立统科技SECVISION视频监控网络安全基础知识V2.1

立统科技SECVISION视频监控网络安全基础知识V2.1目录视频监控网络安全事件分享1视频监控网络安全风险分析2视频监控网络安全应用实践3视频监控技术发展视频监控行业应用模拟视频监控系统数字视频监控系统网络视频监控系统高清视频监控系统“3111工程”平安城市天网工程雪亮工程智慧交通通过人防、物防、技防，打造立体化社会治安防控体系。科技强警视频监控在公安行业应用发展视频监控在公安行业的重要性视频成为第五大侦查手段情报刑侦技侦网侦视侦（图像）助力业务目标实现指挥调度反恐维稳侦查破案治安巡防智慧交通公共安全管理执法监督和内部管理部门共享和服务民生防视频控视频监控网络安全吗？200820162017黑客入侵摄像机致土耳其石油管道爆炸事件Mirai传播致美国大断网央视曝光家庭摄像头泄密事件2017国内多款摄像机漏洞事件黑客入侵摄像头致土耳其石油管道爆炸事件2008年8月5日，土耳其（巴库-第比利斯-埃尔祖鲁姆）石油管道曾被黑客攻击，该石油管道是通过IP连接的网络监控摄像头所监控的，旨在保护管道设施。攻击者利用摄像头的漏洞闯入网络，控制了石油管道。然后他们植入恶意程序并远程获得控制器在管道阀门站的控制权。之后，他们通过改变石油压力炸毁了管道。他们还远程关闭了管道的应急系统，使管道的业主没有立即意识到被攻击。黑客入侵摄像头致土耳其石油管道爆炸事件分析利用摄像头漏洞进入网络在负责警报管理的电脑中植入后门，关闭红外探测器和视频监控系统，删除了视频监控文件。物理侵入阀门站进入小型的工业电脑，并操纵管道内压力，加压。石油管道压力过大，导致爆炸起火，完成攻击。爆炸40分钟后才被发现。阀门站石油管道内部局域网IP摄像头服务器区终端管理区黑客入侵摄像头致土耳其石油管道爆炸事件分析美国海军军事学院的国家安全事务教授德里克·雷维文说，这次事件的内幕“改写了网络战历史”。多年来，各国一直在为网络战行动打基础。此爆炸事件发生在“震网”病毒之前，这种电脑蠕虫病毒2010年令伊朗的核浓缩计划瘫痪，被广泛认为是以色列和美国发起的。事实表明，攻击巴库-第比利斯-埃尔祖鲁姆石油管道的黑客比“震网”病毒还早。美国情报官员说，这次黑客行动的首要怀疑对象是俄罗斯。这次爆炸事件发生几天后，俄罗斯战机在格鲁吉亚附近的输油管道附近扔下炸弹。Mirai物联网僵尸网络DDOS攻击致美国大断网事件2016年10月21日，美国东海岸地区遭受大面积网络瘫痪，其原因为美国域名解析服务提供商Dyn公司当天受到强力的DDoS攻击所致。其中重要的攻击源确认来自于Mirai僵尸网络。Mirai是一种主要感染IoT（物联网）设备（比如智能摄像头等）的恶意程序，而由被mirai恶意程序感染并控制的设备组成的网路，就是mirai僵尸网络。截止2017年2月4日，可以确信已经被mirai僵尸网络控制的各类IoT设备总数至少已有194.8万台Mirai物联网僵尸网络DDOS攻击致美国大断网事件分析受感染的设备端的bot程序通过随机策略扫描互联网上的设备，并会将成功猜解的设备用户名、密码、IP地址，端口信息以一定格式上传给scanListen,scanLiten解析这些信息后交由Load模块来处理，Load通过这些信息来登录相关设备对设备实施感染，感染方式有echo方式、wget方式和tftp方式。在目标设备中下bot执行远程登录执行目标设备并实施感染解析并格式化回传信息回传扫描破解结果DvrHelperLoadbotScanListenMirai物联网僵尸网络DDOS攻击致美国大断网事件分析Mirai病毒是一种通过互联网搜索物联网设备的一种病毒，当它扫描到一个物联网设备（比如网络摄像头、智能开关等）后就尝试使用默认或弱密码进行登陆，一旦登陆成功，这台物联网设备就进入「肉鸡」名单，开始被黑客操控攻击其他网络设备。在2016年10月初，ImpervaIncapsula的研究人员通过调查到的49,657个感染设备源分析发现，其中主要感染设备有CCTV摄像头、DVRs以及路由器。根据这些调查的设备IP地址发现其感染范围跨越了164个国家或地区，其中感染量最多的是越南、巴西、美国、中国大陆和墨西哥。直到2016年10月26日，通过Mirai特征搜索shodan发现，当前全球感染Mirai的设备已经超过100万台，其中美国感染设备有418,592台，中国大陆有145,778台，澳大利亚94,912台，日本和中国香港分别为47,198和44,386台。智能摄像头造成大量隐私泄密2017年6月18日，央视报道称，大量家庭摄像头遭入侵，并有人借此非法牟利。通过智能摄像头，可以远程随时随地查看家里的一切，与家人语音通话，还支持视频分享、远程操作监控视角、报警等功能。40000视频内容曝光卧室等私人场所被直播

