视频专网已成为城市最重要的基础设施之一,在防范打击犯罪、维护社会治安稳定、创新社会管理等各方面发挥了重大的作用。但视频监控系统的风险也逐步暴露出来,针对网络摄像头的网络攻击事件比例逐年呈上升趋势,攻击者利用网络摄像头漏洞获取设备控制权限,进而形成僵尸网络,被用于发起大流量DDOS攻击,或用于隐私信息窃取等。
视频专网管控现状及存在的问题
目前大部分网络摄像头的安装位置比较偏僻,且网络摄像头接入层没有进行任何管理和控制,存在以下风险:
一是接入控制时,容易被恶意攻击者利用
当前业内摄像头在接入网络的时候,没有好的设备身份认证和管理手段,存在容易被恶意攻击者仿冒接入网络后盗取视频数据、发起攻击等风险。
二是摄像头访问权限过大,一旦被非法用户控制安全隐患大
摄像头接入公安视频专网,仅需要与视频服务器通讯,如果摄像头的网络权限和访问范围设置不当或没有控制好,网络摄像头一旦被攻击者控制,将带来巨大的网络安全隐患。
三是网络摄像头缺乏统一管理,维护工作量大
各级机关对本单位的家底并不清楚,如何快速摸清自己的家底,实现网络摄像头自动发现、智能分类、集中管理是前提,同时通过MAC管理的方式也大大增加了管理员的维护工作量,效率也是摆在各级单位迫切需要解决的问题。
四是不能有效防范APT攻击
公安视频专网网络规模不断扩张,视频专网变得越来越复杂,目前现有防火墙等设施无法彻底解决网络摄像头被APT攻击的问题,不能及时发现网络中存在的仿冒入侵、特洛伊木马等威胁。
传统视频专网解决方案与不足
(1)防火墙:通过预置规则控制网络访问,仅针对已知风险
(2)IDS等流量分析:旁路部署,全流量分析,仅针对已知威胁
以上两种方案的不足:
·无法防御社会工程、组合攻击等攻击方法
·依赖特征库,不能发现和抵抗最新的网络攻击
·无法知道内部设备脆弱性
·无法防御内部攻击,如仿冒接入等
(3)准入、桌面助手:采用NACC或标准协议实现接入控制,通过客户端实现桌面管理。
不足之处:
·仅实现网络接入控制和桌面管理
·缺乏主动探测手段,对资产弱口令、漏洞等脆弱性不可知
·基于IP/MAC,对仿冒接入等异常行为缺乏严格的控制机制
·很难对入侵行为进行精准实时阻断
·不能对风险进行全景安全展示
下一代网络准入控制系统,让视频专网准入安全达标
传统的静态防护面临着设备管理、风险处置、设备接入、异常行为等挑战,已无法应对变化多端的动态攻击和合规政策需要。联软提供的下一代准入控制系统——UniNID可解决复杂网络环境下用户对网络摄像头的准入控制、权限管理、资源访问控制、异常行为阻断等问题,有效提升公安视频专网的可靠性和安全性。
一是视频专网复杂网络环境下准入控制
面对视频专网不同接入方式(有线、无线、HUB、无线接入等)、不同网络设备(H3C、CISCO等几乎全部网络设备)的各种复杂网络环境,联软科技可通过综合利用802.1X、EOU、NACC等多种方案,解决大量网络摄像头准入控制的问题。
二是防止摄像头仿冒
对网络摄像头除了提供MAB、IAB接入认证外,还提供了网络摄像头设备ID、网络摄像头接入端口等多种认证方式,可有效防止非法用户仿冒合法终端的MAC、IP接入公安视频专网的问题。
三是实施精准的权限控制
可通过RAC细粒度资源访问控制技术,通过集中下发ACL的方式实现网络摄像头细粒度的准入控制,确保授权、合规的网络摄像头自动放行,无需输入用户名密码,无需安装客户端,可实现精准的端口级控制。未授权的网络摄像头被拒绝接入视频专网,并通过动态VLAN或访问控制列表技术给摄像头指定最小的资源访问权限,确保网络摄像头仅能与视频服务器等必要资源进行通讯。
四是网络摄像头接入快速发现、定位和自助管理,降低用户维护工作量
通过不同维度的资产属性组合,建立资产唯一标识指纹信息,进而积累丰富的资产指纹类型,构建强大的指纹识别库。自动发现部署在网络中的摄像头,并收集网络摄像头的IP、MAC、在线状态、设备类型、接入位置等信息,便于用户掌握资产情况。
五是持续漏洞扫描,及时发现可能的威胁并阻断
持续漏洞扫描,发现存在的风险暴露面、系统层漏洞、Web应用安全漏洞、弱口令、第三方组件漏洞等。漏洞发现采用POC插件进行判断,可快速复现,准确性高。如果一旦发现摄像头的行为特征发生变化,会及时通知管理员,并执行网络阻断等操作。
六是精准感知风险,防范APT等未知攻击
采用大数据和智能分析引擎,以数据为中心,从网络摄像头、视频专网、视频应用、视频数据等多个层面,以网络摄像头等设备信息、网络流量、威胁情报作为分析源,以自主的产品作为主要管控技术(如网络准入控制、幻影等技术),一旦发现威胁行为立即以日志、告警的方式通知责任人,并根据预先配置好的方式进行阻断,事后用户可以在系统上查看威胁的详细透视图及取证报告。
在公安系统中,摄像头是取证的重要来源。公安网络中有大量的摄像头部署在全省、全市的每个角落,如何保障摄像头的安全接入尤为重要。通过部署联软下一代网络准入控制系统,可以全方位的发现视频专网中的风险和威胁,真正的为企业网络边界安全保驾护航。