霍燚 李铁 程利 李红

中国石油辽河油田公司勘探开发研究院 辽宁 盘锦 124010

引言

网络摄像机是由传统摄像机和网络编码模块组合而成，将采集到的模拟信号压缩成数字信号后通过网线传输，用户可直接在浏览器上观看影像。企业一般把网络摄像机作为网络设备节点直接接入网络交换机或路由器,用于视频监控、工业生产控制、门禁控制、客流大数据分析、在线教育等用途，如不能及时采取系统加固措施，容易被他人入侵，为企业的安全生产带来极大的风险隐患，可能造成人、财、物的损失，甚至危害到国家的安全稳定[1]。网络摄像机的信息安全事件时有发生，时有报道，呈现高发、频发态势，解决其信息安全问题迫在眉睫。本文分析总结了当前网络摄像机存在的主要信息安全隐患，以某型号网络摄像机配置为例，阐述如何对其进行系统加固，为网络摄像机的信息安全防范措施提供了一些可行性建议。

1 网络摄像机的信息安全隐患及其风险分析

网络摄像机自带操作系统，也是网络节点设备，具有存量大、24小时在线、地理位置分散、攻击不易被察觉、人为管理困难等特点，越来越受到黑客青睐。由于其加工工艺日益完善，物理入侵难度较大，最常发生的是通过软件入侵，如何防范软件入侵是本文探讨主要方向。

网络摄像机的信息安全隐患主要在管理、技术两个方面。管理上，存在着信息安全防护意识不足、网络摄像机缺乏日常运维支持的风险[2]。技术上，网络摄像机可能存在四类安全漏洞：一是弱口令类漏洞，系统使用了默认口令或简单口令，例如账户口令为admin/admin、admin/123456等，很容易被猜到或被破解软件攻破；二是越权访问类漏洞，权限验证环节的缺陷使得黑客在非管理员权限时越权获得视频流信息、用户信息、配置文件等，甚至通过此漏洞访问用户数据库，提取出所有用户的登录名、哈希密码，再以此用户名、哈希密码直接登录网络摄像机，并获得相应的访问权限；三是远程代码执行类漏洞，黑客在客户端提交恶意构造语句在服务端执行，由于开发人员编写源代码时没有过滤system()、eval()、exec() 等可执行函数，导致攻击者获得设备的Shell权限；四是专用协议远程控制类漏洞，系统开放了Telnet、Rlogin、视频控制协议等服务，原本是方便网络摄像机使用者可以不受办公地点限制，随时可远程登录查看，但由于开发者未对源代码中可执行的特殊函数入口进行针对性的过滤，致使攻击者可提交恶意构造语句在服务器端执行，实现远程控制[3]。

由于网络摄像机的破解技术日趋隐蔽化、专业化，犯罪组织逐渐产业化、链条化，网络摄像机的上述安全隐患会带来一系列严重后果。不法分子利用技术手段破解网络摄像机后，可能长期监控，获取隐私信息及其他敏感信息，可能高价售卖破解软件和网络摄像机IP地址，更有甚者把网络摄像机的内容在网上实时直播。攻击者还可能使用Mirai、http81、Persirai、LizardStresser、DvrHelper等病毒入侵控制网络摄像机后，组建大型僵尸网络，对互联网上的其他网络基础设施、信息系统发起分布式拒绝服务（Distributed Denial of Service，简称DDos）攻击。2016年美国东海岸地区大面积断网就是这方面典型案例。三位大学生利用Mirai病毒在互联网上搜索网络摄像机等物联网设备，利用它们的弱口令和未修复的漏洞，控制其系统组成僵尸网络，于10月21日对美国Dynamic Network Service公司（简称Dyn公司）的DNS基础设施发起大规模DDoS攻击，致使Dyn公司无法提供域名解析服务。最初影响了美国东北部用户访问国际互联网，随后该国其他地区用户也受到影响。受到影响的网站包括Twitter、Paypal、亚马孙、GitHub、Reddit、Netflix、Spotify、Tumblr和纽约时报等。此次事件攻击规模巨大，影响范围广泛，仅Dyn公司的直接损失就超过了1.1亿美元，事件的总体损失难以估量。网络摄像机被入侵还有可能造成人、财、物损失，甚至危害到国际关系等其他方面。例如，2008年8月5日土耳其境内的巴库-第比利斯-杰伊汉石油管道爆炸起火，但控制室没有收到管道探测器发来的任何警报，直到爆炸发生40分钟后才从一位看到起火的工人得知此事。事后调查分析发现，攻击者利用石油管道的监控摄像头漏洞入侵系统后，继续深入到内部系统，发现一台Windows操作系统的电脑负责警报管理，在其上面安装了一个恶意程序，然后再进入到管道操作控制系统，在不触发警报的情况下，通过小型的工业电脑操纵加大管道内压力致使管道爆炸。攻击者把事发前后长达60个小时的监控录像全部删除，现场几乎找不到什么可用线索。此次事件导致输往西方国家的原油运输中断大约两周，国际油价涨回每桶120美元以上，还导致相关国家之间的猜疑。

