視頻監(jiān)控系統(tǒng)作為維護(hù)國(guó)家公共安全的重要工具,遍布國(guó)家重要機(jī)構(gòu)和群眾生活的各個(gè)領(lǐng)域,涵蓋了國(guó)家安全機(jī)密及普通百姓日常生活隱私的各個(gè)方面,也成為案事件處理的最直接和最關(guān)鍵的線索證據(jù)來(lái)源,重要性日益凸顯。然而視頻監(jiān)控系統(tǒng)的安全防護(hù)和保障機(jī)制卻沒(méi)有跟上前端攝像頭和網(wǎng)絡(luò)的發(fā)展,針對(duì)視頻監(jiān)控系統(tǒng)的威脅事件持續(xù)發(fā)生,嚴(yán)重時(shí)導(dǎo)致業(yè)務(wù)中斷和數(shù)據(jù)失竊,甚至可能被不法分子利用進(jìn)行犯罪活動(dòng)。
信息安全威脅來(lái)自哪里?
信息安全威脅來(lái)自四面八方,每一個(gè)環(huán)節(jié)都可能會(huì)受到攻擊。視頻監(jiān)控系統(tǒng)雖為安全防范而生,但其本身也面臨著諸多安全威脅,如:非法訪問(wèn)、協(xié)議攻擊、密碼盜取、惡意代碼植入、非法獲取數(shù)據(jù)、日志擦除和篡改。
如何防范?
信息安全不能僅僅依靠某一個(gè)或某一類產(chǎn)品,而是要將安全基因融入到視頻監(jiān)控系統(tǒng)中的每一個(gè)環(huán)節(jié)中,才能構(gòu)建可靠的安全解決方案。STRIDE安全威脅分析方法是一個(gè)從信息安全的威脅源開(kāi)篇,以終結(jié)這些威脅為終點(diǎn)的方法論,華為公司以此為基礎(chǔ)構(gòu)建了一套完善的安全設(shè)計(jì)體系,每一款產(chǎn)品和解決方案在設(shè)計(jì)過(guò)程中都嚴(yán)格遵循這個(gè)安全體系,構(gòu)建安全的攝像頭、安全的傳輸網(wǎng)絡(luò)、安全的平臺(tái)、安全的IT系統(tǒng)。
常見(jiàn)的安全威脅內(nèi)容如下:
仿冒:非法用戶通過(guò)構(gòu)造仿冒身份接入網(wǎng)絡(luò);
篡改:非法用戶通過(guò)截獲數(shù)據(jù)流在未經(jīng)授權(quán)的情況下篡改數(shù)據(jù);
抵賴:某些用戶下發(fā)了危險(xiǎn)操作導(dǎo)致事故后拒不承認(rèn);
信息泄露:非法用戶通過(guò)某些渠道獲取到關(guān)鍵信息,如密鑰文件、明文存儲(chǔ)的密碼等;
拒絕服務(wù):非法用戶通過(guò)發(fā)送大量并發(fā)請(qǐng)求或者構(gòu)造緩沖區(qū)溢出導(dǎo)致系統(tǒng)拒絕服務(wù);
權(quán)限提升:低權(quán)限用戶通過(guò)系統(tǒng)漏洞或其他手段獲取到高權(quán)限甚至系統(tǒng)管理員權(quán)限;
圖1-STRIDE安全威脅分析方法
華為如何構(gòu)建安全的視頻監(jiān)控系統(tǒng)
華為采用分層的安全架構(gòu)模型,通過(guò)標(biāo)準(zhǔn)的威脅模型和STRIDE安全威脅分析方法,構(gòu)建安全的視頻監(jiān)控系統(tǒng),具體方案如下圖:
華為視頻監(jiān)控方案從接入層、網(wǎng)絡(luò)邊界、應(yīng)用及存儲(chǔ)四個(gè)層面保障系統(tǒng)安全:
接入安全:
· 針對(duì)終端接入認(rèn)證、行為審計(jì)策略,非法文件傳輸告警;
· 針對(duì)U盤拷貝、光盤刻錄控制、審計(jì),保護(hù)案件錄像安全;
