公共安全視頻監控系統安全分析
一安全背景
全球經濟的高速發展和城市化建設速度的加快,公共安全問題已經延伸到生產、生活、環境、技術和信息等社會各個領域。隨著物聯網技術和視頻監控技術的發展,“平安城市”、“天網工程”和“雪亮工程”等一系列公共安全視頻監控聯網建設和共享的相關項目快速推進,中國已經建成世界上規模最大的視頻監控網,攝像機總數超過2000萬只。
與此同時,社會各行各業的視頻監控系統也在加快建設,廣泛應用于能源、電力、水利、教育、醫療、司法、金融、酒店等眾多領域,尤其在后疫情時代,整個社會綜合治理防控體系和應急響應系統的建設需求越來越強烈,而視頻數據的應用是其中最重要的環節。
然而在視頻監控系統中采集、傳輸、存儲大量包含個人和單位的視頻圖像以及生物特征信息,甚至承載了許多單位機密的信息,視頻泄漏導致的個人隱私泄漏、商業機密泄漏、不良社會影響等事件層出不窮。在對網絡安全的法律和政策逐漸加強的情況下,如何有效保護這些個人信息和商業秘密不被泄露,成為當前一個非常重要的話題。
二視頻泄密事件頻發
目前在大多數視頻監控系統的運行和維護過程中,缺乏有效的安全管理措施,一般為非專職人員操作,容易導致信息外流,信息安全難以有效保證。視頻信息在調閱的過程中,存在非授權的下載、外發、錄屏、偷拍等安全風險。在自媒體時代,突發事件一旦經過惡意傳播極易造成為網絡爆點,為國家輿論壓力、政府公信力及個人帶來負面影響。
2012年9月,西安市某高校教授為某專項課題進行授課的專業視頻資料不慎被外泄,后來視頻資料獲取方通過該視頻仿效設計,從而造成了“知識產權”上的糾紛;
2013年6月,倪某以自己在度假村消費時丟失了物品為由,調取相關監控錄像,最終拷走了視頻,導致上海某院5法官行蹤網上曝光;
2014年3月,十余名蒙面持刀恐怖分子沖進昆明火車站前廣場,售票廳對無辜民眾進行攻擊,造成29人死亡,在該事件后幾天網絡中出現了大量的現場視頻畫面,給社會治安造成了很大的恐慌,也助漲了暴恐分子的囂張氣焰;
2014年6月,上海市民林女士因婦科疾病到閘北區某醫院就診,手術醫院在未經患者同意情況下組織了實習醫生通過視頻圖像觀摩手術操作,但由于院方管理不善,導致“視頻外泄,侵犯了個人隱私權”,被索要10萬元賠償;
2019年2月,棗莊市公安局網警支隊在日常巡查中發現,滕州市某中學視頻監控系統遭受黑客入侵,網頁被植入惡意信息。滕州警方依據《中華人民共和國網絡安全法》第21條、第59條規定,對該學校予以警告,責令改正;
2020年4月,據《華盛頓郵報》報道,安全研究員Patrick Jackson在亞馬遜云計算平臺(AWS)上發現了15000個公開的Zoom會議視頻,內容包括醫療會議、商務會議、小學課堂等,很多視頻都被保存在單獨的、沒有密碼的線上存儲空間里,任何人都能下載觀看;
2021年初,由于黑客的攻擊,特斯拉工廠和倉庫中的實時畫面及錄像被泄露,畫面非常清晰,能夠看到裝配線上的工人的操作;
2022年1月,B站出現了大批新注冊賬號,上傳了大量公共場所監控視頻,其中包括了學校、醫院、前臺等,并且視頻內人物多為女性。此類行為嚴重侵犯了個人隱私;
2022年2月,社交媒體出現的一段視頻完整地展示了美國海軍“卡爾·文森”號航母搭載的F-35C隱形戰斗機在南海著艦失敗落入海中的全過程。該視頻未經授權,在“卡爾·文森”號航母仍處于海上部署時期被泄密,暴露出了F-35C隱形戰斗機在接近航母時似乎存在控制問題。
三 視頻數據安全分析
視頻監控數據經由前端攝像機采集和傳輸網絡最終落盤以文件形式存儲在NVR或存儲服務器中,一般視頻文件都以明文方式存儲。本文將在試驗環境中復現視頻數據在存儲、使用、分發環境的安全問題。
1.視頻數據安全分析對象
主要分析對象和場景:網絡攝像機IPC+NVR+NAS存儲方式。
本文將研究和分析視頻數據經由NVR存儲到NAS存儲中的視頻文件以及視頻文件調用和使用過程中的安全問題,并嘗試在實驗環境中將安全問題可視化呈現出來。
