隨著交通科技設施建設的縱向推進,公安專網建設規模不斷擴大,視頻專網的安全風險也日益凸顯。一旦出現黑客攻擊、數據竊取等事件,極有可能造成敏感信息泄漏、篡改等后果, 甚至導致城市的交通調度指揮系統陷入混亂、出現交通管制失效等情況,影響廣大人民群眾出行安全。如何部署有效的安全策略,建設視頻專網綜合安全防護體系已成為交通管理部門的重要任務之一。
0 引 言
加快交通領域的信息化、網絡化、智能化建設是貫徹落實黨的十九大精神,全面推進交通強國、科技強國建設的重要基礎。隨著交通科技設施建設的縱向推進,支撐交通科技設施的視頻專網建設規模也在不斷擴大, 逐漸成為一張承載海量終端設備、匯集海量數據的物聯網。
隨著視頻專網覆蓋面不斷增加,其網絡安全風險也日益凸顯。一旦出現網絡攻擊、滲透, 極有可能造成敏感信息泄漏、竊取、篡改等后果,導致城市的交通調度指揮系統陷入混亂, 交通管制將會失效,各項交通數據可能被竊取、篡改,甚至會影響到廣大人民群眾的出行安全。如何部署有效的安全策略,提升視頻專網的安全防護能力水平已成為交通管理部門的重要任務之一。
1 視頻專網面臨的主要安全風險
視頻專網主要用于匯接各類政法、公安機關自建的視頻監控系統,通過安全邊界向公安網和互聯網用戶提供信息。交通管理信息系統中的道路視頻監控攝像頭、高清卡口、電子警察、信號控制系統、交通流量采集系統等均已廣泛部署在視頻專網中 。綜合考慮當前我國視頻專網的網絡架構和業務流程的特點,其主要面臨的安全風險有以下四個方面。
1.1 網絡非法互聯現象普遍
視頻專網在規劃設計上已充分考慮與互聯網及其他網絡物理隔離 [2],可以通過部署防火墻、邊界接入平臺等安全技術措施,與公安網、互聯網等不同網絡進行信息交換與共享。但是, 在實際工作中,視頻專網中可以使用多網卡、網絡出口、網絡代理、無線 AP、NAT 邊界等多種技術手段繞過安全設備監管,與外部互聯網連接的風險依然存在。
1.2 設備接入缺少安全管控
當前,視頻專網缺少對于接入設備的集中物聯管控能力,存在大量違規外聯、違規內聯、“網中網”等現象,易造成網絡負載過重、網絡癱瘓、數據紊亂、敏感數據丟失等問題,設備違規接入的安全隱患不容忽視。
1.3 安全防護措施仍有不足
由于交通管理部門的視頻專網具有網絡傳輸上的特殊性和前端設備安裝環境的復雜性 , 在當前專網建設快速擴展的大環境下,視頻專網的安全保障明顯滯后于建設,安全防護整體考慮有所不足。此外,視頻專網的前端設備、計算機、服務器等存在弱口令、操作系統漏洞、木馬軟件、病毒威脅等問題,進一步增加了視頻專網被非法控制、盜取數據等情況發生的可能性。
1.4 安全運維能力有待提升
當前,視頻專網在網絡安全運維層面仍然面臨較大的挑戰。一是通用設備高危漏洞層出不窮,漏洞修復進度遲緩,進一步降低了攻擊者的攻擊難度。二是缺乏審計日志等安全審計管理,對使用者操作記錄難以進行回查,易造成越權操作、修改、刪除等情況的發生。
2 國內外視頻專網安全現狀
視頻專網的網絡安全主要是指識別基于《公共安全視頻監控聯網系統信息傳輸、交換、控 制 技 術 要 求》、Onvif(Open Network Video Interface Forum,開放型網絡視頻接口論壇)、《公共安全視頻監控聯網信息安全技術要求》以及《公安視頻圖像信息應用系統》等標準的視頻業務,對整體視頻前端 IP 設備和傳輸的流量進行精確管控。視頻專網安全防護的核心是通過多種安全機制和技術管理手段,保障前端設備采集數據、網絡傳輸數據、監控中心存儲數據及終端應用數據的安全,并能夠實現快速識別與定位風險的視頻監控網絡。
2.1 國外視頻專網安全現狀
