近期,雷鋒網AI掘金志邀請到了宇視安全&網絡解決方案總工王連朝做客雷鋒網公開課,以“如何建設安全的物聯網+安防解決方案”為題進行了干貨分享。
王連朝認為,科技不斷的創新發展,物聯網技術和相關的大數據、智能應用廣泛地與傳統安防應用深度融合。物聯網+安防系統在普遍應用的同時,安全問題也隨之而來。如果安防自身的安全性得不到保障,只是通過外部來防護,很難做到完全的安全,所以安防產品自身的可靠性是系統安全的根基。王連朝從感知層、傳輸層、管理層和應用層四個層面出發,結合宇視的產品、技術和實踐經驗進行了詳細的解決方案分享。
以下為王連朝分享內容節選,雷鋒網AI掘金志做了不改變原意的編輯。
浙江宇視科技有限公司成立于2011年,是全球公共安全和智能交通的解決方案提供商,以全景、數智、物聯產品技術為核心的引領者。
我們一直是安防IP化的倡導者,也走在了IP網絡監控的前列。
宇視經過了8年的歷程,實現了營收16倍的增長,交付的產品已經覆蓋了全世界的145個國家和地區。這段時間整個公司的成長也是比較快,2014年我們就進入了全球Top12,2018年進入全球前四。
公司在技術上得過一些重要的獎項。2010年獲得了國家科技進步二等獎;中國網絡安全方面的實現公私網穿越的專利獎;雷鋒網2019年度AIoT智能城市創新的企業獎。
在研發團隊方面,我們無論是軟件還是硬件實力在業內都是比較領先的水平。軟件在業內達到了CMMI 5級認證,這是安防業界最高水平。
在創新能力上,我們是國家知識產權的示范企業;浙江省發明專利授權量50強,排名第二。我們現在有2000多件專利申請,幾乎每天新增1件發明專利申請,其中94%的發明專利授權率業界第一,人均發明專業業界第一。
宇視對視頻的安全比較重視,在安全方面做了很多實踐。我們在2011年就拿到了中國專利優秀獎:廣域互聯安全UNP; 成立安全實驗室。在此之后宇視一直在做視頻安全研究,比如高安全的存儲、高安全的傳輸和社會資源的接入等這些方案。2016年發布了燕山準入網絡安全方案;2017年推出了數據安全加密幻影方案,保障了金磚峰會;2019年成為了公共安全視頻網絡安全的監測預警的支撐單位;安防行業內首家符合歐盟GDRP法案等等。
物聯網及物聯網的基本架構
隨著科技不斷的創新發展,物聯網技術和相關的大數據、智能應用廣泛地與傳統安防應用深度融合。物聯網+安防系統在普遍應用的同時,安全問題也隨之而來。
從20世紀90年代物聯網的概念提出來,到現在經過了近30年的實踐和發展,大家對物聯網的認識已經比較深刻了。
根據ITU的定義,物聯網是一種通過射頻識別(RFID)、紅外感應器,定位系統等信息傳感設備,按照一定的約定協議,讓物體與互聯網相連接,進行信息的交換和通訊,以實現對物體的智能化識別、定位、跟蹤、監控和管理的網絡。
總而言之,物聯網是一種網,它在應用中實際上也更多的與現在大數據技術和智能技術相結合,是新一代信息技術的高度集成和綜合運用,所以物聯網也被稱為信息科技產業的第三次革命。
物聯網的基本結構,從下往上我們可以認為是三個層級。
最下面叫做感知層或叫數據采集層,就是通過傳感設備進行數據的采集。因為這里采集的數據是物理存在的,所以數據是比較真實的,也比人工采集更便捷,這也是物聯網現在應用比較廣泛的一個原因。
在數據采集之后,要做一些簡單的數據預處理,經過數據預處理之后,會將這些數據通過傳輸層進行傳輸。
中間叫傳輸層,在進行傳輸時,就要考慮到異構網的融合,需要將ZigBee、Lora、WiFi等技術與有線網絡、無線網絡,以及5G等下一代網絡相融合,形成高效、穩定的傳輸網絡。
通過傳輸網絡之后,這些數據會送到應用層。應用層可以分為兩個部分。一部分是基礎服務平臺,基礎服務平臺對數據進行接收和處理。在這個基礎服務平臺之上,就是應用層,現在大家比較熟知的像智能家居、環境監測、智能交通,還有智能安防等應用。
現在各地都在進行智慧城市的建設,其實物聯網就是智慧城市的基礎。作為物聯傳感過程的重要部分,攝像機視頻數據信息,占據了全世界約一半的數據存儲量。智能安防是物聯網產業的核心組成部分,所以安防系統有力的促進物聯網應用的快速落地和推廣。
安防系統建設中面臨的安全風險
那么作為物聯網的應用,安防系統在建設中面臨哪些風險?
