安全和隐私保护

安全防范的目的是维护社会公共安全,如果使用的安防产品不安全,对安防产品、系统的使用、管理不安全,那所谓的安全防范就没有意义。

安防行业,特别是视频监控从模拟走向网络,面临越来越多的安全问题,比如物联网安全,网络安全。这其中有些是安防产品生产企业不够重视导致的。模拟时代,安防设备都在专网里工作,一般厂商都专注于产品的成本,性能和易用性,对安全性关注不多。进入网络时代以后,这些便利易用性成了重大的安全隐患。比如弱口令,为方便与第三方系统对接,所有支持的协议全都默认开启,这与信息安全的最佳实践是相违背的。

安全威胁

安防设备作为物联网中的一部分,面临的安全威胁可以从物联网的架构分为以下三类:

感知层威胁

  • 物理攻击
    设备被人为破坏,盗窃。物理接口直接暴露在外面。静电和雷击浪涌也可能损坏设备。
  • 数据泄露
    设备预置的信息数据容易被读取或者篡改。隐私数据采集,处理过程中泄露。
  • 非法接入
    弱口令,保留的调试接口等容易被利用。
  • 非法更新
    更新验证机制不健全,非官方固件容易被写入设备。
  • 过期组件
    组件过期,缺少健全的更新机制。
  • 恶意软件
    设备数量巨大,常规的更新和维护操作很困难,容易被恶意软件攻击。

传输层威胁

  • 网络攻击
    来自互联网的攻击。
  • 数据泄露
    云端传输时,控制命令和采集的关键数据加密,容易被窃取。
  • 数据篡改
    网络传输没有验校机制,控制命令和采集的数据容易被篡改。

应用层威胁

  • 设备管理
    设备分散且多,升级过程和安全状态难于管理。
  • 越权操作
    权限管理不完善。
  • 系统漏洞
    应用层的通用操作系统的漏洞。
  • 数据泄露
    应用层数据加密,安全措施缺少。例如直接拔走硬盘。
  • 过期组件
    应用层组件多,更新不及时,组件本身的漏洞容易被利用。
  • 配置漏洞
    配置问题,长期不检查,不更新。
  • 非法更新
    非官方软件未经验证直接更新。

安全防护

从安防设备面临的安全威胁种类上看,可以分为终端安全,数据安全,应用安全,网络安全,隐私保护,安全合规6类。但是安全防范是一个系统工程,我们应从整体上评估整个安防系统的安全性,做好安全防护。具体来说包括产品安全,网络安全,隐私保护/安全合规,系统工程安全四个方面。

产品安全

安防产品,物联网产品生产厂家应该建立产品安全应急响应部门,关注产品安全,及时发布产品安全通告,修复产品安全漏洞,接收产品漏洞报告,及时作出评估处理。

  • 设备本身安全
    物理安全。安全启动,运行隔离,数据安全,安全芯片。物理通信接口安全。Flash冗余备份。主备双控,电源冗余。设备安装时做好保护。
  • 系统设计安全
    可信启动,可信执行,升级。
    用户数据保护,存储介质加密。音视频数据安全。数字水印。应用代码签名,身份认证,密码算法,访问控制,组件安全,日志审计。

网络安全

  • 使用安全协议。HTTPS,TLS
  • 使用安全网络服务。比如SFTP,SNMPv3
  • 会话安全。
  • 无线局域网安全。
  • 端口安全。
  • 访问控制。防火墙,校时白名单,802.1x。
  • IP过滤。
  • WEB安全。
  • CA证书。
  • 安全预警。

隐私保护、安全合规

隐私数据的采集(前端摄像机的隐私遮蔽功能),传输,存储,使用,销毁。
安全合规。管理体系,法务合规,行业标准。

组建安全应急响应,法务合规部门

安防产品,解决方案等厂商应该设立安全应急响应,法务合规等部门,关注评估自身产品的安全,以及法务合规等问题。特别留意产品使用所在国地区的相关法律法规,比如欧盟的GDPR,中国的网络安全法等。