· 終端病毒、木馬、蠕蟲查殺、惡意軟件防護(hù);
· 操作系統(tǒng),數(shù)據(jù)庫(kù),中間件系統(tǒng)全面安全補(bǔ)??;
· 最小化安裝、最小化服務(wù)、內(nèi)核參數(shù)優(yōu)化、主機(jī)防火墻。
網(wǎng)絡(luò)&邊界安全:
· 網(wǎng)絡(luò)拓?fù)浒踩O(shè)計(jì)、網(wǎng)絡(luò)邊界保護(hù)(如防火墻ACL控制);
· 網(wǎng)絡(luò)數(shù)據(jù)加密(VPN等)、網(wǎng)絡(luò)協(xié)議安全、網(wǎng)絡(luò)設(shè)備保護(hù)。
應(yīng)用安全:
· 客戶端和前端自身安全及接入認(rèn)證安全(口令策略,用戶管理,訪問(wèn)控制和授權(quán),加密會(huì)話管理,運(yùn)行安全,輸入校驗(yàn)等);
· 用戶側(cè)敏感信息存儲(chǔ)安全加密;
· 媒體安全及媒體水印技術(shù);
存儲(chǔ)安全:
作為自主可控的專業(yè)存儲(chǔ)系統(tǒng)提供商,華為針對(duì)存儲(chǔ)設(shè)備和存儲(chǔ)網(wǎng)絡(luò)的各類安全威脅,對(duì)存儲(chǔ)系統(tǒng)進(jìn)行全面數(shù)據(jù)安全保障。
1. 存儲(chǔ)業(yè)務(wù)安全層面:ACL訪問(wèn)控制、CHAP連接認(rèn)證和共享協(xié)議鑒權(quán)機(jī)制、數(shù)據(jù)徹底銷毀機(jī)制、采用國(guó)家密碼管理局支持的標(biāo)準(zhǔn)國(guó)密算法實(shí)現(xiàn)關(guān)鍵視頻數(shù)據(jù)加密。
2. 存儲(chǔ)網(wǎng)絡(luò)安全層面:存儲(chǔ)系統(tǒng)依據(jù)功能的不同而劃分為業(yè)務(wù)平面、控制平面和管理平面,彼此互相隔離運(yùn)行;系統(tǒng)遠(yuǎn)程訪問(wèn)均采用安全的傳輸協(xié)議,消除不安全協(xié)議帶來(lái)的安全風(fēng)險(xiǎn)。
3. 存儲(chǔ)設(shè)備安全層面:最小化操作系統(tǒng)及加固、安全補(bǔ)丁的定期升級(jí)、防SQL注入式攻擊機(jī)制、防跨站請(qǐng)求偽造機(jī)制、防跨站腳本攻擊機(jī)制、防UL越權(quán)機(jī)制、限制上傳和下載文件等。
4. 管理系統(tǒng)安全層面:強(qiáng)密碼復(fù)雜度策略、口令加密存儲(chǔ)與傳輸、日志審計(jì)和告警管理;嚴(yán)格的權(quán)限管理,杜絕越權(quán)訪問(wèn)。
華為經(jīng)過(guò)10年在數(shù)據(jù)安全的技術(shù)積累與實(shí)踐經(jīng)驗(yàn)沉淀,致力于提供業(yè)界最安全和專業(yè)的視頻監(jiān)控方案和服務(wù),攜手合作伙伴共同保障視頻監(jiān)控系統(tǒng)的每一道防線,共同構(gòu)建智慧、安全、輕松、穩(wěn)定的高品質(zhì)生活不懈努力。
2015年3月12日到13日,華為將在西安曲江國(guó)際會(huì)展中心舉辦“2015華為中國(guó)合作伙伴大會(huì)”。本屆大會(huì)將以“智匯陽(yáng)光共襄新程——超越夢(mèng)想 共鑄輝煌”為主題,面向數(shù)千家合作伙伴全方位展示華為針對(duì)企業(yè)市場(chǎng)的ICT產(chǎn)品和解決方案,并發(fā)布最新的渠道戰(zhàn)略和更加完善的渠道政策。