2 网络摄像机的安全防范措施

网络摄像机的安全防范要从管理、技术两方面着手，切实提升对其安全态势的掌控能力。管理上提升维护人员网络安全意识，将网络摄像机纳入日常维护资产范围，明确安全责任，建立监管机制，通过制度保障其运维管理[4]。技术上普及网络摄像机安全防范知识，做好以下工作：

管理员账户使用复杂密码。建议密码长度在12位以上，至少包含大小写字母、数字、特殊字符中的三种，不要使用生日、电话、账户名称、人名等，更不能用123456、111、222这种连续或重叠字符，定期修改密码，降低被猜测或破解的风险。请牢记密码，重置网络摄像机的密码可能需要拆下设备去厂家指定服务点付费处理。

建立白名单，严格控制授权访问网络摄像机的IP地址。只有在白名单上的IP地址才能访问通过浏览器访问网络摄像机。

图1 网络摄像机的白名单

及时更新网络摄像机的固件到最新版本，确保具有最新的功能和安全性。以大华某型号本地升级为例，先通过浏览器登录网络摄像机查看设备类型和系统版本。

图2 网络摄像机的设备型号及系统版本

然后到大华官网的“服务支持”栏目里，找到“工具软件”--“程序升级包”，找到支持该设备类型的最新版固件下载，在本地进行固件更新。更新前要根据官网提供的固件散列值确保下载的固件未经篡改。

图3 网络摄像机的固件升级

如果网络摄像机在Internet环境下，可以开启在线升级自动检测功能实现在线升级。

为网络摄像机提供安全的网络环境。如果条件允许，可以把视频监控系统单独组网，也可用VLAN、网闸等方式进行网络分割隔离，把它与办公网、科研网（或生产网）分开，防止互相攻击的可能。可以在网络入口处通过防火墙的设置，拦截对网络摄像机的非法访问。

如果使用专门的客户端软件也要及时更新。

除上述措施外，还可以通过更改HTTP及其他服务默认端口、开启HTTPS、将网关设备的IP与MAC地址绑定、关闭非必要服务例如SNMP等、启用音视频加密传输、不定期进行安全审计、启用网络日志等方式提升网络摄像机的安全防护能力。网络摄像机有生命周期限制，四、五年后可能不再有厂家官网技术支持，如果与厂家售后技术支持人员联系也得不到更新补丁，建议及时更换设备。《公共安全视频监控联网信息安全技术要求》国家强制标准在2018年11月1日正式实施，对之前生产的不符合国家标准的网络摄像机，也建议尽早更换[5]。

3 结束语

数量众多的视频监控系统是信息安全一道重要防线。在加固网络摄像机的同时，有必要对数据传输加密、对网络视频录像机（全称Network Video Recorder，简称NVR）加固，客户端PC机也要无毒安全可靠，建议使用视频安全网关等具有网络摄像机漏洞攻击防护能力的专业网络安全设备，通过全链路的防范措施实现主动防御。必要时可用监控设备漏洞自动化检测系统辅助做好系统加固。由于网络攻击的手段和来源多样性，决定了解决此类问题不可能一劳永逸，我们要持续完善视频监控系统，不断提高整体防护能力，确保互联网安全、企业安全、家庭隐私、公共安全及国家安全。