視頻監(jiān)控信息安全防護(hù)

問題

?？低暪旧a(chǎn)的監(jiān)控設(shè)備在前些年被發(fā)現(xiàn)存在嚴(yán)重安全隱患，部分設(shè)備已經(jīng)被境外IP地址控制。發(fā)現(xiàn)的主要隱患包括：

1.監(jiān)控設(shè)備管理臺存在弱口令。由于該公司監(jiān)控設(shè)備初始密碼比較簡單，部分用戶沒有及時更改初始密碼，導(dǎo)致設(shè)備存在被攻擊的風(fēng)險。

2.監(jiān)控設(shè)備存在漏洞。監(jiān)控設(shè)備在處理RTSP請求時，使用了固定的緩沖區(qū)接受用戶輸入，如果用戶發(fā)送一個更大的數(shù)據(jù)來發(fā)生請求，會最終導(dǎo)致服務(wù)端緩沖區(qū)溢出。攻擊者可以通過溢出來改變服務(wù)端的程序執(zhí)行流程，從而執(zhí)行任意代碼。具體漏洞編號 為 ：CVE-2014-4878、CVE-2014-4879以及CVE-2014-4880。

（1）CVE-2014-4878：在監(jiān)控設(shè)備處理RTSP請求時，使用了固定的緩沖區(qū)接受body，當(dāng)攻擊者發(fā)送一個較大的body時，可能會產(chǎn)生溢出，致使會發(fā)生服務(wù)crash等情況。

（2）CVE-2014-4879：RTSP對請求頭的處理也使用了固定大小的緩沖區(qū)，攻擊者可以構(gòu)造一個足夠長的頭部來填滿緩沖區(qū)，產(chǎn)生溢出。

（3）CVE-2014-4880：RTSP在對基礎(chǔ)認(rèn)證頭進(jìn)行處理的時候，同樣使用了固定的緩沖區(qū)，導(dǎo)致攻擊者可通過構(gòu)造來進(jìn)行溢出，甚至執(zhí)行任意命令。

整改思路

為此，筆者單位對所屬營業(yè)廳、變電站、中心機房開展視頻監(jiān)控防護(hù)專項督查工作，檢查各單位視頻監(jiān)控系統(tǒng)安全運行情況，分析存在的問題和安全隱患，有針對性的提出整改意見和建議。

必須從各個方面對視頻系統(tǒng)整體督查，包括視頻監(jiān)控系統(tǒng)及平臺，督查市縣公司該系列產(chǎn)品網(wǎng)絡(luò)硬盤攝像機弱口令及密碼文件漏洞是否滿足安全要求；督查市縣公司視頻監(jiān)控系統(tǒng)及平臺中是否含自建系統(tǒng)情況；督查基礎(chǔ)設(shè)施物理安全：檢查變電站、營業(yè)廳監(jiān)控設(shè)備的機房物理環(huán)境、電源配置情況、通信設(shè)備部署、視頻監(jiān)控系統(tǒng)及平臺運維、線纜走向及接入情況；督查市縣公司視頻監(jiān)控系統(tǒng)中設(shè)備運行情況，包括投運時間、CPU/內(nèi)存使用率、設(shè)備標(biāo)簽標(biāo)識等情況。督查市縣公司統(tǒng)一視頻監(jiān)控平臺、變電站視頻監(jiān)控系統(tǒng)、營銷視頻監(jiān)控系統(tǒng)、物資視頻監(jiān)控系統(tǒng)、通信機房等視頻監(jiān)控系統(tǒng)與平臺的網(wǎng)絡(luò)冗余性是否良好。

發(fā)現(xiàn)問題

通過督查，發(fā)現(xiàn)問題主要有海康威視探頭存在漏洞、視頻系統(tǒng)及設(shè)備弱口令、視頻系統(tǒng)存在漏洞、少量設(shè)備上存在臨時的設(shè)備標(biāo)簽，不利于信息安全資料登記檢查、部分硬盤錄像機存在設(shè)備未標(biāo)注坐落地點等。

整改措施

1.升級補丁

可以登錄?？低暰W(wǎng)站，根據(jù)升級配置方法進(jìn)行補丁升級。地址：http://www.hikvision.com/cn/download_more_621.html。

2.關(guān)閉端口

（1）全面排查后，針對存在風(fēng)險的監(jiān)控設(shè)備關(guān)閉554端口。

（2）視頻監(jiān)控系統(tǒng)及設(shè)備弱口令均已整改為強口令。

清除排查范圍內(nèi)?？低暜a(chǎn)品管理臺存在的默認(rèn)口令和弱口令。如果不能用字母，可以嘗試用鍵盤自帶的“.”作為密碼一部分。

（3）交換機配置端口完成描述及備份。

（4）供電所機房標(biāo)簽重新按規(guī)范填寫制作，并張貼。

整改成效

基于以上督查內(nèi)容，筆者單位對市縣公司共52所變電站、90所營業(yè)廳、33所機房，其中26所變電站、50所營業(yè)廳、20所機房的視頻監(jiān)控信息安全已完成督查和整改工作。全面梳理視頻監(jiān)控類系統(tǒng)，繪制視頻會議電路圖，數(shù)據(jù)采集傳輸流程圖，描述終端設(shè)備與前置子系統(tǒng)、前置子系統(tǒng)與主站系統(tǒng)之間邏輯關(guān)系、部署方式以及網(wǎng)絡(luò)拓?fù)涞刃畔?。為電網(wǎng)安全穩(wěn)定運行提供了堅實的保障。