0
這兩天的視頻安全領域大事不斷。
先是6月10日,《中華人民共和國數據安全法》十三屆全國人大正式表決通過,正式公布,確定將于2021年9月1日正式施行。
這是我國關于數據安全的首部法律。
緊接著,6月11日,中央網信辦、工業(yè)和信息化部、公安部、市場監(jiān)管總局發(fā)布關于開展攝像頭偷窺等黑產集中治理的公告。
上到法律法規(guī),下到部門公告,一前一后,敲起了數據安全啟航的鑼鼓。
視頻安全的霧霾主要在于三個層面:安全問題突出、各界不夠重視、法律和制度不夠完善。
攝像頭相關的安全事件層見迭出,在此不作贅述,重點談談后兩個方面。
在視頻安全領域,無論是國家層面的視頻建設,還是社會層面的攝像頭產業(yè),視頻安全一直是被輕視的圈層。
中國政府是有全世界對新技術最包容的國家政府,先引入,再在實踐中改進,在過去70年中大體如一。
重建設,輕安全,大多應用先行、安全為后。
也因此,缺乏體系化地規(guī)劃、部署網絡安全,缺乏系統(tǒng)地培養(yǎng)安全管理人才,缺乏視頻接入網絡流程和制度,攝像頭產業(yè)的標準和規(guī)范。
1994年中國正式邁入互聯網時代以來,中國互聯網已有27年。
前進的號子震天響,纖繩粗又壯,行業(yè)在軌道上飛奔之時,數據安全在后鞭長莫及。
信息化、數字化超級大國背后,信息化和數據安全發(fā)展脫節(jié)。
“從政策上看,等級保護1.0是2014年才推出,直到2019年等保2.0推出,才起到關鍵作用,全行業(yè)、全業(yè)界才開始真正進行到位的建設和監(jiān)管力度。”
奇安信華南區(qū)技術總監(jiān)張雄曾強調,兩者的脫節(jié),不僅在技術層面,還在體系化、建設思路、戰(zhàn)略性等層面。
在法律層面,視頻安全領域并非無法可依。
《民法典》對隱私權的定義和保護作出清晰規(guī)定,《網絡安全法》也對網絡產品、服務提出明確要求。
在相關案件中,利用黑客手段破解網絡攝像頭IP并販賣內容的行為,也屬于《刑法》第二百八十五條“非法侵入計算機信息系統(tǒng)罪”等條款。
但直到2017年6月1日,網絡安全法才正式實施,與公民最相關的《個人信息保護法》,目前還在制定之中。
行業(yè)層面,攝像頭系統(tǒng)中倒是有標準協(xié)議,但對視頻的保護規(guī)定不足,視頻數據完全以明文狀態(tài)在網絡中傳輸,數據容易被截取。
當然,以上并非誰之過,而是行業(yè)發(fā)展規(guī)律大抵如此。
正如曠視高級副總裁、城市業(yè)務事業(yè)部總經理陳雪松曾對AI掘金志所言:
行業(yè)標準化是滯后于技術的,技術永遠比標準要快。
市場對AI、數據安全等新興的理解和嘗試必然經歷一個過程,并最終變得更加清晰和聚焦。
同理,法律的制定需要時間和過程。
法律不是理論屬性,而是實踐屬性。
它通常是在事物有了充分的發(fā)展、有了實踐的經驗、暴露出充分的問題后,相關的法律出臺,規(guī)范標準、促進事物向前。
而《數據安全法》作為一部專門針對數據安全出臺的法律,加之專門的《個人信息保護法》,足以證明國家對此重視。
《數據安全法》中也強調了這一點:
“關系國家安全、國民經濟命脈、重要民生、重大公共利益等數據屬于國家核心數據,實行更加嚴格的管理制度。”
這部自2020年6月28日以來,《數據安全法》經歷了三次審議與修改,確定將于2021年9月1日正式施行。
這意味著,中國在數據安全領域有法可依,為各行業(yè)數據安全提供監(jiān)管依據。
中國的數字化轉型,在不遠處也微微一笑。
法律銅墻已出,各部門行動鐵壁也逐漸上路。
有法可依前提下,視頻數據安全是一項綜合性的系統(tǒng)工程,需要各維度不斷完善,所以四大部門立馬來了。
黑產產業(yè)鏈猖獗如斯:利用黑客技術破解并控制家用及公共場所攝像頭,將智能手機、運動手環(huán)等改裝成偷拍設備,出售破解軟件,傳授偷拍技術,供客戶“偷窺”隱私畫面并借此牟利。
中央網信辦、工業(yè)和信息化部、公安部、市場監(jiān)管總局決定,自2021年5月至8月,在全國范圍組織開展攝像頭偷窺黑產集中治理:
一、社交軟件、網站、論壇等互聯網平臺要嚴格履行信息發(fā)布審核的主體責任,全面清理平臺上發(fā)布的涉攝像頭破解教學、漏洞風險利用、破解工具售賣,偷拍設備改裝,偷窺偷拍視頻交易等攝像頭偷窺黑產相關違法有害信息。
二、攝像頭生產企業(yè)要按照數據安全、信息安全有關規(guī)定和標準提升產品安全能力,提供公共服務的視頻監(jiān)控云平臺及有關企業(yè)要嚴格履行網絡安全主體責任,強化云平臺網絡安全防護,落實對遠程視頻監(jiān)控App的數據安全防護責任。
三、電商平臺要嚴格履行主體責任,全面開展排查,對平臺上的假冒偽劣攝像頭做清理、下架處理。
四、公安機關依法打擊提供攝像頭破解軟件工具、對攝像頭設備實施攻擊控制、獲取買賣公民隱私視頻等違法犯罪活動,嚴懲違法犯罪分子。
五、網信、工信、公安、市場監(jiān)管等部門加強監(jiān)管和執(zhí)法,對于不落實主體責任的社交軟件、網站、論壇、視頻監(jiān)控云平臺、電商平臺等互聯網平臺和企業(yè),依法依規(guī)嚴厲進行處罰。
四部門的5條公告,涵蓋了互聯網平臺信息發(fā)布、攝像頭生產企業(yè)、電商平臺、公安局和犯罪分子、各部門自身各大主體,國家從各維度細化行動的決心,可得一見。
我們也相信,這將是一個開始,更多的規(guī)章制度已經在路上。
視頻安全的霧霾天里,迎來了陣陣曙光。
法律、制度層面的相繼出臺固然可喜,但視頻數據安全是項系統(tǒng)工程,攝像頭企業(yè)自身的問題不可忽視。
作為產業(yè)鏈中極其重要的一環(huán),視頻企業(yè)們該從哪些方面入手?
