陳佳新間諜軟體的新花招
諸如內建 Web 伺服器功能的 IP 攝影機、網路視訊儲存與中央式電源管理的發展,都提供了網路架構非常大的彈性,對 IT 管理人員而言也是很棒的挑戰,當然對於攻擊者而言也是一塊機會綠地。安全功能必須同時在來源端、網路、儲存系統與用戶端這些地方實作。如果有人能夠入侵攝影機的安全防護系統,那麼他就能夠監視你以及所處環境發生的任何事情。
假使影像是儲存在 NVR 裡面的話,那個人便能夠瀏覽進入此場所的人們所有做過的事情,甚至可以判斷他們說了些什麼,或者在電子門或電腦的鍵盤上輸入了什麼密碼。如果他能夠破解 PoE 交換器的安全防護的話,他便能夠關閉所有的視訊錄影。
監視設備的元件 |
| 在你踏進監視器材行要開始採購之前,得先學會這個產業的行話 |
|
數位錄影機 (DVR) |
DVR 可以完全取代 VCR 。類比攝影機的同軸電纜連接到 PC(執行 DVR 軟體)的畫面擷取卡。 DVR 會將類比視訊編碼為數位格式,例如 MPEG-4 或 Motion JPEG,然後再將資料儲存起來。保存的影片內容可以在執行 DVR 的電腦上面透過 GUI 介面來觀看。 DVR 通常是執行 Windows 或 Linux 的 Intel 型 PC 。一般可以接受 16 到 32 條類比連線。儲存可以利用內部磁碟機、直接連結 RAID 、 NAS 甚至是 SAN 。市面上至少有 200 種不同品牌的 DVR 。
|
|
網路數位錄影機 (NDVR) |
NDVR 只是擁有網路功能的 DVR,允許將保存的影片與其他 NDVR 分享,或者是放在網路上利用主流軟體(例如 Windows Media Player)來觀看。不同供應商的 NDVR 軟體一般而言是無法互通的。
|
|
網路錄影機 (NVR) |
NVR 是一種設備或者在伺服器上面執行的軟體,可以存放編碼過後的視訊。相較於 DVR/NDVR 的拓撲,NVR 拓撲有著根本上的不同,而且更具擴充性。如果是新設置的攝影環境,視訊通常是在攝影機內或由編碼器來進行編碼的(請參考「智慧型視訊交換與儲存系統」示意圖)。視訊接著透過網路傳送到 NVR 。最後由 NVR 將影片保存於 DAS 、 NAS 或 SAN 系統。相較於 DVR/NDVR,NVR 有非常多的擴充優勢,因為編碼的處理成本是由攝影機本身或外部的編碼器設備所負擔的。 |
|
編碼器/解碼器 (codec) |
編解碼器 (codec) 是一個能夠將從類比攝影機而來的視訊輸入,編碼為數位格式(例如 MPEG-4 或 Motion JPEG),然後透過網路傳送出去的設備。產品的範圍,從單一輸入設備(大概像 Linksys 家用閘道器那樣的大小)到工業級、可以連接 40 個或者更多個類比輸入的模組化編碼器(看起來類似 Cisco CAT6K 交換器那樣的機盒)都有。編碼器通常放得離攝影機很近。編解碼器可以連結到 NVR,不過許多老舊的設置之所以使用編解碼器只是為了延伸純類比系統的作用範圍。在這些老舊的設置中,類比攝影機會被連接到執行編碼功能那端的編解碼器;視訊透過網路被傳送到執行解碼功能那端的編解碼器;最後的類比影像是在類比螢幕上觀看的,此時也可以選擇利用 VCR 來錄影。在像是機場這樣的大型場所裡,這是十分常見的拓撲。 |
|
IP 網路攝影機 |
IP 網路攝影機具有內建的編解碼器,以及有線或無線連結的網路能力。現在的 IP 網路攝影機相當地先進,具備數百萬像素的解析度、內建移動與物體偵測、內建 Web 伺服器(這樣任何擁有 Windows Media Player 的 PC 便能夠連接到此伺服器,然後直接觀看來自攝影機的影像),以及 POE 等功能。 |
假使那個人能夠入侵監視控制系統的話,他將不只能夠監看影片,還能夠學到實體安全部門是如何操作這套系統的。基於上述這些理由,IT 人員必須正視監控視訊,將之當作網路上的其他敏感資料一樣重要。
攝影機製造商 Axis Communications 北美總經理 Fredrik Nilsson 表示:「大約 10 年前就有 IP 網路攝影機的出現了。主要的賣點是它的遠端監視能力。大約 3 年前,大部分的 DVR 製造商都加進了網路連接埠。監視系統的專家們紛紛表示:『太棒了,DVR 現在也有網路連接埠了。』而 IT 管理人員則說:『在我們網路上的這台新伺服器是什麼東西?要嘛就把它整合到 IT 安全性政策裡面,不然就別使用它。』」
大部分的網路 DVR 在出貨時都隨附了自訂的 Windows 版本,並且預先安裝了所需的應用程式。其平台無法執行其他軟體(比方說防火牆或者防毒套件),更新程式也很少。當然,要將任何系統連接到沒有防火牆、防毒與更新管理的網路,便意味著麻煩的開始。
Cisco 親自著手進行這項實驗:數年前這家公司在其資料中心裡面,安裝了幾部 Verint 的 NDVR 設備,作為遠端監視與視訊儲存用途,當時這些 NDVR 並未被視作伺服器。 2002 的時候,它們受到 Nimda 病毒的感染。