GDPR

《通用数据保护条例》(General Data Protection Regulation, GDPR)于2016年4月27日由欧洲议会颁
布,共计11章,99条,于2018年5月25日全面实施。GDPR 的前身是1995年颁布的《数据保护指令》(Data Protection Directive,DPD),原指令只是对欧盟成员国的国内立法起到指引作用,而GDPR可以被各成员国法院直接援引并作为判决依据。

GDPR 是对消费者/公民隐私权的展开与强化,旨在保护欧盟居民的基本权利,尤其是个人数据处理受保护的权利。个人数据指与已识别或可识别的自然人(数据主体)相关的任何信息。条例规定了数据主体享有的多项权利,包括知情权、访问权、修改权、删除权、限制处理权、可携权、拒绝权等。条例不仅适用于成立地在欧盟的机构,对于成立地在欧盟外的机构,只要其在提供产品或服务的过程中处理欧盟境内个体的个人数据,也同样适用。

GDPR 对数据控制者和处理者的约束规范十分严格。要求控制者应考虑到个人数据处理的性质、范围、背景、目的及变化的可能性风险和自然人权利与自由的严重性,采取适当的技术和组织措施,确保能够证明处理是按照条例的要求进行。大多数情况下,条例对处理者提出了与控制者相同的要求。

数据控制者是指单独或与他人共同确定个人数处理的目的和方式的自然人或法人、公共机构、代理机构或其他机构;而数据处理者是指代表控制者处理个人数据的自然人或法人、公共机构、代理机构或其他机构。对于视频监控行业来说,监控设备的使用者、监控解决方案的运营者、监控服务的提供者是GDPR的主要规制对象,因此,相关方应谨慎选择用于处理个人数据的产品和服务。

系统工程安全

整个安防系统工程我们应当作为一个整体来设计和评估其安全状况。整体上分为3部分,即终端层的安全,网络层的安全,平台层的安全。

安防系统整体安全

普通用户能做的

  1. 物理防护。设备放置在机柜,机房,做好门禁权限及钥匙管理,防止未经授权人员接触硬件设备,对硬盘,TF卡等破坏。
  2. 定期更新密码。
  3. 设置,更新密码重置信息。
  4. 及时更新设备固件到最新版本。
  5. 更改设备默认的http端口及其它服务端口。
  6. 开始https。
  7. 启用白名单。
  8. MAC地址绑定。
  9. 合理分配用户权限。
  10. 关闭非必要的服务,使用安全的模式。关闭Telnet,SSH,SNMP,SMTP,UPnP等功能。如需开启,建议SNMP选择 v3,并设置加密密码和权鉴密码。SMTP选择TLS方式接入。FTP选择SFTP,并设置密码。AP热点选择WPA2-PSK加密模式,并设置复杂密码。
  11. 保存设备日志。
  12. 网络安全环境。关闭路由器端口映射功能,划分Vlan,配置网络防火墙。
  13. 设备校时准确。

参考资料:

  1. 海康威视2019《网络安全白皮书》
  2. 海康威视《产品安全白皮书》
  3. 全国信息安全标准化技术委员会(TC260)
  4. ISO/IEC 30111:2019 Information technology — Security techniques — Vulnerability handling processes
  5. ISO/IEC 29147:2018 Information technology — Security techniques — Vulnerability disclosure
  6. Cloud Security Alliance
  7. 大华产品安全白皮书
  8. 大华物联网安全技术白皮书
  9. 安讯士网络安全页面
  10. Axis Hardening guide
  11. Axis Cybersecurity reference guide
  12. General Data Protection Regulation (GDPR)
  13. How Can Dahua Products Help Users Comply with GDPR
  14. Making Personal Data Safer with GDPR
  15. Hikvision GDPR White Paper
0 回复

发表评论

谈笑有鸿儒,
往来无白丁。

发表评论

您的电子邮箱地址不会被公开。 必填项已用*标注