加强公共安全视频防控系统安全建设

公共安全视频防控系统的基础是网络视频监控，是一种通过网络进行视频流传输、存储的视频监控形式。视频监控技术的发展大致分为四个阶段：初期，由安防产品演化出闭路电视监控系统（CCTV），系统通过模拟数据传输信号，覆盖范围及抗干扰能力较弱；20世纪90年代，出现了基于PC机的监控系统，实现了视频流的数字化传输和存储，但是，存在稳定性和传输能力等方面的不足；随后，网络数字视频监控技术的发展，网格化分布式的视频采集、传输与存储技术得到大量应用，基于网络的视频防控系统逐步建设起来；为解决传统数字视频可看、可存但不可检索的问题，以智能图像分析为特色的高清智能化视频防控系统应运而生，成为网络视频防控技术的新阶段。新一代视频防控系统成为社会治安防控体系的重要组成部分。

我国从2003年起开始建设公共安全视频防控系统，着力将网络视频防控应用于社会公共安全的保障工作中。2004年初，公安部与科技部启动全国第一批“科技强警”示范城市建设工作，选取全国21个示范城市作为数字化防控系统建设的试点，拉开了公共安全视频防控系统建设的大幕。数据显示，公共安全视频防控系统已覆盖全国95%的副省级以上城市、76%的地级以上城市，计划到2020年，基本实现“全域覆盖、全网共享、全时可用、全程可控”的公共安全视频防控体系，在加强治安防控、优化交通出行、服务城市管理、创新社会治理等方面取得显著成效。

我国相关的政策法规也在不断完善，相继出台了《关于加强社会治安防控体系建设的意见》《关于加强公共安全视频监控建设联网应用工作的若干意见》等指导性政策法规文件。同时，在技术标准上，我国相应设定了《安全防范视频监控联网系统信息传输、交换、控制技术要求》国家标准（GB/T 28181-2016）、《公共安全视频监控数字视音频编解码技术要求》国家标准（GB/T 25724-2017）等技术性强制国家标准，并于2017年11月11日发布了《公共安全视频监控联网信息安全技术要求》（GB35114-2017），从终端层面对视频防控系统的身份识别、数据保护等方面提出新的要求。

公共安全视频防控系统由于其建设范围广、环境差异大、防范对象特殊等特点，极易受到不法分子的攻击。通过分析近年来国内外发生的针对视频防控系统的攻击分析，可以将公共安全视频防控系统面临的风险分为业务安全风险、数据安全风险、网络安全风险三类。

（一）业务安全风险

公共安全视频防控系统的设计初衷为治安防控、保障社会安全，因此，必须保证防控系统时刻正常有效工作。与此同时，大量公共摄像头或管理平台使用默认口令或弱口令，通过简单攻击便可登入视频摄像头或管理平台，甚至发送指令操作视频摄像头，直接影响公共安全视频防控系统的正常运行。

（二）数据安全风险

公共安全视频防控系统采集的视频影像信息，若缺乏加密通信机制以及存储与访问的安全防护，极易发生恶意操作或未授权访问，甚至黑客渗透入侵，非法复制、修改及删除视频摄像资料。因此，缺乏数据防护手段导致的数据泄露风险不容忽视。

（三）网络安全风险

摄像头基数巨大，一旦发生利用摄像头漏洞控制设备发起针对服务器的流量攻击，就可能严重影响基础通信网络的正常运行。2016年10月21日，黑客通过Mirai病毒感染数十万网络摄像头、数字录像机设备，对美国域名服务商Dyn进行高达620G流量的DDoS攻击，导致美国东海岸大面积断网。2018年1月28日，黑客通过Mirai家族的变种IoTroop病毒，利用包括摄像头在内的物联网设备，连续对多家金融机构进行分布式拒绝服务（DDoS）攻击，造成金融机构网络无法正常使用。

为解决传统视频防控系统暴露出的问题，公安部发布了《公共安全视频监控联网信息安全技术要求》（GB35114）。它是面向视频防控联网信息安全的强制国家标准，该标准的推出对解决平安城市、雪亮工程等大规模联网环境下所面临的设备、系统和数据安全威胁有重大意义。

GB35114以保障设备身份真实、保证信令真实可靠、保护视频数据安全为切入点，对视频流加密和证书校验做了详细的规定；并要求摄像头内置保密安全芯片或安全模块，通过采用国家密码局发布的SM系列算法实现前端、客户端与平台间的双向接入认证和视频验签、视频加密功能，达到数据保密、防伪造、防篡改的目的。

国标要求，管理平台和视频摄像头之间采用带密钥的杂凑算法SM3对设备遥控等重要的会话启动协议（SIP）控制信令做认证，通过对摄像头控制信令的加密，杜绝非授权人员随意操控摄像头；对于具有较高防护等级的视频摄像头，须对采集的视频数据进行签名并基于TCP协议进行流量传输，管理平台通过对视频数据关键帧签名验证，确保视频数据来源的真实可信以及视频的完整无篡改。

国标要求，所有C级前端应对采集的视音频进行加密操作并传输，管理平台支持视音频加密数据的传输，支持用户在权限范围内对实时加密视音频播放、回看、存储、下载、分发、导出等操作。通过对视音频数据的加密，实现了对视音频数据的数据保护，以期杜绝公共安全视频数据泄露的风险。

GB35114是我国首个关于视频防控联网信息安全方面的技术标准，首次对公共安全视频防控的信息安全提出明确规范要求，是全面加强公共安全视频防控领域信息安全的技术依据。GB35114的出台，解决了视频防控系统中面临的业务风险和数据泄露风险问题，然而，GB35114关注于从业务系统安全建设的角度解决视频防控系统遇到的安全风险，并没有对视频防控网络的网络安全建设做出明确规定，视频防控网的安全风险依然存在。

