去年多起黑客利用监控系统设备的漏洞将视频泄露至网上的事件，引起了大家的高度关注。熟悉网络的人士只要稍微研究下目前安防界普遍采用的为远程访问摄像机、录像机而设计的所谓私有DDNS系统，就不难发现其存在的巨大安全隐患。隐患转化为现实灾难的条件之一当然是用户未及时修改设备的缺省密码，或将密码设置得过于简单，但是企业也不能把责任完全推脱给用户，设计方案和系统时必须充分考虑普通民众的默认习惯及其可能引发的安全风险。　　

　　账户管理
　　目前很多安防公司普遍采用的私有DDNS方案的大致架构是：企业在公网部署一个官方网站;用户的前端设备放置在SOHO路由器的内网，通过uPNP协议或手工静态配置让路由器将其服务端口映射到公网，并向网站进行注册;外网的用户后端设备(PC、手机、解码器等)向网站获取前端设备的公网IP地址和服务端口号，便可向其发起访问。此时，外网用户登录内网前端设备所要输入的账号通常就是设备本身的账号，这个账号因为用户潜意识的以为处于内网的设备是安全的而不会被及时更改;另一方面，很多网站要求设备名全局唯一，这样黑客就可以很轻松的获得大量在用的设备名，并以缺省账号登录设备窃取实况和录像视频。
　　从理论上讲，任何连接入网的设备都存在被攻击的风险。用户应该养成及时修改缺省密码的习惯，而且密码设置不能太过简单。以目前很常见的双核计算机为例，如果破解纯数字的6位密码只需几秒钟，那么破解“数字+字母+特殊符号”的6位密码只需要22个小时，而破解“数字+字母+特殊符号”的8位密码则需要23年——当然实际破解所需时间还与产品具体登录流程的设计相关，但破解难度大致呈上述比例。所以密码设置应至少采用“数字+字母+特殊符号”的8位字符串。
　　对企业来说，监控系统设计应该引导用户及时修改默认账号和密码，并对密码的强度做出一定的限制。

　　网络防范
　　黑客入侵的前提是设备和客户端联入互联网，联网的入口通常是一个SOHO级路由器，通过NAT(网络地址转换)特性联入运营商网络。它是抵御攻击的第一道防线，需要用户认真规划部署，企业设计方案时也应该充分考虑用户网络的安全性。
　　NAT特性有四个运行模式：完全锥型、地址限制锥型、端口限制锥型、对称型，安全级别依次提升。完全锥型极不安全：只要内网的设备曾经访问过外网的一台设备，那么外网的任何设备都可以访问该内网设备的对应业务端口;地址限制锥型也不够安全，只要内网的设备曾经访问过外网的某台设备，该外网设备的任何进程均可以访问该内网设备的对应业务端口;后两种模式相对安全，只有外网设备的对应进程才可以访问内网设备的对应业务端口。
　　可怕的是，目前网上大部分的SOHO路由器都采用了完全锥型模式。更为可怕的是，安防界普遍采用的私网DDNS方案要求SOHO路由器开启uPNP协议或手工配置来映射业务端口，也就意味着，即使内网设备未曾访问外网的任何设备，任何外网设备均可以直接访问内网设备的对应业务端口。安全级别比完全锥型的NAT模式还要低。
　　没有最不安全，只有更不安全。有些SOHO路由器因为存在质量问题，或者安防集成商对IT网络比较陌生，会直接将路由器配置成DMZ模式。这意味着对应的内网设备完全被暴露在了外网——uPNP模式尚且只是对外暴露了对应的业务端口，而DMZ模式则干脆将内网设备的所有业务端口完全暴露了，“裸奔”是非常危险的。
　　用户应该尽量选择端口限制型的NAT模式(一般不推荐对称模式的NAT，因为很多应用需要执行NAT“打洞”，对称模式的NAT不具有NAT友好性，给“打洞”带来困难)，禁用DMZ特性，尽量不启用uPNP特性(除非游戏等应用必须开启);此外强烈建议关闭WAN口登录的功能。
　　对于企业来说，功能设计时尽避免要求用户网络开启uPNP等特性，将麻烦留给自己，把安全留给用户。

　　视频传输和存储
　　谈起民用视频监控，很多用户最直观的担心是视频被窥视、盗窃和非法传播，导致隐私泄露。相对于模拟时代的监控，数字监控系统要安全得多，但风险依然存在。最直接的方法就是对视频进行加密：加密传输、加密保存。
　　目前常见的方案分为两类：DRM(数字内容的版权管理)和CA(有条件接收)。DRM的工作原理是：建立数字节目授权中心;编码节目内容时即进行加密(一般采用公钥)，数字节目头部存放着KeyID和节目授权中心的URL;用户点播时根据KeyID和URL信息向授权中心获得解密密钥(即对应的私钥)，节目方可播放。DRM加密了内容，所以不管是实况视频还是回放视频或是本地下载的视频，没有解密密钥根本无法观看，从而避免了窃听和非法传播的隐患。CA的工作原理是：发送端用随机码发生器产生一个随机码(称为控制字CW)对节目信号进行加扰，然后对控制字进行加密(通常用公钥)，加密后的控制字复用到视频流中传送给接收端，接收端从智能卡中获得解密密钥(即对应的私钥)解码出控制字，再用控制字对视频进行解扰获得正常视频。DRM和CA各有偏重，前者基于文件加密，在发送端保存的就是加密后的文件，支持复杂的授权规则，比如只看不许录等，需要双向交互;后者是基于传输层的加密，服务器保存的是未加密的视频，播出时才加密，不支持复杂的授权规则，无需双向交互。DRM和CA可以一起使用，事实上他们也在相互借鉴、相互融合。
　　落地到民用视频监控，架构模型稍有不同：视频产生方和接收方均在用户这里，而提供协调的企业网站处于公网，这与音乐电影的版本管理模式以及数字电视的广播模式稍有区别。此外，用户的监控系统不一定联入互联网。针对产品的定位特点，企业在设计系统时需要灵活参鉴，变通设计。
　　对于民用视频监控而言，灵活的授权规则也是一个重要的功能。当我们进行视频共享时，对直系亲属的授权通常会多一些，而对邻居朋友可能会多一些限制，例如只允许其实况而不允许其回放或下载。此外共享的时间段限制也是一个现实的授权需求。

　　密码管理
　　密码管理是一个复杂的问题，尤其对于民用安防需要同时兼顾其安全性和易用性，必须人性化的解决用户日常使用的问题。
　　首先，如何让用户管理密码?如果让用户给设备配置一个密码，而解码端依旧需要输入解密密码，那么他共享给他的亲朋好友是否也要输入解密密码?这样难免导致解密密码的不可控制的扩散。
　　一个好的系统中，解码密钥应该由系统来统一控制，无需用户手工输入，最好是用户根本不知道加解密的密码，从而杜绝泄露扩散的可能性。
　　其次，密码如何传输?CA系统的解密密码是保存在硬件中的，不存在传输，比较安全，但是民用视频监控不可能这样设计，会影响灵活性，成本也会高很多。交互是必须的，但可以不是最终的密码，否则难免被拦截窃取。
　　再次，密码如何保存?密码绝对不可以明文形式保存于任何一个节点，即使是用来生成密码的种子也应该进行加密，这样即使设备被窃，视频也无法破解。加解密的密码最好是动态变化的，这样可以大大增加黑客破解的难度。
　　最后，为了支持第三方播放器的播放需求，比如将关键录像作为证据提交给公安机关，系统必须提供转码功能允许用户将加密视频转换成非加密视频。