2020年2月,在病毒考验人类免疫系统、考验我国卫生系统之时,在全国人民团结抗疫之时,境外黑客组织也来考验我国信息安全系统。境外黑客组织声称将于2月中旬对我国发起网络攻击,以我国多家视频监控系统作为攻击目标,并公布了其掌握的一批相关视频监控系统在用境内IP地址。
总书记讲,我们要坚决遏制疫情蔓延势头,坚决打赢疫情防控阻击战。同样,我们是否有决心、有信心、有能力打赢这场信息安全之战呢?
客观规律不以人的意识为转移。
探讨视频监控系统攻防战,首先要分析视频监控系统与其信息安全的本质问题。
视频监控系统是信息技术的一个分支,那么其理论必然是建立在香农的通信数据原理、图灵机、冯诺依曼系统结构基础之上,而这三大理论建立之初是缺乏安全设计的。所以信息科学从他诞生的第一天起,就注定与信息安全的对立统一性,这是视频监控系统信息安全属性的一般性。
然后,我们来分析机杨视频监控系统信息安全的特殊性。
机场视频监控系统具体如下特点:
一、幅域广阔。包括周界、航站楼、行李区、飞行区等若干分区。
二、设备多实时性强。包括在数千报警点、数百出入口部署的数万台监控设备。
三、单位多协同性强。包括国安、公安、检验检疫、海关等众多单位。
在这样一个范围广、终端多、协同强的视频监控网络中,大量终端成为安全防护体系的弱点,突破一点即可进入这张大网,进而攻击包括机场在内的其它协同单位。
进而,机场视频监控系统网络威胁体现在以下三个方面:
一、物理环境方面。以大规模视频存储设备、摄像机、监控硬件等视频监控设施为主。其中大规模视频数据云存储面临云存储安全威胁,摄像机芯片、监控硬盘前后端硬件面临着微型处理器硬件漏洞、入侵等安全威胁。
二、网络通信方面。IPv4-BGP、MP-BGP等视频协议,面临着监听、欺骗等安全威胁。三、计算环境方面。以视频系统、视频、图像、嵌入式操作系统、Linux\Windows等软件与数据资源的计算环境,面临着泄露、篡改等安全威胁。
基于上述分析,依等级保护制定安全防护方案:
一、采用加密技术保障通信传输安全;
二、采取边界防护、访问控制、入侵防范、恶意代码防护保护网络边界安全,尤其应重视视频跨网域传输,需要通过视频交换系统,将视频网数据通过隔离交换装置安全地传输到办公网,隔离安全威胁。通过安全接入网关对接入到视频的设备进行认证与访问控制,保障视频网边界接入安全;
三、采用身份鉴别、访问控制、入侵防范、数据加密脱敏备份销毁保护计算环境安全;
四、通过以上措施建立纵深防御体系,贯彻执行最小权限原则、代码数据分离原则、不可预测原则;
五、七分管理、三分安全,贯彻落实信息安全管理制度,实现技术、管理双融合。
通过上述措施,企事业单位既建立起一套基础的、可靠的安全防疫体系。
最后,孙子的攻防哲学思想,无恃其不来,恃吾有以待也,无恃其不攻,恃吾有所不可攻也。所以,与其考虑黑客会不会攻击视频监控系统,黑客会不会攻击机场的视频监控系统,不如去分析自己弱点,这即是上兵伐谋之道,从意识层面,打消敌人的念头。
本文作者:明朝万达首席技术官/高级副总裁 喻波