2016年全球摄像头服务协议漏洞

4万多个直播内容泄露。不用攻击网络，可实时监看拍摄内容。

网络技术贴《RTSP未授权访问来获取摄像头内容》交通路况客厅卧室幼儿园办公场所等等泄漏场所包括：摄像头RTSP未授权访问分布排名前十的国家和地区如下：

国家

数量

中国

18230

美国

4847

日本

4041

荷兰

2170

意大利

1587

法国

1483

韩国

1331

越南

1308

英国

1304

西班牙

1121

某攻防实验室针对该安全问题对全网进行了扫描统计，发现公网可访问的RTSP服务器（554端口）有131万，无需认证可直接获取到视频内容的为45488个。40000视频内容曝光卧室等私人场所被直播事件分析网络摄像机作为安防设备，被广泛的用于交通、学校、企业、商场等公共场所，日常生活中已经无处不在的“电子眼”，并且智能“电子眼”开始逐步走入家庭中。一些网络摄像机为方便管理员远程监控，一般会有公网IP（或端口映射），接入互联网。因此许多暴露在公网的网络摄像机也成了黑客眼中的目标。这些摄像头均使用了RTSP服务及协议，RTSP（RealTimeStreamingProtocol），实时流传输协议，是TCP/IP协议体系中的一个应用层协议，该协议定义了一对多应用程序如何有效地通过IP网络传送多媒体数据，被广泛用于视频直播领域。RTSP协议的默认端口是554，默认的承载协议为TCP。许多摄像头厂商在摄像头或NVR中默认开启RTSP服务器，用户可通过VLC等视频播放软件打开rtsp地址进行摄像头画面的实时查看。厂商并没有给rtsp地址做身份认证，导致任何人都可以在未经授权的情况下直接通过地址观看到摄像头的实时内容。国产多款视频监控摄像机被爆出高危漏洞2017年6月24日，国家信息安全漏洞共享平台（CNVD）收录了海康威视与大华股份网络摄像机存在身份认证绕过漏洞、配置文件密码泄露等漏洞。远程攻击者可利用漏洞提升权限或加密其他用户身份获取敏感信息，并控制网络设备。多款摄像机漏洞事件国产多款多款DVR设备存在登录绕过漏洞

