視頻專網(wǎng)已成為城市最重要的基礎(chǔ)設(shè)施之一，在防范打擊犯罪、維護(hù)社會(huì)治安穩(wěn)定、創(chuàng)新社會(huì)管理等各方面發(fā)揮了重大的作用。但視頻監(jiān)控系統(tǒng)的風(fēng)險(xiǎn)也逐步暴露出來，針對(duì)網(wǎng)絡(luò)攝像頭的網(wǎng)絡(luò)攻擊事件比例逐年呈上升趨勢(shì)，攻擊者利用網(wǎng)絡(luò)攝像頭漏洞獲取設(shè)備控制權(quán)限，進(jìn)而形成僵尸網(wǎng)絡(luò)，被用于發(fā)起大流量DDOS攻擊，或用于隱私信息竊取等。

視頻專網(wǎng)管控現(xiàn)狀及存在的問題

目前大部分網(wǎng)絡(luò)攝像頭的安裝位置比較偏僻，且網(wǎng)絡(luò)攝像頭接入層沒有進(jìn)行任何管理和控制，存在以下風(fēng)險(xiǎn)：

一是接入控制時(shí)，容易被惡意攻擊者利用

當(dāng)前業(yè)內(nèi)攝像頭在接入網(wǎng)絡(luò)的時(shí)候，沒有好的設(shè)備身份認(rèn)證和管理手段，存在容易被惡意攻擊者仿冒接入網(wǎng)絡(luò)后盜取視頻數(shù)據(jù)、發(fā)起攻擊等風(fēng)險(xiǎn)。

二是攝像頭訪問權(quán)限過大，一旦被非法用戶控制安全隱患大

攝像頭接入公安視頻專網(wǎng)，僅需要與視頻服務(wù)器通訊，如果攝像頭的網(wǎng)絡(luò)權(quán)限和訪問范圍設(shè)置不當(dāng)或沒有控制好，網(wǎng)絡(luò)攝像頭一旦被攻擊者控制，將帶來巨大的網(wǎng)絡(luò)安全隱患。

三是網(wǎng)絡(luò)攝像頭缺乏統(tǒng)一管理，維護(hù)工作量大

各級(jí)機(jī)關(guān)對(duì)本單位的家底并不清楚，如何快速摸清自己的家底，實(shí)現(xiàn)網(wǎng)絡(luò)攝像頭自動(dòng)發(fā)現(xiàn)、智能分類、集中管理是前提，同時(shí)通過MAC管理的方式也大大增加了管理員的維護(hù)工作量，效率也是擺在各級(jí)單位迫切需要解決的問題。

四是不能有效防范APT攻擊

公安視頻專網(wǎng)網(wǎng)絡(luò)規(guī)模不斷擴(kuò)張，視頻專網(wǎng)變得越來越復(fù)雜，目前現(xiàn)有防火墻等設(shè)施無法徹底解決網(wǎng)絡(luò)攝像頭被APT攻擊的問題，不能及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)中存在的仿冒入侵、特洛伊木馬等威脅。

傳統(tǒng)視頻專網(wǎng)解決方案與不足

（1）防火墻：通過預(yù)置規(guī)則控制網(wǎng)絡(luò)訪問，僅針對(duì)已知風(fēng)險(xiǎn)

（2）IDS等流量分析：旁路部署，全流量分析，僅針對(duì)已知威脅

以上兩種方案的不足：

·無法防御社會(huì)工程、組合攻擊等攻擊方法

·依賴特征庫，不能發(fā)現(xiàn)和抵抗最新的網(wǎng)絡(luò)攻擊

·無法知道內(nèi)部設(shè)備脆弱性

·無法防御內(nèi)部攻擊，如仿冒接入等

（3）準(zhǔn)入、桌面助手：采用NACC或標(biāo)準(zhǔn)協(xié)議實(shí)現(xiàn)接入控制，通過客戶端實(shí)現(xiàn)桌面管理。

不足之處：

·僅實(shí)現(xiàn)網(wǎng)絡(luò)接入控制和桌面管理

·缺乏主動(dòng)探測(cè)手段，對(duì)資產(chǎn)弱口令、漏洞等脆弱性不可知

·基于IP/MAC，對(duì)仿冒接入等異常行為缺乏嚴(yán)格的控制機(jī)制

·很難對(duì)入侵行為進(jìn)行精準(zhǔn)實(shí)時(shí)阻斷

·不能對(duì)風(fēng)險(xiǎn)進(jìn)行全景安全展示

下一代網(wǎng)絡(luò)準(zhǔn)入控制系統(tǒng)，讓視頻專網(wǎng)準(zhǔn)入安全達(dá)標(biāo)

傳統(tǒng)的靜態(tài)防護(hù)面臨著設(shè)備管理、風(fēng)險(xiǎn)處置、設(shè)備接入、異常行為等挑戰(zhàn)，已無法應(yīng)對(duì)變化多端的動(dòng)態(tài)攻擊和合規(guī)政策需要。聯(lián)軟提供的下一代準(zhǔn)入控制系統(tǒng)——UniNID可解決復(fù)雜網(wǎng)絡(luò)環(huán)境下用戶對(duì)網(wǎng)絡(luò)攝像頭的準(zhǔn)入控制、權(quán)限管理、資源訪問控制、異常行為阻斷等問題，有效提升公安視頻專網(wǎng)的可靠性和安全性。