當前, 全球物聯設備數量高速增長, 據GSMA(全球移動通信系統協會)預測,2025 年, 全球物聯網設備聯網數量將達到 252 億 。隨著 LoRa、NB-IoT 和 5G 等通信技術的廣泛應用和快速發展,萬物互聯已成為大勢所趨。視頻監控設備作為物聯網中最典型應用的前端感知層設備,已被廣泛應用于智慧城市、智慧交通、智能生產和智能家居等眾多領域。
由于視頻監控設備等物聯網感知層設備在設計之初缺乏安全性的考慮,近年來安全漏洞頻現,已成為黑客攻擊的最佳突破口。2016 年底, 數十萬攝像頭組成的僵尸網絡Mirai,以620G(當時最大)的 DDoS 流量,攻擊美國域名服務商迪恩(Dyn),導致美國多家知名網站無法訪問, 發生大規模斷網事件。自此,Mirai 僵尸網絡成為全球物聯網安全標志性事件。2018 年,物聯網攝像頭再次成為攻擊“跳板”,兩家網絡服務提供商迪恩與亞馬遜遭受網絡攻擊,導致美國多家網站無法訪問。
進入 2019 年,基于視頻監控設備等物聯網終端的攻擊事件頻發,僵尸網絡和勒索軟件等大規模攻擊事件時有發生。據綠盟科技的數據顯示,2019 年,全球爆發超過 300 起物聯網安全相關事件 , 與 DDoS、勒索軟件攻擊等相關的攻擊事件達到了69 起,占總數的21.3%。
同時, D-link 終端停止更新的問題也表明大批量已經不再更新維護的終端設備如果不經過有效治理, 將長期存在脆弱性和風險。嚴峻的物聯網安全形勢也引起了各國政府的高度重視,2019 年, 美國和日本分別頒布了法令和政策措施對物聯網終端展開安全治理,提高對物聯網安全威脅的綜合防范。
2.2 國內視頻專網安全現狀
視頻監控網絡依據覆蓋范圍、用途、規模可以分為個人、小型、中型和大型四種不同復雜度級別的應用場景類型。當前,我國市場占有率最高的視頻監控網絡應用場景類型是用于城市級綜合管控和公共安全的大型視頻監控網絡。其中,最典型的應用則是以“全域覆蓋、全網共享、全時可用、全程可控”為最終建設目標的“雪亮工程”。
為全面提升城市安全防控能力,推進平安鄉村建設,2018 年 1 月《中共中央國務院關于實施鄉村振興戰略的意見》 首次提出了“雪亮工程”的概念。實際上,“雪亮工程”建設既是實現數據交互和信息共享、增強設備互聯互通的重要基礎,也是加快系統聯網、促進網絡互聯、平臺互通,實現公共區域視頻圖像資源聯網共享的有力依托。隨著越來越多“平安城市”“雪亮工程”等新建城市綜合管控系統項目,以視頻專網為代表的物聯網應用不斷延展, 視頻專網的建設已從中心城市、大城市向二、三級城市及農村地區邁進,由沿海地區向中西部地區深入。
然而,視頻專網建設的快速開展也暴露了專網安全防護能力不足、安全管理措施不到位等諸多安全問題。據統計,我國暴露在互聯網上的視頻監控設備 IP 數量高達 260 萬個,位居全球榜首。隨著視頻專網前端感知層、網絡傳輸層和應用層的風險日益攀升,如不加以防護, 一旦發生網絡攻擊,可導致設備被控、數據竊取和隱私泄露等安全風險,對個人、社會、國家的網絡安全造成巨大影響。
3 視頻專網安全綜合防護體系
綜合考慮視頻專網的安全監管需求以及安全防護的重點和難點,視頻專網安全綜合防護體系主要由設備接入安全、網絡安全、應用安全和安全運維管理四個層面共同組成,如圖 1 所示。
圖 1 視頻專網安全綜合防護體系
3.1 設備接入安全
視頻專網的感知層需接入大量攝像頭等前端設備,數量眾多且地點分布廣泛。因此,設備安全主要考慮從前端感知節點到網關節點之間的安全問題,應從前端、終端和主機三個方面采取安全措施。