CVE漏洞信息库收录了TBKDVR4104和DVR4216系列的DVR设备及其他供应商生产DVR系列产品存在登陆绕过的安全漏洞（CVE-2018-9995）。该漏洞有可能被不法分子利用组成僵尸网络、实施网络攻击活动等问题。多款DVR设备存在登录绕过漏洞视频监控网络安全事件屡发的技术原因弱口令漏洞网络暴露摄像头出厂设置时各端口所用账号密码为默认设置或无密码，导致黑客使用密码字典批量破解扫描账号口令十分简单，入侵摄像机成为一种技术含量较低的攻击。由于生产设备厂商安全投入上不够，大量品牌摄像机都存在漏洞，并且一旦存在高危漏洞，很容易被大规模利用。由于摄像机暴露在互联网上，被攻击入侵的风险本身就高，造成大规模蠕虫网络和视频隐私泄露，催生了黑产的关注。黑客入侵某省某县视频专网挖门罗币事件upload互联网公安视频传输网公安信息通信网物理隔离物理隔离Ser-ASer-BA市A县全国200+台B市B县交警大队Ser-C双网卡双网卡Ser-D第三方运维人员VPN通道VPN通道美国、英国、香港黑客同时连接互联网和视频网同时连接交警专网和公安网控制弱口令主机控制弱口令主机全国5000+台黑客入侵某省某县视频专网挖门罗币事件分析2018安全事件后该省公安厅指示开展全省公安机关服务器防黑客和漏洞检查。横向多网接入，非法访问；视频流量夹杂病毒、木马传播；不同安全级别网络互联，越权访问；当地各县的交警部门，交警专网服务器违规使用双网卡情况普遍存在。非法用户安全接入风险；网络边界安全风险黑客入侵某省某县视频专网挖门罗币事件分析全省普遍存在安全设备默认配置，应用系统缺乏安全防护，信息明文传输用户身份认证方式简单，容易冒充省内公安机关主机服务器存在漏洞（永恒之蓝，MS12-020）等高危安全漏洞服务器自身配置不安全，认证可破解，访问无审计内网平台安全风险专网管理存在失位、缺位问题。对外部运维单位、公司缺乏有效监督管理县级地区公安机关自身技术力量薄弱，专网管理依赖承建商。安全管理风险第三方运维入侵某省某县交警专网车、驾管系统upload互联网公安视频传输网公安信息通信网物理隔离物理隔离Ser-ASer-B某县视频监控系统双网卡Ser-C第三方运维人员同时连接互联网和视频网通过漏洞弱口令控制主机消分车、驾管系统交警专网光纤接入前端替换漏洞弱口令部署该公司18辆车自动消分脚本为方便消分第三方运维入侵某省某县交警专网车、驾管系统事件分析通过视频专网摄像头违规外联替换，

非法接入视频专网。前端大量设备存在弱口令前端接入区缺乏网络访问控制；视频监控设备存在漏洞，可被远程利用；前端接入安全风险横向多网接入，非法访问；视频流量夹杂病毒、木马传播；不同安全级别网络互联，越权访问；当地

各县的交警部门，交警专网服务器违规使用

双网卡情况普遍存在。非法用户安全接入风险；网络边界安全风险第三方运维入侵某省某县交警专网车、驾管系统事件分析普遍存在安全设备默认配置，应用系统缺乏安全防护视频专网、公安网服务器存在漏洞大量高危安全漏洞服务器自身配置不安全，认证可破解，访问无审计服务器上大量使用数字和字母口令，且上期不更换，默认账户不予清除。安全管理风险专网管理存在失位、缺位问题。对外部运维单位、公司缺乏有效监督管理第三方进行运维管理工作中，随意出入机房，操作行为缺少监督，私自外联互联网远程维护。县级地区公安机关自身技术力量薄弱，专网管理依赖承建商。内网平台安全风险境外黑客入侵某省某市视频专网事件互联网公安视频传输网公安信息通信网物理隔离物理隔离某市视频监控平台境外黑客是否入侵公安网服务器？某省某市重大活动期间互联网摄像头是否入进一步渗透公安网？是否有其他入侵行为？持续中断5分钟境外黑客入侵某省某市视频专网事件分析互联网社会资源采集摄像头直连视频专网。前端大量设备存在弱口令前端接入区缺乏网络访问控制；视频监控设备存在漏洞，可被远程利用；前端接入安全风险横向多网接入，非法访问；视频流量夹杂病毒、木马传播；非法用户安全接入风险；网络边界安全风险境外黑客入侵某省某市视频专网事件分析视频专网服务器存在漏洞大量高危安全漏洞服务器自身配置不安全，认证可破解，访问无审计服务器上大量使用数字和字母口令，且上期不更换，默认账户不予清除。专网缺乏必要的安全防护和监测手段。安全管理风险专网管理存在失位、缺位问题。事件发生后黑客攻击行为无证可查，除关闭视频监控系统外的操作完全于无形之中。内网平台安全风险目录视频监控网络安全事件分享1视频监控网络安全风险分析2视频监控网络安全应用实践3视频专网安全现状分析安全防护缺失漏洞风险高弱口令问题多资产规模大视频监控网络规模庞大，设备种类、品牌、版本众多、资产不清视频监控网络摄像机存在弱口令问题普遍视频监控网络前端摄像机、应用系统存在高危漏洞风险高视频监控网络基本上处理裸跑状态，无防护措施视频专网安全风险分析物理替换、网络非法接入风险高大量设备存在弱口令缺乏网络访问控制，全网可漫游设备存在漏洞，可被远程利用（CNVD-2017-06977、CVE-2017-7921）前端接入风险运维人员终端视频调用终端非法外联、越权访问缺乏审计入侵攻击恶意代码传播敏感信息泄露一机非法两用运维人员不固定，自带终端设备的安全无法保障，可能引进新威胁无准入控制，可任意接入访问权限未控制，可能存在越权和滥用相关操作无审计，恶意操作可抵赖终端安全风险视频专网安全风险分析视频专网安全风险分析横向多网接入，非法访问；纵向上下级网络，非法访问；视频流量夹杂病毒、木马传播；不同安全级别网络互联，越权访问；非法用户安全接入风险；互联网其他专网GA网上下级网络网络边界安全风险视频专网安全风险分析应用系统缺乏安全防护，信息明文传输用户身份认证方式简单，容易冒充缺乏有效的备份恢复机制应用系统存在漏洞，可远程获取权（Struts2\OpenSSH等）主机服务器存在漏洞（永恒之蓝，MS12-020），