在進行具體的安全實驗分析前,試驗團隊先從理論上分析視頻存儲相關安全問題。前端網絡攝像機采集的視頻數據經由NVR存儲到NAS的基本過程如下:
a.網絡攝像機采集的視頻信號經過網絡傳輸到NVR,未做安全處理的情況下視頻碼流是經過視頻編碼的明文數據;
b.視頻碼流數據明文的存儲到NAS存儲中;
c.因存儲在NAS的視頻文件是明文存儲的,NAS本身不具備權限管理功能,因此任何人都可以在未授權的情況下從NAS中導出視頻文件并正常播放,造成視頻監控信息的泄漏;同時也可以很容易地將存儲在NAS的視頻文件替換為修改后的視頻文件,造成正常的視頻監控信息被非法篡改;另外即使是通過正常途徑導出的視頻文件因無安全防護措施可被無限制播放和傳播,存在敏感視頻監控信息泄漏和被惡意傳播的風險。
2.視頻數據安全分析環境
下文主要針對公共安全視頻監控系統的視頻存儲、使用、分發安全進行分析,為了方便研究和分析安全問題,試驗團隊搭建了一個簡化的公共安全視頻監控系統試驗環境。
簡化后的視頻監控系統包括:網絡攝像機IPC,網絡交換機,硬盤錄像機NVR,NAS存儲四大核心部件以及監控客戶端(PC),安全分析設備(PC)。
設備和系統清單如下表所示:
試驗環境,網絡拓撲示意如下圖所示:
· 1臺網絡攝像機IPC,網絡地址:192.168.200.19;
· 1臺8口普通交換機,接入:網絡攝像機,NVR,NAS存儲,監控客戶端,安全分析設備;
· 1臺NVR,網絡地址:192.168.200.254;
· 1臺NAS服務器,網絡地址:192.168.200.11;
· 1臺監控客戶端PC,網絡地址:192.168.200.12;
· 1臺安全分析設備(PC),網絡地址:192.168.200.13,安裝安全分析工具:視頻播放器,視頻修改工具FFmpeg,抓包分析工具Wireshark;
· 視頻監控協議:ONVIF/RTSP/GB/T 28181。
3.視頻數據安全分析
本文將重點關注視頻存儲相關:視頻監控,視頻存儲,視頻文件使用等環節的安全風險問題。
1) 視頻監控環節
在試驗環境中,使用監控機連接NVR實現視頻監控。主要包含兩種路徑訪問NVR進行視頻監控,其一,使用瀏覽器訪問NVR管理地址;其二,使用視頻流播放器如VLC通過RTSP協議來訪問監控視頻。
在安全分析設備上,開啟Wireshark抓包工具,抓取兩種路徑的網絡數據包。
瀏覽器訪問NVR管理地址,數據包如下圖所示:
VLC播放RTSP視頻流,數據包如下圖所示:
從截獲的網絡數據包來看,容易發現:
其一,不管是基于瀏覽器HTTP的監控或基于RTSP的監控,都采用了明文協議,可以輕易的獲取賬號、密碼等敏感信息,甚至直接獲取視頻流進行還原播放(基于上篇視頻劫持和替換的分析);
其二,基于用戶名和口令方式的認證并不具備真正意義的身份認證能力,不管是誰拿著正確的用戶名和口令都可以認證成功并訪問監控視頻信息。
2) 視頻存儲環節
在模擬試驗環境中,奧聯試驗團隊通過使用NAS做NVR視頻文件的存儲,可以很方便查看到NVR存儲的視頻文件內容和信息。
NVR在NAS存儲的視頻文件以“.mp4”為擴展名存儲,如下圖所示:
試驗團隊直接拷貝NAS存儲的某個視頻文件“hiv00000.mp4”,并使用任意一種視頻播放器即可正常查看此視頻文件內容,如下圖所示:
另外,使用精心制作的MP4文件替換存儲在NAS的視頻文件,在NVR回放中可以成功播放被替換的監控視頻文件。注意看“IPCamera 02”這路視頻回放在“2021-12-1 11:00”左右的未替換和替換后的情況對比。
未替換前視頻回放,如下圖所示:
替換視頻文件后回放,如下圖所示:
通過上述簡單的操作,我們可以發現:
其一,視頻文件是以明文的方式存儲在NVR或NAS存儲中的,只需要拷貝出來就可以被正常播放,存在監控視頻信息被泄漏的風險;
