◆王玉藏 齐志 周端文

探析网络视频监控系统的安全现状

◆王玉藏 齐志 周端文

（中国人民解放军63610部队 新疆 841000）

近些年，互联网视频监控安全问题频发，“水滴直播”、“黑天鹅”等安全事件影响恶劣，这也给专网安全管理人员敲了警钟。本文基于网络视频监控系统的基本架构，重点对视频前端模块、视频传输模块、中心管理模块和视频应用模块存在的信息安全隐患进行分析，并提出安全防护建议。

视频监控系统；信息安全；安全风险；安全防护

1 引言

随着网络通信、视频编码、计算机处理等技术的发展，网络视频监控系统广泛应用于军事、金融、交通、公安等领域，帮助各单位实现广域监控、实时监控、统一管理、协同指挥。网络视频监控系统逐渐成为了各单位不可或缺的一部分，在无形中扩展了传统网络安全边界，扩大了传统观念里安全风险的发生范围，本文从专网安全防护的角度出发，重点对网络视频监控系统存在的信息安全隐患进行分析，并提出安全防护建议。

2 网络视频监控系统的架构

网络视频监控系统涉及的环节多、设备多，是一个多元复杂的体系，网络视频监控系统的基本构架主要可分为视频前端模块、视频传输模块、中心管理模块和视频应用模块四大部分，如图1所示。

2.1 视频前端模块

视频前端模块，包括摄像机、网络摄像机、云台、高/标清视频编码器等前端设备，实现视频、音频信息的实时采集和压缩编码。

2.2 视频传输模块

视频传输模块，主要包括交换机、路由器、光端机、防火墙、视频光端机、同轴电缆、双绞线、光纤等设备，实现视频在本级、上下级TCP/IP网络之间的传输。

2.3 中心管理模块

中心管理模块是统一的管理平台，包括图像中心管理服务器、录像存储服务器、视频回放服务器、设备接入服务器、媒体转发服务器、视频存储系统等集中管理设备，主要实现五大集中管理：（1）视频源接入管理；（2）视频录像、存储、检索、回放以及转发管理；（3）客户端管理；（4）用户身份鉴别、权限管理；（5）日志管理。

2.4 视频应用模块

视频应用模块，包括服务/视频管理终端、监视终端、视频分配器、视频解码器、视频矩阵切换、D/A转换器、电视墙、投影仪等后端显示控制设备，实现视频的监控、投放、录像等功能。

图1 网络视频监控系统构架图

3 网络视频监控系统存在的安全隐患

3.1 视频前端模块安全风险

专网视频监控系统往往监控“点位”涉及许多区域、跨网段，所需的前端视频采集设备具备数量多、部署位置关键敏感、7*24小时持续采集等特点，是需要重点防护的对象。但是前端采集设备自身存在大量安全隐患，而传统安全防护体系大多没有考虑配套的安全措施，导致其成为网络中极易被突破的薄弱环节。攻击者一旦成功入侵网络摄像机等前端设备，可以轻易控制监控现场的前端设备，非法获取监控区域的敏感信息，甚至可以进一步将其作为一个跳板或僵尸主机，进而渗透、攻击业务承载网，造成更加严重的后果。

前端视频采集设备的安全风险主要来自以下几个方面：

（1）网络摄像机集传统摄像机、视频编码和网络技术为一体，一般由嵌入式硬件平台、嵌入式Linux系统、嵌入式Web服务器、USB摄像头采集前端和WiFi无线网卡组成，自身容易存在弱口令、缓冲区溢出、未授权访问、拒绝服务、命令注入、信息泄露、认证缺陷、目录穿越、特权提升、目录遍历、SQL注入等漏洞。

（2）网络摄像机等前端采集设备端口使用比较固定，例如“海康威视”远程监控客户端使用554端口；大华远程监控客户端使用37777端口，浏览器访问使用80、8000端口；雄迈远程监控客户端使用34567。攻击者通过端口扫描、资产探测等工具，即可快速发现网内部署的视频采集设备。

（3）目前全国并未形成统一的网络视频框架协议，使不同厂商所生产的网络视频产品，包括网络摄像机、图像服务器、录像存储等完全互通。因此在视频监控系统中，往往采用一个或少数几个厂商的视频采集设备，且视频采集设备型号比较固定，这就导致视频采集设备在软硬件上高度相似，安全缺陷高度一致，一点被攻破，会引发连锁反应，导致整个视频监控网络被控制和瘫痪。

（4）大华、海康威视、ＴＰ－Ｌｉｎｋ、华为等网络摄像机在断网后图像可滞留30-60秒，部分“老款”设备甚至可滞留15分钟，而视频监控管理人员可能很久才意识到并采取措施，尤其是在静态画面的情况下。攻击者利用这种特性可以替换网内摄像机，制造虚假录像，在已知线路连接的情况下，替换过程只需几秒钟。

3.2 视频传输模块安全风险

视频传输模块安全风险主要来自视频传输过程中对数据的非法访问、窃取、篡改。前端视频采集设备大多不带数据加密功能，采集视频并压缩后直接明文传输MPEG4、H.263、H.264、H.265等视频码流，如果没有部署专门的视频专用信道或VPN，攻击者可以通过“网络嗅探”方式，非法截获视频流数据，然后进行加工、篡改。