大部分漏洞可被利用服务器自身配置不安全，认证可破解，访问无审计服务器上重要信息泄露，导致网络其他系统暴露内网平台安全风险安全管理风险资产不清，缺乏监控和安全管理；视频设备缺乏安全监控和管理；管理工作效率不高，发现问题定位困难；安全管理风险视频专网安全现状总结缺少安全技术规范缺乏访问控制缺乏安全态势掌控缺乏整体安全规划重业务应用建设，轻安全建设投入。缺乏安全规划，基本处于裸奔状态。安全建设可参考标准和规范较少。现有标准规范，安全部分涉及较少。前端接入环境复杂，边界网络接入多样，内部网络多级联通，缺乏有效访问控制。运行资产、设备种类多样，信息孤岛严重，全网无法感知安全态势。如何建设？并能符合政策标准要求？国家政策及行业政策要求

国家政策行业政策

行业需求《中共中央办公厅国务院办公厅印发<关于加强社会治安防控体系建设的意见>的通知》（中办发[2014]69号）；《关于加强公共安全视频监控建设联网应用工作的若干意见发改高技[2015]996号》996号文目标：到2020年，基本实现“全域覆盖、全网共享、全时可用、全程可控”的公共安全视频监控建设联网应用，在加强治安防控、优化交通出行、服务城市管理、创新社会治理等方面取得显著成效。《公安部关于印发<公安发展“十三五”规划（2016-2020年）>的通知》（公发[2015]5号）《关于加强公安视频监控安全管理工作的通知》公科信[2017]222号网络安全法等政策驱动视频网络安全事件驱动视频监控网络自身安全需要《关于加强公共安全视频监控建设联网应用工作的若干意见

发改高技[2015]996号》996号文目标：到2020年，基本实现“全域覆盖、全网共享、全时可用、全程可控”的公共安全视频监控建设联网应用，在加强治安防控、优化交通出行、服务城市管理、创新社会治理等方面取得显著成效。《关于加强公安视频监控安全管理工作的通知》222号文各地必须高度重视、充分认识加强视频监控安全管理工作的重要性和紧迫性，在政策、技术、管理等多个方面着手采取必要措施，切实提升对视频监控安全的态势掌控能力。按照“严防边界、纵深防御、主动监测、全面审计”的防护原则要求，对公安视频传输网前端摄像机、终端、传输网络、核心设备、管理平台等视频监控资源进行了全流程的安全技术防护体系设计。公安视频监控资源接入、共享及管理技术要求（征求意见稿）组织单位：公安部科信局目的：技术要求规范了一、二、三类视频监控资源接入公安机关的方式、视频图像资源在不同网络间共享的模式，以及视频监控网络、系统等基础软硬件设施安全防护和运维管理的技术要求。为实现全国、省、市、县四级视频传输网络建设和管理提供依据。2018年11月已下发各省厅。公安视频监控资源接入、共享及管理技术要求（征求意见稿）——网络规划公安视频传输网总体架构如图所示。部、省、市、县级公安机关可根据实际业务需要建设公安视频接入网，接入本级所属前端设备。公安视频传输网城域网主要用于横向连接本级公安机关各部门或直属单位