在2017年物聯網安全研究報告中,就已經發現物聯網的設備暴露在互聯網之下,普遍存在被攻擊、被利用的風險。其中,路由器和安防設備暴露的數量最多。
2019年的物聯網安全事件中,主要是三類:漏洞和弱口令、準入控制乏力、應用監管不足。
其中,有一半是漏洞和弱密碼造成的。漏洞和弱密碼的風險就是很容易被控制,然后設備被利用從而造成信息泄露,或引發DDOS攻擊。比如之前英國部分學校的安防系統中,攝像頭因為弱密碼而被控制了,視頻被泄露,引起了所有英國學校學生的恐慌。
除了弱口令和漏洞的風險之外,在整個安防系統建設中,設備的準入控制是缺少的。IT系統比較成熟,所有的控制考慮得比較周全的,也是因為大家對IT系統上的黑客攻擊、網絡風險的暴露都有認識。但是在安防系統中,大家對這方面的認識還不是很清楚。有個例子,2018年,某地的交警處罰系統被黑客侵入了,造成了非法銷分,其實原因就是安防系統沒有對設備準入做控制。
另一個風險就是應用監管不足,視頻信息被內部人員泄露。無論是安防系統的個人使用者還是主管方,對這方面的意識都比較缺乏。近年來關于隱私泄漏的事件也很多,我看到兩個例子,一個是某明星去某個酒店,和朋友約會,被別人從視頻系統中拍攝下來,泄露出去了。另一個是在某地一個醫院,某個病人整個手術過程的視頻信息也是被別人拍攝后泄露,這些事件也引起了相關的法律的一些糾紛。
安防產品自身的可靠性是系統安全的根基
漏洞和弱口令風險說明一個問題:安防產品自身的可靠性是系統安全的根基。如果自身的安全性得不到保障,只是通過外部來防護,很難做到完全的安全。
造成產品本身安全不足的原因主要有兩個。
一是組織管理的不足,在設計的時候就沒有考慮安全設計,項目實施不規范,沒有考慮漏洞發現、修復和響應機制等等。我們看到互聯網上有很多的相機被控制了,但是因為設計的原因,或者是沒有這個機制,導致很難去修復。
二是技術防范手段不足,存在弱口令,預留后門,或者軟件開發本身是不規范的,缺失認證機制、數據明文傳輸等。
宇視在這方面是有一些經驗的,因為我們拿到了CMMI5級的認證,同時我們集成了U-IPD的開發流程,無論是在需求分析、設計、編碼、測試等等各方面都考慮到了安全性的需求。
同時我們也希望行業內的企業在軟件開發時,一定要重視軟件開發的規范性和嚴謹性,要建立整一套的產品安全開發流程。
在產品和解決方案發布時,一定要考慮到它的整個流程,建立正式安全的發布機制,來保證這個產品必須是經過了正規、嚴格的測試之后才發布出去的,也必須要通過正規的渠道發布。也就是說產品首先要保證自己是安全可靠的才能對系統做根本支撐。
最后,對于產品發布后,要成立專門的安全應急響應團隊和機制,來保證出現問題時能夠快速響應。比如今年2月份網上曝光說有黑客對中國互聯網上的設備進行攻擊,我們公司及時的響應團隊去分析,幫助我們的用戶避免遭受攻擊。
如何從4個層面實現安全的安防解決方案
整個安防系統中有4個層面的風險。分別是感知層、傳輸層、管理層和應用層。
感知層主要的問題是感知設備有可能被劫持;傳輸層會受到網絡的攻擊,比如“私接”網絡、DDOS攻擊;管理層或者說平臺服務層,可能會受到非法入侵,然后被竊取;應用層,可能會受到黑客對PC機或者應用設備的攻擊,同時還可能會有一些用戶有意無意的信息泄露,比如手機錄屏截屏。
感知層安全防護
