滴滴下架、三大頭部企業被審查，是時候正視網絡安全了

6月最后一天在大洋彼岸上市后，滴滴一直站在了輿論的中心地帶，盡管這并非滴滴所愿。

大批媒體的跟進后，蟄伏三年、一朝上市的滴滴在“數據安全”上迎來了一記重拳。

7月4日，國家互聯網信息辦公室正式通報：「滴滴出行」App 存在嚴重違法違規收集使用個人信息問題，被要求在各大應用商店下架。緊跟著，網絡安全審查辦公室對運滿滿、貨車幫、BOSS 直聘實施網絡安全審查，審查期間「運滿滿」「貨車幫」「BOSS 直聘」停止新用戶注冊。

國家網信辦緊急剎車、行業頭部遭遇嚴管，安全問題沖上熱搜。對于"被點名”的幾家，個人用戶討論激烈，行業人則喜憂參雜。

憂于“數據安全”問題，業內太過普遍：頭部玩家尚未如此，更何況萬千中小企業。

喜于今年來“數據安全”數次出圈，也許能讓這個被人忽視的行業，得到應有的重視。

在AI逐漸規?；涞刂畷r，提升安全意識，讓數據安全與網絡安全的建設成為重中之重。本文，將以視頻數據為切入點，深入探討智能時代下的這一基礎命題。

網絡安全發展為什么脫節：重建設、輕安全

首先要明白一點，視頻監控的安全至關重要。

深信服行業解決方案資深專家黃智林指出，在平安城市、雪亮工程、天網工程建設之下，視頻接入網絡幾乎覆蓋城市所有區域。數量龐大的前端設備，管控措施并不到位。

在此基礎上收集到的海量城市數據(人臉、車牌、行蹤)，無論是視頻數據后端的存儲、共享還是調閱，幾乎沒有基礎安全設施，數據泄露問題嚴重。

公安專網與物聯網、政務網、公安信息網等存在諸多互聯，這張無死角、全覆蓋的網絡，與其他網絡互聯互通時，控制權尤為重要。

“視頻監控網絡的頭號威脅，是網絡攻擊戰，攻擊強度、滲透深度也會不斷地增強?！?/p>

受攻擊后，視頻數據泄露、監控區域成為盲區、失去敏感數據控制權將接踵而至。

但一直以來，視頻監控的網絡安全并未得到應有的重視。

中國政府是有全世界對新技術最包容的國家政府，先引入，再在實踐中改進，在過去70年中大體如一。

重建設，輕安全，是十三五建設中的安防領域面臨的處境。

以往視頻監控建設中，大多應用先行、網絡為后。

首先保障系統的業務可行，其次是系統的安全性，甚至沒有“其次”。

也因此，缺乏體系化地規劃、部署網絡安全，缺乏系統地培養安全管理人才，缺乏視頻接入網絡流程和制度。

信息化和網絡安全發展脫節。

“從政策上看，等級保護1.0是2014年才推出，直到2019年等保2.0推出，才起到關鍵作用，全行業、全業界才開始真正進行到位的建設和監管力度?！?/p>

奇安信華南區技術總監張雄強調，網絡安全的建設一直滯后于信息化建設。兩者的脫節，不僅在技術層面，還在體系化、建設思路、戰略性等層面。

脫節的視頻網絡安全存在哪些風險?

