freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课
报告 专辑
行业服务
政 府
CNCERT CNNVD
会员体系(甲方) 会员体系(厂商) 产品名录 企业空间
知识大陆

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

经验 | 如何让视频专网准入安全达标?
  • 关注
经验 | 如何让视频专网准入安全达标?
2020-06-08 17:13:40

视频专网已成为城市最重要的基础设施之一,在防范打击犯罪、维护社会治安稳定、创新社会管理等各方面发挥了重大的作用。但视频监控系统的风险也逐步暴露出来,针对网络摄像头的网络攻击事件比例逐年呈上升趋势,攻击者利用网络摄像头漏洞获取设备控制权限,进而形成僵尸网络,被用于发起大流量DDOS攻击,或用于隐私信息窃取等。

视频专网管控现状及存在的问题

目前大部分网络摄像头的安装位置比较偏僻,且网络摄像头接入层没有进行任何管理和控制,存在以下风险:

一是接入控制时,容易被恶意攻击者利用

当前业内摄像头在接入网络的时候,没有好的设备身份认证和管理手段,存在容易被恶意攻击者仿冒接入网络后盗取视频数据、发起攻击等风险。

二是摄像头访问权限过大一旦被非法用户控制安全隐患大

摄像头接入公安视频专网,仅需要与视频服务器通讯,如果摄像头的网络权限和访问范围设置不当或没有控制好,网络摄像头一旦被攻击者控制,将带来巨大的网络安全隐患。

三是网络摄像头缺乏统一管理,维护工作量大

各级机关对本单位的家底并不清楚,如何快速摸清自己的家底,实现网络摄像头自动发现、智能分类、集中管理是前提,同时通过MAC管理的方式也大大增加了管理员的维护工作量,效率也是摆在各级单位迫切需要解决的问题。

四是不能有效防范APT攻击

公安视频专网网络规模不断扩张,视频专网变得越来越复杂,目前现有防火墙等设施无法彻底解决网络摄像头被APT攻击的问题,不能及时发现网络中存在的仿冒入侵、特洛伊木马等威胁。

传统视频专网解决方案与不足

1)防火墙:通过预置规则控制网络访问仅针对已知风险

2IDS等流量分析:旁路部署,全流量分析,仅针对已知威胁

以上两种方案的不足:

·无法防御社会工程、组合攻击等攻击方法

·依赖特征库,不能发现和抵抗最新的网络攻击

·无法知道内部设备脆弱性

·无法防御内部攻击,如仿冒接入等

(3)准入、桌面助手:采用NACC或标准协议实现接入控制,通过客户端实现桌面管理。

不足之处:

·仅实现网络接入控制和桌面管理

·缺乏主动探测手段,对资产弱口令、漏洞等脆弱性不可知

·基于IP/MAC,对仿冒接入等异常行为缺乏严格的控制机制

·很难对入侵行为进行精准实时阻断

·不能对风险进行全景安全展示

下一代网络准入控制系统,让视频专网准入安全达标

传统的静态防护面临着设备管理、风险处置、设备接入、异常行为等挑战,已无法应对变化多端的动态攻击和合规政策需要。联软提供的下一代准入控制系统——UniNID可解决复杂网络环境下用户对网络摄像头的准入控制、权限管理、资源访问控制、异常行为阻断等问题,有效提升公安视频专网的可靠性和安全性。

一是视频专网复杂网络环境下准入控制

面对视频专网不同接入方式(有线、无线、HUB、无线接入等)、不同网络设备(H3C、CISCO等几乎全部网络设备)的各种复杂网络环境,联软科技可通过综合利用802.1X、EOU、NACC等多种方案,解决大量网络摄像头准入控制的问题。

二是防止摄像头仿冒

对网络摄像头除了提供MAB、IAB接入认证外,还提供了网络摄像头设备ID、网络摄像头接入端口等多种认证方式,可有效防止非法用户仿冒合法终端的MAC、IP接入公安视频专网的问题。

三是实施精准的权限控制

可通过RAC细粒度资源访问控制技术,通过集中下发ACL的方式实现网络摄像头细粒度的准入控制,确保授权、合规的网络摄像头自动放行,无需输入用户名密码,无需安装客户端,可实现精准的端口级控制。未授权的网络摄像头被拒绝接入视频专网,并通过动态VLAN或访问控制列表技术给摄像头指定最小的资源访问权限,确保网络摄像头仅能与视频服务器等必要资源进行通讯。

四是网络摄像头接入快速发现、定位和自助管理,降低用户维护工作量

通过不同维度的资产属性组合,建立资产唯一标识指纹信息,进而积累丰富的资产指纹类型,构建强大的指纹识别库。自动发现部署在网络中的摄像头,并收集网络摄像头的IP、MAC、在线状态、设备类型、接入位置等信息,便于用户掌握资产情况。


五是持续漏洞扫描及时发现可能的威胁并阻断

持续漏洞扫描,发现存在的风险暴露面、系统层漏洞、Web应用安全漏洞、弱口令、第三方组件漏洞等。漏洞发现采用POC插件进行判断,可快速复现,准确性高。如果一旦发现摄像头的行为特征发生变化,会及时通知管理员,并执行网络阻断等操作。

是精准感知风险,防范APT等未知攻击

采用大数据和智能分析引擎,以数据为中心,从网络摄像头、视频专网、视频应用、视频数据等多个层面,以网络摄像头等设备信息、网络流量、威胁情报作为分析源,以自主的产品作为主要管控技术(如网络准入控制、幻影等技术),一旦发现威胁行为立即以日志、告警的方式通知责任人,并根据预先配置好的方式进行阻断,事后用户可以在系统上查看威胁的详细透视图及取证报告。

在公安系统中,摄像头是取证的重要来源。公安网络中有大量的摄像头部署在全省、全市的每个角落,如何保障摄像头的安全接入尤为重要。通过部署联软下一代网络准入控制系统,可以全方位的发现视频专网中的风险和威胁,真正的为企业网络边界安全保驾护航。



# 摄像头安全 # 视频专网
本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者