视频信息安全设计方案和对策.docx

1、视频信息安全设计方案和对策城市视频监控联网系统信息安全设计方案二一五年十一月1 项目背景互联网、大数据时代虽然带来了安防行业新的机遇与信息面貌，但是伴随信息聚集性越来越高，云安全问题也带来了新的挑战。对不法分子来说，只要击破云服务器，意味着可以获得更多的资源，例如iCloud泄露门，12306信息泄露，携程信息泄露等。海康威视“安全门”事件，对正在大力发展信息经济与互联网经济的中国，提出了信息安全的极大思考。信息安全任重而道远，千里之堤，毁于蚁穴。所以在信息安全上，应仔细排查安全隐患，防患于未然。公开数据显示，有74.1%的网民在过去半年内遇到网络信息安全事件。有专家估计，中国每年因网络信息安

2、全问题造成的经济损失高达数百亿美元。在今年的全国两会上，中国移动广东公司总经理钟天华代表建议，加快制定网络信息安全法，从监管主体、设施安全、运行安全、信息安全、法律责任等方面规范网络信息安全。各省城市视频监控联网系统共享平台已基本建设完成，标准基于国标GB/T 28181，但对于视频信息安全的要求没有严格要求。在国家对网络和信息安全高度重视的当下，扮演政府、企业、社区“守门人”角色的安防行业，实现自主可控异常重要。需要一套完整解决方案。2 信息安全相关知识网络信息安全是一个关系国家安全和主权、社会稳定、民族文化继承和发扬的重要问题。其重要性，正随着全球信息化步伐的加快越来越重要。网络信息安全是

3、一门涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论、信息论等多种学科的综合性学科。它主要是指网络系统的硬件、软件及其系统中的数据受到保护，不受偶然的或者恶意的原因而遭到破坏、更改、泄露，系统连续可靠正常地运行，网络服务不中断。2.1 信息安全服务与机制2.1.1 安全服务信息安全服务产生的基础是整个网络系统需要规避安全风险、控制安全成本以及保障业务持续性。从实践环节看，信息安全服务是由参与通信的开放系统的某一层(OSI)所提供的服务，它确保了该系统或数据传输具有足够的安全性。结合信息安全的基本要素，明确五大类安全服务，即鉴别、访问控制、数据完整、数据保密、抗抵赖。2

4、.1.1.1 鉴别服务（authentication）主要用来鉴别参与通信的对等实体和数据源，确认其合法性、真实性。2.1.1.2 访问控制服务（access control）用于防止未授权用户非法使用资源。包括用户身份认证，用户权限确认。2.1.1.3 数据完整性服务（integrity）用于对付主动威胁，阻止非法实体对通信双方交换数据的改动和删除。2.1.1.4 数据保密性服务（confidentiality）防止系统内交换数据被截获或非法存取而造成泄密，提供加密保护。2.1.1.5 抗抵赖性服务（no-repudiation）防止发送方发送数据后否认自己发送过此数据，接收方接收后否认收到

5、过此数据或伪造接收数据。2.1.2 安全机制2.2 安全体系架构2.2.1 网络安全基本模型网络安全基本模型包括通信主体双方、攻击者和可信第三方，通信双方在网络上传输信息，需要先在发收之间建立一条逻辑通道。这就要先确定从发送端到接收端的路由，再选择该路由上使用的通信协议，如TCP/IP。为了在开放式的网络环境中安全地传输信息，需要对信息提供安全机制和安全服务。信息的安全传输包括两个基本部分：一是对发送的信息进行安全转换，如信息加密以便达到信息的保密性，附加一些特征码以便进行发送者身份验证等；二是发送双方共享的某些秘密信息，如加密密钥，除了对可信任的第三方外，对其他用户是保密的。为了使信息安全传

6、输，通常需要一个可信任的第三方，其作用是负责向通信双方分发秘密信息，以及在双方发生争议时进行仲裁。一个安全的网络通信必须考虑以下内容：实现与安全相关的信息转换的规则或算法用于信息转换算法的密码信息（如密钥）秘密信息的分发和共享使用信息转换算法和秘密信息获取安全服务所需的协议2.2.2 信息安全框架2.2.2.1 物理安全进入办公室需经人脸识别门禁系统确认后才能打开办公室门，出办公室门需按出门按钮。2.2.2.2 通信和网络安全能完成对出入办公室人员的授权管理，能对进出办公室人员的历史出入记录进行查询及输出。2.2.2.3 运行安全2.2.2.4 信息安全2.3 信息安全起因首先，视频监控网络安