前端方面,由于攝像頭等前端設備功能單一、計算能力弱、缺乏安全防護能力,當前端設備出現異常時管理員往往無法做出及時有效的處理,會面臨數據泄露風險,惡意軟件感染等。因此,前端安全應建立接入數據協議白名單準入機制、前端設備接入認證機制,采取主動掃描、手工設置和實時檢測等有效手段,及時發現非法接入的未知、仿冒、違規設備,并基于協議白名單,對非法接入數據進行識別和過濾, 從而實現對非法惡意行為的識別、告警和實時阻斷 。
終端方面,為強化對系統運行狀況的監控, 減少不必要的系統服務,增強系統自身對各類攻擊、病毒的抵御能力,提高終端系統整體安全性,可采取系統安全加固、安裝殺毒軟件、使用上網行為管理、部署準入控制設備等措施, 降低系統自身的安全風險。同時,由于管理員是終端的主要使用者,應通過制定使用規范等安全管理制度,加強對終端使用人員的安全管理。
主機方面,視頻專網的主機主要是指視頻監控平臺中各視頻管理系統,其安全防護的目標是保障各視頻管理系統在數據存儲和處理過程中的保密性、完整性和可用性 [9]。由于這些主機系統存在安全漏洞、缺乏攻擊抵御能力、缺少漏洞修復能力以及人為誤操作等安全風險, 因此,主機安全防護不僅要考慮硬件、固件、系統軟件的自身安全,還需要考慮采取適當的安全技術和安全管理措施。
3.2 網絡安全
視頻專網的網絡安全主要聚焦于網絡邊界安全和網絡傳輸安全,具體可以從邊界訪問控制、互聯網接入安全、鏈路安全和數據安全等方面采取安全措施。
邊界訪問控制主要是通過部署下一代防火墻、安全網關等設備,實現網絡縱深防護,是實現可信網絡的首要前提。此外,應從源 IP 地址、源端口、目的 IP 地址、目的端口和協議的邊界安全防護五元組策略的角度進行有效建設, 限制對網絡的非法訪問,并對目標網絡系統漏洞、協議弱點、惡意攻擊、異常流量、病毒蠕蟲、間諜軟件等網絡威脅進行一體化深度防御 。
由于互聯網中存在大量的攻擊、病毒等網絡安全威脅,視頻專網在接入互聯網時需要在視頻專網邊界加強安全防護措施。為防止越權訪問和非法攻擊,應部署防火墻等邊界防護產品并按照嚴格的安全策略和安全規則進行檢測過濾;同時針對互聯網中各種攻擊行為,部署入侵防御設備和抗 DDoS 攻擊設備,重點監控和檢測網絡的攻擊行為及防御網絡應用攻擊。
保障鏈路安全是確保專網網絡安全傳輸的重要基礎。數據傳輸過程中若發生網絡設備或者鏈路故障,極易造成視頻傳輸中斷,無法滿足視頻實時監控的要求。因此,應采用硬件冗余方式對數據鏈路和網絡設備進行備份冗余, 在發生物理故障時確保視頻數據傳輸不中斷。
數據安全性主要強調視頻數據本身的安全性保障。從數據機密性、數據完整性和數據可用性的安全目標出發,應采取適當的安全技術措施以確保數據傳輸和數據存儲的安全性。其中,為更好地應對數據傳輸過程中可能涉及的數據監聽竊取等安全風險,應采取基于 Https 的Web 管理平臺訪問和基于加 / 解密機的加密傳輸等加密技術應用交互過程、數據傳輸過程對數據進行加密;數據存儲方面則需要對數據相關設備操作的管理員實施訪問控制,并通過硬件冗余方式實現數據存儲安全。
3.3 應用安全
視頻專網的應用系統主要是指各視頻監控平臺,其安全性主要體現為降低應用系統在管理維護過程中的安全風險以及自身安全漏洞造成的風險,保障應用系統數據交互過程的安全。視頻專網的應用安全需要從應用系統賬戶管理、運維審計系統和應用系統攻擊防護等幾個方面考慮,部署相應安全措施來實現。
應用系統賬戶分配到管理員后,賬戶安全管理完全依賴于管理員個人的安全意識。因此,對于各應用系統賬戶應采取由管理員集中生成、集中管理、授予操作權限、賬戶不共用以及多種認證技術結合等措施加強賬戶安全性。同時, 對賬戶操作記錄進行審計,并對因賬戶密碼泄露導致的安全問題進行追責,從而提高個人賬戶安全管理意識。
