IP监控面临的资讯安全问题 

  走上无远弗届的网路监控，也代表你必须要面对无所不在的骇客问题，资安防护的课题开始刻不容缓。

    IP网路监控在网路环境上会有那些资讯安全层面问题呢？

    1.IP安防与资讯安全有何关联呢？该注意那些建置要点？

    2.IP网路监控在网路环境上有那些常见的资安问题？会造成哪些影响？如何克服？

    3.无线网路架构比较容易中毒或被骇客入侵？有影无？

    4.IP安防设备的管理软体该如何进行资讯安全防护？

    问题解答：

    只要是暴露在网路上的任何设备，多少都有潜在的资讯安全风险！网路摄影机也是如此。所以，无论在内部、外部网路，或者有线网路、无线网路，都有可能遇到遗失、入侵、窜改、阻断服务等常见的资安风险。

    过去的安防系统大多建立在封闭且专用的通讯线上，因此多数厂商在进入网路监控的时候，往往忽略资讯安全风险的问题，甚至对其毫无概念。然而，要建立一个稳固的安防监控体系(RobustSurveillanceEco-System)，除了设备的实体保全性(DeviceSafety)，更需要注意内容完整性(ContentIntegrity)及传输可用性(TransmissionAvailability)。

    所以，在更进一步解释如何建构稳固的监视系统之前，我们先要了解可能会遭遇到的破坏或入侵。

    常见的破坏可分为以下几类：

    1.实体设备的破坏：包含直接摧毁设备、移转或遮蔽镜头、切断电力、剪断线路等；

    2.内容的破坏：包含人为恶意的影音档案窜改、系统的资料遗失等。

    3.内容的窃取：包含盗取系统设定帐号、内容侧录等。

    如果依照资讯安全理论，我们也可以将主要的攻击分成两大类：主动式攻击(ActiveAttack)或被动式攻击(PassiveAttack)。

    1.主动式攻击：攻击者针对会针对档案或通讯内容进行伪造或修改，常见的攻击有资料伪装(Masquerade)、重送攻击(Replay)、中间人攻击(Man-In-The-Middle)、内容窜改(MessageModification)以及阻断服务(DenialofService)。

   防范做法与认证方式

　　2.被动式攻击：以取得资讯的存取权限为优先，而不对内容进行修改，常见的攻击有内容窃听(Eavesdropping)以及通讯分析(TrafficAnalysis)。

    防范做法？

    我们先从设备的破坏防御谈起，如果要避免实体设备的破坏，你必须选择防暴型(Vandal-proof)摄影机，并且在安装上避免网路线及电力线外露，尤其是安装在户外的设备，更应该选择将线路隐藏在支架管内。

　　至于，镜头遮蔽的问题，则是要开起摄影机内建的主动式防破坏警报(ActiveTamperingAlarm)。如果担心入侵者直接破坏录影系统，更应该要选择支援SD/SDHC可离线储存功能的摄影机，例如AXISP3346-VE叁百万半球型网路摄影机，就支援了以上的所有功能。
    而内容的窃取与破坏防御上，首要的基本的观念就是将身分认证(Authentication)以及权限授权(Authorization)做好。使用者登入网路摄影机进行存取或者网路摄影机加入网路时，都应该完成相关的认证程序。

    认证动作主要有三种方式：

    1.多层级的使用者身分认证：输入帐号以及密码是最常见也是最简单的认证，可以提供最基本的保障。一般的网路摄影机都会提供这样的功能，但是在实作上请养成良好的习惯，一定要变更塬厂预设的帐号与密码。像AXIS这样重视网路安全的厂商，除了基本的帐号密码验证之外，也提供多层级的身分验证，透过多种不同的权限设定，让不同的帐号登入有不同的功能选项。

    2.IP位址过滤(IPAddressFiltering)：很多人忽略这项功能的重要性。在一个企业网路上，可能有众多的设备，如果没有透过VLAN或者防火墙将网段切开，任何人或者任何设备都可以存取到网路摄影机。因此，透过IP位址过滤的方式，可以设定黑名单或者白名单选择要拒绝或者接受的来源要求。常见的设定方式为：在网路摄影机的IP位址过滤功能上设定为仅接受影像管理伺服器的网址。如此就可以在网路层先过滤掉可能的攻击，例如：阻断式服务攻击。

    3.选择支援IEEE802.1x的摄影机：网路摄影机是连接在网路上的设备之一，最常见的攻击方式就是端口劫持(PortHijacking)，简单来说在网路上有未经授权的设备连接到网路中，最常见的就是在无线网路的环境。IEEE802.1x可以建立一个点对点的设备认证。这是一个相当有效且安全的方式，尤其是网路摄影机会安装在公共区域或者不是很信任的网路上时。IEEE802.1x会透过数位凭证(DigitalCertificate)来辨识设备间彼此的身分。在强健安防监控系统中，实作IEEE802.1x的网路摄影机会先向Switch或者AccessPoint提示数位凭证并送出认证要求；然后Switch或者AccessPoint会转送要求到后端的认证伺服器，如RADIUS；如果通过认证，伺服器就会指示Switch或者AccessPoint开启端口(Port)接受该摄影机的接入。

    当你做好使用者以及设备的认证后，接下来就是考虑内容保护以及防窜改的问题。在TCP/IP的网路环境上最常见的内容保护就是HTTPS(HyperTextTransferProtocolSecure)协定的设备，该协定是HTTP与SSL技术的结合，可以加密端点与端点之间的资料(Data)，透过HTTPS将在公众网路上的视讯资料保护起来，可以确保资料的隐密性。

    不过，HTTPS仅针对封包的”内容”进行加密，其他的封包资料，例如来源端与目的端位址，则仍是以明码传递。因此，还是有可能遇到中间人攻击。因此，如果整个系统会暴露在公众网路上，建议在相关的网路节点间，採用VPN(VirtualPrivateNetwork)的方式进行封包加密可以更加安全。HTTPS跟VPN在协定上是不互斥的，所以也可以选择HTTP+VPN进行多重的保护，不过，在实作上为了避免影响整个系统的运作效能，我们还是建议择一即可。

　　无线网路比较容易被入侵？