7、全问题是现实存在的，在互联网传输中不加密问题更甚。即便是美国国防部内部网络都曾被黑客入侵，何况是民用监控。其次，视频监控网络安全问题是普遍存在的，并非只海康威视一家。此前便有报道，只要在Google中搜索简单的关键字，就可以无阻碍地连入全球超过1000个没有保护措施的监控摄像头。用户对网络安全重视程度不够，缺乏安全意识，在安装完监控产品之后，没有对密码进行修改，实际上只要用户按照产品说明书的说明修改了初始默认密码，就能很大程度上避免网络安全隐患。第三，在视频传输中，利用公安专用通信网保密性最佳，其次为视频图像专网，再次为虚拟专用网（VPN，VirtualPrivateNetwork），未加密的

8、公网传输，包括移动互联网传输保密性是很差的。目前平安城市视频监控系统承载网络主要是公安专用通信网和视频虚拟专网两种。现有系统的承载网络情况复杂，平台部署在不同的承载网络上。虚拟专用网通常是在公用网络上建立的专用网络，是为特别用户设置的加密通讯网络，而平安城市视频监控系统汇接的社会图像资源是通过多种方式接入到各级共享平台，虽然在接入时会采取一些安全接入措施，但仍很难避免被非法侵入。未加密的公网传输毫无保密性可言。除了接入网络的设备会受到网络安全隐患威胁外这一无法回避的因素外，安防企业多是习惯于用局域网或者专网视角来看待问题。2.3.1 技术缺陷互联网使用的通讯协议是TCPIPTCPIP在最初的设

9、计时主要考虑的是如何实现网络连接并没有充分考虑到网络的安全问题而TCPIP协议是完全公开的，这就导致入侵者可以利用TCPIP协议的漏洞对网络进行攻击。另外计算机使用的操作系统比如说目前仍普遍使用的微软windows操作系统在设计上也存在安全漏洞，用户经常需要更新下载它的安全补丁以修补它的安全漏洞。其他的技术缺陷还包括应用程序的编写对安全性考虑不足网络通讯设备包括路由器、交换机存在安全的缺陷等等这些技术上的缺陷都容易被入侵者利用从而构成安全威胁。2.3.2 管理缺陷由于网络使用单位的负责人、网络管理员思想上不重视或者疏忽没有正视黑客入侵所造成的严重后果没有投入必要的人力、物力和财力来加强网络的安

10、全性，没有采取有效的安全策略和安全机制缺乏先进的网络安全技术、工具、手段和产品等等，这也导致了网络的安全防范能力差。主要有以下几个方面：内部管理漏洞。缺乏健全的额管理制度或制度执行不力，给内部人员违规或犯罪留下机会。与外部威胁相比，来自内部的攻击和犯罪更难防范，而且是网络安全的主要来源，据统计，大约80%的安全威胁来自系统内部。动态环境变化。单位变化，人员流动，原有内部人员对网络的破坏。社会问题、道德问题和立法问题。2.4 网络攻击方式互联网技术在飞速发展的同时黑客技术也在飞速发展，网络世界的安全性不断地在受到挑战。对于黑客来说要进入普通人的电脑非常容易。只果你要上网就免不了遇到病毒和黑客。下

11、面列举一些黑客常用攻击手段：2.4.1 口令攻击口令攻击就是通过窃取口令的方式进行破坏的活动，口令攻击是比较常用的一种攻击方式。在现实生活中由于用户名和密码被盗造成损失的例子有很多，一旦用户名和密码被盗入侵者还可以冒用此用户的名义对系统进行进一步的破坏和攻击从而给用户本身或者整个系统造成非常大的损失。就目前的黑客技术来说用户名和密码的盗取对黑客不再是有难度的事情，黑客盗取口令的方法有很多。比如说，有的黑客通过FTP、TFTP和Telnet等工具可以搜集用户账户资料、获得口令文件，然后对1：3令文件进行解密来获得口令。或者如果用户的口令设置缺乏安全性可能被轻易地被“字典攻击”猜到用户的El令。“