運維審計系統,也被稱為堡壘機,聚焦于核心系統運維和安全審計管控功能 。從技術實現上講,通過切斷終端對網絡和服務器資源的直接訪問,采用協議代理的方式 ,實現了運維工作中的賬戶管理、身份認證、資源授權、訪問控制和操作審計等功能。同時,通過設置有效的安全管控策略,降低人員誤操作等風險, 避免安全損失,保障視頻專網運維安全。
視頻專網應用系統面臨的安全挑戰主要包括用戶身份仿冒、未授權訪問、WEB 攻擊等。由于應用系統的復雜性、多樣性和動態變化等特點,應用系統安全防護也需要針對不同的應用來設計安全策略并部署相應的安全措施,主要可以通過部署入侵防御系統和 Web 應用防火墻等專業的安全設備進行應用層安全防護。
3.4 安全運維管控
在確保設備安全、網絡安全和應用安全的基礎上,視頻專網還應通過建設統一安全管控平臺,實現對終端、網絡、安全、業務等資源的高效整合,定期對專網進行安全檢測、網絡風險評估以及網絡安全運維保障,并通過態勢感知等技術手段實現視頻專網安全管控的可視化呈現。
3.4.1 安全運維管理
為有效開展交通管理視頻專網的安全運行維護工作,應著力將管理流程、管理內容與相關的管理制度有機結合,強化視頻專網運行維護的規范化管理。視頻專網重點安全防護系統建設任務完成后,依靠已經建設的安全管控系統,應制定日常管理制度,主要包括網絡管理制度、系統和應用管理制度、故障管理制度、安全管理制度、人員管理制度和技術支持工具管理制度等 。
同時,由于視頻專網的安全保障不僅和系統管理員的安全意識有關,還與領導的決策、員工的安全操作等密切相關。因此,應定期對視頻專網涉及的各類工作人員(高層管理人員、系統安全管理員、技術部門管理人員和普通工作人員)進行相應的安全培訓,針對視頻專網中各種可能的安全風險,模擬各種突發狀況, 定期組織應急演練,提升安全運維能力。安全技術培訓還應包括網絡安全現狀、網絡安全技術、網絡安全評估、系統滲透測試、基線配置核查、安全應急響應、安全漏洞檢測、信息安全意識等內容。
3.4.2 綜合安全管控
為全面提升視頻專網的綜合安全管控能力, 應考慮建設視頻專網安全檢測平臺,對視頻專網進行實時安全評估,及時發現專網各環節的安全風險,進行主動性安全防護。基于專網安全檢測平臺以資產分析為入口,從網絡、主機、應用、終端、數據、物理、管理等 7 個方面,可以對視頻專網進行定期全面的風險評估。同時, 將專網安全檢測平臺與基礎硬件設備有機結合, 從而實現網絡安全策略優化以及網絡安全運維保障等安全服務內容。
此外,結合主動獲取和被動接收等多種事件獲取方式,視頻專網安全管控還應收集所有類型的事件信息,利用模式匹配對事件與日志進行數據解析。基于在旁路部署分析引擎來采集和獲取網絡中的數據流量,監控和分析網絡中的異常行為。視頻專網安全管控平臺應包含各類在線終端統計、攝像頭在線率情況、各單位資產數量監測、攝像頭廠家分布等,幫助管理員從全局的角度去掌控視頻專網運行狀況; 同時,當視頻專網中發生新接入設備、非法終端接入、接入設備掉線等情況時,該平臺應進行實時告警,協助管理員進行及時處理。
4 結 語
交通管理部門視頻專網具有規模龐大、網絡分支較多、前端接入設備地理位置分散、人為監管困難、數據量大且較為敏感等特點,導致視頻專網存在較大的安全隱患。近年來,物聯網安全事件日益頻發,視頻專網的安全引發廣泛關注,針對視頻專網的安全建設需求,提高設備安全、網絡安全、應用安全防護水平, 強化視頻專網的安全運維和綜合管控,對于交通管理部門視頻專網的安全保障具有重大意義。
