? 近日,安防系統(tǒng)公司Verkada生產(chǎn)的視頻監(jiān)控?cái)z像頭遭到黑客入侵�����,多國(guó)共計(jì)約15萬(wàn)個(gè)視頻監(jiān)控?cái)z像頭的大量實(shí)時(shí)錄像數(shù)據(jù)被竊取����,受害機(jī)構(gòu)包括政府機(jī)關(guān)、醫(yī)院����、公司�����、警察局�����、監(jiān)獄及學(xué)校等。安全研究人員稱���,Verkada攝像頭存在嚴(yán)重漏洞����,黑客可以利用漏洞遠(yuǎn)程訪問(wèn)所有客戶的網(wǎng)絡(luò)����。
? 據(jù)報(bào)道,開(kāi)展此次攻擊的黑客組織代號(hào)為“縱火貓”(Arson Cats�,又稱APT69420)。Verkada公司遭受攻擊的原因是一臺(tái)面向互聯(lián)網(wǎng)的服務(wù)器存在可被利用的安全漏洞����,該服務(wù)器用于軟件測(cè)試和集成,為客戶管理安全攝像頭。黑客利用該服務(wù)器的漏洞�,可以遠(yuǎn)程獲取Verkada攝像頭的根目錄訪問(wèn)權(quán)限,執(zhí)行關(guān)閉攝像頭或者安裝自定義固件等一系列操作��。黑客可借由攻擊連接物聯(lián)網(wǎng)的Verkada攝像頭���,進(jìn)入用戶網(wǎng)絡(luò)中�,為入侵其他更多系統(tǒng)提供方便�����。Verkada攝像頭的監(jiān)控范圍十分廣泛����,涉及用戶單位內(nèi)部具體區(qū)域設(shè)置、工作場(chǎng)景和內(nèi)部工作人員等��,還可以通過(guò)所謂的人員和車輛分析功能來(lái)識(shí)別人臉和車輛�,并將所有監(jiān)控?cái)?shù)據(jù)都存儲(chǔ)在云上。因此����,黑客一旦攻擊成功,將造成嚴(yán)重的大規(guī)模信息泄露�。
?
? 目前���,我國(guó)政府機(jī)關(guān)單位和企業(yè)在辦公區(qū)域廣泛安裝了攝像頭。為防范此類數(shù)據(jù)泄露事件�,各部門各單位應(yīng)加強(qiáng)警惕,積極采取措施��,規(guī)范攝像頭采購(gòu)和安裝程序�,限制監(jiān)控?cái)z像頭連接網(wǎng)絡(luò)的范圍,定期進(jìn)行安全檢查���,嚴(yán)格管控安裝智能攝像頭的外來(lái)設(shè)備進(jìn)入重要區(qū)域,做好涉密場(chǎng)所和保密要害部門部位的安全管控和威脅防范����,維護(hù)國(guó)家秘密安全。
? 為了防止別有用心的人利用控制網(wǎng)絡(luò)攝像頭窺探個(gè)人隱私�����、非法牟利����,光電安辰自主研發(fā)的國(guó)密安全視頻監(jiān)控系統(tǒng)解決方案,使用通過(guò)國(guó)家密碼管理局測(cè)評(píng)的專用加解密設(shè)備�,以硬件加解密和信源加密的方式���,采用國(guó)家密碼管理局指定的SM1、SM2���、SM3�����、SM4等高安全性密碼算法�����,實(shí)現(xiàn)對(duì)視頻信息數(shù)據(jù)的存儲(chǔ)加密���、傳輸加密和解密,所有產(chǎn)品和系統(tǒng)均通過(guò)了國(guó)家密碼管理局的認(rèn)證����,數(shù)據(jù)安全得到了全方位的保障。
一���、產(chǎn)品構(gòu)成
? 國(guó)密高安全音視頻監(jiān)控系統(tǒng)主要由相關(guān)的硬件產(chǎn)品和軟件管理平臺(tái)組成����。其中,硬件產(chǎn)品包括加密攝像機(jī)���、加密客戶端����、解密服務(wù)器和國(guó)密NVR����;軟件產(chǎn)品包括系統(tǒng)管理平臺(tái)。就功能而言���,上述產(chǎn)品可劃分為三類:
?音視頻加密產(chǎn)品:加密客戶端和加密攝像機(jī)����,對(duì)音視頻數(shù)據(jù)進(jìn)行加密����;
?音視頻解密產(chǎn)品:解密服務(wù)器和國(guó)密NVR�����,對(duì)音視頻數(shù)據(jù)進(jìn)行解密���;
?軟件類產(chǎn)品:軟件管理平臺(tái)��,對(duì)加解密硬件產(chǎn)品進(jìn)行配置和管理����。
二、產(chǎn)品部署方案
? 根據(jù)現(xiàn)有音視頻監(jiān)控系統(tǒng)的特點(diǎn)��,以及客戶需求和應(yīng)用場(chǎng)景的不同�,本產(chǎn)品主要通過(guò)以下兩種部署方案對(duì)音視頻監(jiān)控系統(tǒng)完成加解密處理:
“加密客戶端+解密服務(wù)器”產(chǎn)品部署方案
? ?如上圖所示:該方案通過(guò)加密客戶端對(duì)攝像機(jī)采集到的音視頻數(shù)據(jù)流進(jìn)行加密,確保傳輸過(guò)程中的音視頻數(shù)據(jù)為加密狀態(tài)�����,然后在解密服務(wù)器端對(duì)音視頻數(shù)據(jù)流進(jìn)行解密����,并將解密后的數(shù)據(jù)傳送到NVR。
“國(guó)密攝像機(jī)+國(guó)密NVR”產(chǎn)品部署方案
? ?如上圖所示:該方案通過(guò)專用的國(guó)密攝像機(jī)對(duì)音視頻數(shù)據(jù)進(jìn)行采集����,這樣就能確保采集到以及傳輸過(guò)程中的音視頻數(shù)據(jù)均為加密數(shù)據(jù),然后通過(guò)國(guó)密NVR在存儲(chǔ)端對(duì)音視頻數(shù)據(jù)流進(jìn)行解密�����。
分析總結(jié)
? 方案(1)的優(yōu)點(diǎn)是:對(duì)于現(xiàn)有監(jiān)控系統(tǒng)而言,加密客戶端和解密服務(wù)器都是“透明”的����,因此對(duì)現(xiàn)有監(jiān)控系統(tǒng)改動(dòng)較小,適合比較穩(wěn)定或者規(guī)模較大的監(jiān)控系統(tǒng)�����。而方案(2)需要對(duì)現(xiàn)有監(jiān)控設(shè)備進(jìn)行更換����,比如攝像機(jī)和NVR。因此����,方案(2)比較適合新建或者規(guī)模較小的監(jiān)控系統(tǒng)。
? 當(dāng)然�����,在實(shí)際情況中�,也可能會(huì)采用其他方案����,比如“加密攝像機(jī)+解密服務(wù)器”的搭配方式����,但基本都是先加密后解密的模式���,一切要視客戶的需求和實(shí)際應(yīng)用場(chǎng)景而定���。
三、產(chǎn)品性能
(1)加密客戶端
? 加密客戶端內(nèi)置硬件加密模塊�����,能夠?qū)η岸藗魉瓦^(guò)來(lái)的音視頻流數(shù)據(jù)進(jìn)行加密��,然后再發(fā)送到后端的接收設(shè)備���,確保音視頻數(shù)據(jù)的安全����。加密客戶端還具備身份鑒別��、訪問(wèn)控制�����、數(shù)據(jù)簽名驗(yàn)證等其他安全防護(hù)功能。加密客戶端有兩個(gè)RJ45以太網(wǎng)接口����,一入一出,輸入端接網(wǎng)絡(luò)攝像機(jī)等前端設(shè)備���,輸出端接交換機(jī)等后端設(shè)備���。其性能參數(shù)如下表所示。
?
?
