Là một nền tảng quản lý video giám sát an ninh hàng đầu thế giới, Nx hiểu rõ hơn ai hết về nhu cầu bảo mật của khách hàng, vì vậy, chúng tôi luôn luôn cải tiến công nghệ bảo mật và chính sách bảo mật để đảm bảo Nx Witness là phần mềm an toàn nhất, có thể ngừa trước sự can thiệp bất chính vào hệ thống giám sát của khách hàng.
Triết lý của chúng tôi là luôn giả sử hacker biết rõ về hệ thống.
Với giả định rằng kẻ tấn công cực kỳ quen thuộc với cách hoạt động của Nx Witness, chúng tôi thực hiện các bước đặc biệt bao gồm đánh giá kĩ bộ mã lập trình và kiểm tra tự động để đảm bảo không có khóa mã hóa, cửa hậu hoặc thủ đoạn hack ẩn nào trong chương trình lập trình của phần mềm.
Điều đó có nghĩa là ngay cả nhóm phát triển cốt lõi của công ty cũng không thể hack hệ thống sản xuất phần mềm được.
Dữ liệu nào được mã hóa trong Nx Witness?
Các thành phần sau được mã hóa theo mặc định hoặc có thể được mã hóa bằng cách bật tính năng này trong menu Quản trị hệ thống > Cài đặt bảo mật:
- Quản lý lưu lượng/dữ liệu
- Tất cả trao đổi dữ liệu giữa máy chủ và camera
- Phân quyền đăng nhập của người dùng
Những công nghệ mã hóa nào được sử dụng trong Nx Witness?
Các công nghệ mã hóa sau được sử dụng trong Nx Witness:
- SSL/TLS AES-256
- HTTP Digest-MD5 (được tắt theo mặc định, thay vào đó chúng tôi sử dụng SCrypt)
- Phiên cookie HTTP
- HTTPS
Bảo mật Nx Witness
Cài đặt bảo mật mặc định khác nhau tùy thuộc vào thành phần Nx Witness đang được truy cập.
Theo mặc định, Nx Witness sử dụng Session auth (mã bearer token).
Thông tin đăng nhập
SCrypt (MD5 có thể được sử dụng nhưng bị tắt theo mặc định) cho:
- Tài khoản người dùng cục bộ của Nx Server
- Tài khoản người dùng Nx Cloud
- TLS là tùy chọn mặc định cho Máy chủ Email
Máy chủ Nx <->Máy chủ Nx
- Dữ liệu: Luôn được mã hóa (HTTPS)
- Video: Không được mã hóa theo mặc định, nhưng có thể bật mã hóa TLS tùy chọn
- Ủy quyền: HTTP Digest-MD5 với khóa xác thực Máy chủ thay vì mật khẩu.
Nx WebAdmin <-> Máy chủ Nx
- Dữ liệu: Mặc định là không mã hóa nhưng có thể bật tùy chọn.
- Video: Mặc định là không mã hóa, nhưng có thể bật tùy chọn mã hóa TLS
- Ủy quyền: Phiên cookie HTTP
Máy tính Nx/Ứng dụng di động Nx <-> Máy chủ Nx
- Dữ liệu: Luôn được mã hóa (HTTPS)
- Video: Không được mã hóa theo mặc định nhưng có thể bật tùy chọn mã hóa TLS.
- Ủy quyền:
- Người dùng cục bộ – phiên mã bearer cho người dùng cục bộ,
- Người dùng đám mây – OAuth2: Xác thực hai lớp
Đám mây Nx <-> Máy chủ Nx
- Dữ liệu: Luôn được mã hóa
- Video: Luôn được mã hóa
- Ủy quyền: HTTP Digest-MD5 với khóa xác thực Cloud thay vì mật khẩu
Nx Desktop/Nx Mobile <-> Nx Cloud
- Dữ liệu: Luôn được mã hóa (HTTPS)
- Ủy quyền: OAuth2 + 2FA tùy chọn
Tích hợp của bên thứ 3 <-> Máy chủ Nx
- Dữ liệu: Không được mã hóa nhưng có thể bật tùy chọn mã hóa TLS
- Video: Không được mã hóa nhưng có thể bật tùy chọn mã hóa TLS
- Ủy quyền: Mã bearer, HTTP Digest-MD5, Phiên cookie HTTP hoặc tham số URL
Mã hóa SSL tùy chọn
- Theo mặc định, cả lưu lượng dữ liệu và Video đều được mã hóa. Có thể tắt tính năng mã hóa tại Menu Chính -> Quản trị hệ thống:
- Dữ liệu: Chỉ cho phép kết nối an toàn – mã hóa tất cả lưu lượng quản lý (chuyển hướng HTTPS)
- Video: Mã hóa lưu lượng video – mã hóa lưu lượng RTSP (video qua TLS)
Bảo mật cấp độ hệ điều hành và cài đặt nâng cao
Chứng chỉ SSL
Chứng chỉ SSL 2048 bit với mã hóa 256 bit được sử dụng khi cài đặt Nx Witness. Nếu chứng chỉ người dùng chưa được cài đặt, chúng tôi sẽ sử dụng tính năng ghim chứng chỉ để tăng cường bảo mật.
Bạn có thể thay thế chứng chỉ SSL bằng chứng chỉ do Cơ quan cấp chứng chỉ cung cấp (được khuyến nghị cho mọi máy chủ công cộng mà bạn có trong hệ thống).
Quyền dịch vụ
Nx Server chạy trên máy chủ dưới dạng dịch vụ và có quyền quản trị viên. Để bảo vệ dữ liệu Nx Server khỏi bị ghi đè bởi các ứng dụng khác trên cùng một máy chủ, chúng tôi đặc biệt khuyến nghị các ứng dụng khác này không có đặc quyền quản trị viên và không có quyền truy cập vào bộ lưu trữ lưu trữ của Nx Server.
Cấu hình OpenSSL cho kết nối mạng
Chúng tôi sử dụng thư viện OpenSSL bất cứ khi nào cần mã hóa nội dung nào đó. Mặc dù Máy chủ Nx có thể sử dụng tất cả các thuật toán băm bảo mật mà OpenSSL có khả năng thực hiện nhưng chúng tôi vô hiệu hóa các giao thức deprecated không an toàn có các lỗ hổng bảo mật đã biết như mật mã RC4 và 3DES). Giao thức Bảo mật lớp vận chuyển (TLS) nhằm mục đích chủ yếu là cung cấp quyền riêng tư và tính toàn vẹn dữ liệu giao tiếp giữa hai ứng dụng máy tính.
Cài đặt mật mã OpenSSL mặc định được sử dụng “HIGH:!RC4:!3DES”, nhưng mật mã có thể được thay đổi theo cách thủ công để càng an toàn hơn. Chúng tôi hỗ trợ TSL1.2 theo mặc định nhưng có thể bật các tùy chọn khác bằng cách sửa đổi tham số allowSslVersions.
Cài đặt nâng cao
Nhiều nhật ký hơn có nghĩa là có nhiều thông tin hơn có thể được sử dụng để bảo mật hệ thống của bạn. Bạn có thể tìm thấy tùy chọn tăng thời gian lưu giữ nhật ký sự kiện và quy trình kiểm tra tại trang Hỗ trợ Kỹ thuật của Nx.