‧ 網路影像監控背後的資料安全隱患

雖然在各監控場所所安裝的監視系統來自不同的廠商，在 ONVIF 相容協議下，所有設備可能可互通. 這樣一來，只要取得密碼金鑰，甚至網路高手可突破防火牆，就可輕易觀看到各監控場所的監視影像. 最近一位在監控領域已超過二十五年的業者，就親自 Demo 給 3S Market 記者看，強調相容於 ONVIF 協議，卻忽略防火牆的保護，結果就被看光光. 小心！或許你的隱私就會赤裸裸的在網路上曝光。影像網路安全，不容忽視！

來源:CPS中安網作者:羅志華

物聯網、雲計算、大資料，當人們感歎時代發展腳步是如此迅速的時候，往往會忽視網際網路發展過程中一直存在的一些固疾，資料資訊的安全問題就是其中之一。隨著資訊技術的不斷發展，網際網路的雙刃劍效應日漸顯現。

在如今的網路監控時代裡，由於開放式的網路環境，使得監控資料資訊安全問題成為時下行業裡一個重要的話題。隨著高清監控的快速發展，平安城市、智慧城市等大型專案的逐漸鋪開，資料量也在不斷增大，隨之而帶來的大資料下的網路安全問題，逐漸成為影像網路監控行業裡新的課題。

何為網路監控資料安全

網路監控資料安全含義主要體現在兩個方面：一是監控資料資訊本身的安全，主要是指採用資料加密技術和軟體對監控資料資訊進行主動保護，如數據保密、資料完整性、雙向身份認證等;二是監控資料資訊保護的安全，主要是指在資料儲存過程中，採用安全的資料資訊儲存手段對資料的保護，如通過磁碟陣列、資料備份、異地備元等手段保證資料保存的安全。

影像網路監控安全是指為了防止資料資訊被他人盜取，在監控資料資訊的傳輸、儲存過程中採取保密性的措施，防止資料資訊的外泄。如影像監控系統中的系統日誌檔，和影像錄影檔需要防止外泄;在傳輸、儲存監控資料資訊過程中，要確保資料資訊不被未授權的篡改，或在篡改後能夠被迅速發現。

在前端影像流通過IP傳輸網路傳輸到影像儲存系統，以及影像儲存網路的各個環節，都必須考慮相應的防護措施，從而確保資料資訊的完整性;在監控資料資訊的安全防護過程中不能使資料資訊不可用，而是要讓資料資訊使用起來更加方便，但要兼具使用過程中資料資訊的連續性保護。

大資料時代，網路監控資料安全需要重視　　

資料安全催生新的儲存技術和方式

隨著大資料時代下資料安全問題不斷得到重視，影像監控的儲存技術和方式也在發生變化，由 VCR 類比儲存、DVR 數位儲存，逐漸向 NVR、NAS、IP SAN 等網路儲存發展，未來的發展方向是雲儲存。

www.cogate.com.tw

儲存方式上，主要有集中式儲存和分散式儲存兩種。對於更複雜、更敏感的大資料，必定會吸引更多的駭客攻擊者，在駭客攻擊過程中，會獲得大量的資料，降低了駭客的攻擊成本，增加了“收益率”。而我們採用分散式儲存和雲儲存方式時，會減小儲存的壓力和風險，提升安全係數。

監控軟體和資料成主要攻擊物件

在大資料時代裡，影像監控的價值越來越多的體現在監控軟體和資料的挖掘上，而它們也主要成為網路駭客攻擊的主要目標。在平安城市建設的帶動下，影像網路監控的點位元逐漸建設完成，並不斷向聯網、應用、行業滲透發展。監控的功能也逐漸從事後取證向事前預防發展，而這些只有軟體和資料分析才能完成。當人們用資料採擷、資料分析等大資料技術來挖掘更多價值的同時，它們也成為了駭客攻擊的物件，因為大資料比較容易被發現。

資料安全衍生新機遇，創造新價值

在當前的安防行業裡，硬體產品一直是企業賴于生存的主要空間，對於安防軟體產品，長期以來就是被視為陪嫁品，在硬體產品銷售中額外贈送給客戶的。而在大資料時代下，安防軟體逐漸體現出它的價值，企業不斷提升自身的技術和集成實力，加強創新能力和提高服務的水準，發展安防軟體成為了更好的選擇。以此同時，面對大資料時代下，資料資訊安全的問題，企業開始跨界與IT行業合作，這對於安防企業來說，一種全新的發展機遇，在此機遇中，企業會創造出新的更高的價值。

監控資料傳輸加密，構建網路監控保密環境

當網際網路應用在安防市場不斷得到深化的時候，監控資料安全也不斷得到人們的重視，現在常見的資料安全保護技術有資料備份、雙機容錯、NAS、資料移轉、異地備元、SAN 等技術。在影像監控資料資訊防護中，主要從 SSH、PGF、SSL 和加密軟體這幾個方面來構建嚴密的網路監控保密環境。

SSH加密監控資料資訊　　

網路監控資料傳輸的保密性，是構建網路監控保密環境中一個重要的環節，在影像網路監控系統中，可研採用SSH技術及來實現加密。SSH 的英文全稱是 Secure Shell。通過使用 SSH，使用者可以把所有傳輸的資料進行加密，可以避免“中間人”式的網路攻擊，同時可以防止 DNS 和 IP 欺騙。另外由於其傳輸的資料是經過壓縮的，所以可以加快傳輸的速度。