感知層中,攝像機在前端的部署是非常廣泛的,數量非常多,而且大部分都在室外,這就要求我們考慮得更多。
在物理接入方面,首先要考慮到設備的防拆設計,因為有些設備可能會被別人替換或竊取。
其次傳統的設備一般都有一些調試接口,建議把這些接口屏蔽或隱藏,或者直接去除,不要在物理層面提供這樣的調試接口,給非法人員可乘之機。
另外在接入到網絡中,除了傳統的以太網接入方式之外,我們應用了PON口接入,它是一種光纖接入,主要通過光來進行接入和傳輸,就很好地防止了電口私接、偵聽。
在物理層防護之外,還要考慮整個終端設備的安全。攝像機其實是功能比較弱的一個系統,在這個系統中,我們通過檢查它是否存在弱口令、端口信息、協議信息、CPU占用情況等,時時記錄并上傳到中心服務器,通過和中心運維管控平臺的相互配合,及時發現終端設備的安全狀態,比如有沒有異常流量或者異常端口,然后及時進行聯動或者報警來保證終端的正常運行。
在終端還有一個關鍵的部分,就是視頻數據的安全。
很多安防系統或者攝像機系統里的標準協議,國標也好,還是一些廠家自己的協議也好,對視頻的保護規定是不足的,完全是以明文狀態在網絡中傳輸,這種就很容易被別人截取數據,然后通過一些常用的播放軟件播放出來。
我們在這方面提供了視頻數據安全保護方案。
一般來講有兩種手段,一種是對數據全部進行加密,不管是信令、還是數據、還是傳輸協議,經過加解密設備直接進行加密。這個方式有一個弊端,就是必須要成對地配置加解密設備,另外它導致數據很難識別,比如說信令相關的處理其實是很難的,成本也相對比較高。
還有一種方式就是通道加密,其實也還是需要進行成對地配置,因為數據都封裝在通道內,導致通用的網絡流量分析工具很難做到安全的分析,無法準確的判斷實際網絡中的真實狀態。
宇視采用的是視頻加密的方案,好處是可以正常的信令交互,在交互的情況下不影響系統的兼容性,即使視頻數據被非法獲取,仍然可以保證它是安全的,只有在合法的解碼端才可以正常進行觀看的。
我們的方案在很多的地方應用了,比如一些高校和企業的園區中都有比較重要的應用,也獲得了大家的認可。
傳輸層安全防護
傳輸層主要給大家分享的是兩個方案。
一個是準入方案,信息系統相對比較成熟,但是應用在物聯網或安防系統當中,有一個不同的地方,因為終端設備或攝像機設備,其實類似于啞終端,它不像PC機之類的終端設備,可以進行主動地連接,主動地配置密碼,所以傳統的方式不太合適。
相對于傳統的方式,也有一些其他的方案應用到準入中來。比如掃描檢測方案,需要通過人工配合,首先掃描到這些設備,然后通過人工來判定合法性與非法性。當然這是解決了一部分的問題,但是它的效率包括整體的安全性相對比較弱。
進一步有一些基于防火墻的方案,可以基于設備的黑白名單來進行防護,也可以配置一定的過濾規則,比如像IP、MAC特征庫的檢測,這樣也可以做到一些安全的防護。
物聯網的安全準入方案除了做到了防火墻方案中對IP、MAC及端口綁定之外,還做到應用的感知,可以識別安防的接入協議,可以感知設備的狀態,可以跟前面講的檢測異常等信息相配合,這樣就可以實時防控。同時支持旁掛、串接,防護的手段更加豐富。在網絡接入情況下,我們采用的這種準入方案是比較適合安防系統的一種方案。
在跨互聯網或廣域網接入中,宇視推出了UNP方案,主要解決跨互聯網企業跨公網的安防接入要求。
跨互聯網或廣域網接入主要是保證傳輸的安全性,另外還要保證對整體的網絡、系統和結構盡量適合,不做大的改動。