公安视频监控资源接入、共享及管理技术要求（征求意见稿）公安视频传输网安全框架图公安视频监控资源接入、共享及管理技术要求（征求意见稿）——运维管理前端运维基础信息管理连通性监测录像状态监测视频前端质量监测网络运维网络状态监测连通性监测性能监测网络管理安全运维安全设备运维安全事件管理应急响应管理系统运维应用系统监控服务器性能监控目录视频监控网络安全事件分享1视频监控网络安全风险分析2视频监控网络安全应用实践3建设现状公安部A省视频平台B省视频平台地市视频平台地市视频平台区县视频平台区县视频平台前端采集前端采集公安视频专网建设现状各省建成覆盖省、市、区县的公安视频传输网方便资源调阅，提高警务人员办案效率存在问题各省建设自成体系，互不通信视频监控网络面临的风险前端安全风险TerminalSecurityRisks边界安全风险BoundarySecurityRisks内网安全风险IntranetSecurityRisks资产不清、弱口令、非法替换、身份假冒、网络入侵、病毒传播、数据泄露、漏洞攻击等非法访问、网络攻击、病毒传播、数据泄露等非法外联、越权访问、网络攻击、病毒传播、数据泄露、身份假冒、缺乏审计、安全不可视边界安全BoundarySecurity前端安全TerminalSecurity内网安全IntranetSecurity安全管理SecurityManagement安全需求视频监控网络外部交互需求视频专网互联网其他专网公安信息网互联网资源引入向互联网共享其他专网资源引入向其他专网资源共享视频专网资源调阅边界接入平台视频专网接入链路视频专网边界视频专网边界总体安全防护思路-五个方面020304前端安全（弱口令管理、视频防护）边界安全漏洞管理平台安全05资产管理01视频监控网络安全架构视频监控网络总体安全解决方案严防边界、纵深防御、主动监测、全面审计安全合规、符合标准、分步实施、全面防护前端接入区防护—视频安全防护视频安全防护系统：前端资产识别前端设备准入控制链路状态监控内外网访问控制阻断攻击和病毒传播弱口令检测实现效果：资产监控、准入控制、流量监控、安全防护。前端接入区主实现摄像机的接入，应建立前端安全防护机制，实现对前端接入资源的有效识别和安全管理。视频安全防护系统—六大核心功能不可达，不畅通；杜绝非法占用；杜绝非法接入；摄像头状态监控网络延时过大告警（高延时）；网络带宽异常预警（高流量）；链路状态监控IP准入；IP+MAC准入；联合准入（802.1X）协议准入流量准入；安全准入IP摄像头的攻击视频服务器的攻击；视频协议漏洞的攻击；攻击行为检测默认口令未修改；弱口令创建；弱口令检测设备资产识别;设备指纹识别；拓扑识别；资产发现资产发现资产导入：可手动导入资产主动扫描；发现和识别资产，获取MAC、厂家、设备类型等资产信息流量监听：发现资产，识别拓扑，建立合法访问关系资产属性：扫描及人工补充实现设备资产识别：设备指纹识别；拓扑识别；功能状态监控1-资产监控状态监控；通过ICMP探测实现，可定义延迟阈值及探测周期非法接入：通过定义摄像头合法地址，检测非法地址设备接入情况非法占用：探测摄像头变更为非摄像头设备情况非法替换：根据摄像头硬件识别码的变化识别，识别摄像头变更实现摄像头状态：可达/不可达，畅通/不畅通安全状态：非法接入，非法占用，非法更换功能带宽异常：获取设备接口状态，和带宽阈值进行比较网络延迟：通过ICMP探测实现，和延迟阈值进行比较，阈值可定义探测方式：周期性探测自定义：阈值、带宽、监控点和探测周期实现网络延时过大告警（高延时）；网络带宽异常预警（高流量）；功能状态监控2-链路监控主动扫描：内置弱口令扫描工具流量监听：监听登录过程，获取帐号和密码内置字典：厂家摄像头的帐号和密码，并可自定义内置弱口令规则：根据获得的帐号密码，和密码强度规则比较实现默认口令未修改；弱口令创建；功能弱口令检测视频攻击特征：主要针对海康、大华、Sony等视频设备漏洞攻击特征。保护在通用特征库中。双向防护：前端（摄像头端）开始攻击内网

后端（视频网络边界，内网）对摄像头的攻击实现IP摄像头的攻击视频服务器的攻击；视频协议漏洞的攻击；功能攻击阻断系统应用区系统应用区主要包括视频专网关键业务系统，如视频监控平台、卡口平台、人脸识别平台等。该区域防护重点是防止针对应用系统的攻击，如：SQL注入、拖库、应用程序漏洞攻击等。前端接入区前端接入区前端接入区下级平台上级平台公安视频传输网主干系统应用区公安视频传输网-应用系统视频监