其二,存儲在NVR或NAS存儲中的視頻文件可以被篡改替換,監控視頻的真實性和完整性無法保證。
3) 視頻使用環節
在試驗環境中使用監控機訪問NVR的Web管理頁面,從管理頁面導出監控視頻文件。
導出的監控視頻文件格式為MP4,可以用任意可播放MP4文件的播放器查看,如下圖所示:
結合上面對視頻存儲環節的分析,可以發現:導出的視頻文件是明文的,視頻文件易被泄漏和非法傳播,且泄漏后無法溯源。
4.視頻數據安全問題總結
整體來看視頻數據在存儲、使用、分發環節存在的安全風險問題主要包括非授權訪問監控視頻數據、視頻存儲文件泄漏和篡改、視頻文件非法傳播、泄漏無法溯源等,具體如下:
1)視頻下載:通過操作席終端導出明文視頻錄像文件;
2)手機拍攝屏幕:通過數碼設備對操作PC機屏幕進行拍攝;
3)截屏、錄屏:通過錄屏軟件對操作席視頻畫面進行抓圖;
4)視頻篡改:用視頻編輯軟件對作為證據的視頻進行篡改;
5)非授權調閱:系統內部人員非授權訪問其他部門視頻,造成泄漏;
6)USB拷貝:用U盤非法拷貝帶走視頻數據。
四 視頻數據安全方案
· 關于非授權訪問監控視頻問題,使用基于國密的身份認證方式,確保只有通過身份認證的用戶才能訪問監控視頻。
· 關于敏感視頻文件泄漏和篡改問題,使用基于國密的簽名驗簽以及加密算法,對視頻文件進行加密和防篡改保護。
· 關于視頻文件的非法傳播問題,使用基于國密的策略加解密能力、數字水印技術以及專用的播放器,實現只有專門的解密播放器加上相應的策略密鑰才能正確解密播放,通過數字水印技術實現視頻泄漏溯源。
1.安全身份認證
監控客戶端訪問NVR查看監控視頻的場景,一般情況下監控客戶端使用賬號和口令登錄NVR后進行相應的操作,賬號和口令并不能唯一的確認用戶的身份(因任何人拿著賬號和密碼都可以登錄成功);另外賬號和口令在傳輸過程中并未加密處理,因此容易造成賬號口令泄漏風險。
在NVR前端串接視頻加密網關設備,加密網關設備通過與密碼基礎設施交互實現用戶身份認證的能力;同時給每個監控用戶發放代表用戶身份的UKEY,在監控用戶訪問NVR前先插入UKEY與視頻加密網關進行身份認證,身份認證成功后才能進一步訪問NVR,因視頻加密網關串接在NVR之前,此身份認證過程不可被跳過。方案示意如下圖所示:
2.視頻文件機密性、完整性保護
在不改變網絡攝像機IPC,硬盤錄像機NVR,視頻存儲NAS的情況下,提出了兩種實現視頻文件機密性、完整性保護的方案:其一,透明模式下在NVR前端串接視頻加密網關;其二,透明模式下在NVR和NAS間串接視頻加密網關。
第一種方案,因不能直接改造NVR實現視頻存儲文件防篡改,在視頻安全網關中提供了基于視頻碼流的防篡改能力,當視頻流經過視頻安全網關時,視頻安全網關提取視頻幀,加密視頻幀并使用網關密鑰簽名后寫回到視頻幀;通過網絡讀取視頻流經過視頻安全網關時,先從視頻幀中提取簽名值,再使用網關公鑰驗證簽名是否有效從而判斷視頻是否被篡改,另因視頻流經過網關加密存儲,只能通過視頻網關才能正常訪問和播放視頻,避免直接接入NVR篡改視頻存儲文件的問題。
視頻加密網關透明部署在NVR前端,如下圖所示:
第二種方案,視頻加密網關部署在NVR和NAS存儲之間,為視頻存儲文件提供透明的防篡改能力,視頻加密網關解析NVR到NAS間的文件協議NFS,使用密碼卡提供的密碼能力實現針對視頻文件的加密、解密、哈希、簽名、驗簽、文件元數據能力,同時提供安全訪問控制,管理配置、告警、日志、安全審計等功能。如下圖所示:
3.視頻泄漏防護和溯源
從NVR導出的加密視頻文件,同時在視頻文件中隨機植入隱性水印用于視頻溯源,在普通播放器上是無法正常播放,需要使用專用視頻解密播放器配合UKEY中的策略解密密鑰才能解密播放加密的視頻文件。專用視頻解密播放器,使用UKEY的策略解密密鑰實現加密視頻文件的基于策略的解密播放,其中解密播放策略包括:允許播放的時間段,允許播放的次數,允許播放的用戶等。
如下圖所示:
4.整體解決方案