3.3 中心管理模块安全风险

（1）中心管理模块是网络视频监控系统的核心部分，其中图像中心管理、录像存储、视频回放、设备接入、媒体转发、视频存储等服务器设备，不仅存在视频管理平台特有软件漏洞，如远程命令执行、授权绕过、目录遍历、远程缓冲区溢出等高危漏洞，而且存在大量的操作系统常见漏洞，本身容易遭受入侵和控制。

（2）中心管理平台针对前端视频采集设备和后端客户端，仅采用简单的身份认证和权限管理，缺乏专用的安全加密和身份认证机制，无法确保前端采集设备、客户端的唯一性，无法充分保证端到端通信的合法性，难以抵御来自非法访问者的入侵和攻击。

（3）网络视频监控系统中，目前主流的视频监控存储技术为FC-SAN与IP-SAN，其中FC-SAN技术需要专属网络，部署成本高，因此大部分系统采用IP-SAN技术集中存储，拓扑结构如图2所示。网络视频监控系统中前端采集设备数量多，“录制”全时段视频需要的存储量巨大，因此一般只集中存储高清晰度、高价值的视频，且大多不进行视频标记和加密存储，无形中存储系统成了高风险区域，一方面攻击者采取常规的入侵模式就可以非法窃取、删除、破坏视频信息，另一方面无标记的视频泄漏后，无法快速定位泄漏点。

图2 IP-SAN存储拓扑结构示意图

（4）部分中心管理平台在设计之初，缺乏安全考虑，在数据库中明文存储用户名、密码，导致除了系统管理员以外的其他人员，很容易从数据库获取到管理员的用户名和密码，从而轻易进入系统，进行非法操作，比如提升用户权限、远程控制和操作前端视频采集设备等等。

（5）网络视频监控系统管理人员，安全意识缺乏，为了便于管理，通常同一型号的前端采集设备采用同一用户名、密码，且往往是设备初始密码或是非常简单的密码，如admin、administrator、123456、666666等，导致弱口令问题。

3.4 视频应用模块安全风险

大量视频管理终端、监视终端也是网络视频监控系统的一个关键风险点。一方面中心管理平台缺少可靠的身份验证措施，身份验证强度不足，不能保证视频管理终端的操作都是被授权和可信任的。另一方面视频管理终端、监视终端的操作系统和应用软件，本身存在安全漏洞，面临来自主机、网络、应用多个层面的威胁，容易感染病毒、蠕虫、木马、勒索软件等恶意软件。

4 网络视频监控系统安全防护建议

以入侵检测、防火墙、终端防病毒为主的传统被动式防护体系，已不足以应对日益增加的安全风险，尤其是新增的物联网视频监控系统的安全风险。本文建议有能力的专网，建立以安全态势感知为主的主动式安全防御体系，运用大数据、人工智能等技术进行“多域”安全信息融合，形成网络视频监控系统的事前、事中、事后安全闭环防护，形成有效的信息安全管理机制。

（1）事前安全防护。首先对网络视频监控系统进行资产探测、统计，快速掌握前端、中心管理、后端等各类资产的组成与分布情况，然后使用专用的漏洞扫描工具检测资产存在的漏洞，并对安全漏洞进行加固，定期升级资产固件、更新密码、增强密码强度，同时加强前后端设备的统一安全认证机制，甚至可引入信源加密技术，从源头上封堵攻击者的入侵和前后端设备的非法接入。

（2）事中安全防护。通过部署保密机、安全网关、堡垒机、应用层防火墙、防毒墙、终端杀毒、数据库防火墙、数据加密等安全系统，从主机层面、网络层面、应用层面、数据层面形成7*24小时全面防护，并通过信息融合，具备全天候全方位态势感知能力，发现异常流量、异常行为时及时告警和阻断，使系统免受病毒、蠕虫、木马、勒索软件等恶意代码威胁，防止重要视频数据泄露。

（3）事后安全防护。一方面建立系统和数据异地容灾机制，防止因感染恶意代码导致系统瘫痪、重要视频数据丢失，另一方面通过数字签名技术、字符叠加水印技术，对视频数据进行标记，并建立有效的安全审计机制，记录前后端设备接入、访问、图像调用、录像下载等行为，一旦出现视频数据泄露，即可通过相关的标记和日志记录进行追踪溯源。

5 结语

网络视频监控系统在业务网中逐渐占据重要地位，其系统规模庞大、部署分散、接入承载网、内容敏感等特性，在网络上打破了原有的安全域，在业务承载网中引入了诸多安全隐患，而大部分已建的网络视频监控系统在建设之初，着重实现系统功能，未考虑安全防护措施，导致其成为现有安全防护体系的薄弱环节。因此，有必要对已建或在建的系统配套相应的安全措施，分析、识别、应对安全风险，确保信息安全。

[1]陶槊，魏海利.视频监控系统的安全风险及技术解决[J].西安文理学院学报，2020.

[2]祝彦峰.网络接入认证技术在视频监控系统中的应用[J].电脑知识与技术，2020.

[3]邓中翰.确保公共安全视频监控系统自主可控[J].人民政协报，2020.

[4]杜庆灵.平安城市视频监控系统网络安全研究[J].科技与创新，2019.

[5]于胜.电力系统视频监控网络信息安全风险及GB 35114实施意义[J].自动化系统技术及应用，2019.

[6]尚宝麒.视频监控专属存储技术分析[J].中国管理信息化，2017.

[7]梅大成，杨大千，赵娜.基于Linux的嵌入式网络摄像机设计[J].嵌入式网络技术应用，2007.