一是視頻專網(wǎng)復(fù)雜網(wǎng)絡(luò)環(huán)境下準(zhǔn)入控制

面對(duì)視頻專網(wǎng)不同接入方式（有線、無線、HUB、無線接入等）、不同網(wǎng)絡(luò)設(shè)備（H3C、CISCO等幾乎全部網(wǎng)絡(luò)設(shè)備）的各種復(fù)雜網(wǎng)絡(luò)環(huán)境，聯(lián)軟科技可通過綜合利用802.1X、EOU、NACC等多種方案，解決大量網(wǎng)絡(luò)攝像頭準(zhǔn)入控制的問題。

二是防止攝像頭仿冒

對(duì)網(wǎng)絡(luò)攝像頭除了提供MAB、IAB接入認(rèn)證外，還提供了網(wǎng)絡(luò)攝像頭設(shè)備ID、網(wǎng)絡(luò)攝像頭接入端口等多種認(rèn)證方式，可有效防止非法用戶仿冒合法終端的MAC、IP接入公安視頻專網(wǎng)的問題。

三是實(shí)施精準(zhǔn)的權(quán)限控制

可通過RAC細(xì)粒度資源訪問控制技術(shù)，通過集中下發(fā)ACL的方式實(shí)現(xiàn)網(wǎng)絡(luò)攝像頭細(xì)粒度的準(zhǔn)入控制，確保授權(quán)、合規(guī)的網(wǎng)絡(luò)攝像頭自動(dòng)放行，無需輸入用戶名密碼，無需安裝客戶端，可實(shí)現(xiàn)精準(zhǔn)的端口級(jí)控制。未授權(quán)的網(wǎng)絡(luò)攝像頭被拒絕接入視頻專網(wǎng)，并通過動(dòng)態(tài)VLAN或訪問控制列表技術(shù)給攝像頭指定最小的資源訪問權(quán)限，確保網(wǎng)絡(luò)攝像頭僅能與視頻服務(wù)器等必要資源進(jìn)行通訊。

四是網(wǎng)絡(luò)攝像頭接入快速發(fā)現(xiàn)、定位和自助管理，降低用戶維護(hù)工作量

通過不同維度的資產(chǎn)屬性組合，建立資產(chǎn)唯一標(biāo)識(shí)指紋信息，進(jìn)而積累豐富的資產(chǎn)指紋類型,構(gòu)建強(qiáng)大的指紋識(shí)別庫。自動(dòng)發(fā)現(xiàn)部署在網(wǎng)絡(luò)中的攝像頭，并收集網(wǎng)絡(luò)攝像頭的IP、MAC、在線狀態(tài)、設(shè)備類型、接入位置等信息，便于用戶掌握資產(chǎn)情況。

五是持續(xù)漏洞掃描，及時(shí)發(fā)現(xiàn)可能的威脅并阻斷

持續(xù)漏洞掃描，發(fā)現(xiàn)存在的風(fēng)險(xiǎn)暴露面、系統(tǒng)層漏洞、Web應(yīng)用安全漏洞、弱口令、第三方組件漏洞等。漏洞發(fā)現(xiàn)采用POC插件進(jìn)行判斷，可快速復(fù)現(xiàn)，準(zhǔn)確性高。如果一旦發(fā)現(xiàn)攝像頭的行為特征發(fā)生變化，會(huì)及時(shí)通知管理員，并執(zhí)行網(wǎng)絡(luò)阻斷等操作。

六是精準(zhǔn)感知風(fēng)險(xiǎn)，防范APT等未知攻擊

采用大數(shù)據(jù)和智能分析引擎，以數(shù)據(jù)為中心，從網(wǎng)絡(luò)攝像頭、視頻專網(wǎng)、視頻應(yīng)用、視頻數(shù)據(jù)等多個(gè)層面，以網(wǎng)絡(luò)攝像頭等設(shè)備信息、網(wǎng)絡(luò)流量、威脅情報(bào)作為分析源，以自主的產(chǎn)品作為主要管控技術(shù)（如網(wǎng)絡(luò)準(zhǔn)入控制、幻影等技術(shù)），一旦發(fā)現(xiàn)威脅行為立即以日志、告警的方式通知責(zé)任人，并根據(jù)預(yù)先配置好的方式進(jìn)行阻斷，事后用戶可以在系統(tǒng)上查看威脅的詳細(xì)透視圖及取證報(bào)告。

在公安系統(tǒng)中，攝像頭是取證的重要來源。公安網(wǎng)絡(luò)中有大量的攝像頭部署在全省、全市的每個(gè)角落，如何保障攝像頭的安全接入尤為重要。通過部署聯(lián)軟下一代網(wǎng)絡(luò)準(zhǔn)入控制系統(tǒng)，可以全方位的發(fā)現(xiàn)視頻專網(wǎng)中的風(fēng)險(xiǎn)和威脅，真正的為企業(yè)網(wǎng)絡(luò)邊界安全保駕護(hù)航。