12、字典攻击”就是通过编写一个应用程序根据一定的规律由应用程序自动反复地去尝试口令强行破解用户口令。”字典攻击”要求黑客要有足够的耐心和时间但对那些口令安全系数极低的用户，只要短短的几分钟甚至数十秒就可以被破解。2014年11月，知名专业安全网站SecurityStreetRapid公布了3个RTSP安全漏洞，编号分别为：CVE-2014-4878、CVE-2014-4879及CVE-2014-4880。这三个漏洞均为监控设备对RTSP请求处理不当导致的缓冲区溢出漏洞。通过该漏洞，攻击者只要知道设备的IP地址，即可采用电脑对设备进行拒绝服务攻击，从而导致设备瘫痪或被攻击者接管。弱口令。弱口令是指容

13、易被攻击者猜测到或被破解工具破解的口令。此次媒体报道中提及的弱口令问题主要是由于未修改设备初始密码或设备密码过于简单导致的安全问题。弱口令问题普遍存在，主要的解决方式是建立严格、规范化的口令管理流程和管理机制。2.4.2 软件攻击软件攻击有时又叫漏洞攻击许多系统包括计算机系统、网络系统都有这样那样的安全漏洞(Bug)和后门(backdoor)。特别是计算机系统在安装好操作系统后出现漏洞和缺陷的可能性是最大的，这些漏洞需要厂商发布补丁(patch)程序来进行修补。各个硬件厂商和软件厂商，包括微软在内都在不断地发布自己的补丁这要求用户及时的去下载这些补丁进行系统更新操作。如果系统管理人员没有对网络

14、和操作系统的漏洞及时打补丁入侵者就可以很容易利用这些公开的漏洞，侵入系统从而对整个网络带来灾难性的后果。软件攻击除了利用系统的漏洞外还可以利用一些后门程序。后门，就是秘密入口。比如说在程序开发阶段，程序员可能会设置一些后门以便于测试、修改和增强模块功能。正常情况下，程序开放完成后需要去掉各个模块的后门，不过有时由于疏忽或者其他原因，比如说如保留后门便于日后访问、测试或维护后门没有去掉，一些别有用心的人就会利用专门的扫描工具发现并利用这些后门，然后进入系统并发动攻击。国内的安防产品的漏洞问题由来已久，主要原因在于社会和国家对信息化依赖越来越高。境外恶意攻击者一般会对网络进行扫描，发现系统存在弱口

15、令问题后会利用其中未修复的安全漏洞进行攻击，然后植入后门软件进行长期控制。所有暴露在互联网环境下的设备都会面临黑客攻击的风险，很多用户缺乏安全意识，在安全上考虑不足也导致容易出现安全漏洞。2.4.3 窃听攻击网络窃听是最直接的获取数据的手段如果在共享的网络通道上，用没有加密的明文传输敏感数据这些信息很可能被窃听和监视。窃听者可以采用如sniffef等网络协议分析工具，非常容易地在信息传输过程中获取所有信息的内容，这些信息包括账号密码等重要信息。一旦入侵者监听到用户传输的口令就可以利用口令入侵到系统中。比如说政府部门内部的普通工作人员如果通过内部网络窃听手段。获取了领导的账号和密码，从而可以利用

16、这些密码查阅只能由领导查阅的秘密文件等。这类方法有一定的局限性，但危害性较大监听者往往能够获得其所在网段的所有用户账号和口令对内部网络安全威胁巨大，因为内网数据往往是密级非常高的如果被非法窃听而导致信息泄露，将对国家造成非常大的损失。2.4.4 欺诈攻击欺诈攻击是利用假冒方式骗取连接和信息资源、损害企业的声誉和利益的方式。比如说黑客在被攻击主机上启动一个可执行程序该程序显示一个伪造的登录界面。当用户在这个伪装的界面上键入登录信息后黑客程序会将用户输入的信息传送到攻击者主机然后关闭界面给出提示错误要求用户重新登录。此后才会出现真正的登录界面这就是欺诈攻击的一种方式。再比如说，黑客可以制作自己的网