(2)國(guó)密攝像機(jī)
? 國(guó)密攝像機(jī)內(nèi)置硬件加密模塊���,能夠?qū)Σ杉降囊粢曨l數(shù)據(jù)進(jìn)行加密�����,確保音視頻數(shù)據(jù)的安全����。國(guó)密攝像機(jī)還內(nèi)置身份認(rèn)證模塊��,每個(gè)國(guó)密攝像機(jī)都具有唯一的身份證書(shū)�����,可防止被非法替換�����。除了網(wǎng)絡(luò)高清攝像頭的通用特性之外�����,國(guó)密攝像頭還具備身份鑒別���、訪問(wèn)控制�、數(shù)據(jù)簽名驗(yàn)證等其他安全防護(hù)功能�。
?
(3)解密服務(wù)器
?
? 解密服務(wù)器內(nèi)置硬件解密模塊,能夠?qū)η岸藗魉瓦^(guò)來(lái)的音視頻流數(shù)據(jù)進(jìn)行高速實(shí)時(shí)無(wú)損解密��,然后再發(fā)送到后端的接收設(shè)備����,確保加密數(shù)據(jù)在安全區(qū)域能夠得到完整的還原。解密服務(wù)器有兩個(gè)RJ45以太網(wǎng)接口��,一入一出����,輸入端接交換機(jī)等前端設(shè)備�����,輸出端接NVR等后端設(shè)備����。
? 一臺(tái)解密服務(wù)器能夠解密多路加密視頻數(shù)據(jù)�����,目前解密服務(wù)器一共有兩種型號(hào)�����,其中GMJMFW64最大支持64路解密����,GMJMFW256最大支持256路解密。其性能參數(shù)如下表所示��。
?
(4)國(guó)密NVR
? 國(guó)密NVR內(nèi)置硬件解密模塊�����,能夠?qū)η岸藗魉瓦^(guò)來(lái)的音視頻流數(shù)據(jù)進(jìn)行高速實(shí)時(shí)無(wú)損解密,然后將解密后的音視頻數(shù)據(jù)存儲(chǔ)到該NVR上�,或 者將其轉(zhuǎn)發(fā)到客戶端PC、電視墻等后端設(shè)備�,確保加密后的數(shù)據(jù)能夠得到正常的存儲(chǔ)和轉(zhuǎn)發(fā)���。其性能參數(shù)如下表所示���。
?
(5)軟件配置管理平臺(tái)
??軟件配置管理平臺(tái)可對(duì)前端的加解密設(shè)備進(jìn)行網(wǎng)絡(luò)配置、加密鏈路配置以及設(shè)備管理�,比如黑白名單等等。有關(guān)軟件配置管理平臺(tái)相關(guān)功能和性能的詳細(xì)描述���,請(qǐng)參見(jiàn)軟件配置管理平臺(tái)的使用手冊(cè)�。軟件配置管理平臺(tái)的界面如下圖所示��。
四��、產(chǎn)品優(yōu)勢(shì)
?采用國(guó)密算法和國(guó)密局認(rèn)證的產(chǎn)品進(jìn)行加密
?采用硬件加密方式�,其安全性比軟件加密更高
?采用信源加密模式,從源頭上杜絕泄密可能性
?高速實(shí)時(shí)無(wú)損加密��,不增加額外的通信負(fù)擔(dān)
?兼容市面上各種音視頻監(jiān)控設(shè)備及各類協(xié)議
?通過(guò)國(guó)密局等權(quán)威機(jī)構(gòu)認(rèn)證��,產(chǎn)品資質(zhì)齊全
?具備完全國(guó)有自主知識(shí)產(chǎn)權(quán),產(chǎn)品安全可控
?國(guó)有軍工企業(yè)研發(fā)生產(chǎn)����,具備軍工品質(zhì)保障
五、證書(shū)資質(zhì)
六�、應(yīng)用場(chǎng)景
? 國(guó)密高安全音視頻監(jiān)控系統(tǒng)產(chǎn)品適用于各類音視頻監(jiān)控系統(tǒng),既支持對(duì)原有系統(tǒng)的國(guó)密升級(jí)改造��,又支持對(duì)國(guó)密系統(tǒng)的全新定制����。可滿足公安�、檢察院、法院����、軍隊(duì)等各類客戶對(duì)于國(guó)密級(jí)音視頻監(jiān)控系統(tǒng)的不同需求。
