視頻專(zhuān)網(wǎng)已成為城市最重要的基礎設施之一，在防范打擊犯罪、維護社會(huì )治安穩定、創(chuàng )新社會(huì )管理等各方面發(fā)揮了重大的作用。但視頻監控系統的風(fēng)險也逐步暴露出來(lái)，針對網(wǎng)絡(luò )攝像頭的網(wǎng)絡(luò )攻擊事件比例逐年呈上升趨勢，攻擊者利用網(wǎng)絡(luò )攝像頭漏洞獲取設備控制權限，進(jìn)而形成僵尸網(wǎng)絡(luò )，被用于發(fā)起大流量DDOS攻擊，或用于隱私信息竊取等。

視頻專(zhuān)網(wǎng)管控現狀及存在的問(wèn)題

目前大部分網(wǎng)絡(luò )攝像頭的安裝位置比較偏僻，且網(wǎng)絡(luò )攝像頭接入層沒(méi)有進(jìn)行任何管理和控制，存在以下風(fēng)險：

一是接入控制時(shí)，容易被惡意攻擊者利用

當前業(yè)內攝像頭在接入網(wǎng)絡(luò )的時(shí)候，沒(méi)有好的設備身份認證和管理手段，存在容易被惡意攻擊者仿冒接入網(wǎng)絡(luò )后盜取視頻數據、發(fā)起攻擊等風(fēng)險。

二是攝像頭訪(fǎng)問(wèn)權限過(guò)大，一旦被非法用戶(hù)控制安全隱患大

攝像頭接入公安視頻專(zhuān)網(wǎng)，僅需要與視頻服務(wù)器通訊，如果攝像頭的網(wǎng)絡(luò )權限和訪(fǎng)問(wèn)范圍設置不當或沒(méi)有控制好，網(wǎng)絡(luò )攝像頭一旦被攻擊者控制，將帶來(lái)巨大的網(wǎng)絡(luò )安全隱患。

三是網(wǎng)絡(luò )攝像頭缺乏統一管理，維護工作量大

各級機關(guān)對本單位的家底并不清楚，如何快速摸清自己的家底，實(shí)現網(wǎng)絡(luò )攝像頭自動(dòng)發(fā)現、智能分類(lèi)、集中管理是前提，同時(shí)通過(guò)MAC管理的方式也大大增加了管理員的維護工作量，效率也是擺在各級單位迫切需要解決的問(wèn)題。

四是不能有效防范APT攻擊

公安視頻專(zhuān)網(wǎng)網(wǎng)絡(luò )規模不斷擴張，視頻專(zhuān)網(wǎng)變得越來(lái)越復雜，目前現有防火墻等設施無(wú)法徹底解決網(wǎng)絡(luò )攝像頭被APT攻擊的問(wèn)題，不能及時(shí)發(fā)現網(wǎng)絡(luò )中存在的仿冒入侵、特洛伊木馬等威脅。

傳統視頻專(zhuān)網(wǎng)解決方案與不足

（1）防火墻：通過(guò)預置規則控制網(wǎng)絡(luò )訪(fǎng)問(wèn)，僅針對已知風(fēng)險

（2）IDS等流量分析：旁路部署，全流量分析，僅針對已知威脅

以上兩種方案的不足：

·無(wú)法防御社會(huì )工程、組合攻擊等攻擊方法

·依賴(lài)特征庫，不能發(fā)現和抵抗最新的網(wǎng)絡(luò )攻擊

·無(wú)法知道內部設備脆弱性

·無(wú)法防御內部攻擊，如仿冒接入等

（3）準入、桌面助手：采用NACC或標準協(xié)議實(shí)現接入控制，通過(guò)客戶(hù)端實(shí)現桌面管理。

不足之處：

·僅實(shí)現網(wǎng)絡(luò )接入控制和桌面管理

·缺乏主動(dòng)探測手段，對資產(chǎn)弱口令、漏洞等脆弱性不可知

·基于IP/MAC，對仿冒接入等異常行為缺乏嚴格的控制機制

·很難對入侵行為進(jìn)行精準實(shí)時(shí)阻斷

·不能對風(fēng)險進(jìn)行全景安全展示

下一代網(wǎng)絡(luò )準入控制系統，讓視頻專(zhuān)網(wǎng)準入安全達標

傳統的靜態(tài)防護面臨著(zhù)設備管理、風(fēng)險處置、設備接入、異常行為等挑戰，已無(wú)法應對變化多端的動(dòng)態(tài)攻擊和合規政策需要。聯(lián)軟提供的下一代準入控制系統——UniNID可解決復雜網(wǎng)絡(luò )環(huán)境下用戶(hù)對網(wǎng)絡(luò )攝像頭的準入控制、權限管理、資源訪(fǎng)問(wèn)控制、異常行為阻斷等問(wèn)題，有效提升公安視頻專(zhuān)網(wǎng)的可靠性和安全性。

