网络监控系统存在的漏洞以及解决方法
网络监控系统就是通过网页内容的自动采集处理、敏感词过滤、智能聚类分类、主题检测、专题聚焦、统计分析等多个环节,实现相关网络舆情监督管理的需要,最终形成舆情专报、分析报告、统计报告,为决策层和管理层全面掌握舆情动态,做出正确舆论引导,提供分析依据。
若网络摄像机可支持DDNS(Dynamic Domain Name Server),用户即可使用动态IP及虚拟域名(如cam1.kitchen.Taipei.xxx.xxx)功能来设定此台摄像机的动态IP,此外也可以在任何连上Internet的地方来观看此台摄像机的视频画面。当在架设宽带网络时,不管是ADSL或是cable modem,均不需要固定IP,因此可以节省申请固定IP的费用。有些厂商的产品称可提供DDNS,然而使用时却需要先在远程PC上安装专用软件才能看到远程IP camera的画面,因此使用并不方便。
控制方式
于低帧数的MPEG-4编码对网络带宽要求更低,当用户通过LAN网和WAN网不同的带宽来访问网络摄像机时,支持自动/手动帧数控制的产品可以通过VBR/CBR的帧数控制方式就能够实现局域网D1(25帧)实时录像,广域网D1(12帧)实时预览。
Digital Time Code Embedded”功能即将视频的时间信息嵌入在MPEG的数据流里,而非分成两个数据流再去做比较,因此每个画面的真实时间都会被储存起来。当用户想要找出某个或某段特定时间的影像纪录时,这是相当好用的。若网络摄像机不支持此功能,用户就必须搜寻整段视讯流,这将耗费相当多的时间。有些摄像机也提供应用软件来仿真此功能,然而在时间记录上却不够精确,因此带有“Digital Time Code Embedded”的视频流,也被称为“Smart Video”,而且可在用户端通过其它一些软件来做更多的应用。Digital Time Code Embedded 的其它优点包括可在视频流中提供防伪水印。由于时间信息是嵌入在视频流中,因此一旦视频被篡改过,时间信息将会从视频数据中消失,且无法恢复,因此时间信息可当作防止视频被伪造的水印,让用户可轻易辨别视频的真实性。
网络摄像机也可应用在一些取代模拟摄像机,特别是在一些法律强制装设的地点,如隧道、路口等。网络摄像机还可用来管理门禁安全,不管是人或是车辆在经过时均可被记录下形貌及时间,因此极容易追溯搜寻。这些视频数据都可以通过网络储存在远程的服务器上,不需担心数据被窃取的问题。网络摄像机非常易于连接到现有的IP网络上,并且可以通过网络提供各地实时且高画质的视频。对于一些敏感区域,如计算机机房、银行柜台或其它远程场所,都可通过局域网或因特网,用最经济最简单的方式来密切监看。网络摄像机不但可强化连锁店面的监控,确保一切安然无恙,并且也对办公室安全提供高度的防护,如接待处、会议室等,当有意外发生时,可搜索有哪些人曾进入计算机机房,以做出适当的处理。网络摄像机对制造业厂商也是一个相当好用的工具,主管在办公室或家里,就可以监控工厂的自动化生产设备、其它机器及生产线等等。此外,若具有PTZ(Pan/Tilt/Zoom)功能的网络球机,还可以做更复杂多变的监控,有如亲临现场。
流程
网络舆情监测软件有很多种,但是主要的流程还是差不多,主要有以下三点:
1.信息采集:互联网信息(新闻、论坛等)的实时监测、采集、内容提取、下载及排重。
2 .信息处理:对抓取的内容进行自动分类聚类、关键词过滤、主题检测、专题聚焦等。
3.信息服务:将采集并分析整理后的信息直接为用户或为用户辅助编辑提供信息服务。如国内比较先进的舆情软件乐思就可以自动生成舆情信息简报、舆情统计分析图表以及追踪已发现的舆论焦点并形成趋势分析,用于辅助各级领导的决策支持。
架构
网络监控系统由摄像机、WEB服务器、传输网络和监控端组成。摄像机用来采集监控现场的视频。WEB服务器是整个监控系统的核心,有硬件和软件两个部分,详细结构将在下面分别介绍。其主要功能包括:为监控端提供WEB访问页面;对监控端的访问进行有效性、安全性检查;响应监控端的请求,为监控端提供所需要的视频图像;接收监控端的控制信息,经过软硬件转换后对摄像机进行控制。每个服务器有自己的IP地址,在监控端可以通过浏览器界面访问服务器。监控端的功能则是显示现场视频,并根据需要向服务器发送视频请求以及对摄像机的控制信号。
