視頻監(jiān)控設(shè)備安全事件頻發(fā)，凸顯安防企業(yè)網(wǎng)絡(luò)安全意識缺失

當(dāng)今的全球信息化時代，隨著信息通信技術(shù)的發(fā)展和普及，聯(lián)接已成為新的常態(tài)。越來越多的攝像頭、傳感器、手機等終端被廣泛部署，并由無處不在的網(wǎng)絡(luò)聯(lián)接起來，物理世界得以更準(zhǔn)確地在數(shù)字世界中呈現(xiàn)，這使得我們可以更好地觀察、分析、應(yīng)用物理世界的數(shù)據(jù)，且不再受時空束縛。

而當(dāng)終端設(shè)備一旦分布在互聯(lián)網(wǎng)、移動通信網(wǎng)、物聯(lián)網(wǎng)、車聯(lián)網(wǎng)等物理網(wǎng)絡(luò)，就不可避免的會遭受入侵、攻擊、竊聽、篡改等網(wǎng)絡(luò)威脅?？梢哉f，便捷拜網(wǎng)絡(luò)和技術(shù)所賜，風(fēng)險也因網(wǎng)絡(luò)和技術(shù)而生。安防系統(tǒng)目的是為了維護整個社會治安穩(wěn)定，涉及大量的用戶隱私數(shù)據(jù)，因此從事安防行業(yè)的企業(yè)更加應(yīng)該重視網(wǎng)絡(luò)安全風(fēng)險。然而現(xiàn)實，卻不容樂觀：

2014年4月，央視報道市場上大部分家庭攝像機“曝光”隱私，攝像機不再照看家庭的安全，而是將家庭的隱私曝光在網(wǎng)絡(luò)上;

2014年12月，烏云安全團隊披露，某廠商數(shù)字錄像機被攻擊后感染了病毒，變成了僵尸網(wǎng)絡(luò)的一部分，被用于掃描存在漏洞的其它網(wǎng)站。此外有的DVR還被安裝了比特幣挖礦程序，淪為黑客的掙錢工具;

2015年2月，媒體曝光了某廠商監(jiān)控設(shè)備“存在嚴(yán)重安全隱患”、“部分設(shè)備已經(jīng)被境外IP地址控制”嚴(yán)重安全事件;

諸如此類事件不勝枚舉。

作為守護大眾安全的設(shè)備，為何自身的網(wǎng)絡(luò)安全漏洞反而如此之多?其實，這背后反映的是安防業(yè)內(nèi)大多數(shù)企業(yè)的網(wǎng)絡(luò)安全意識淡薄、產(chǎn)品安全防護技術(shù)手段欠缺的普遍現(xiàn)狀。

三組重拳，華為打造安全防范手段最豐富的網(wǎng)絡(luò)攝像機

網(wǎng)絡(luò)攝像機“麻雀雖小五臟俱全”，除了光學(xué)鏡頭、圖像傳感器、圖像編碼壓縮芯片、控制器、網(wǎng)絡(luò)服務(wù)器等硬件外，還包含操作系統(tǒng)、硬件驅(qū)動軟件、圖像編碼壓縮算法軟件、視頻應(yīng)用軟件等各類軟件。網(wǎng)絡(luò)攝像機安全防范機制的設(shè)計需要從系統(tǒng)層面、應(yīng)用層面、管理層面全面考慮。

華為基于對網(wǎng)絡(luò)安全的深透理解和多年技術(shù)積累，為華為的所有網(wǎng)絡(luò)攝像機打造了全方位的網(wǎng)絡(luò)攝像機技術(shù)安全體系，確保網(wǎng)絡(luò)攝像機的系統(tǒng)安全和數(shù)據(jù)隱私安全。

7重安全防護機制

華為網(wǎng)絡(luò)攝像機在安全性架構(gòu)設(shè)計時采用了7重安全防護機制：

◆ 強密碼管理機制：

使用強密碼策略：如密碼長度限制、強制字符組合及弱密碼檢測等，防止密碼攻擊;修改密碼時驗證舊密碼、驗證通過才能修改，初始密碼可配置為必須修改才可登錄系統(tǒng);

密碼加密保存，不允許明文保存或顯示;

◆ 認(rèn)證與會話控制：能對設(shè)備系統(tǒng)進行管理的物理接口和協(xié)議均有接入認(rèn)證機制，必須輸入正確的用戶名和口令才能登錄系統(tǒng);用戶登錄連續(xù)多次輸入錯誤密碼后用戶名被鎖定，無法登錄系統(tǒng);

◆ 最小授權(quán)規(guī)則：系統(tǒng)中新建的用戶，默認(rèn)只有最小的權(quán)限;

◆ 文件授權(quán)管理：非授權(quán)用戶不能訪問文件;

◆  安全日志：所有的用戶活動和操作指令均記錄日志，日志內(nèi)容能支撐事后的審計，日志有訪問控制，且只有管理員才能有刪除權(quán)限。

◆ 加密算法：使用高安全等級加密算法(SHA256、AES128等)，降低敏感信息被破解的風(fēng)險;不使用私有算法;