17、页一旦用户点击了假冒链接地址进入到这个网页后，如果用户此时输入银行账号、密码、验证码后，该假冒网页会提示验证码错误随后再转向正常的网页这样黑客就巧妙地从中获取了用户的机密信息。2.4.5 病毒攻击计算机病毒实际上是一段可执行程序，为什么称之为病毒，主要是因为它和现实世界的病毒一样具有传染性潜伏性和破坏性。在越来越依赖网络的今天由于病毒导致的系统破坏将带来巨大的损失。计算机病毒对计算机的影响是灾难性的。从20世纪80年代起计算机使用者就开始和计算机病毒斗争，特别是随着近年互联网的发展网络应用的普及、人们对计算机的依赖程度的不断提高这一切为病毒的传播提供了方便的渠道，同时也使计算机病毒的种类迅速增

18、加扩散速度大大加快受感染的范围越来越广，病毒的破坏性也越来越严重。以前病毒的传播方式主要是单机之问通过软盘介质传染而现在病毒可以更迅速地通过网络共享文件、电子邮件及互联网在全世界范围内传播2.4.6 拒绝服务攻击DOS(denial-of-service)攻击，简称DoS攻击是通过向攻击目标施加超强力的服务要求要求被攻击目标提供超出它能力范圉的服务，从而引起的攻击目标对正常服务的拒绝或服务性能大大降低。简单的说拒绝服务攻击就是想办法将被攻击的计算机资源或网络带宽资源耗尽导致网络或系统不胜负荷以至于瘫痪而停止提供正常的服务。DoS攻击由于可以通过使用一些公开的软件和工具进行攻击，因而它的发动较为

19、简单”拒绝服务”的攻击方式是：用户发送许多要求确认的信息到服务器使服务器里充斥着这种大量要求回复的无用信息所有的信息都有需回复的虚假地址而当服务器试图回传时却无法找到用户。服务器于是暂时等候，然后再切断连接。服务器切断连接时黑客再度传送新一批需要确认的信息，这个过程周而复始最终导致服务器资源耗尽而瘫痪。2.5 信息安全后果在现代网络信息社会环境下由于存在各种各样的安全威胁，比如病毒、误操作、设备故障和黑客攻击等，从而可能会造成重要数据文件的丢失。安全问题具体的后果包括：企业的资料被有意篡改，网站的页面被丑化或者修改。比如说，在被攻击的网站首页上贴上谣言、黄色图片或反动言论从而造成法律上和政治上

20、的严重后果。破坏计算机的硬件系统，比如说磁盘系统从而造成文件永久丢失。使得商业机密或技术成果泄露或者被散播。安全问题还可能使得服务被迫停止，并给客户层带来服务质量低劣的印象，使得企业形象被破坏，从而造成恶劣影响和难以挽回的损失。2.6 信息安全技术2.6.1 PKI体系公钥密码体制分为三个部分，公钥、私钥、加密解密算法，它的加密解密过程如下： 加密：通过加密算法和公钥对内容(或者说明文)进行加密，得到密文。加密过程需要用到公钥。 解密：通过解密算法和私钥对密文进行解密，得到明文。解密过程需要用到解密算法和私钥。注意，由公钥加密的内容，只能由私钥进行解密，也就是说，由公钥加密的内容，如果不知道私

21、钥，是无法解密的。公钥密码体制的公钥和算法都是公开的(这是为什么叫公钥密码体制的原因)，私钥是保密的。大家都以使用公钥进行加密，但是只有私钥的持有者才能解密。在实际的使用中，有需要的人会生成一对公钥和私钥，把公钥发布出去给别人使用，自己保留私钥。2.6.1.1 证书认证机构（CA）认证授权机构（CA, Certificate Authority），也称为电子认证中心，是负责发放和管理数字证书的权威机构，并作为网络活动中受信任的第三方，承担公钥体系中公钥的合法性检验的责任。CA中心为每个使用公开密钥的用户发放一个数字证书，数字证书的作用是证明证书中列出的用户合法拥有证书中列出的公开密钥。CA机构