按照《公安视频传输网建设指南》要求“严防边界、纵深防御、主动监测、全面审计”的建设原则（见图1），当前的视频传输网安全建设主要力量集中于边界的数据安全交换、访问权限控制、入侵感知等方面，主要实现方式为在跨区域的链路上配置防火墙、抗D设备，以加强跨越边界流量的防护（见图2），通过配置视频网闸类设备实现视频流或控制信令的单向或双向传输。

在GB35114发布之前，传统的安全网关类设备通过分析视频控制信令或视频流传输协议，通过基于协议特征的白名单应用控制机制，对视频流中会话启动协议（SIP）、实时流协议（RTSP）、实时传输协议（RTP）/实时传输控制协议（RTCP）、超文本传输协议（HTTP）等控制信令及传输协议进行过滤放行，有效降低了公共安全视频防控系统核心区域受攻击的可能性。

由于GB35114在流量加密、证书验证方面做了增强，当视频传输网中传输的都是经过签名、加密的流量之后，网关安全设备无法通过解密流量进行访问控制，因此，其安全策略得不到有效执行，如果通过配置传输层控制策略对视频协议进行访问控制，那么，安全防护效果就受到削弱。同样，流量加密对IPS等入侵防护类设备也造成了极大的影响。目前，75%的网络攻击均发生在应用层，因此，更为全面的安全解决方案依然是需要的。

当正常的视频流和网络攻击的流量同样没有特征，无法辨识时，黑客侵入视频专网，散播病毒、潜伏攻击等事件便无法得到有效的拦截与处置。

长久以来，视频防控网的安全建设将重心主要放在网络边界的防护上，对端以及接入层网络的安全防护相对薄弱，GB35114发布并实施后，原有网络安全防护设备的防护能力因流量加密而大大削弱，如何保障视频防控系统的网络安全，值得思考。为此，笔者从加强视频摄像头的安全防护层面提出几点建议（见图3）。

（一）关注视频摄像头的开发安全

针对PC的软件供应链攻击事件频发，给防控设备厂商敲响了警钟。防控设备厂商众多，技术实力差距较大，部分厂商在关注业务开发的同时，相应的开发安全、代码安全尚未得到有效重视，这给病毒的渗入提供了可乘之机。

1.厂商应提高自身开发安全的建设水平，通过对程序开发工具、编译工具的规范，降低软件开发流程中染毒的风险。

2.通过加强源代码审查、定时对软件进行渗透测试等手段，提升厂商自身的产品安全能力。

（二）加强视频摄像头自身的安全防护

针对PC终端的安全防护，厂商已能提供一套完整的安全解决方案，覆盖防病毒、补丁管理、系统加固、外设管控、操作审计等覆盖终端安全的各个方面。如何加强视频摄像头的安全防护，业界尚没有一个统一标准。

1.针对视频摄像头算力有限、存储有限的特点，视频摄像头的自身安全应集中于主机防护与应用控制方面，可使用进程白名单或数字签名的方式提供系统加固功能。

2.通过对视频摄像头进程、文件、运行状态的监控，能够第一时间发现并察觉视频摄像头的异常状态，可供管理员及时响应处置。

3.通过搜集视频摄像头内共享库的信息，可以有效跟踪第三方开源软件的漏洞情况，进行及时预警。

（三）加强对前端接入区设备的安全评估

对前端接入区设备的安全评估包括对前端接入区设备的资产发现、漏洞扫描和合规评估。

1.视频防控网具有覆盖范围广、接入节点多、接入环境复杂、管理难度大等特点，有效地感知网内设备、感知网络事件，对提高视频防控网的安全、提高突发事件的响应能力有极大的帮助。通过部署资产探查类设备，准确地统计出网内设备清单，准确地绘制网络拓扑，第一时间感知异常设备的上线记录，第一时间发现潜在的威胁。

2.漏洞的普遍存在使对漏洞的及时发现至关重要。视频摄像头厂商会不定时发布安全漏洞补丁，通过部署漏扫设备，及时发现这些网中存在高危漏洞的设备，通过升级补丁进行修复，在降低设备运维工作量的同时，还可以极大地降低设备被攻击的风险。

3.加强对视频摄像头的合规评估，通过检查设备接入环境或设备配置筛选出存在安全风险的设备，例如，通过NAT设备接入的前端、使用默认口令的设备等，及时对这些接入环境不合规或配置不合规的设备进行整改。

（四）针对视频摄像头加强网络准入机制

只有有效地杜绝非授权设备接入网络，才能从根本上杜绝通过接入层网络入侵视频防控系统的可能。

1.GB35114为视频摄像头身份验证后接入视频管理平台提供了安全基础，在此基础上，通过基于GB35114证书系统作为设备入网的身份认证的依据是一种可行的方案。

2.通过前端接入网络实现视频摄像头的准入管理，通过准入系统与视频管理平台的联动实现视频防控网和视频管理平台的双准入，能极大地降低非授权设备接入视频防控网的可能性。

（五）利用威胁情报进行高阶防护

业务流量加密后，常规网络安全设备通过“分析正常业务流量-建立流量模型-设置白名单”的工作模式受到挑战，如何及时发现网络内的异常事件、沦陷终端，如何在发现潜伏威胁后及时评估影响范围，进行威胁溯源成为视频防控网安全防范工作的新重心。

建立一套针对视频网的威胁情报系统，通过对历史数据、公开资源的分析，通过大范围内的威胁数据信息共享，及时发现、预测潜在威胁，实现视频防控网的高阶安全防护。

（本文刊登于《中国信息安全》杂志2019年第4期）