走上无远弗届的网路监控，也代表你必须要面对无所不在的骇客问题，资安防护的课题开始刻不容缓。

　　IP网路监控在网路环境上会有那些资讯安全层面问题呢?

　　1. IP安防与资讯安全有何关联呢?该注意那些建置要点?

　　2. IP网路监控在网路环境上有那些常见的资安问题?会造成哪些影响?如何克服?

　　3. 无线网路架构比较容易中毒或被骇客入侵?有影无?

　　4. IP安防设备的管理软体该如何进行资讯安全防护?

　　问题解答:

　　只要是暴露在网路上的任何设备，多少都有潜在的资讯安全风险!网路摄影机也是如此。所以，无论在内部、外部网路，或者有线网路、无线网路，都有可能遇到遗失、入侵、窜改、阻断服务等常见的资安风险。

　　过去的安防系统大多建立在封闭且专用的通讯线上，因此多数厂商在进入网路监控的时候，往往忽略资讯安全风险的问题，甚至对其毫无概念。然而，要建立一个稳固的安防监控体系(Robust Surveillance Eco-System)，除了设备的实体保全性(Device Safety)，更需要注意内容完整性(Content Integrity)及传输可用性(Transmission Availability)。

　　所以，在更进一步解释如何建构稳固的监视系统之前，我们先要了解可能会遭遇到的破坏或入侵。

　　常见的破坏可分为以下几类：

　　1. 实体设备的破坏：包含直接摧毁设备、移转或遮蔽镜头、切断电力、剪断线路等;

　　2. 内容的破坏：包含人为恶意的影音档案窜改、系统的资料遗失等。

　　3. 内容的窃取：包含盗取系统设定帐号、内容侧录等。

　　如果依照资讯安全理论，我们也可以将主要的攻击分成两大类：主动式攻击(Active Attack)或被动式攻击(Passive Attack)。

　　1. 主动式攻击：攻击者针对会针对档案或通讯内容进行伪造或修改，常见的攻击有资料伪装(Masquerade)、重送攻击(Replay)、中间人攻击(Man-In-The-Middle)、内容窜改(Message Modification)以及阻断服务(Denial of Service)。

　　2. 被动式攻击：以取得资讯的存取权限为优先，而不对内容进行修改，常见的攻击有内容窃听(Eavesdropping)以及通讯分析(Traffic Analysis)。

　　防范做法?

　　我们先从设备的破坏防御谈起，如果要避免实体设备的破坏，你必须选择防暴型(Vandal-proof)摄影机，并且在安装上避免网路线及电力线外露，尤其是安装在户外的设备，更应该选择将线路隐藏在支架管内。至于，镜头遮蔽的问题，则是要开起摄影机内建的主动式防破坏警报(Active Tampering Alarm)。如果担心入侵者直接破坏录影系统，更应该要选择支援SD/SDHC可离线储存功能的摄影机，例如AXIS P3346-VE叁百万半球型网路摄影机，就支援了以上的所有功能。

　　而内容的窃取与破坏防御上，首要的基本的观念就是将身分认证(Authentication)以及权限授权(Authorization)做好。使用者登入网路摄影机进行存取或者网路摄影机加入网路时，都应该完成相关的认证程序。

　　认证动作主要有三种方式：

　　1. 多层级的使用者身分认证：输入帐号以及密码是最常见也是最简单的认证，可以提供最基本的保障。一般的网路摄影机都会提供这样的功能，但是在实作上请养成良好的习惯，一定要变更塬厂预设的帐号与密码。像AXIS这样重视网路安全的厂商，除了基本的帐号密码验证之外，也提供多层级的身分验证，透过多种不同的权限设定，让不同的帐号登入有不同的功能选项。

　　2. IP位址过滤(IP Address Filtering)：很多人忽略这项功能的重要性。在一个企业网路上，可能有众多的设备，如果没有透过VLAN或者防火墙将网段切开，任何人或者任何设备都可以存取到网路摄影机。因此，透过IP位址过滤的方式，可以设定黑名单或者白名单选择要拒绝或者接受的来源要求。常见的设定方式为：在网路摄影机的IP位址过滤功能上设定为仅接受影像管理伺服器的网址。如此就可以在网路层先过滤掉可能的攻击，例如：阻断式服务攻击。

