语言选择
大华云睿 大华云商 投资者关系

设备安全加固建议

保障设备基本网络安全的必须措施:

1.使用复杂密码

    请参考如下建议进行密码设置:

    -   长度不小于8个字符。

    -   至少包含两种字符类型,字符类型包括大小写字母、数字和符号。

    -   不包含帐户名称或帐户名称的倒序。

    -   不要使用连续字符,如123、abc等。

    -   不要使用重叠字符,如111、aaa等。

2.及时更新固件和客户端软件

    -   按科技行业的标准作业规范,设备(如NVR、DVR和IP摄像机等)的固件需要及时更新至最新版本,以保证设备具有最新的功能和安全性。设备接入公网情况下,建议开启在线升级自动检测功能,便于及时获知厂商发布的固件更新信息。

    -   建议您下载和使用最新版本客户端软件。

增强设备网络安全的建议措施:

1.物理防护

    建议您对设备(尤其是存储类设备)进行物理防护,比如将设备放置在专用机房、机柜,并做好门禁权限和钥匙管理,防止未经授权的人员进行破坏硬件、外接设备(例如U盘、串口)等物理接触行为。

2.定期修改密码

    建议您定期修改密码,以降低被猜测或破解的风险。

3.及时设置、更新密码重置信息

    设备支持密码重置功能,为了降低该功能被攻击者利用的风险,请您及时设置密码重置相关信息,包含预留手机号/邮箱、密保问题,如有信息变更,请及时修改。设置密保问题时,建议不要使用容易猜测的答案。

4.开启帐户锁定

    出厂默认开启帐户锁定功能,建议您保持开启状态,以保护帐户安全。在攻击者多次密码尝试失败后,其对应帐户及源IP将会被锁定。

5.更改HTTP及其他服务默认端口

    建议您将HTTP及其他服务默认端口更改为1024~65535间的任意端口,以减小被攻击者猜测服务端口的风险。

6.使能HTTPS

    建议您开启HTTPS,通过安全的通道访问Web服务。

7.启用白名单

    建议您开启白名单功能,开启后仅允许白名单列表中的IP访问设备。因此,请务必将您的电脑IP地址,以及配套的设备IP地址加入白名单列表中。

8.MAC地址绑定

    建议您在设备端将其网关设备的IP与MAC地址进行绑定,以降低ARP欺骗风险。

9. 合理分配帐户及权限

    根据业务和管理需要,合理新增用户,并合理为其分配最小权限集合。

10.关闭非必需服务,使用安全的模式

    如果没有需要,建议您关闭SNMP、SMTP、UPnP等功能,以降低设备面临的风险。

    如果有需要,强烈建议您使用安全的模式,包括但不限于:

    -   SNMP:选择SNMP v3,并设置复杂的加密密码和鉴权密码

    -   SMTP:选择TLS方式接入邮箱服务器

    -   FTP:选择SFTP,并设置复杂密码

    -   AP热点:选择WPA2-PSK加密模式,并设置复杂密码

11. 音视频加密传输

    如果您的音视频数据内容比较重要或敏感,建议启用加密传输功能,以降低音视频数据传输过程中被窃取的风险。

12. 使用PoE方式连接IP摄像机和NVR

    如果设备(NVR和IP摄像机)都支持PoE功能,建议采用PoE方式连接IP摄像机和NVR,使得IP摄像机与其它网络隔离。

13.安全审计

    -   查看在线用户:建议您不定期查看在线用户,识别是否有非法用户登录。

    -   查看设备日志:通过查看日志,可以获知尝试登录设备的IP信息,以及已登录用户的关键操作信息。

14. 网络日志

    由于设备存储容量限制,日志存储能力有限,如果您需要长期保存日志,建议您启用网络日志功能,确保关键日志同步至网络日志服务器,便于问题回溯。

15. 安全网络环境的搭建

    为了更好地保障设备的安全性,降低网络安全风险,建议您:

    -  关闭路由器端口映射功能,避免外部网络直接访问路由器内网设备的服务。

    -   根据实际网络需要,对网络进行划区隔离:若两个子网间没有通信需求,建议使用VLAN、网闸等方式对其进行网络分割,达到网络隔离效果。

    -   建立802.1x接入认证体系,以降低非法终端接入专网的风险。