视频监控信息安全防护

问题

海康威视公司生产的监控设备在前些年被发现存在严重安全隐患，部分设备已经被境外IP地址控制。发现的主要隐患包括：

1.监控设备管理台存在弱口令。由于该公司监控设备初始密码比较简单，部分用户没有及时更改初始密码，导致设备存在被攻击的风险。

2.监控设备存在漏洞。监控设备在处理RTSP请求时，使用了固定的缓冲区接受用户输入，如果用户发送一个更大的数据来发生请求，会最终导致服务端缓冲区溢出。攻击者可以通过溢出来改变服务端的程序执行流程，从而执行任意代码。具体漏洞编号 为 ：CVE-2014-4878、CVE-2014-4879以及CVE-2014-4880。

（1）CVE-2014-4878：在监控设备处理RTSP请求时，使用了固定的缓冲区接受body，当攻击者发送一个较大的body时，可能会产生溢出，致使会发生服务crash等情况。

（2）CVE-2014-4879：RTSP对请求头的处理也使用了固定大小的缓冲区，攻击者可以构造一个足够长的头部来填满缓冲区，产生溢出。

（3）CVE-2014-4880：RTSP在对基础认证头进行处理的时候，同样使用了固定的缓冲区，导致攻击者可通过构造来进行溢出，甚至执行任意命令。

整改思路

为此，笔者单位对所属营业厅、变电站、中心机房开展视频监控防护专项督查工作，检查各单位视频监控系统安全运行情况，分析存在的问题和安全隐患，有针对性的提出整改意见和建议。

必须从各个方面对视频系统整体督查，包括视频监控系统及平台，督查市县公司该系列产品网络硬盘摄像机弱口令及密码文件漏洞是否满足安全要求；督查市县公司视频监控系统及平台中是否含自建系统情况；督查基础设施物理安全：检查变电站、营业厅监控设备的机房物理环境、电源配置情况、通信设备部署、视频监控系统及平台运维、线缆走向及接入情况；督查市县公司视频监控系统中设备运行情况，包括投运时间、CPU/内存使用率、设备标签标识等情况。督查市县公司统一视频监控平台、变电站视频监控系统、营销视频监控系统、物资视频监控系统、通信机房等视频监控系统与平台的网络冗余性是否良好。

发现问题

通过督查，发现问题主要有海康威视探头存在漏洞、视频系统及设备弱口令、视频系统存在漏洞、少量设备上存在临时的设备标签，不利于信息安全资料登记检查、部分硬盘录像机存在设备未标注坐落地点等。

整改措施

1.升级补丁

可以登录海康威视网站，根据升级配置方法进行补丁升级。地址：http://www.hikvision.com/cn/download_more_621.html。

2.关闭端口

（1）全面排查后，针对存在风险的监控设备关闭554端口。

（2）视频监控系统及设备弱口令均已整改为强口令。

清除排查范围内海康威视产品管理台存在的默认口令和弱口令。如果不能用字母，可以尝试用键盘自带的“.”作为密码一部分。

（3）交换机配置端口完成描述及备份。

（4）供电所机房标签重新按规范填写制作，并张贴。

整改成效

基于以上督查内容，笔者单位对市县公司共52所变电站、90所营业厅、33所机房，其中26所变电站、50所营业厅、20所机房的视频监控信息安全已完成督查和整改工作。全面梳理视频监控类系统，绘制视频会议电路图，数据采集传输流程图，描述终端设备与前置子系统、前置子系统与主站系统之间逻辑关系、部署方式以及网络拓扑等信息。为电网安全稳定运行提供了坚实的保障。