針對這種情況,行業里也有幾種方案。VPN方案,可以做到安全傳輸,但是它有一個問題,就是當系統是已經建好的,就可能涉及到IP地址沖突或系統的改造,要提前做一些規劃,靈活度比較低。
還有一種方案是ALG網關,通過轉換協議,把相關的信令通過轉換來進行傳輸。這種方案的現網兼容性差,同時因為它是簡單的消息數據修改,它的信令,包括數據,大部分是明文傳輸,安全性也很差。
宇視的UNP方案同時滿足了方便部署、安全性高和視頻跨網設計的需求。我們針對安防系統里的協議做了適配,保證了一定的安全性。這個方案獲得了中國的專利優秀獎。我們所有的方案都是經過了實踐,真正能解決用戶的問題。我們在某品牌汽車4S店應用已經很成熟。目前,在全國有很多的項目在應用。
管理平臺安全防護
建議在中心層也是要做到一定的安全防護。重點是防止非法侵入平臺主機和云存儲,防止竊取、篡改、刪除其中的視頻數據。
在傳統安全防護層面,仍然推薦采用防火墻、入侵檢測、漏洞掃描、大數據審計等專用防護設備組合進行外部的安全檢測,這些設備也要根據防護的需求做相應的配備來對整個中心服務區做安全的防護。
安防系統建設中的服務主機也要做安全措施??梢圆捎枚嗑S防護手段,包括弱密碼防護、設備可疑進程檢測和預警、要有安全的登錄方式,比如采取SSH和HTTPS等方式,以及惡意掃描阻止策略等都需要考慮。
在傳統防護和主機防護之外 ,從整個方案層面也需要進行考慮。
在主機層我們實現了多機的備份,像雙機或一對多備份的快速切換,保證了應用服務的安全。
在數據存儲方面,使用了安全塊存儲,這是宇視的創新。它是基于視頻流/塊的存儲技術,因為它的關鍵信息是獨立存放的,即使獲取到硬盤也無法直接拷貝出數據。
在存儲方面,我們可以多級備份、多陣列存儲等,另外支持流量中斷的及時備份,這些都是我們給用戶提供的系統級的數據存儲安全方案。
用戶管理安全
在對服務防護的同時,我們看到其實很多重要的信息是在用戶側被泄露出去的。針對這種情況,我們建議對用戶做一個安全管理,可以分為事前、事、中和、事后三個部分。
事前防御階段,在用戶終端接入防護系統之前做準入判斷,比如用戶是否合法、相關配置是否完成、是否存在高風險漏洞。在所有的安全合規檢查與配置,賬戶檢查、安全設置規范檢查等都完成以后,判定它是一個可以介入系統的終端,才能開始應用層面。
事中控制階段,我們需要定義授權范圍,即對用戶的一些行為或操作做授權或者管控。比如我要定義用戶能做哪些方面的操作、是否存在非法外聯的行為、有沒有移動硬盤的接入、是否存在錄屏、截屏、拍攝操作、是否有外接USB等這些操作進行集中控制,防止信息被泄露。
事后審計階段,我們會對所有操作做日志審計,包括上網行為,對非授權外聯、視頻的存儲、下載和其他操作、文件讀寫操作、即時通訊、郵件內容、文檔操作等行為進行審計,然后進行溯源。從而在整個用戶管理層做到防御、管控、溯源。
總體來講,我們對于安防系統的建設是從終端、傳輸到服務平臺到用戶,做一個全方位的安全防護措施。
最后想和大家分享一個觀點,新技術的發展,包括5G傳輸、人工智能、大數據,區塊鏈和量子計算等等新技術的相互融合,會促進安全系統在安防系統中的應用。
建設安全的安防解決方案,構建全方位立體防護體系,要對業務和應用具有深刻的理解,同時運用各種前沿技術不斷完善自己的網絡安全防御體系。
評論