攝像頭：關鍵信息基礎設施安防的重中之重

高陽

近日據媒體報道，俄羅斯莫斯科市準備在全市17萬個閉路監控攝像頭系統中引入人臉識別技術，以便快速鎖定罪犯，提升城市的安全級別系數。

隨著面部識別技術日趨成熟，越來越高的準確率使得這一技術逐步進入了消費者應用市場。如微軟公司開發的Windows 10操作系統，就能夠用人臉識別解鎖電腦，另外三星電子也在智能手機中引入了面部識別，在蘋果公司新發布的iPhone X手機中，更是在行業第一次內推出了三維臉部識別技術。似乎，攝像頭的廣泛應用大有取代指紋識別，成為新的身份驗證方式之勢。

360公司在去年5月上海亞洲電子展（CES Asia 2016）上發布的《國內智能家庭攝像頭安全狀況評估報告》指出，我國市場上近八成攝像頭存在用戶信息泄露、數據傳輸未加密、APP不防護、代碼邏輯存在缺陷、硬件存在調試接口、可橫向控制等安全缺陷。攝像頭隱藏著安全大隱患，亟待研究防范。

攝像頭帶來安全大隱患

“包括傳統攝像頭和智能攝像頭在內的視頻監控系統可以稱作是‘物聯網之眼。”現就職于某互聯網中心、主要負責研究網絡信息和物聯網安全的王暉博士對《中國計算機報》記者介紹說，“不論是交通、工廠、公安等公用物聯網范疇，還是個人電腦、手機這類的民用領域，都離不開攝像頭設備。”

據了解，自2005年以來公安部和有關機構在全國范圍內開始推行“平安城市”“天網工程”等重大安防項目，視頻監控正是其中核心推進的內容。“我區僅屬于公安系統的攝像頭在2012年啟用時就達到了2800個。”北京市某區公安系統負責人對《中國計算機報》記者介紹道。據不完全統計，截至2009年年底，北京市監控攝像頭總量為39萬余個，按照北京2000萬人口算，平均每千人約有20臺監控攝像頭。

“攝像頭大范圍使用的同時也帶來了安全問題。”王暉表示目前不論是公用還是民用的攝像頭安全狀況均不樂觀。《中國計算機報》記者從國家互聯網應急中心（CNCERT）了解到，目前僅公用領域的安防攝像頭就存在著安全漏洞多、更新補丁響應速度慢，以及管理員防范意識薄弱的問題。

“而民用領域的攝像頭安全狀況也不容樂觀。”奇虎360公司網絡安全中心的負責人對《中國計算機報》記者表示，“這些安全缺陷的存在讓接入網絡的智能攝像頭可輕易被黑客控制，并隨時獲取攝像頭的圖像和語音信息，對用戶進行監控甚至網上直播。”

據悉，國外著名網絡漏洞搜索平臺Shodan在2016年1月開放了關于IoT漏洞的搜索，在IoT漏洞中搜索最多的就是智能攝像頭和工業安防攝像頭的漏洞。

黑客可以輕易找到漏洞

“視頻監控系統大致可分為物理層、網絡層、系統層、應用層和管理層五個層次。”北京紫荊視通科技有限公司產品總監于澤向《中國計算機報》記者介紹說，“從終端到傳輸再到管理設備的每一個環節均面臨重大的安全風險。”

由于攝像頭一般都暴露在外，復雜多變的環境和缺乏專人實時監管，這一層面面臨著諸多安全不確定性。“而在網絡層主要則面臨如DDoS攻擊、IP地址仿冒、非授權訪問或入侵等。這些安全威脅一方面會造成網絡癱瘓，致使視頻監控系統無法工作，另一方面也可能會造成視頻監控內容被惡意篡改、丟失或被公開。”王暉說。

而個人安全防范意識薄弱也為不法分子帶來了可乘之機。“使用缺省密鑰、弱密鑰和克隆密鑰等用戶習慣極易讓不法之徒抓住機會。”同方泰德副總工程師趙林向《中國計算機報》記者介紹說。

黑客通過簡單的一個后門程序便可以輕易篡改視頻內容、中斷監控、竊取機密信息甚至將其作為“跳板”對其他核心設備進行攻擊。據了解，在國外安全廠商Incapsula 10月份的一份報告中提到其監測到一次DDoS攻擊，該攻擊利用了900個CCTV攝像頭，就發起了峰值達到每秒20000次http GET請求，而攻擊者之所以能夠輕易利用這些攝像頭，其原因就是這些攝像頭都采用了默認的登錄憑證，可遠程登錄并控制。

由于安防設備廠家良莠不齊，而業內又缺乏統一的行業標準，使得黑客可以輕易找到漏洞，令用戶防不勝防。同時，物聯網設備廠商也缺乏足夠的安全響應能力，補丁更新緩慢也成為了視頻安防設備顯得“很脆弱”的一大原因。

攝像頭系統更新和維護很重要

一般來說，安全等級和防護級別是成正相關的，諸如網絡廣播電視或是涉密單位的安防系統，一般都是自己建網。通過自行搭建局域網的方式，使包括攝像頭在內的物聯網設備完全隔離在互聯網之外，這樣便杜絕了來自互聯網的黑客攻擊。

但是這并不意味著就可以高枕無憂了。通過調查發現，正是由于自認為和互聯網隔絕很安全，因此太多的設備使用方忽略了安防設備的后期更新和維護。

據了解，2015年年初，政府機關和公共行業廣泛使用的某型號監控設備被曝存在高危漏洞，并已被利用植入惡意代碼，導致部分設備被遠程控制并可對外發動網絡攻擊。CNCERT核查發現，我國主要廠商生產的同類型設備，普遍存在類似安全問題，亟須進行大范圍整改升級。

相反，對于家用攝像頭來說，由于連接了互聯網，使之可以及時獲得更新補丁，提升了安全防護層級。但這對制造智能硬件設備廠家的響應速度和更新頻率帶來了更高的要求。

而對于如何能夠保障自己的智能攝像頭的隱私不會被泄露，北京紫荊視通科技有限公司的運行維護工程師馬海波給出了一些建議：“首先在購買的時候對所選品牌的智能攝像頭要進行一些調查，要選擇一個口碑不錯、價格合適的攝像頭；其次在使用的時候要設置一定強度的密碼并養成經常修改密碼的習慣；最后要經常登錄攝像頭查看畫面角度是否發生過變化；同時還要及時關注智能攝像頭安全方面的消息，如果設備出現漏洞就需要等待廠家更新，以保證所使用的智能家庭攝像頭系統是最新版本的。”

市場研究機構Gartner發布的數據顯示，2015年北美地區信息安全支出達339.38億美元，而中國為32.15億美元，僅為美國的9%。這個投入并不僅僅是在安防硬件設備上。

“由于目前高清攝像頭需求提升，4K、8K甚至是H.265編碼標準的設備大量被使用，這就對網絡帶寬提出了更高的要求，因此信息通信基礎設施的升級換代也是促進安全等級提高的重要一環。”王林說。endprint