部分视频监控系统安全风险高
据悉,早在今年3月份,中央电视台就报道了家庭监控器存在较高安全隐患的问题,黑客利用漏洞攻破网络监视系统,窃取用户隐私。不仅家庭网络监视系统,公共场所、银行、办公室、监狱等的网络监控系统同样存在隐私泄露的风险。伴随技术的发展,网络监控逐渐取代模拟监控越来越多应用到各个领域。
笔者在网络安全领域权威的漏洞信息库WooYun乌云网、绿盟科技以及国家信息安全漏洞共享平台了解到,有关安防系统的“监控摄像头”的漏洞信息就达180条之多,而这仅仅是安防系统中存在被入侵或者泄露漏洞的冰山一角。在这些漏洞信息库里可以看到,不乏海康、海尔、汉邦高科等主流厂商的漏洞信息。
在这些漏洞中,有弱口令、绕过认证、明文传输、注入漏洞、跨站攻击、拒绝服务攻击、linux平台自身缺陷等。
两方面浅析视频监控系统漏洞
为证实这些描述,笔者将从弱口令和系统平台两个方面做一个浅析。
1、弱口令
目前,大多数的厂商设置的后台默认密码都是admin、888888等,用户或者监控管理方为了便捷管理,不修改默认密码,也有修改成简单密码方便记忆的。一旦监控后台管理系统接入如网络,黑客便可以通过默认密码以非授权方式进入后台查看监控画面,甚至下载,删除监控记录。而这些对于整个安防系统和个人隐私都是一种潜在的威胁。
如下笔者以汉邦高科的的默认密码做测试(注:此处仅作测试,隐私部门已做模糊处理)
从搜索引擎中可以搜索到,汉邦高科的管理后台多大69000个。随机挑选20个后台测试,直接用默认口令登陆成功的可达70%以上。
同样,在乌云网中的描述,海康威视监控后台99%存在弱口令 ( WooYun-2013-25026 )。
2、平台漏洞
早期,视频监控系统中所有的监控都会接入到一个终端机里面。以前的古老录像机是不带网络接口的,只能本地查看。现在的录像机都带网络接口,里面运行的是一个mini的linux系统。同时对应的管理平台通常都会使用struts2等框架。在网络安全界,Linux系统、struts2都爆出了众所周知的漏洞。
在安防界,除了一流厂商能自主研发系统平台外,大多数企业都在这些平台上进行微创新或直接抄袭。这就导致了一个问题:当主流平台方案出来产生了漏洞,业界的监控系统就基本成全是漏洞了。所以,在多数情况下,这些监控设备一旦接入网络,就给黑客入侵提供了机会。
如何解决网络监控安全隐患?
在首届网络安全宣传周来临之际,笔者给出几点防范方案。
厂商方面:及时介入以修复漏洞、控制风险。安防厂商应定期升级产品固件、修复漏洞等,为用户提供高效、专业的服务,为监控数据安全护航。
监控管理方:培养操作人员的安全管理意识,设定复杂密码策略,尽量避免接入互联网。一定要开启远程访问时,建议更改访问的网址,防止黑客在获取相同品牌监控设备的技术要点之后,可以攻破使用该设备的所有用户,减少风险存在的可能。
网络化已经成为安防行业发展的趋势,如何解决网络监控隐患问题,安防厂商作为源头必将要加强相关技术研发和管理,切实将用户利益放在首位。监控系统管理方也应该树立安全意识,力保监控系统,乃至整个安防系统的稳定运行。
而针对网络监控的技术人才缺乏,企业单打独斗,管理理念等问题,需要行业各个环节共同努力。无论政府部门,协会,还是安防企业,作为行业的细胞,都应该为推动网络监控的发展共同努力。
责任编辑:Davia
【免责声明】
1、本文内容、数据、图表等来源于网络引用或其他公开资料,版权归属原作者、原发表出处。若版权所有方对本文的引用持有异议,请联系拍明芯城(marketing@iczoom.com),本方将及时处理。
2、本文的引用仅供读者交流学习使用,不涉及商业目的。
3、本文内容仅代表作者观点,拍明芯城不对内容的准确性、可靠性或完整性提供明示或暗示的保证。读者阅读本文后做出的决定或行为,是基于自主意愿和独立判断做出的,请读者明确相关结果。
4、如需转载本方拥有版权的文章,请联系拍明芯城(marketing@iczoom.com)注明“转载原因”。未经允许私自转载拍明芯城将保留追究其法律责任的权利。
拍明芯城拥有对此声明的最终解释权。