《數(shù)據(jù)安全法》公布、四部門重拳攝像頭偷窺黑產(chǎn)，視頻安全 C 位將至

本文作者：余快

2021-06-12 17:34

導(dǎo)語(yǔ)：一前一后，敲起了數(shù)據(jù)安全啟航的鑼鼓。

這兩天的視頻安全領(lǐng)域大事不斷。

先是6月10日，《中華人民共和國(guó)數(shù)據(jù)安全法》十三屆全國(guó)人大正式表決通過(guò)，正式公布，確定將于2021年9月1日正式施行。

這是我國(guó)關(guān)于數(shù)據(jù)安全的首部法律。

緊接著，6月11日，中央網(wǎng)信辦、工業(yè)和信息化部、公安部、市場(chǎng)監(jiān)管總局發(fā)布關(guān)于開(kāi)展攝像頭偷窺等黑產(chǎn)集中治理的公告。

上到法律法規(guī)，下到部門公告，一前一后，敲起了數(shù)據(jù)安全啟航的鑼鼓。

霧霾天里，陣陣曙光

視頻安全的霧霾主要在于三個(gè)層面：安全問(wèn)題突出、各界不夠重視、法律和制度不夠完善。

攝像頭相關(guān)的安全事件層見(jiàn)迭出，在此不作贅述，重點(diǎn)談?wù)労髢蓚€(gè)方面。

在視頻安全領(lǐng)域，無(wú)論是國(guó)家層面的視頻建設(shè)，還是社會(huì)層面的攝像頭產(chǎn)業(yè)，視頻安全一直是被輕視的圈層。

中國(guó)政府是有全世界對(duì)新技術(shù)最包容的國(guó)家政府，先引入，再在實(shí)踐中改進(jìn)，在過(guò)去70年中大體如一。

重建設(shè)，輕安全，大多應(yīng)用先行、安全為后。

也因此，缺乏體系化地規(guī)劃、部署網(wǎng)絡(luò)安全，缺乏系統(tǒng)地培養(yǎng)安全管理人才，缺乏視頻接入網(wǎng)絡(luò)流程和制度，攝像頭產(chǎn)業(yè)的標(biāo)準(zhǔn)和規(guī)范。

1994年中國(guó)正式邁入互聯(lián)網(wǎng)時(shí)代以來(lái)，中國(guó)互聯(lián)網(wǎng)已有27年。

前進(jìn)的號(hào)子震天響，纖繩粗又壯，行業(yè)在軌道上飛奔之時(shí)，數(shù)據(jù)安全在后鞭長(zhǎng)莫及。

信息化、數(shù)字化超級(jí)大國(guó)背后，信息化和數(shù)據(jù)安全發(fā)展脫節(jié)。

“從政策上看，等級(jí)保護(hù)1.0是2014年才推出，直到2019年等保2.0推出，才起到關(guān)鍵作用，全行業(yè)、全業(yè)界才開(kāi)始真正進(jìn)行到位的建設(shè)和監(jiān)管力度?！?/p>

奇安信華南區(qū)技術(shù)總監(jiān)張雄曾強(qiáng)調(diào)，兩者的脫節(jié)，不僅在技術(shù)層面，還在體系化、建設(shè)思路、戰(zhàn)略性等層面。

在法律層面，視頻安全領(lǐng)域并非無(wú)法可依。

《民法典》對(duì)隱私權(quán)的定義和保護(hù)作出清晰規(guī)定，《網(wǎng)絡(luò)安全法》也對(duì)網(wǎng)絡(luò)產(chǎn)品、服務(wù)提出明確要求。

在相關(guān)案件中，利用黑客手段破解網(wǎng)絡(luò)攝像頭IP并販賣內(nèi)容的行為，也屬于《刑法》第二百八十五條“非法侵入計(jì)算機(jī)信息系統(tǒng)罪”等條款。