在2017年物聯網安全研究報告中，就已經發現物聯網的設備暴露在互聯網之下，普遍存在被攻擊、被利用的風險。其中，路由器和安防設備暴露的數量最多。

2019年的物聯網安全事件中，主要是三類：漏洞和弱口令、準入控制乏力、應用監管不足

宇視安全&網絡解決方案總工王連朝告訴AI掘金志，其中有一半是漏洞和弱密碼造成的。

漏洞和弱密碼使得設備很容易被控制、被利用，從而造成信息泄露，或引發DDOS攻擊。

而造成產品本身安全不足的原因有二：

組織管理不足，設計之初未曾考慮安全設計，未曾建立漏洞發現、修復、響應機制等，導致后期難以修復。

技術防范手段不足，存在弱口令，預留后門，或者軟件開發本身不規范，缺失認證機制、數據明文傳輸等。

換句話說，漏洞和弱口令風險說明一個問題：安防產品自身的可靠性是系統安全的根基。

如果自身的安全性得不到保障，僅通過外部防護，很難做到完全的安全。

除弱口令和漏洞的風險外，在整個安防系統建設中，缺乏設備的準入控制。

IT系統較成熟，準入控制考慮得較周全，業界對IT系統的黑客攻擊、網絡風險的暴露認識更深刻。

但是行業對安防系統中的安全問題普遍認識不足。

正如2018年，某地的交警處罰系統被黑客侵入，造成了非法銷分，原因正是安防系統沒有對設備準入做控制。

安全是三分技術、七分管理。

應用監管不足，視頻信息容易被內部人員泄露。無論是安防系統的個人使用者還是主管方，對此意識都比較缺乏。

“安防系統從前端接入區到數據匯聚區再到核心應用區，從數據產生、傳輸、存儲、應用、管理等，多個維度每一個環節都存在非常突出的安全問題。”宇視網安總工周欣如強調。

360視覺曾對市面上的人臉識別設備測試，發現70-80%沒有任何安全防護，基本處于裸奔狀態。

“攻擊它們甚至不需要黑客，一個網絡工程師就能通過wifi、藍牙或者網線等方式遠程接入端口，除了拷貝數據，還能植入一個定向傳輸的木馬，自動傳輸數據?！?60視覺科技CEO邱召強表示。

在360視覺看來，安全并非只針對軟件，而是整個系統，具體在四個方面：

硬件終端、硬件與服務器的連接和傳輸、管理平臺、應用。

在一切皆可編程的AI時代，各種智能終端技術越新，漏洞越多。

凡是人編的程序，每千行代碼中中就有約4-6個漏洞。

這些漏洞往往是網絡安全的命門，極易被攻擊。

智能硬件中，具備算力的終端中除了操作系統，還會用到大量的電子元器件，比如當內存的算法明文保存，黑客就可遠程登錄，調式硬件，內存條芯片接口就能成為被攻擊的入口。

云管端管邊的物聯網架構造就了萬物互聯的美好設想，但卻忽略了智能硬件在與服務器或云連接與傳輸過程中，黑客可以通多如網絡截取數據包的方式，破解數據包中的所有內容。

在管理平臺中，黑客同樣可以通過軟件的反編譯查看到軟件漏洞并侵入。

萬物互聯的同時，也拉長了網絡攻擊的指數和戰線，單點防護難以保護整個網絡。

物聯網的打通，模糊了虛擬和現實的邊界，虛擬世界中的漏洞可能給物理世界帶來巨大的災難。

正如一輛無人駕駛汽車出現一個安全漏洞，在高速公路上突然停車，會造成車毀人亡的慘案。

紫光華智認為，視頻網絡安全主要在三大層面：

海量攝像機處于裸奔狀態，異構終端私接、仿冒，無法阻斷。

通俗講，就是私接、仿冒“控不住”，未知設備接入網絡“管不了”，設備身份“不知道”。

AI時代下視頻圖像的價值更高，敏感數據易被盜用泄密。

比如公安行業擁有八大數據庫，涉及全國人口基本信息、駕駛人、警員、在逃人員、違法犯罪人員、被盜汽車、安全重點單位等等信息資源庫。

除結構化數據外，據統計，來自外部海量增長的社會數據中，公安機關掌握的數據中95%為視頻圖像等非結構化數據，97%的數據為公安物聯網數據。

而這些數據，可輕易通過盜取錄像、抓圖導出、截屏、錄屏、外發等各種方式泄密。

視圖數據共享時安全不可控，數據泄密，無法溯源。

在大數據時代，行業上下致力于消除數據孤島，但共享數據時，難以保護所涉人員隱私、名譽安全，視圖外泄后更難以溯源、定責。

安全圍墻是怎么修起來的？

To G市場的網絡安全中，安防企業所占份額極小，玩家以傳統信息安全廠家為主。

視頻物聯的發展，視頻安全需求劇增，唯有深入視頻業務的企業才能做出更貼合的視頻保護方案。

即使養在深閨無人知，深諳安全之要的視覺企業們似乎從未放棄過修建視頻安全的圍墻。

整個安防系統中的風險來自感知層、傳輸層、管理層和應用層4大方面。

感知層安全防護

感知層，前端攝像機部署廣泛、數量巨多。

在物理接入上，首先需考慮防拆設計，防止設備被替換或竊取，其次是傳統設備的調試接口，建議屏蔽、隱藏或去除，容易給非法人員可乘之機。

網絡接入上，宇視增加了PON口接入，這種光纖接入和傳輸方式，可以防止電口私接、偵聽。

物理層外，整個終端設備安全也應考慮。攝像機其實是弱功能系統，需要檢查它是否存在弱口令、端口信息、協議信息、CPU占用情況等，實時記錄并上傳，及時發現終端設備的安全狀態。