22、的数字签名使得攻击者不能伪造和篡改证书。在SET交易中，CA不仅对持卡人、商户发放证书，还要对获款的银行、网关发放证书。CA是证书的签发机构,它是PKI的核心。CA是负责签发证书、认证证书、管理已颁发证书的机关。它要制定政策和具体步骤来验证、识别用户身份，并对用户证书进行签名，以确保证书持有者的身份和公钥的拥有权。CA 也拥有一个证书（内含公钥）和私钥。网上的公众用户通过验证 CA 的签字从而信任 CA ，任何人都可以得到 CA 的证书（含公钥），用以验证它所签发的证书。如果用户想得到一份属于自己的证书，他应先向 CA 提出申请。在 CA 判明申请者的身份后，便为他分配一个公钥，并且 CA 将

23、该公钥与申请者的身份信息绑在一起，并为之签字后，便形成证书发给申请者。如果一个用户想鉴别另一个证书的真伪，他就用 CA 的公钥对那个证书上的签字进行验证，一旦验证通过，该证书就被认为是有效的。为保证用户之间在网上传递信息的安全性、真实性、可靠性、完整性和不可抵赖性，不仅需要对用户的身份真实性进行验证，也需要有一个具有权威性、公正性、唯一性的机构，负责向电子商务的各个主体颁发并管理符合国内、国际安全电子交易协议标准的电子商务安全证，并负责管理所有参与网上交易的个体所需的数字证书，因此是安全电子交易的核心环节2.6.1.2 数字证书证书实际是由证书签证机关（CA）签发的对用户的公钥的认证。证书的内

24、容包括：电子签证机关的信息、公钥用户信息、公钥、权威机构的签字和有效期等等。证书的格式和验证方法普遍遵循X.509 国际标准。信息发送者用其私匙对从所传报文中提取出的特征数据（或称数字指纹）进行RSA算法操作，以保证发信人无法抵赖曾发过该信息（即不可抵赖性），同时也确保信息报文在传递过程中未被篡改（即完整性）。当信息接收者收到报文后，就可以用发送者的公钥对数字签名进行验证。数字证书为实现双方安全通信提供了电子认证。在因特网、公司内部网或外部网中，使用数字证书实现身份识别和电子信息加密。数字证书中含有公钥对所有者的识别信息，通过验证识别信息的真伪实现对证书持有者身份的认证。1. 使用数字证书能做

25、什么?数字证书在用户公钥后附加了用户信息及CA的签名。公钥是密钥对的一部分，另一部分是私钥。公钥公之于众，谁都可以使用。私钥只有自己知道。由公钥加密的信息只能由与之相对应的私钥解密。为确保只有某个人才能阅读自己的信件，发送者要用收件人的公钥加密信件；收件人便可用自己的私钥解密信件。同样，为证实发件人的身份，发送者要用自己的私钥对信件进行签名；收件人可使用发送者的公钥对签名进行验证，以确认发送者的身份。在线交易中您可使用数字证书验证对方身份。用数字证书加密信息，可以确保只有接收者才能解密、阅读原文，信息在传递过程中的保密性和完整性。有了数字证书网上安全才得以实现，电子邮件、在线交易和信用卡购物的

26、安全才能得到保证。2.数字证书的类型个人数字证书，主要用于标识数字证书自然人所有人的身份，包含了个人的身份信息及其公钥，如用户姓名、证件号码、身份类型等，可用于个人在网上进行合同签定、定单、录入审核、操作权限、支付信息等活动。机构数字证书，主要用于标识数字证书机构所有人的身份，包含机构的相关信息及其公钥，如：企业名称、组织机构代码等，可用于机构在电子商务、电子政务应用中进行合同签定、网上支付、行政审批、网上办公等各类活动。设备数字证书，用于在网络应用中标识网络设备的身份，主要包含了设备的相关信息及其公钥，如：域名、网址等，可用于VPN服务器、WEB服务器等各种网络设备在网络通讯中标识和验证设备

27、身份。此外，还有代码签名数字证书，是签发给软件提供者的数字证书，包含了软件提供者的身份信息及其公钥，主要用于证明软件发布者所发行的软件代码来源于一个真实软件发布者，可以有效防止软件代码被篡改。2.6.2 用户身份认证所谓身份认证，就是判断一个用户是否为合法用户的处理过程。最常用的简单身份认证方式是系统通过核对用户输入的用户名和口令，看其是否与系统中存储的该用户的用户名和口令一致，来判断用户身份是否正确。复杂一些的身份认证方式采用一些较复杂的加密算法与协议，需要用户出示更多的信息(如私钥)来证明自己的身份，如Kerberos身份认证系统。身份认证一般与授权控制是相互联系的，授权控制是指一旦用户的

