安防/物联网面临的网络安全问题

万物互联时代,安防,物联网设备面临越来越多的网络安全问题。安防,物联网的安全威胁可以根据物联网的架构分为感知层威胁、网络层威胁和应用层威胁。

感知层
盗窃和破坏设备
部署在远端的缺乏物理安全控制的物联网资产有可能被盗窃或破坏。
篡改和仿冒设备
终端在户外、分散安装、易被接触到又没有纳入管理,导致物理攻击、篡改和仿冒。
攻击已知漏洞
OS 或软件过时,漏洞无法及时修复。设备的数量巨大使得常规的更新和维护操作面临挑战。
攻击和绕过认证机制
物联网环境中的部分访问无认证或认证采用默认密码、弱密码。
窃取敏感信息
敏感信息明文预置在设备中,易被读取或篡改。
远程控制设备
固件中都保留了测试调试接口,但由于没有进行正确的安全保护导致攻击者可以远程访问。调试接口没有限制代码执行的权限,导致攻击者访问该接口服务后就可以完全控制设备。
窃取隐私信息
基于数据的隐私威胁,物联网中数据采集、传输和处理等过程中的隐私信息泄露。

网络层
通过无线接入渗透到网络
无线协议本身缺陷如缺乏有效认证可能导致接入侧泄密。
攻击未加密的网络流量
未加密的通信过程容易发生劫持、重放、篡改和窃听等中间人攻击。设备和云端以及移动应用端通信传输时,控制命令和采集的数据没有加密,攻击者可通过监听获取敏感数据。
来自互联网的攻击和入侵
IP 化后面临 IP 体系的安全问题:如来自互联网的攻击和入侵。
拒绝服务攻击
病毒引起的 DDOS 攻击。

应用层
平台层面所管理的设备分散、繁多,设备的升级过程和安全状态等难以管理。
越权访问导致隐私和安全凭证等重要数据有被泄露的风险。
安全配置长期不更新、不核查。

安防产业的网络安全
安防产业的发展历程是先模拟后数字,在模拟时代安防系统都是在专网内工作,所以产业注重的是产品的成本、性能和易用性,由于当时系统的特点安全性一直不在考虑之中,但是随着安防产业网络化化的快速推进,安防产业直接从原来的模拟进入 IP 数字化,在这个切换的过程中整个行业并未过多的考虑安全问题,这就导致了原来在模拟时代是优势、强项的易用性设计,到了数字时代可能就会与信息安全的最佳实践存在偏差,安防厂商一般为了方便用户实现一键集成多个厂商设备,把所有支持的协议都默认开启,服务器端支持哪种协议就自动匹配连接,但是这样的设计虽然极大方便了客户,却与信息安全的最佳实践相违背。

也正是由于安防产业的这种发展历程,导致了安防产业近年来出现了一些信息安全问题,但是出现这些问题并不代表整个产业如外界所说的那么不堪一击。另外更加庆幸的是我们已经看到了这些既成与潜在的安全风险,并且已经为此开展了大量卓有成效的工作。

客观的来说,网络安全问题并不是安防产业专有的问题,网络安全是当前人类社会共同面对的一个挑战。纵观当前的整个 IT 领域,网络安全问题在所有的领域存在,并且存在以下的几个基本共识:

安全漏洞存在的普遍性
不存在没有安全漏洞的 IT 系统和产品,安全漏洞的存在是普遍的。由于几百万行代码组成的产品,其中一个参数的设置错误,或者两行代码位置的顺序弄错都会导致系统出现高危漏洞,目前人类的智慧还不能做到通过自动化或手动方式把所有可能的安全问题都检测出来,所以产品出现安全问题是一个正常的现象。

任何系统安全不是靠单点安全能够保证的,必须要做到整个系统的安全。要保证视频监控系统的安全,需要系统中前端设备、后端设备、平台系统、网络设备、安全设备等相互配合、相互补充,形成纵深防御体系,才能保证整个系统的安全,任何一个环节出现问题都会导致系统被攻击。

第三方开源软件的安全
当前在各种系统中会使用各种第三方开源软件,其具有开放、共享、自由等特性,在软件开发中扮演越来越重要的角色,也是软件供应链的重要组成部分,但是企业在享受开源软件带来的便利的同时,也在承担着巨大的安全风险。近年来,开源软件频繁爆出高危漏洞,例如Struts2、OpenSSL 等。这些组件很多都应用于信息系统的底层,并且应用范围非常广泛, 因此漏洞带来的安全危害非同一般,往往成为行业或企业产品线的“通杀”漏洞。

安全处于动态的平衡之中
没有“绝对”的安全,所谓安全都是相对的,攻守的博弈永远是此消彼长,今天被认为安全的机制、方法,可能明天就是不安全的;今天被认为是“安全”的产品,可能明天就会被“攻破”。所以对于安全永远没有终点,任何一个产品在其生命周期内始终都会存在信息安全问题,只是这些问题是否会爆发,以及何时爆发。

系统安全中最重要的安全元素:管理安全。技术上再安全的系统,如果用户不能很好的管理和操作,系统的安全仍然是无法保证的,当前安防业内出现的有些安全事件的主要原因就是用户的使用“不当”,并且缺乏有效的安全管理,如目前大量在网安防设备仍然在使用“弱口令”;部分安防系统在网络的出口无防火墙等安全设备等。另外用户要养成良好的安全习惯,应该经常关注厂商的安全公告,有升级版本应尽快进行升级到最新版本。

关于单个安防设备安全,参看这篇文章《保障视频监控设备网络安全的一些措施