終端的另一個關鍵，就是視頻數據安全。

攝像頭系統中的標準協議，對視頻的保護規定不足，完全以明文狀態在網絡中傳輸，數據容易被截取。

而一般的視頻數據安全保護方案有兩種。

一是對數據全部進行加密，信令、數據、傳輸協議，經過加解密設備直接進行加密。

但必須要成對地配置加解密設備，另外它導致數據很難識別，成本相對較高。

二是通道加密，但因數據都封裝在通道內，導致通用的網絡流量分析工具難做到安全的分析，無法準確的判斷實際網絡中的真實狀態。

宇視采用的視頻加密方案，可以正常的信令交互，在交互的情況下不影響系統的兼容性，即使視頻數據被非法獲取，只有在合法的解碼端才可正常觀看，仍然可以保證其安全。

傳輸層安全防護

市場上有多種傳輸層方案，各有優劣，完全適合安防的方案并不多。

比如信息系統相對成熟，但物理網或安防系統中，攝像頭與PC機等終端設備不同，不能主動連接、配置密碼，攝像頭相當于啞終端。

再比如掃描檢測方案，需要先掃描再人工判定合法性與非法性，效率和安全性較弱。

宇視認為，物聯網的安全準入方案更加適合安防系統。

除了實現防火墻方案中對IP、MAC及端口綁定之外，還可進行應用的感知，識別安防的接入協議，感知設備的狀態，且與檢測異常等信息相配合，實時防控得以實現，且支持旁掛、串接，防護手段更加豐富。

