《數(shù)據(jù)安全法》公布、四部門重拳攝像頭偷窺黑產(chǎn)，視頻安全 C 位將至

本文作者：余快

2021-06-12 17:34

導(dǎo)語：一前一后，敲起了數(shù)據(jù)安全啟航的鑼鼓。

這兩天的視頻安全領(lǐng)域大事不斷。

先是6月10日，《中華人民共和國數(shù)據(jù)安全法》十三屆全國人大正式表決通過，正式公布，確定將于2021年9月1日正式施行。

這是我國關(guān)于數(shù)據(jù)安全的首部法律。

緊接著，6月11日，中央網(wǎng)信辦、工業(yè)和信息化部、公安部、市場監(jiān)管總局發(fā)布關(guān)于開展攝像頭偷窺等黑產(chǎn)集中治理的公告。

上到法律法規(guī)，下到部門公告，一前一后，敲起了數(shù)據(jù)安全啟航的鑼鼓。

霧霾天里，陣陣曙光

視頻安全的霧霾主要在于三個層面：安全問題突出、各界不夠重視、法律和制度不夠完善。

攝像頭相關(guān)的安全事件層見迭出，在此不作贅述，重點談?wù)労髢蓚€方面。

在視頻安全領(lǐng)域，無論是國家層面的視頻建設(shè)，還是社會層面的攝像頭產(chǎn)業(yè)，視頻安全一直是被輕視的圈層。

中國政府是有全世界對新技術(shù)最包容的國家政府，先引入，再在實踐中改進(jìn)，在過去70年中大體如一。

重建設(shè)，輕安全，大多應(yīng)用先行、安全為后。

也因此，缺乏體系化地規(guī)劃、部署網(wǎng)絡(luò)安全，缺乏系統(tǒng)地培養(yǎng)安全管理人才，缺乏視頻接入網(wǎng)絡(luò)流程和制度，攝像頭產(chǎn)業(yè)的標(biāo)準(zhǔn)和規(guī)范。

1994年中國正式邁入互聯(lián)網(wǎng)時代以來，中國互聯(lián)網(wǎng)已有27年。

前進(jìn)的號子震天響，纖繩粗又壯，行業(yè)在軌道上飛奔之時，數(shù)據(jù)安全在后鞭長莫及。

信息化、數(shù)字化超級大國背后，信息化和數(shù)據(jù)安全發(fā)展脫節(jié)。

“從政策上看，等級保護(hù)1.0是2014年才推出，直到2019年等保2.0推出，才起到關(guān)鍵作用，全行業(yè)、全業(yè)界才開始真正進(jìn)行到位的建設(shè)和監(jiān)管力度?！?/p>

奇安信華南區(qū)技術(shù)總監(jiān)張雄曾強調(diào)，兩者的脫節(jié)，不僅在技術(shù)層面，還在體系化、建設(shè)思路、戰(zhàn)略性等層面。

在法律層面，視頻安全領(lǐng)域并非無法可依。

《民法典》對隱私權(quán)的定義和保護(hù)作出清晰規(guī)定，《網(wǎng)絡(luò)安全法》也對網(wǎng)絡(luò)產(chǎn)品、服務(wù)提出明確要求。

在相關(guān)案件中，利用黑客手段破解網(wǎng)絡(luò)攝像頭IP并販賣內(nèi)容的行為，也屬于《刑法》第二百八十五條“非法侵入計算機(jī)信息系統(tǒng)罪”等條款。

但直到2017年6月1日，網(wǎng)絡(luò)安全法才正式實施，與公民最相關(guān)的《個人信息保護(hù)法》，目前還在制定之中。

行業(yè)層面，攝像頭系統(tǒng)中倒是有標(biāo)準(zhǔn)協(xié)議，但對視頻的保護(hù)規(guī)定不足，視頻數(shù)據(jù)完全以明文狀態(tài)在網(wǎng)絡(luò)中傳輸，數(shù)據(jù)容易被截取。

當(dāng)然，以上并非誰之過，而是行業(yè)發(fā)展規(guī)律大抵如此。

正如曠視高級副總裁、城市業(yè)務(wù)事業(yè)部總經(jīng)理陳雪松曾對AI掘金志所言：

行業(yè)標(biāo)準(zhǔn)化是滯后于技術(shù)的，技術(shù)永遠(yuǎn)比標(biāo)準(zhǔn)要快。

市場對AI、數(shù)據(jù)安全等新興的理解和嘗試必然經(jīng)歷一個過程，并最終變得更加清晰和聚焦。

同理，法律的制定需要時間和過程。

法律不是理論屬性，而是實踐屬性。

它通常是在事物有了充分的發(fā)展、有了實踐的經(jīng)驗、暴露出充分的問題后，相關(guān)的法律出臺，規(guī)范標(biāo)準(zhǔn)、促進(jìn)事物向前。