但直到2017年6月1日，網(wǎng)絡(luò)安全法才正式實(shí)施，與公民最相關(guān)的《個(gè)人信息保護(hù)法》，目前還在制定之中。

行業(yè)層面，攝像頭系統(tǒng)中倒是有標(biāo)準(zhǔn)協(xié)議，但對(duì)視頻的保護(hù)規(guī)定不足，視頻數(shù)據(jù)完全以明文狀態(tài)在網(wǎng)絡(luò)中傳輸，數(shù)據(jù)容易被截取。

當(dāng)然，以上并非誰(shuí)之過(guò)，而是行業(yè)發(fā)展規(guī)律大抵如此。

正如曠視高級(jí)副總裁、城市業(yè)務(wù)事業(yè)部總經(jīng)理陳雪松曾對(duì)AI掘金志所言：

行業(yè)標(biāo)準(zhǔn)化是滯后于技術(shù)的，技術(shù)永遠(yuǎn)比標(biāo)準(zhǔn)要快。

市場(chǎng)對(duì)AI、數(shù)據(jù)安全等新興的理解和嘗試必然經(jīng)歷一個(gè)過(guò)程，并最終變得更加清晰和聚焦。

同理，法律的制定需要時(shí)間和過(guò)程。

法律不是理論屬性，而是實(shí)踐屬性。

它通常是在事物有了充分的發(fā)展、有了實(shí)踐的經(jīng)驗(yàn)、暴露出充分的問(wèn)題后，相關(guān)的法律出臺(tái)，規(guī)范標(biāo)準(zhǔn)、促進(jìn)事物向前。

而《數(shù)據(jù)安全法》作為一部專門針對(duì)數(shù)據(jù)安全出臺(tái)的法律，加之專門的《個(gè)人信息保護(hù)法》，足以證明國(guó)家對(duì)此重視。

《數(shù)據(jù)安全法》中也強(qiáng)調(diào)了這一點(diǎn)：

“關(guān)系國(guó)家安全、國(guó)民經(jīng)濟(jì)命脈、重要民生、重大公共利益等數(shù)據(jù)屬于國(guó)家核心數(shù)據(jù)，實(shí)行更加嚴(yán)格的管理制度?！?/p>

這部自2020年6月28日以來(lái)，《數(shù)據(jù)安全法》經(jīng)歷了三次審議與修改，確定將于2021年9月1日正式施行。

這意味著，中國(guó)在數(shù)據(jù)安全領(lǐng)域有法可依，為各行業(yè)數(shù)據(jù)安全提供監(jiān)管依據(jù)。

中國(guó)的數(shù)字化轉(zhuǎn)型，在不遠(yuǎn)處也微微一笑。

法律銅墻已出，各部門行動(dòng)鐵壁也逐漸上路。

有法可依前提下，視頻數(shù)據(jù)安全是一項(xiàng)綜合性的系統(tǒng)工程，需要各維度不斷完善，所以四大部門立馬來(lái)了。

黑產(chǎn)產(chǎn)業(yè)鏈猖獗如斯：利用黑客技術(shù)破解并控制家用及公共場(chǎng)所攝像頭，將智能手機(jī)、運(yùn)動(dòng)手環(huán)等改裝成偷拍設(shè)備，出售破解軟件，傳授偷拍技術(shù)，供客戶“偷窺”隱私畫面并借此牟利。

中央網(wǎng)信辦、工業(yè)和信息化部、公安部、市場(chǎng)監(jiān)管總局決定，自2021年5月至8月，在全國(guó)范圍組織開(kāi)展攝像頭偷窺黑產(chǎn)集中治理：

一、社交軟件、網(wǎng)站、論壇等互聯(lián)網(wǎng)平臺(tái)要嚴(yán)格履行信息發(fā)布審核的主體責(zé)任，全面清理平臺(tái)上發(fā)布的涉攝像頭破解教學(xué)、漏洞風(fēng)險(xiǎn)利用、破解工具售賣，偷拍設(shè)備改裝，偷窺偷拍視頻交易等攝像頭偷窺黑產(chǎn)相關(guān)違法有害信息。