跨互聯網或廣域網接入，主要是保證傳輸的安全性，且需要對整體的網絡、系統和結構適配。

基于此，行業內以VPN方案和ALG網關為主。前者可實現安全傳輸，但涉及到IP地址沖突或系統的改造，靈活度低，后者兼容性差，且明文傳輸，安全性差。

宇視推出了UNP方案，同時滿足了方便部署、安全性高和視頻跨網設計的需求，且針對安防系統里的協議做了適配，保證了一定的安全性。

管理平臺安全防護

在主機層，宇視通過多機備份，比如雙機或一對多備份的快速切換，保證應用服務安全。

在數據存儲上，則使用多級備份、多陣列存儲等，另外支持流量中斷的及時備份，另外使用了安全塊存儲。

“安全塊存儲是我們的創新，它是基于視頻流/塊的存儲技術，因為它的關鍵信息是獨立存放的，即使獲取到硬盤也無法直接拷貝出數據?！蓖踹B朝表示。

用戶管理安全

許多重要信息泄漏于用戶側，宇視在用戶側做事前、事中、事后三個階段的安全管理。

事前防御，在用戶終端接入系統前做準入判斷;事中控制，定義授權范圍，即對用戶的一些操作做授權或者管控;事后審計，對所有操作做日志審計。

從安全界到CV 圈，從網絡安全把關人到 AI 落地踐行者，進軍人臉識別的360視覺發出了“如果智能不以安全為基礎，還不如不智能”的聲音。

360所有的產品、所有的平臺，都在360安全大腦防護體系之內。

數字世界的安全是動態的、持續的、長久的，而非階段性、事件性，所有一時興起、一蹴而就的“安全”，都無法適得其所。

360安全大腦，正是基于一個不間斷的動態安全機制構建。

在此機制下，用戶可以成為“危險”的知情人，知曉出現的漏洞類型、未來可能受到何種攻擊、受到攻擊后快速應急和反應方式等等。

在硬件的安全加固上，360先是在智能識別終端上集成硬件安全加固芯片，將人臉識別的算法和計算模型全部固化到硬件安全芯片之中，確保不被攻擊。

而后又通過對核心文件的代碼、邏輯結構等的混淆，防止黑客的反編譯攻擊，保護核心代碼和核心函數的運行邏輯不被發現，降低后續高級攻擊風險。

對人臉識別系統中的控制終端而言，防護措施應該覆蓋主流操作系統，確保對不同平臺用戶的數據和設備安全。

代碼加固，應用程序也是重點防控環節。

除了只允許安裝具有360安全簽名許可的應用程序，保證其完整性和來源的合法性外，還對其進行權限管理，所有的應用程序都需經過360 APP加固和滲透測試。

在應用程序上，防反調試、防惡意代碼篡改、防反編譯、防游戲外掛、防二次打包，防破解、防支付鏈接，廣告篡改、防用戶隱私泄露，降低漏洞被他人利用的風險。

上文提到的傳輸過程，也是黑客入侵的渠道，360視覺采用SSL/TLS加密傳輸方式，多種網絡認證方式，滿足不同安全級別需求。

密鑰安全是業務安全的基礎。360視覺全程都采用了獨創的密鑰白盒技術，已經應用于90%的政府和銀行，它破除傳統硬件的限制，確保傳輸收到安全加密保護，以軟件形態解決在不安全環境中密鑰安全存儲的問題。

紫光華智則從水印、視圖加密、隱私遮擋等環節入手。

一手通過顯性水印警示威懾，正常觀看同時有效降低信息泄露風險。

一手通過隱性水印有效追溯泄密的相關人員，并進行責任判定。

動態隱私遮擋在確保敏感數據的合法最小訪問，保護個人隱私信息，降低敏感信息泄露的風險。

有人以低價產品換數據，以廉價缺乏安全的產品換利益，就有人以日夜技術磨練換口碑，以底線扶正行業的船桅。

而以上，只是部分企業的縮影，更多的視覺企業在角落，為視頻網絡安全厲兵秣馬。

學會與風險長期共存

“但我們應該意識到，業務在不斷變化，視頻網絡安全一定是威脅和風險長期共存，這是一個常態。”

在黃智林看來，整個視頻監控網絡必須要保證不因網絡攻擊而導致視頻監控無用，也不因網絡攻擊導致畫面被監視或者被竊取。

威脅長存中，數字化轉型汽笛聲已響徹云霄。

智慧交通、智慧物流、智慧社區、智慧港口、智慧醫療、智慧警務......場景化蔓延，無處不智慧。

在云霄之下，是安全隱患的轟鳴，你甚至無法想象，沒有安全保駕護航的世界如何智慧。

智慧醫療，手術中會危及患者生命;自動駕駛，被黑客控制會車毀人亡;智慧水務，黑客更改程序增加水消毒的某個成分，整個城市的用水將影響。

“重建設，輕安全的現象會在2021年開始完全改善。”周欣如語氣里帶著喜悅。

發改委、中央綜治辦、公安部等九部委聯合下發996號文，要求加強公共安全視頻監控聯網建設和應用，提出到2020年，實現“全域覆蓋、全網共享、全時可用、全程可控”的公共安全視頻監控建設聯網應用。

十四五規劃中，網絡安全高頻出現，多個安全法規以及視頻監控相關的安全法律法規將相繼落地執行。

顯而易見，安防領域的網絡安全已得到空前高度的重視。

不管世界對安全重視與否，依賴與否，安全的本質使命未曾改變。【責任編輯/額發】

來源：雷鋒網

IT時代網(關注微信公眾號ITtime2000，定時推送，互動有福利驚喜)所有原創文章版權所有，未經授權，轉載必究。
創客100創投基金成立于2015年，直通硅谷，專注于TMT領域早期項目投資。LP均來自政府、互聯網IT、傳媒知名企業和個人。創客100創投基金對IT、通信、互聯網、IP等有著自己獨特眼光和豐富的資源。決策快、投資快是創客100基金最顯著的特點。

相關文章

深圳對過度獲取用戶信息的APP下狠手！網友建議全國推廣

網絡安全審查辦公室：對“BOSS直聘”等啟動網絡安全審查

滴滴下架、三大頭部企業被審查，是時候正視網絡安全了

內鬼黑客狂賣個人信息“年產值”上千億 人均至少被泄露4條