而《數(shù)據(jù)安全法》作為一部專門針對數(shù)據(jù)安全出臺的法律，加之專門的《個人信息保護(hù)法》，足以證明國家對此重視。

《數(shù)據(jù)安全法》中也強調(diào)了這一點：

“關(guān)系國家安全、國民經(jīng)濟(jì)命脈、重要民生、重大公共利益等數(shù)據(jù)屬于國家核心數(shù)據(jù)，實行更加嚴(yán)格的管理制度?！?/p>

這部自2020年6月28日以來，《數(shù)據(jù)安全法》經(jīng)歷了三次審議與修改，確定將于2021年9月1日正式施行。

這意味著，中國在數(shù)據(jù)安全領(lǐng)域有法可依，為各行業(yè)數(shù)據(jù)安全提供監(jiān)管依據(jù)。

中國的數(shù)字化轉(zhuǎn)型，在不遠(yuǎn)處也微微一笑。

法律銅墻已出，各部門行動鐵壁也逐漸上路。

有法可依前提下，視頻數(shù)據(jù)安全是一項綜合性的系統(tǒng)工程，需要各維度不斷完善，所以四大部門立馬來了。

黑產(chǎn)產(chǎn)業(yè)鏈猖獗如斯：利用黑客技術(shù)破解并控制家用及公共場所攝像頭，將智能手機(jī)、運動手環(huán)等改裝成偷拍設(shè)備，出售破解軟件，傳授偷拍技術(shù)，供客戶“偷窺”隱私畫面并借此牟利。

中央網(wǎng)信辦、工業(yè)和信息化部、公安部、市場監(jiān)管總局決定，自2021年5月至8月，在全國范圍組織開展攝像頭偷窺黑產(chǎn)集中治理：

一、社交軟件、網(wǎng)站、論壇等互聯(lián)網(wǎng)平臺要嚴(yán)格履行信息發(fā)布審核的主體責(zé)任，全面清理平臺上發(fā)布的涉攝像頭破解教學(xué)、漏洞風(fēng)險利用、破解工具售賣，偷拍設(shè)備改裝，偷窺偷拍視頻交易等攝像頭偷窺黑產(chǎn)相關(guān)違法有害信息。

二、攝像頭生產(chǎn)企業(yè)要按照數(shù)據(jù)安全、信息安全有關(guān)規(guī)定和標(biāo)準(zhǔn)提升產(chǎn)品安全能力，提供公共服務(wù)的視頻監(jiān)控云平臺及有關(guān)企業(yè)要嚴(yán)格履行網(wǎng)絡(luò)安全主體責(zé)任，強化云平臺網(wǎng)絡(luò)安全防護(hù)，落實對遠(yuǎn)程視頻監(jiān)控App的數(shù)據(jù)安全防護(hù)責(zé)任。

三、電商平臺要嚴(yán)格履行主體責(zé)任，全面開展排查，對平臺上的假冒偽劣攝像頭做清理、下架處理。

四、公安機(jī)關(guān)依法打擊提供攝像頭破解軟件工具、對攝像頭設(shè)備實施攻擊控制、獲取買賣公民隱私視頻等違法犯罪活動，嚴(yán)懲違法犯罪分子。

五、網(wǎng)信、工信、公安、市場監(jiān)管等部門加強監(jiān)管和執(zhí)法，對于不落實主體責(zé)任的社交軟件、網(wǎng)站、論壇、視頻監(jiān)控云平臺、電商平臺等互聯(lián)網(wǎng)平臺和企業(yè)，依法依規(guī)嚴(yán)厲進(jìn)行處罰。

四部門的5條公告，涵蓋了互聯(lián)網(wǎng)平臺信息發(fā)布、攝像頭生產(chǎn)企業(yè)、電商平臺、公安局和犯罪分子、各部門自身各大主體，國家從各維度細(xì)化行動的決心，可得一見。