一是視頻專(zhuān)網(wǎng)復雜網(wǎng)絡(luò )環(huán)境下準入控制

面對視頻專(zhuān)網(wǎng)不同接入方式（有線(xiàn)、無(wú)線(xiàn)、HUB、無(wú)線(xiàn)接入等）、不同網(wǎng)絡(luò )設備（H3C、CISCO等幾乎全部網(wǎng)絡(luò )設備）的各種復雜網(wǎng)絡(luò )環(huán)境，聯(lián)軟科技可通過(guò)綜合利用802.1X、EOU、NACC等多種方案，解決大量網(wǎng)絡(luò )攝像頭準入控制的問(wèn)題。

二是防止攝像頭仿冒

對網(wǎng)絡(luò )攝像頭除了提供MAB、IAB接入認證外，還提供了網(wǎng)絡(luò )攝像頭設備ID、網(wǎng)絡(luò )攝像頭接入端口等多種認證方式，可有效防止非法用戶(hù)仿冒合法終端的MAC、IP接入公安視頻專(zhuān)網(wǎng)的問(wèn)題。

三是實(shí)施精準的權限控制

可通過(guò)RAC細粒度資源訪(fǎng)問(wèn)控制技術(shù)，通過(guò)集中下發(fā)ACL的方式實(shí)現網(wǎng)絡(luò )攝像頭細粒度的準入控制，確保授權、合規的網(wǎng)絡(luò )攝像頭自動(dòng)放行，無(wú)需輸入用戶(hù)名密碼，無(wú)需安裝客戶(hù)端，可實(shí)現精準的端口級控制。未授權的網(wǎng)絡(luò )攝像頭被拒絕接入視頻專(zhuān)網(wǎng)，并通過(guò)動(dòng)態(tài)VLAN或訪(fǎng)問(wèn)控制列表技術(shù)給攝像頭指定最小的資源訪(fǎng)問(wèn)權限，確保網(wǎng)絡(luò )攝像頭僅能與視頻服務(wù)器等必要資源進(jìn)行通訊。

四是網(wǎng)絡(luò )攝像頭接入快速發(fā)現、定位和自助管理，降低用戶(hù)維護工作量

通過(guò)不同維度的資產(chǎn)屬性組合，建立資產(chǎn)唯一標識指紋信息，進(jìn)而積累豐富的資產(chǎn)指紋類(lèi)型,構建強大的指紋識別庫。自動(dòng)發(fā)現部署在網(wǎng)絡(luò )中的攝像頭，并收集網(wǎng)絡(luò )攝像頭的IP、MAC、在線(xiàn)狀態(tài)、設備類(lèi)型、接入位置等信息，便于用戶(hù)掌握資產(chǎn)情況。

五是持續漏洞掃描，及時(shí)發(fā)現可能的威脅并阻斷

持續漏洞掃描，發(fā)現存在的風(fēng)險暴露面、系統層漏洞、Web應用安全漏洞、弱口令、第三方組件漏洞等。漏洞發(fā)現采用POC插件進(jìn)行判斷，可快速復現，準確性高。如果一旦發(fā)現攝像頭的行為特征發(fā)生變化，會(huì )及時(shí)通知管理員，并執行網(wǎng)絡(luò )阻斷等操作。

六是精準感知風(fēng)險，防范APT等未知攻擊

采用大數據和智能分析引擎，以數據為中心，從網(wǎng)絡(luò )攝像頭、視頻專(zhuān)網(wǎng)、視頻應用、視頻數據等多個(gè)層面，以網(wǎng)絡(luò )攝像頭等設備信息、網(wǎng)絡(luò )流量、威脅情報作為分析源，以自主的產(chǎn)品作為主要管控技術(shù)（如網(wǎng)絡(luò )準入控制、幻影等技術(shù)），一旦發(fā)現威脅行為立即以日志、告警的方式通知責任人，并根據預先配置好的方式進(jìn)行阻斷，事后用戶(hù)可以在系統上查看威脅的詳細透視圖及取證報告。

在公安系統中，攝像頭是取證的重要來(lái)源。公安網(wǎng)絡(luò )中有大量的攝像頭部署在全省、全市的每個(gè)角落，如何保障攝像頭的安全接入尤為重要。通過(guò)部署聯(lián)軟下一代網(wǎng)絡(luò )準入控制系統，可以全方位的發(fā)現視頻專(zhuān)網(wǎng)中的風(fēng)險和威脅，真正的為企業(yè)網(wǎng)絡(luò )邊界安全保駕護航。