上周朋友在市一院做检查,等结果时闲逛到住院楼一层,无意间看见护士站墙上挂着的监控屏幕——画面清晰,角度覆盖走廊、电梯口和药房门口。他随口问了一句:这系统连着外网吗?护士愣了愣,说‘好像后台能用手机APP看’。这话听着平常,但背后藏着不小的风险。
不是所有监控都‘只看不传’
很多医院用的还是老式DVR(硬盘录像机)加模拟摄像头,本地存储、不联网,确实安全。但近年新上的系统,尤其是支持远程调阅、手机回看、AI行为分析的,基本都带网络模块。一旦设备默认密码没改、端口暴露在公网、固件长期不更新,黑客扫到IP后,几秒就能登录进去——不是看病人,是看你的监控权限怎么被当成跳板,去打内网其他系统的主意。
常见漏洞,就在眼皮底下
某三甲医院信息科同事聊过一个真实案例:他们采购的一批网络球机,出厂账号是 admin/admin,运维人员图省事没批量改密,又把设备管理页面映射到了防火墙外网口。结果某天凌晨,后台日志显示有境外IP连续尝试17次登录失败后,成功进了其中3台设备。所幸发现及时,没造成数据泄露,但那几路实时画面已被截流了近两小时。
类似问题还有:
• 摄像头固件多年不升级,已知漏洞(比如CVE-2021-36260)一直开着;
• 视频流用HTTP明文传输,中间人一抓就是原始码流;
• 手机APP用弱加密方式校验用户身份,验证码短信可被劫持复用。
真正管用的防护动作
别光盯着‘买贵的’,先做这几件事:
• 关闭所有不必要的远程服务,比如Telnet、FTP、UPnP;
• 把监控系统单独划进一个VLAN,和HIS、LIS等业务网物理或逻辑隔离;
• 启用HTTPS访问管理界面,禁用HTTP重定向;
• 手机APP必须绑定设备指纹+二次验证,禁用‘记住密码’选项。
如果真要开放外网访问,建议用反向代理+零信任网关,而不是直接把设备IP扔到公网上。下面是一个轻量级Nginx反向代理配置片段,限制只允许特定域名访问管理后台:
location /camera-admin/ {
proxy_pass https://192.168.10.50:8443/;
proxy_set_header Host $host;
proxy_set_header X-Real-IP $remote_addr;
proxy_ssl_verify off;
# 仅放行医院内部域名
if ($host !~ ^(monitor\.hospital\.local|cam\.xxxyyyzzy\.com)$) {
return 403;
}
}最后提醒一句:监控系统不是‘装完就完’的设备。每季度查一次登录日志,每月核对一次设备在线状态,每年做一次渗透测试——这些动作,比换新摄像头更能守住安全底线。