我們也相信，這將是一個開始，更多的規(guī)章制度已經(jīng)在路上。

視頻安全的霧霾天里，迎來了陣陣曙光。

視頻企業(yè)能做什么？

法律、制度層面的相繼出臺固然可喜，但視頻數(shù)據(jù)安全是項系統(tǒng)工程，攝像頭企業(yè)自身的問題不可忽視。

作為產(chǎn)業(yè)鏈中極其重要的一環(huán)，視頻企業(yè)們該從哪些方面入手？

前期植入安全設(shè)計、設(shè)置技術(shù)防范手段。

在2017年物聯(lián)網(wǎng)安全研究報告中，就已經(jīng)發(fā)現(xiàn)物聯(lián)網(wǎng)的設(shè)備暴露在互聯(lián)網(wǎng)之下，普遍存在被攻擊、被利用的風(fēng)險。其中，路由器和安防設(shè)備暴露的數(shù)量最多。

2019年的物聯(lián)網(wǎng)安全事件中，主要是三類：漏洞和弱口令、準(zhǔn)入控制乏力、應(yīng)用監(jiān)管不足。

宇視安全&網(wǎng)絡(luò)解決方案總工王連朝告訴AI掘金志，其中有一半是漏洞和弱密碼造成的。漏洞和弱密碼使得設(shè)備很容易被控制、被利用，從而造成信息泄露，或引發(fā)DDOS攻擊。

而造成產(chǎn)品本身安全不足的原因有二：

組織管理不足，設(shè)計之初未曾考慮安全設(shè)計，未曾建立漏洞發(fā)現(xiàn)、修復(fù)、響應(yīng)機(jī)制等，導(dǎo)致后期難以修復(fù)。
技術(shù)防范手段不足，存在弱口令，預(yù)留后門，或者軟件開發(fā)本身不規(guī)范，缺失認(rèn)證機(jī)制、數(shù)據(jù)明文傳輸?shù)取?/p>

換句話說，漏洞和弱口令風(fēng)險說明一個問題：安防產(chǎn)品自身的可靠性是系統(tǒng)安全的根基。

如果自身的安全性得不到保障，僅通過外部防護(hù)，很難做到完全的安全。

企業(yè)需要從攝像頭生產(chǎn)、設(shè)計本身出發(fā)，在代碼防護(hù)、身份鑒別、弱口令校驗等方面進(jìn)行安全加深。

技術(shù)安全是前提，安全管理是重中之重。

安全是三分技術(shù)、七分管理。

應(yīng)用監(jiān)管不足，視頻信息容易被內(nèi)部人員泄露。

無論是個人使用者還是主管方，對此意識都比較缺乏。

家用攝像頭用戶對隱私安全常識的缺失，很多人使用類似123456/888888/666666的弱口令密碼，也加劇被破解的風(fēng)險。

“企業(yè)方面，以視頻監(jiān)控為例，系統(tǒng)從前端接入?yún)^(qū)到數(shù)據(jù)匯聚區(qū)再到核心應(yīng)用區(qū)，從數(shù)據(jù)產(chǎn)生、傳輸、存儲、應(yīng)用、管理等，多個維度每一個環(huán)節(jié)都存在非常突出的安全問題?！庇钜暰W(wǎng)安總工周欣如曾對AI掘金志如此強調(diào)。

從硬件終端、硬件與服務(wù)器的連接和傳輸、管理平臺、應(yīng)用四大層面全方位考慮。

智能硬件中，具備算力的終端中除了操作系統(tǒng)，還會用到大量的電子元器件，比如當(dāng)內(nèi)存的算法明文保存，黑客就可遠(yuǎn)程登錄，調(diào)式硬件，內(nèi)存條芯片接口就能成為被攻擊的入口。

云管端管邊的物聯(lián)網(wǎng)架構(gòu)造就了萬物互聯(lián)的美好設(shè)想，但卻忽略了智能硬件在與服務(wù)器或云連接與傳輸過程中，黑客可以通多如網(wǎng)絡(luò)截取數(shù)據(jù)包的方式，破解數(shù)據(jù)包中的所有內(nèi)容。

在管理平臺中，黑客同樣可以通過軟件的反編譯查看到軟件漏洞并侵入。

萬物互聯(lián)的同時，也拉長了網(wǎng)絡(luò)攻擊的指數(shù)和戰(zhàn)線，單點防護(hù)難以保護(hù)整個網(wǎng)絡(luò)。

說白了，安全并非只針對硬件、軟件，而是整個系統(tǒng)。

總的來說，用戶需要提高網(wǎng)絡(luò)安全意識，購買正規(guī)攝像頭設(shè)備，設(shè)置高級別密碼，及時更新攝像頭安全防護(hù)程序；生產(chǎn)企業(yè)需要加強代碼防護(hù)、身份鑒別、弱口令校驗等方面的標(biāo)準(zhǔn)；企業(yè)需要完善設(shè)計，更新攝像頭安全防護(hù)程序。