序号

常见攻击手段

安全需求

防范措施

方案价值

1

访问控制

1.  应加强对摄像头访问权限的控制，默认情况下除必须允许的通信外，其他的通信应一概拒绝；

2.  优化访问控制列表，保证访问控制规则数量的最小化；

3.  应对源地址、目的地址、源端口、目的端口和协议进行安全检查，并制定针对端口、协议的允许/拒绝策略；

安全接入网关和安全接入终端上通过防火墙配置可以实现访问控制。

1.  配置安全接入终端的防火墙功能，除必要通信之外，其他通信默认拒绝。

2.  安全接入网关和安全接入终端都设有访问控制白名单。

3.  通过防火墙策略制定出合法源地址源端口目的地址和目的端口进行管控。

2

强身份鉴别

1.  应对访问摄像头的用户进行强身份鉴别，建议采用基于数字证书认证方式；

2.  应对摄像头的访问连接采取加密措施，防止身份信息、操作指令等敏感信息在网络传输过程中被窃听；

安全接入网关和安全接入终端通过国密SSLVPN可以实现强身份鉴别。

1.  用户通过安全接入网关的国密数字证书认证后才可以访问摄像头。

2.  摄像头访问连接的整个数据传输过程均由网关和终端之间的国密对称算法SM1进行加密。

3

通信安全

1.  应采用校验技术或密码技术保证通信过程中数据的完整性；

2.  应采用密码技术保证通信过程中数据的保密性；

安全接入网关和安全接入终端通过国密SSLVPN可以实现通信安全。

安全接入网关和安全接入终端建立国密SSLVPN时，整个数据传输中的通信中数据均为国密SM1对称加密。数据传输时使用国密SM3摘要算法进行摘要效验，防止数据被篡改，保证数据完整性。

4

入侵防范

1.  应在摄像头部署源头检测、防止或限制从外部发起的网络攻击行为；

2.  应在关键网络节点处检测、防止或限制从内部发起的网络攻击行为；

3.  加固后的视频监控网络，应能够有效切断常见的恶意代码C&C攻击路径，系统初始化时应内置Mirai、Dofloo等家族及变种的安全防控策略。

在摄像头源头部署安全接入终端可以有效防止外部网络攻击。

1.  部署安全接入终端，使用其防火墙策略对外部通信进行过滤。所有非法连接请求全部拒绝。可以有效防止外部网络攻击。

2.  内部网络攻击使用安全接入网关的防火墙规则检查。除预设的合法人员合法请求之外，其他人和请求默认拒绝。（可以绕过安全接入网关直接攻击视频服务器除外）

5.在安全接入网关和安全接入终端的防火墙中对没有用到的端口进行全部阻断。没有授权的数据全部拒绝。可以切断绝大部分常见的恶意代码攻击。