二、攝像頭生產(chǎn)企業(yè)要按照數(shù)據(jù)安全、信息安全有關(guān)規(guī)定和標(biāo)準(zhǔn)提升產(chǎn)品安全能力，提供公共服務(wù)的視頻監(jiān)控云平臺(tái)及有關(guān)企業(yè)要嚴(yán)格履行網(wǎng)絡(luò)安全主體責(zé)任，強(qiáng)化云平臺(tái)網(wǎng)絡(luò)安全防護(hù)，落實(shí)對(duì)遠(yuǎn)程視頻監(jiān)控App的數(shù)據(jù)安全防護(hù)責(zé)任。

三、電商平臺(tái)要嚴(yán)格履行主體責(zé)任，全面開(kāi)展排查，對(duì)平臺(tái)上的假冒偽劣攝像頭做清理、下架處理。

四、公安機(jī)關(guān)依法打擊提供攝像頭破解軟件工具、對(duì)攝像頭設(shè)備實(shí)施攻擊控制、獲取買賣公民隱私視頻等違法犯罪活動(dòng)，嚴(yán)懲違法犯罪分子。

五、網(wǎng)信、工信、公安、市場(chǎng)監(jiān)管等部門加強(qiáng)監(jiān)管和執(zhí)法，對(duì)于不落實(shí)主體責(zé)任的社交軟件、網(wǎng)站、論壇、視頻監(jiān)控云平臺(tái)、電商平臺(tái)等互聯(lián)網(wǎng)平臺(tái)和企業(yè)，依法依規(guī)嚴(yán)厲進(jìn)行處罰。

四部門的5條公告，涵蓋了互聯(lián)網(wǎng)平臺(tái)信息發(fā)布、攝像頭生產(chǎn)企業(yè)、電商平臺(tái)、公安局和犯罪分子、各部門自身各大主體，國(guó)家從各維度細(xì)化行動(dòng)的決心，可得一見(jiàn)。

我們也相信，這將是一個(gè)開(kāi)始，更多的規(guī)章制度已經(jīng)在路上。

視頻安全的霧霾天里，迎來(lái)了陣陣曙光。

視頻企業(yè)能做什么？

法律、制度層面的相繼出臺(tái)固然可喜，但視頻數(shù)據(jù)安全是項(xiàng)系統(tǒng)工程，攝像頭企業(yè)自身的問(wèn)題不可忽視。

作為產(chǎn)業(yè)鏈中極其重要的一環(huán)，視頻企業(yè)們?cè)搹哪男┓矫嫒胧郑?/p>

前期植入安全設(shè)計(jì)、設(shè)置技術(shù)防范手段。

在2017年物聯(lián)網(wǎng)安全研究報(bào)告中，就已經(jīng)發(fā)現(xiàn)物聯(lián)網(wǎng)的設(shè)備暴露在互聯(lián)網(wǎng)之下，普遍存在被攻擊、被利用的風(fēng)險(xiǎn)。其中，路由器和安防設(shè)備暴露的數(shù)量最多。

2019年的物聯(lián)網(wǎng)安全事件中，主要是三類：漏洞和弱口令、準(zhǔn)入控制乏力、應(yīng)用監(jiān)管不足。

宇視安全&網(wǎng)絡(luò)解決方案總工王連朝告訴AI掘金志，其中有一半是漏洞和弱密碼造成的。漏洞和弱密碼使得設(shè)備很容易被控制、被利用，從而造成信息泄露，或引發(fā)DDOS攻擊。