視頻存儲NVR加密方案的整體架構,如下圖所示:
視頻存儲NVR加密方案主要包含:密碼基礎設施,視頻安全管理平臺,視頻加密網關,統一導出工具,專用視頻解密播放器,UKEY(硬件)6大組件。主要解決圍繞NVR的視頻存儲安全、視頻監控安全、視頻文件分享播放安全的問題。
密碼基礎設施。是整個安全方案的基礎組件,為整個安全方案提供統一身份認證,密鑰及密鑰全生命周期管理,密碼運算服務的能力,對外提供標準RESTful API接口。密碼基礎設施包含2個子組件:密碼機和密碼服務平臺,密碼機是基礎的密鑰生成和密碼運算組件;密碼服務平臺與密碼機交互實現密鑰全生命周期管理并提供密碼運算服務能力。
視頻安全管理平臺。是針對所有視頻加密網關統一集中的監控管理系統,主要實現對視頻加密網關的監控和管理,視頻加密和策略解密密鑰的管理和UKEY生產,具備統一的NVR加密視頻文件導出能力及專用視頻播放器生產能力,同時具備用戶、權限、日志、告警等基礎管理功能。管理平臺通過標準RESTful API接口與密碼基礎設施交互完成視頻加密方案中涉及的密鑰的創建和下載;通過管理協議與視頻加密網關交互實現對視頻加密網關的監測、管理以及視頻存儲加密策略的配置;通過密碼中間件實現視頻播放策略解密密鑰的UKEY生產;通過NVR的管理協議實現對NVR的加密視頻文件的統一導出能力。
統一導出工具。為多個NVR導出視頻存儲文件提供了統一的操作界面,在統一導出工具中,可以添加NVR,可以任意選擇某個NVR的需要導出的視頻文件進行導出。(后續可以提供再加密的能力支持)
專用視頻解密播放器。需要配合UKEY一起使用,使用UKEY中的策略解密密鑰實現基于策略的視頻加密文件的解密并播放解密后的視頻。支持MP4,AVI等文件格式的播放。
視頻加密網關。是實現透明視頻存儲加密的關鍵組件,接收監控攝像機傳入的未加密視頻流,經過視頻存儲加密網關加密后,加密存儲到NVR中。視頻加密網關串接在NVR前端,一般情況下與NVR按照1:1配置。視頻加密網關具備簡單的配置管理界面,包含基本信息顯示、自身基礎監控、初始網絡配置等功能。通過管理協議與管理平臺交互實現身份認證、監控上報、設備管理、操作、管理、處理日志上報(支持溯源)、加密策略配置等能力。
UKEY。主要實現各種密鑰的存儲(包括:視頻解密密鑰,視頻解密策略密鑰,身份認證密鑰),需要與專用視頻解密播放器或瀏覽器密碼插件配合一起使用實現安全的身份認證、視頻解密的能力。
五 方案的適應性
1.實用性價值層面
· 在不改變原視頻監控系統和網絡結構的前提下,為視頻監控的訪問提供了基于國密的安全身份認證能力,只有通過身份認證的用戶才能查看監控視頻(包含已加密視頻);
· 在不改變原視頻監控系統和網絡結構的前提下,為視頻存儲文件的機密性和完整性提供保護,防止視頻文件的泄漏和防止被非法篡改;
· 為視頻文件的安全分發和視頻泄漏溯源提供了有力的支撐,通過基于策略的視頻文件加密實現安全的視頻分發分享,通過隱性水印技術實現視頻泄漏溯源;
· 對于視頻監控數據,非法用戶“看不了”、“改不了”、“帶不走”從而有效地保護個人信息和商業秘密不被泄露。
2.機房密評支撐
GB/T 39786-2021關于物理和環境安全中要求使用密碼技術確保“視頻監控記錄數據存儲完整性”。
奧聯視頻數據安全方案,使用國密技術安全的實現了視頻數據機密性和完整性,完全滿足標準中關于“視頻監控記錄數據存儲完整性”要求,符合密評要求。
六 總 結
本文主要帶大家整體認識視頻監控系統的視頻數據在存儲、使用、分發環境的安全問題,并在試驗環境中真實的給大家復現了相關的安全問題,同時針對具體的安全問題提出了具體有效的安全解決方案。
視頻數據在存儲、使用、分發的安全問題僅只是整個視頻監控系統安全的一個部分,公共安全視頻監控系統安全分析系列文章將從視頻監控系統全生命周期視角:采集、傳輸、存儲、使用等環節跟大家一起解讀視頻監控安全,同時分享相應的安全解決思路和方案!
