視頻專網(wǎng)已成為城市最重要的基礎設施之一，在防范打擊犯罪、維護社會治安穩(wěn)定、創(chuàng)新社會管理等各方面發(fā)揮了重大的作用。但視頻監(jiān)控系統(tǒng)的風險也逐步暴露出來，針對網(wǎng)絡攝像頭的網(wǎng)絡攻擊事件比例逐年呈上升趨勢，攻擊者利用網(wǎng)絡攝像頭漏洞獲取設備控制權限，進而形成僵尸網(wǎng)絡，被用于發(fā)起大流量DDOS攻擊，或用于隱私信息竊取等。

視頻專網(wǎng)管控現(xiàn)狀及存在的問題

目前大部分網(wǎng)絡攝像頭的安裝位置比較偏僻，且網(wǎng)絡攝像頭接入層沒有進行任何管理和控制，存在以下風險：

一是接入控制時，容易被惡意攻擊者利用

當前業(yè)內(nèi)攝像頭在接入網(wǎng)絡的時候，沒有好的設備身份認證和管理手段，存在容易被惡意攻擊者仿冒接入網(wǎng)絡后盜取視頻數(shù)據(jù)、發(fā)起攻擊等風險。

二是攝像頭訪問權限過大，一旦被非法用戶控制安全隱患大

攝像頭接入公安視頻專網(wǎng)，僅需要與視頻服務器通訊，如果攝像頭的網(wǎng)絡權限和訪問范圍設置不當或沒有控制好，網(wǎng)絡攝像頭一旦被攻擊者控制，將帶來巨大的網(wǎng)絡安全隱患。

三是網(wǎng)絡攝像頭缺乏統(tǒng)一管理，維護工作量大

各級機關對本單位的家底并不清楚，如何快速摸清自己的家底，實現(xiàn)網(wǎng)絡攝像頭自動發(fā)現(xiàn)、智能分類、集中管理是前提，同時通過MAC管理的方式也大大增加了管理員的維護工作量，效率也是擺在各級單位迫切需要解決的問題。

四是不能有效防范APT攻擊

公安視頻專網(wǎng)網(wǎng)絡規(guī)模不斷擴張，視頻專網(wǎng)變得越來越復雜，目前現(xiàn)有防火墻等設施無法徹底解決網(wǎng)絡攝像頭被APT攻擊的問題，不能及時發(fā)現(xiàn)網(wǎng)絡中存在的仿冒入侵、特洛伊木馬等威脅。

傳統(tǒng)視頻專網(wǎng)解決方案與不足

（1）防火墻：通過預置規(guī)則控制網(wǎng)絡訪問，僅針對已知風險

（2）IDS等流量分析：旁路部署，全流量分析，僅針對已知威脅

以上兩種方案的不足：

·無法防御社會工程、組合攻擊等攻擊方法

·依賴特征庫，不能發(fā)現(xiàn)和抵抗最新的網(wǎng)絡攻擊

·無法知道內(nèi)部設備脆弱性

·無法防御內(nèi)部攻擊，如仿冒接入等

（3）準入、桌面助手：采用NACC或標準協(xié)議實現(xiàn)接入控制，通過客戶端實現(xiàn)桌面管理。

不足之處：

·僅實現(xiàn)網(wǎng)絡接入控制和桌面管理

·缺乏主動探測手段，對資產(chǎn)弱口令、漏洞等脆弱性不可知

·基于IP/MAC，對仿冒接入等異常行為缺乏嚴格的控制機制

·很難對入侵行為進行精準實時阻斷

·不能對風險進行全景安全展示

下一代網(wǎng)絡準入控制系統(tǒng)，讓視頻專網(wǎng)準入安全達標

傳統(tǒng)的靜態(tài)防護面臨著設備管理、風險處置、設備接入、異常行為等挑戰(zhàn)，已無法應對變化多端的動態(tài)攻擊和合規(guī)政策需要。聯(lián)軟提供的下一代準入控制系統(tǒng)——UniNID可解決復雜網(wǎng)絡環(huán)境下用戶對網(wǎng)絡攝像頭的準入控制、權限管理、資源訪問控制、異常行為阻斷等問題，有效提升公安視頻專網(wǎng)的可靠性和安全性。

