網路攝影機的資安標準

每次打開個人筆電看到被貼紙遮住的攝影鏡頭就會莞爾一笑，心想自己肯定有被害妄想症，就連家中用以監看寶寶行為的網路攝影機也都選購鏡頭無法轉動的機型，這當然不是為了省錢。曾幾何時，「家」已經不是那個可以讓人放心休息的場所了。自從2014年網路攝影機資安問題大爆發後，人人自危。在這系列事件中，受損害的不只是消費者的隱私影像外洩，大量的網路攝影機（IP camera）與數位影像錄影機（digital video recorder, DVR）也淪為DDoS的幫凶，無論是企業還是消費者都蒙受相當大的傷害。

近年來，國內影像監控系統廠商遭受對岸網路攝影機大廠的低價競爭，同時國內外安防產業頻傳資安事件，台灣影像監控大國地位已然動搖。政府意識到問題的嚴重性，於2017年初由行政院資安處領先全世界率先推出「影像監控系統資安標準─網路攝影機」，目的是協助網路攝影機廠商改善資安品質，提升產品競爭力，同時為民眾的資訊安全把關，確保用戶隱私得以妥善保存。

影像監控系統系列的資安標準

這系列標準定義：影像監控系統主要由網路攝影機、影像錄影機及網路儲存裝置組成。網路攝影機與數位影像錄影機負責前端影像的擷取，數位影像錄影機與網路影像錄影機則是把影像集中儲存，最後再由網路儲存裝置進行影像的備份及保管。

因此影像監控系統系列的資安標準包括：第一部─一般要求、第二部─網路攝影機、第三部─影像錄影機、第四部─網路儲存裝置。第一部：一般要求是影像監控設備所共有的資安要求，因此每一個影像監控裝置的資安需求都是由一般要求與其特定的安全要求組合而成。例如，網路攝影機特定的資安要求，會在網路攝影機的標準中，這種結構是ISO家族標準的框架，凡是系列標準都會共同擁有一份共通的要求。

影像監控系統資安標準適用範圍示意圖

安全功能要求

一般網路攝影機分為二類，一個是供消費者使用於私人領域的家用網路攝影機，另一個是應用於工廠或公共設施等商業用的網路攝影機。常見的家用型大多具備無線介面、可轉向、雲端儲存等便利性與娛樂性為主的功能，商業用類型則為確保其穩定性，因此多採用有線介面，且運行於區網環境中，屬於暴露在公共場所的設備。這兩者共通的是影像資料都有其機敏性，如商業用的是怕暴露了工廠或辦公室等機密資訊，家用的則是害怕私人影像外流。

這標準為了確保網路攝影機的資訊安全，要求設備上必須建置認證、加密及完整性三大資安功能。因此這標準要求無論是透過何種介面存取網路攝影機前，都必須先經過認證，包括：實體介面、網頁管理介面、遠端指令管理介面、行動應用程式及ONVIF（open network video interface forum）應用程式介面。

加密是為了確保隱私及敏感性資料的隱密性，因此隱私及敏感性資料的儲存與傳送都需經過加密處理。完整性則是除了確保資料於儲存與傳送時不會被竄改外，另一方面是確保裝置本身不容易被駭客入侵，因此管控所有進入作業系統層的介面，包括實體介面與遠端指令管理介面。

此外，只具備資安功能仍然不夠，還必須檢視資安功能的強度。例如，認證機制必須能防止重送攻擊、多因子認證、雙向認證，可抵禦中間人攻擊的憑證認證機制等。敏感性資料的儲存保護則須採用FIPS 140-2所認可的加密演算法及單向雜湊函數，而敏感性資料的傳輸保護要採用具前向安全的傳輸層安全協定。至於裝置完整性，目前全球公認的最高指標是透過安全晶片建立安全區域，把關鍵程式、認證因子等都保護其中。

在確保網路攝影機資安功能後，還須回頭檢視裝置本身是否有資安漏洞。因此這標準從作業系統、網路服務及網頁介面檢驗是否存在已公開於網路上，具攻擊手法與攻擊程式的資安漏洞，並確保組態設定的正確性，與未開啟預期外的網路服務連接埠，避免製造駭客入侵後門或資料外洩的管道。最後為防止通訊程式具備未知的資安漏洞，還得要求網路攝影機的通訊程式不可存在因錯誤處理漏洞而導致裝置崩潰，並造成服務中止的設計缺陷。