　　3. 选择支援IEEE 802.1x的摄影机：网路摄影机是连接在网路上的设备之一，最常见的攻击方式就是端口劫持(Port Hijacking)，简单来说在网路上有未经授权的设备连接到网路中，最常见的就是在无线网路的环境。IEEE 802.1x可以建立一个点对点的设备认证。这是一个相当有效且安全的方式，尤其是网路摄影机会安装在公共区域或者不是很信任的网路上时。IEEE 802.1x会透过数位凭证(Digital Certificate)来辨识设备间彼此的身分。在强健安防监控系统中，实作IEEE 802.1x的网路摄影机会先向Switch或者 Access Point提示数位凭证并送出认证要求;然后Switch或者Access Point会转送要求到后端的认证伺服器，如RADIUS;如果通过认证，伺服器就会指示Switch或者Access Point开启端口(Port)接受该摄影机的接入。

　　当你做好使用者以及设备的认证后，接下来就是考虑内容保护以及防窜改的问题。在TCP/IP的网路环境上最常见的内容保护就是HTTPS(Hyper Text Transfer Protocol Secure)协定的设备，该协定是HTTP与SSL技术的结合，可以加密端点与端点之间的资料(Data)，透过HTTPS将在公众网路上的视讯资料保护起来，可以确保资料的隐密性。

　　不过，HTTPS仅针对封包的”内容”进行加密，其他的封包资料，例如来源端与目的端位址，则仍是以明码传递。因此，还是有可能遇到中间人攻击。因此，如果整个系统会暴露在公众网路上，建议在相关的网路节点间，採用VPN(Virtual Private Network)的方式进行封包加密可以更加安全。HTTPS跟VPN在协定上是不互斥的，所以也可以选择HTTP + VPN进行多重的保护，不过，在实作上为了避免影响整个系统的运作效能，我们还是建议择一即可。

　　无线网路比较容易被入侵?

　　再来，我们特别讨论一下无线网路上的资安问题。相较于有线网路，无线网路是更容易被入侵的。所以，在无线网路上，认证与加密的课题就更加的重要。目前在无线网路常用的通讯协定共有802.11a/b/g/h/n，其中，802.11b/g为目前主流的规範，传输率为54Mbit/s。而802.11n则是可将传输频宽一举拉到600Mbit/s。在实务建构上，AXIS建议一台Access Point最多连接5~6之网路摄影机(如果为百万画素则更少)，以避免网路雍塞。此外，Access Point一定要实作加密方式，常见的加密有：WEP, WPA, WPA2。其中，WEP已经是被认为可以透过软体推算出加密金钥的不安全加密加密法，因此完全不建议。应该要选择WPA或者WPA2做为无线网路的加密方式。

　　管理软体的资安防护?

　　最后，就是考虑视讯资料防止窜改的问题。通常最常发生在资料伪装或者重送攻击上。有考虑到这样问题的厂商，大多会提供所谓的图片嵌入或者浮水印的技术，使用者可以在摄影机传递出来影像上叠加一张特殊的图片(通常是不可视的图片)，来验证资料的完整性。一旦接收到可能被窜改的视讯时，可以检查该特殊图片是否仍存在画面上。

　　除了前端设备的认证以及安全问题之外，影像管理平台的安全性也是很重要。在此要打破一个迷思，就是採用嵌入式的系统不一定就可以屏除入侵或者中毒的风险，相较于微软的作业系统有很多的厂商提供相关的安全套件以及弱点修復工具，然而嵌入式系统可能会存在无法轻易修復的系统漏洞。因此，养成定期更新系统或者注意塬厂是否有释出新的韧体，是一个很重要的习惯。

　　综观来说，时时刻刻要保有建构强健安防监控系统的观念，选择对资安性支援较高的厂牌并且养成更新的习惯，才不会让塬本负责安全的系统变成最大的资安漏洞。