28、身份通过认证以后，确定哪些资源该用户可以访问、可以进行何种方式的访问操作等问题。在一个数字化的工作体系中，应该有一个统一的身份认证系统供各应用系统使用，但授权控制可以由各应用系统自己管理。统一用户管理系统(IDS),实现网上应用系统的用户、角色和组织机构统一化管理，实现各种应用系统间跨域的单点登录和单点退出和统一的身份认证功能，用户登录到一个系统后，再转入到其他应用系统时不需要再次登录，简化了用户的操作，也保证了同一用户在不同的应用系统中身份的一致性。身份认证可分为用户与系统间的认证和系统与系统之间的认证。身份认证必须做到准确无误地将对方辨认出来，同时还应该提供双向的认证。目前使用比较多的是用

29、户与系统间的身份认证，它只需单向进行，只由系统对用户进行身份验证。随着计算机网络化的发展，大量的组织机构涌入国际互联网，以及电子商务与电子政务的大量兴起，系统与系统之间的身份认证也变得越来越重要。身份认证的基本方式可以基于下述一个或几个因素的组合：所知（Knowledge）：即用户所知道的或所掌握的知识，如口令；所有（Possesses）：用户所拥有的某个秘密信息，如智能卡中存储的用户个人化参数，访问系统资源时必须要有智能卡；特征（Characteristics）：用户所具有的生物及动作特征，如指纹、声音、视网膜扫描等。根据在认证中采用的因素的多少，可以分为单因素认证、双因素认证、多因素认证等

30、方法。身份认证系统所采用的方法考虑因素越多，认证的可靠性就越高。2.6.3 认证机制2.6.3.1 基于口令的身份认证机制基于口令的身份认证技术因其简单易用，得到了广泛的使用。但随着网络应用的深入和网络攻击手段的多样化，口令认证技术也不断发生变化，产生了各种各样的新技术。最常采用的身份认证方式是基于静态口令的认证方式，它是最简单、目前应用最普遍的一种身份认证方式。但它是一种单因素的认证，安全性仅依赖于口令，口令一旦泄露，用户即可被冒充；同时易被攻击，采用窥探、字典攻击、穷举尝试、网络数据流窃听、重放攻击等很容易攻破该认证系统。相对静态口令，动态口令也叫一次性口令，它的基本原理是在用户登录过程中

31、，基于用户口令加入不确定因子，对用户口令和不确定因子进行单向散列函数变换，所得的结果作为认证数据提交给认证服务器。认证服务器接收到用户的认证数据后，把用户的认证数据和自己用同样的散列算法计算出的数值进行比对，从而实现对用户身份的认证。在认证过程中，用户口令不在网络上传输，不直接用于验证用户的身份。动态口令机制每次都采用不同的不确定因子来生成认证数据，从而每次提交的认证数据都不相同，提高了认证过程的安全性。2.6.3.2 挑战/响应认证机制挑战/响应方式的身份认证机制就是每次认证时认证服务器端都给客户端发送一个不同的“挑战”码，客户端程序收到这个“挑战”码，根据客户端和服务器之间共享的密钥信息，

32、以及服务器端发送的“挑战”码做出相应的“应答”。服务器根据应答的结果确定是否接受客户端的身份声明。从本质上讲，这种机制实际上也是一次性口令的一种。一个典型的认证过程如下图所示：认证过程为：1) 客户向认证服务器发出请求，要求进行身份认证；2) 认证服务器从用户数据库中查询用户是否是合法的用户，若不是，则不做进一步处理；3) 认证服务器内部产生一个随机数，作为“挑战”码，发送给客户；4) 客户将用户名字和随机数合并，使用单向Hash函数（例如MD5算法）生成一个字节串作为应答；5) 认证服务器将应答串与自己的计算结果比较，若二者相同，则通过一次认证；否则，认证失败；6) 认证服务器通知客户认证成功或失败。2.6.3.3 EAP认证机制EAP（