一是視頻專網(wǎng)復雜網(wǎng)絡環(huán)境下準入控制

面對視頻專網(wǎng)不同接入方式（有線、無線、HUB、無線接入等）、不同網(wǎng)絡設備（H3C、CISCO等幾乎全部網(wǎng)絡設備）的各種復雜網(wǎng)絡環(huán)境，聯(lián)軟科技可通過綜合利用802.1X、EOU、NACC等多種方案，解決大量網(wǎng)絡攝像頭準入控制的問題。

二是防止攝像頭仿冒

對網(wǎng)絡攝像頭除了提供MAB、IAB接入認證外，還提供了網(wǎng)絡攝像頭設備ID、網(wǎng)絡攝像頭接入端口等多種認證方式，可有效防止非法用戶仿冒合法終端的MAC、IP接入公安視頻專網(wǎng)的問題。

三是實施精準的權限控制

可通過RAC細粒度資源訪問控制技術，通過集中下發(fā)ACL的方式實現(xiàn)網(wǎng)絡攝像頭細粒度的準入控制，確保授權、合規(guī)的網(wǎng)絡攝像頭自動放行，無需輸入用戶名密碼，無需安裝客戶端，可實現(xiàn)精準的端口級控制。未授權的網(wǎng)絡攝像頭被拒絕接入視頻專網(wǎng)，并通過動態(tài)VLAN或訪問控制列表技術給攝像頭指定最小的資源訪問權限，確保網(wǎng)絡攝像頭僅能與視頻服務器等必要資源進行通訊。

四是網(wǎng)絡攝像頭接入快速發(fā)現(xiàn)、定位和自助管理，降低用戶維護工作量

通過不同維度的資產(chǎn)屬性組合，建立資產(chǎn)唯一標識指紋信息，進而積累豐富的資產(chǎn)指紋類型,構(gòu)建強大的指紋識別庫。自動發(fā)現(xiàn)部署在網(wǎng)絡中的攝像頭，并收集網(wǎng)絡攝像頭的IP、MAC、在線狀態(tài)、設備類型、接入位置等信息，便于用戶掌握資產(chǎn)情況。

五是持續(xù)漏洞掃描，及時發(fā)現(xiàn)可能的威脅并阻斷

持續(xù)漏洞掃描，發(fā)現(xiàn)存在的風險暴露面、系統(tǒng)層漏洞、Web應用安全漏洞、弱口令、第三方組件漏洞等。漏洞發(fā)現(xiàn)采用POC插件進行判斷，可快速復現(xiàn)，準確性高。如果一旦發(fā)現(xiàn)攝像頭的行為特征發(fā)生變化，會及時通知管理員，并執(zhí)行網(wǎng)絡阻斷等操作。

六是精準感知風險，防范APT等未知攻擊

采用大數(shù)據(jù)和智能分析引擎，以數(shù)據(jù)為中心，從網(wǎng)絡攝像頭、視頻專網(wǎng)、視頻應用、視頻數(shù)據(jù)等多個層面，以網(wǎng)絡攝像頭等設備信息、網(wǎng)絡流量、威脅情報作為分析源，以自主的產(chǎn)品作為主要管控技術（如網(wǎng)絡準入控制、幻影等技術），一旦發(fā)現(xiàn)威脅行為立即以日志、告警的方式通知責任人，并根據(jù)預先配置好的方式進行阻斷，事后用戶可以在系統(tǒng)上查看威脅的詳細透視圖及取證報告。

在公安系統(tǒng)中，攝像頭是取證的重要來源。公安網(wǎng)絡中有大量的攝像頭部署在全省、全市的每個角落，如何保障攝像頭的安全接入尤為重要。通過部署聯(lián)軟下一代網(wǎng)絡準入控制系統(tǒng)，可以全方位的發(fā)現(xiàn)視頻專網(wǎng)中的風險和威脅，真正的為企業(yè)網(wǎng)絡邊界安全保駕護航。