而造成產(chǎn)品本身安全不足的原因有二：

組織管理不足，設(shè)計(jì)之初未曾考慮安全設(shè)計(jì)，未曾建立漏洞發(fā)現(xiàn)、修復(fù)、響應(yīng)機(jī)制等，導(dǎo)致后期難以修復(fù)。
技術(shù)防范手段不足，存在弱口令，預(yù)留后門，或者軟件開(kāi)發(fā)本身不規(guī)范，缺失認(rèn)證機(jī)制、數(shù)據(jù)明文傳輸?shù)取?/p>

換句話說(shuō)，漏洞和弱口令風(fēng)險(xiǎn)說(shuō)明一個(gè)問(wèn)題：安防產(chǎn)品自身的可靠性是系統(tǒng)安全的根基。

如果自身的安全性得不到保障，僅通過(guò)外部防護(hù)，很難做到完全的安全。

企業(yè)需要從攝像頭生產(chǎn)、設(shè)計(jì)本身出發(fā)，在代碼防護(hù)、身份鑒別、弱口令校驗(yàn)等方面進(jìn)行安全加深。

技術(shù)安全是前提，安全管理是重中之重。

安全是三分技術(shù)、七分管理。

應(yīng)用監(jiān)管不足，視頻信息容易被內(nèi)部人員泄露。

無(wú)論是個(gè)人使用者還是主管方，對(duì)此意識(shí)都比較缺乏。

家用攝像頭用戶對(duì)隱私安全常識(shí)的缺失，很多人使用類似123456/888888/666666的弱口令密碼，也加劇被破解的風(fēng)險(xiǎn)。

“企業(yè)方面，以視頻監(jiān)控為例，系統(tǒng)從前端接入?yún)^(qū)到數(shù)據(jù)匯聚區(qū)再到核心應(yīng)用區(qū)，從數(shù)據(jù)產(chǎn)生、傳輸、存儲(chǔ)、應(yīng)用、管理等，多個(gè)維度每一個(gè)環(huán)節(jié)都存在非常突出的安全問(wèn)題?！庇钜暰W(wǎng)安總工周欣如曾對(duì)AI掘金志如此強(qiáng)調(diào)。

從硬件終端、硬件與服務(wù)器的連接和傳輸、管理平臺(tái)、應(yīng)用四大層面全方位考慮。

智能硬件中，具備算力的終端中除了操作系統(tǒng)，還會(huì)用到大量的電子元器件，比如當(dāng)內(nèi)存的算法明文保存，黑客就可遠(yuǎn)程登錄，調(diào)式硬件，內(nèi)存條芯片接口就能成為被攻擊的入口。

云管端管邊的物聯(lián)網(wǎng)架構(gòu)造就了萬(wàn)物互聯(lián)的美好設(shè)想，但卻忽略了智能硬件在與服務(wù)器或云連接與傳輸過(guò)程中，黑客可以通多如網(wǎng)絡(luò)截取數(shù)據(jù)包的方式，破解數(shù)據(jù)包中的所有內(nèi)容。

在管理平臺(tái)中，黑客同樣可以通過(guò)軟件的反編譯查看到軟件漏洞并侵入。

萬(wàn)物互聯(lián)的同時(shí)，也拉長(zhǎng)了網(wǎng)絡(luò)攻擊的指數(shù)和戰(zhàn)線，單點(diǎn)防護(hù)難以保護(hù)整個(gè)網(wǎng)絡(luò)。

說(shuō)白了，安全并非只針對(duì)硬件、軟件，而是整個(gè)系統(tǒng)。

總的來(lái)說(shuō)，用戶需要提高網(wǎng)絡(luò)安全意識(shí)，購(gòu)買正規(guī)攝像頭設(shè)備，設(shè)置高級(jí)別密碼，及時(shí)更新攝像頭安全防護(hù)程序；生產(chǎn)企業(yè)需要加強(qiáng)代碼防護(hù)、身份鑒別、弱口令校驗(yàn)等方面的標(biāo)準(zhǔn)；企業(yè)需要完善設(shè)計(jì)，更新攝像頭安全防護(hù)程序。