最後一類要求是必須具備日誌與警示的功能。物聯網裝置最為人垢病的是大多沒有人機介面，這也是2014年導致史上最大DDoS事件最根本的原因。因為大多數的使用者在事情發生前完全無法察覺任何異狀，裝置更沒有發出任何警告，所以增加日誌與警示確有其必要，透過主動及被動的警示機制，檢查網路攝影機的異常。除此之外，具備登入警示功能對於被入侵事件頻傳的網路攝影機尤其重要，因為藉由記錄與回報正常或異常的登入行為，可確保裝置不至於被入侵了還一無所覺。

安全構面

裝置的各安全構面也須確保資安品質，由於網路攝影機大都暴露在民眾觸手可及的位置，因此確保其實體安全絕對不可忽視。這份標準要求外殼拆卸的難易度，以及實體還原出廠設定的障礙。此外，裝置的記憶卡（SD card）插槽更不應該暴露在外，以免使影像資料唾手可得，或者可採用對記憶卡內的影像加密處理。

對於系統則要求重要資源的存取應該採用權限控制，且裝置必須有更新能力，以備修補資安漏洞。其更新的韌體檔應該加密，或者敏感性資料如帳密、金鑰等都不該寫死在韌體檔案中，以防止敏感性資料從韌體檔案外洩。線上更新路徑必須採用安全通道，防止更新檔案在傳輸過程中被擷取，還必須具備驗證更新伺服器身分的能力，以防止中間人攻擊的發生。而韌體檔案本身的完整性及合法性也必須確認才可更新。

網路攝影機的通訊層首先會要求通用隨插即用通訊協定（universal plug and play, UPnP）等，因此具備網路裝置資訊探詢功能的協定預設要能關閉，尤其通用隨插即用通訊協定已知存在著資安漏洞，更應該禁止。

敏感性資料的網路傳輸，無論是傳送至終端使用者，或是後端的影像錄影機，都必須經過安全通道，甚至在高階的要求中規定安全通道必須支援AES-256同等或以上加密強度的演算法。經由Wi-Fi通道時，已經可以被暴力破解的Wi-Fi保護設置（WPS PIN）機制，預設必須關閉，且傳輸要用Wi-Fi保護存取（WPA）的加密通道。

網路攝影機對於身分鑑別與授權有相當嚴格的要求，這是反映物聯網裝置無認證或認證強度不足的通病。除了前面認證功能段落提到的內容外，通行碼認證的複雜度及強度要求也是物聯網裝置相當欠缺的一塊，例如通行碼長度、使用字元、歷程紀錄等機制。

此外，防暴力破解的能力也是標準所要求的，包括：連續登入失敗鎖住帳號、帳號鎖住時間、登入嘗試計數器的重置時間。最值得關注的是對於預設密碼議題提出產品資安要求，即首次啟動網路攝影機時必須強制更改預設密碼，或者可透過每台裝置使用相異的預設密碼，確保預設密碼風險降至最低。

最後是隱私保護的要求，由於網路攝影機握有的是影像資料，一旦隱私資料外洩，尤其是個人影像流出，是大眾無法忍受的情況。針對這類型的資料，由於網路攝影機所擷取到的影像資料往往是後送的，因此首重影像傳輸加密保護，以及影像存取的角色權限控管。

網路攝影機對於身分鑑別與授權有相當嚴格的要求（圖片來源：種子發）

網路攝影機資安標準的未來

自2018年6月起政府啟動了網路攝影機資安認驗證制度，積極為全民把關裝置的資安品質。「影像監控系統資安標準─網路攝影機」從實體層、作業系統層、通訊層、身分鑑別與授權及隱私保護共5大面向，結合對資安功能的要求，與已知弱點的排除，確保網路攝影機的資安品質。今後國內相關設備商於裝置開發時可以這標準為依據。

不僅如此，這標準中資安需求的涵蓋率與國際標準的涵蓋率也有非常高的一致性，涵蓋OWASP IoT Top 10約9成、UL 2900-1約7成。這對於已取得資安標章認可的網路攝影機，在外銷上有很大程度的幫助。目前可期的是國內未來物聯網設備資安標準都可以這為根基進一步發展，藉以帶動國內產品的升級。