SSH 協議是建立在應用層和傳輸層基礎上的安全協議，其主要由以下三部分組成，共同形成 SSH 的安全保密機制：

(1)傳輸層協議：該協定提供諸如認證、信任和完整性檢驗等安全措施，並配備資料壓縮功能。一般這些傳輸層協議都建立在連線導向的 TCP 資料流程之上。

(2)使用者認證協定層：該協議是用來實現伺服器與用戶端用戶之間的身份認證，運行在傳輸層協定之上。

(3)連線協定層：分配多個加密通道至一些邏輯通道上，它運行在使用者認證層協定之上。

從用戶端來看，SSH 提供兩種級別的安全驗證：一個是基於口令的安全驗證。用戶通過自己的帳號和口令就可以登錄遠端主機。所有傳輸的資料都會被加密，但是使用者所連接的伺服器可能會被駭客冒充，即中間人式的攻擊;另一個是基於金鑰的安全驗證。

blog.trendmicro.com.tw

用戶創建一對金鑰，並把公用金鑰放在需要訪問的 SSH 伺服器上。用戶端軟體就會向伺服器發出請求，請求用用戶的金鑰進行安全驗證。伺服器收到請求之後，把自己的金鑰和用戶發送過來的公用金鑰進行比較。如果兩個金鑰是一致的，伺服器就用公用金鑰加密質詢 (challenge) 並把它發送給用戶端軟體。用戶端軟體收到“質詢”之後就可以用用戶的私人金鑰解密再把它發送給伺服器。

使用者用這種方式，必須知道自己金鑰的口令。與第一種級別相比，第二種級別不需要在網路上傳送口令。第二種級別對傳輸資料進行加密，並且需要使用者的私人金鑰，所以“中間人”這種攻擊方式是沒有效果的。

PGP技術保證監控資料傳輸安全

在網路監控資料儲存、傳輸的安全性、完整性和一致性變得越來越重要時，網路資訊安全核心加密技術也開始得到應用，基於 PGP(Pretty Good Privacy) 機制的加密及簽名機制就可以極大地保證網路資料傳輸及資料使用的安全性。

PGP 使用的是一種審慎金鑰管理即一種 RSA 和傳統加密的雜合算法，包括數位簽的郵件文摘演算法、加密前壓縮等。這種管理方式功能強大，而且運作速度很快。其中 RSA(Rivest-Shamir-Adleman)演算法是一種基於“大數不可能質因數分解假設”的公開金鑰體系。

SSL技術保證Web通信安全

Web 通信通常是以非加密的形式在網路上傳播的，這就有可能被非法竊聽到，尤其是用於認證的口令資訊。為了避免這個安全性漏洞，就必須對傳輸過程進行加密。對 HTTP 傳輸進行加密的協議為 HTTP，它是通過 SSL 進行 HTTP 傳輸的協議，不但可以通過公用金鑰的演算法進行加密保證傳輸的安全性，而且還可以通過獲得認證證書 CA，保證客戶連接的伺服器沒有被假冒。SSL 是一種國際標準的加密及身份認證通信協定，一般流覽器都支援此協定。

blog.cari.net

SSL(Secure Sockets Layer)是網路安全通信與交易的標準。SSL 協定使用通信雙方的客戶證書以及 CA 根證書，允許客戶/伺服器應用以一種保密的方式進行通信，在通信雙方間建立起了一條安全的、可信任的通信通道。這樣在視頻監控資料資訊在用 Web 通信傳輸的情況時，能夠實現保密性，防止資料資訊被竊取。SSL 具備以下基本特徵:資訊保密性、資訊完整性、相互鑒定。該協定主要使用Hash編碼、加密技術。

在 SSL 通信中，首先採用非對稱加密交換資訊，使得伺服器獲得流覽器端提供的對稱加密的金鑰，然後利用該金鑰進行通信過程中資訊的加密和解密。為了保證消息在傳遞過程中沒有被篡改，可以加密 Hash 編碼來確保資訊的完整性。伺服器數位憑證主要頒發給 Web 網站或其他需要安全鑒別的伺服器，以證明伺服器的身份資訊，同樣也可以頒發用戶端數位憑證用於證明用戶端的身份。

使用加密軟體，創建使用者口令保密

在影像網路監控資料資訊儲存，傳輸過程中，採用加密軟體是必需的措施，客戶在使用加密軟體時，關心的不是什麼技術，而是軟體本身的安全性、穩定性和使用方便性。在加密軟體使用過程中，一般要使用口令保密功能，創建用戶口令。這樣可以避免駭客篡改和盜取監控資料資訊。不過，在創建口令時，我們應該掌握一些技巧。

避免受到駭客的攻擊，在當今，字典攻擊以及一些暴力攻擊手段在密碼破解程式中很常見，所以要求用戶在設立自己的用戶口令時，注意一些技巧，儘量不要使用自己的名字拼音、生日或者帳戶等資訊來設定。這樣就可以避免受到駭客通過字典攻擊，或者是社會工程的手段來破解密碼。使用者在設定密碼時，應儘量使用非字典中出現的組合字元，並且採用數位與字元相結合、大小寫相結合的密碼設置方式，增加密碼被破解的難度。另外，使用者應該採用定期修改密碼，使密碼定期作廢的方式保護自己的口令密碼。