◆ 安全協(xié)議，使用高級別安全協(xié)議對設(shè)備進行維護管理，如SSHV2、TLS1.1、FTPS。

108條網(wǎng)絡(luò)安全測試

華為攝像機與華為公司其他產(chǎn)品一樣，出廠前必須經(jīng)過華為自己定義的13類108條的網(wǎng)絡(luò)安全測試規(guī)范，全面的、嚴(yán)格的測試網(wǎng)絡(luò)攝像機等所有產(chǎn)品的網(wǎng)絡(luò)安全防護體系的實現(xiàn)情況，確保華為公司的產(chǎn)品在法律合規(guī)下確保用戶的通信內(nèi)容、個人數(shù)據(jù)及隱私的安全。

8項防護技術(shù)

華為網(wǎng)絡(luò)攝像機在設(shè)備上線后，還有8種特色技術(shù)來保障系統(tǒng)安全和數(shù)據(jù)完整：

◆ IP地址過濾：為了防止惡意IP對IPC進行網(wǎng)絡(luò)攻擊，設(shè)置可以或禁止訪問IPC的特定IP地址段，IPC將丟棄非法IP發(fā)過來的所有數(shù)據(jù)包。

◆ 802.1x 接入認(rèn)證：限制未經(jīng)授權(quán)的用戶/設(shè)備通過交換機接入端口訪問到LAN/WLAN中的網(wǎng)絡(luò)攝像機圖像，杜絕未授權(quán)用戶或設(shè)備的非法訪問。

◆ AES碼流加密：編碼輸出后RTP打包之前對視頻流進行AES加密后在進行平臺側(cè)再解密后存儲;因此，即使碼流在傳輸過程中被竊取也無法使用，從而避免視頻被非法使用;

◆ 數(shù)字水?。壕幋a時提取當(dāng)前幀的特征信息，并結(jié)合用戶設(shè)置的特征值運算得到幀數(shù)據(jù)的唯一水印值，平臺使用同樣算法判斷接收到水印值與當(dāng)前計算出來的水印值是否一致，不一致時提示告警。

◆ 媒體流前向糾錯：在網(wǎng)絡(luò)狀況差而導(dǎo)致丟包錯包較多時，IPC編碼時增加數(shù)據(jù)糾錯包，平臺利用算法將丟失的數(shù)據(jù)恢復(fù)出來，避免數(shù)據(jù)丟失;

◆ MTU可設(shè)置：攝像機根據(jù)用戶設(shè)置的最大傳輸單元調(diào)整發(fā)送媒體數(shù)據(jù)包大小，網(wǎng)絡(luò)設(shè)備自動以合適大小數(shù)據(jù)包改善網(wǎng)絡(luò)傳輸情況，避免網(wǎng)絡(luò)傳輸中丟失媒體數(shù)據(jù)包;

◆ QoS可設(shè)置：用戶可根據(jù)實際網(wǎng)絡(luò)情況設(shè)置IPC媒體流和信令流的優(yōu)先級，網(wǎng)絡(luò)傳輸設(shè)備則據(jù)此優(yōu)先級傳輸媒體流和信令流，避免延遲或丟棄;

借助上述三組網(wǎng)絡(luò)安全防護手段，華為網(wǎng)絡(luò)攝像機構(gòu)建起了堪稱業(yè)界最完善的安全防護體系，產(chǎn)品系統(tǒng)安全和業(yè)務(wù)數(shù)據(jù)完整都得到了最大的保障。

華為公司將構(gòu)筑并全面實施端到端的全球網(wǎng)絡(luò)安全保障體系作為公司的重要發(fā)展戰(zhàn)略之一

值得強調(diào)的是，華為公司將構(gòu)筑并全面實施端到端的全球網(wǎng)絡(luò)安全保障體系作為公司的重要發(fā)展戰(zhàn)略之一，在遵從所有適用的國家和地區(qū)安全法規(guī)、國際電信標(biāo)準(zhǔn)和參考行業(yè)最佳實踐的基礎(chǔ)上，從政策、組織、流程、管理、技術(shù)和規(guī)范等方面建立和完善可持續(xù)、可信賴的安全保障體系。在組織方面，全球網(wǎng)絡(luò)安全委員會作為華為公司的最高網(wǎng)絡(luò)安全管理機構(gòu)，負(fù)責(zé)決策和批準(zhǔn)公司總體網(wǎng)絡(luò)安全戰(zhàn)略。在業(yè)務(wù)流程方面，安全保障活動融入研發(fā)、供應(yīng)鏈、市場與銷售、工程交付及技術(shù)服務(wù)等各環(huán)節(jié)中，作為質(zhì)量管理體系的基本要求，通過管理制度和技術(shù)規(guī)范來確保其有效實施。在人員管理方面，華為全體員工以及合作伙伴、外部顧問都必須嚴(yán)格執(zhí)行公司相關(guān)安全政策，接受安全培訓(xùn)，使安全理念融入整個組織之中。

華為公司愿意并正在與有關(guān)政府、客戶及行業(yè)伙伴以開放和透明的方式，共同應(yīng)對安全方面的挑戰(zhàn)，全面滿足客戶的網(wǎng)絡(luò)安全需求。