩定、創新社會管理等各方面發揮了重大的作用。但視頻監控系統的風險也逐步暴露出來,針對網絡攝像頭的網絡攻擊事件比例逐年呈上升趨勢,攻擊者利用網絡攝像頭漏洞獲取設備控制權限,進而形成僵尸網絡,被用于發起大流量DDOS攻擊,或用于隱私信息竊取等。
視頻專網管控現狀及存在的問題
目前大部分網絡攝像頭的安裝位置比較偏僻,且網絡攝像頭接入層沒有進行任何管理和控制,存在以下風險:
一是接入控制時,容易被惡意攻擊者利用
當前業內攝像頭在接入網絡的時候,沒有好的設備身份認證和管理手段,存在容易被惡意攻擊者仿冒接入網絡后盜取視頻數據、發起攻擊等風險。
二是攝像頭訪問權限過大,一旦被非法用戶控制安全隱患大
攝像頭接入公安視頻專網,僅需要與視頻服務器通訊,如果攝像頭的網絡權限和訪問范圍設置不當或沒有控制好,網絡攝像頭一旦被攻擊者控制,將帶來巨大的網絡安全隱患。
三是網絡攝像頭缺乏統一管理,維護工作量大
各級機關對本單位的家底并不清楚,如何快速摸清自己的家底,實現網絡攝像頭自動發現、智能分類、集中管理是前提,同時通過MAC管理的方式也大大增加了管理員的維護工作量,效率也是擺在各級單位迫切需要解決的問題。
四是不能有效防范APT攻擊
公安視頻專網網絡規模不斷擴張,視頻專網變得越來越復雜,目前現有防火墻等設施無法徹底解決網絡攝像頭被APT攻擊的問題,不能及時發現網絡中存在的仿冒入侵、特洛伊木馬等威脅。
傳統視頻專網解決方案與不足
(1)防火墻:通過預置規則控制網絡訪問,僅針對已知風險
(2)IDS等流量分析:旁路部署,全流量分析,僅針對已知威脅
以上兩種方案的不足:
·無法防御社會工程、組合攻擊等攻擊方法
·依賴特征庫,不能發現和抵抗最新的網絡攻擊
·無法知道內部設備脆弱性
·無法防御內部攻擊,如仿冒接入等
(3)準入、桌面助手:采用NACC或標準協議實現接入控制,通過客戶端實現桌面管理。
不足之處:
·僅實現網絡接入控制和桌面管理
·缺乏主動探測手段,對資產弱口令、漏洞等脆弱性不可知
·基于IP/MAC,對仿冒接入等異常行為缺乏嚴格的控制機制
·很難對入侵行為進行精準實時阻斷
·不能對風險進行全景安全展示
下一代網絡準入控制系統,讓視頻專網準入安全達標
傳統的靜態防護面臨著設備管理、風險處置、設備接入、異常行為等挑戰,已無法應對變化多端的動態攻擊和合規政策需要。聯軟提供的下一代準入控制系統——UniNID可解決復雜網絡環境下用戶對網絡攝像頭的準入控制、權限管理、資源訪問控制、異常行為阻斷等問題,有效提升公安視頻專網的可靠性和安全性。
一是視頻專網復雜網絡環境下準入控制
面對視頻專網不同接入方式(有線、無線、HUB、無線接入等)、不同網絡設備(H3C、CISCO等幾乎全部網絡設備)的各種復雜網絡環境,聯軟科技可通過綜合利用802.1X、EOU、NACC等多種方案,解決大量網絡攝像頭準入控制的問題。
二是防止攝像頭仿冒
對網絡攝像頭除了提供MAB、IAB接入認證外,還提供了網絡攝像頭設備ID、網絡攝像頭接入端口等多種認證方式,可有效防止非法用戶仿冒合法終端的MAC、IP接入公安視頻專網的問題。
三是實施精準的權限控制
可通過RAC細粒度資源訪問控制技術,通過集中下發ACL的方式實現網絡攝像頭細粒度的準入控制,確保授權、合規的網絡攝像頭自動放行,無需輸入用戶名密碼,無需安裝客戶端,可實現精準的端口級控制。未授權的網絡攝像頭被拒絕接入視頻專網,并通過動態VLAN或訪問控制列表技術給攝像頭指定最小的資源訪問權限,確保網絡攝像頭僅能與視頻服務器等必要資源進行通訊。
四是網絡攝像頭接入快速發現、定位和自助管理,降低用戶維護工作量
通過不同維度的資產屬性組合,建立資產唯一標識指紋信息,進而積累豐富的資產指紋類型,構建強大的指紋識別庫。自動發現部署在網絡中的攝像頭,并收集網絡攝像頭的IP、MAC、在線狀態、設備類型、接入位置等信息,便于用戶掌握資產情況。
五是持續漏洞掃描,及時發現可能的威脅并阻斷
持續漏洞掃描,發現存在的風險暴露面、系統層漏洞、Web應用安全漏洞、弱口令、第三方組件漏洞等。漏洞發現采用POC插件進行判斷,可快速復現,準確性高。如果一旦發現攝像頭的行為特征發生變化,會及時通知管理員,并執行網絡阻斷等操作。
六是精準感知風險,防范APT等未知攻擊
采用大數據和智能分析引擎,以數據為中心,從網絡攝像頭、視頻專網、視頻應用、視頻數據等多個層面,以網絡攝像頭等設備信息、網絡流量、威脅情報作為分析源,以自主的產品作為主要管控技術(如網絡準入控制、幻影等技術),一旦發現威脅行為立即以日志、告警的方式通知責任人,并根據預先配置好的方式進行阻斷,事后用戶可以在系統上查看威脅的詳細透視圖及取證報告。
在公安系統中,攝像頭是取證的重要來源。公安網絡中有大量的攝像頭部署在全省、全市的每個角落,如何保障攝像頭的安全接入尤為重要。通過部署聯軟下一代網絡準入控制系統,可以全方位的發現視頻專網中的風險和威脅,真正的為企業網絡邊界安全保駕護航。