前期植入安全設計、設置技術防范手段。
在2017年物聯網安全研究報告中,就已經發(fā)現物聯網的設備暴露在互聯網之下,普遍存在被攻擊、被利用的風險。其中,路由器和安防設備暴露的數量最多。
2019年的物聯網安全事件中,主要是三類:漏洞和弱口令、準入控制乏力、應用監(jiān)管不足。
宇視安全&網絡解決方案總工王連朝告訴AI掘金志,其中有一半是漏洞和弱密碼造成的。漏洞和弱密碼使得設備很容易被控制、被利用,從而造成信息泄露,或引發(fā)DDOS攻擊。
而造成產品本身安全不足的原因有二:
組織管理不足,設計之初未曾考慮安全設計,未曾建立漏洞發(fā)現、修復、響應機制等,導致后期難以修復。
技術防范手段不足,存在弱口令,預留后門,或者軟件開發(fā)本身不規(guī)范,缺失認證機制、數據明文傳輸等。
換句話說,漏洞和弱口令風險說明一個問題:安防產品自身的可靠性是系統(tǒng)安全的根基。
如果自身的安全性得不到保障,僅通過外部防護,很難做到完全的安全。
企業(yè)需要從攝像頭生產、設計本身出發(fā),在代碼防護、身份鑒別、弱口令校驗等方面進行安全加深。
技術安全是前提,安全管理是重中之重。
安全是三分技術、七分管理。
應用監(jiān)管不足,視頻信息容易被內部人員泄露。
無論是個人使用者還是主管方,對此意識都比較缺乏。
家用攝像頭用戶對隱私安全常識的缺失,很多人使用類似123456/888888/666666的弱口令密碼,也加劇被破解的風險。
“企業(yè)方面,以視頻監(jiān)控為例,系統(tǒng)從前端接入區(qū)到數據匯聚區(qū)再到核心應用區(qū),從數據產生、傳輸、存儲、應用、管理等,多個維度每一個環(huán)節(jié)都存在非常突出的安全問題。”宇視網安總工周欣如曾對AI掘金志如此強調。
從硬件終端、硬件與服務器的連接和傳輸、管理平臺、應用四大層面全方位考慮。
智能硬件中,具備算力的終端中除了操作系統(tǒng),還會用到大量的電子元器件,比如當內存的算法明文保存,黑客就可遠程登錄,調式硬件,內存條芯片接口就能成為被攻擊的入口。
云管端管邊的物聯網架構造就了萬物互聯的美好設想,但卻忽略了智能硬件在與服務器或云連接與傳輸過程中,黑客可以通多如網絡截取數據包的方式,破解數據包中的所有內容。
在管理平臺中,黑客同樣可以通過軟件的反編譯查看到軟件漏洞并侵入。
萬物互聯的同時,也拉長了網絡攻擊的指數和戰(zhàn)線,單點防護難以保護整個網絡。
說白了,安全并非只針對硬件、軟件,而是整個系統(tǒng)。
總的來說,用戶需要提高網絡安全意識,購買正規(guī)攝像頭設備,設置高級別密碼,及時更新攝像頭安全防護程序;生產企業(yè)需要加強代碼防護、身份鑒別、弱口令校驗等方面的標準;企業(yè)需要完善設計,更新攝像頭安全防護程序。
我們應該意識到,業(yè)務在不斷變化,AI等科技的應用下,視頻數據安全一定是威脅和風險長期共存,這是一個常態(tài)。
還是那句話,隱私保護與數字化發(fā)展不是一對“反義詞”,而是相輔相成,同頻向前的。
AI視覺技術本身,不是原罪。
技術永遠只是產業(yè)中的一環(huán),沒有哪個技術能獨立于政策、環(huán)境、標準、市場、用戶而存在。
好在,威脅長存中,法律一部部出臺,監(jiān)管范圍一步步明確,企業(yè)們一點點鍛造安全能力,用戶意識一波波增強,而數字化轉型汽笛聲,一陣陣響徹云霄。
智慧交通、智慧物流、智慧社區(qū)、 智慧港口、智慧醫(yī)療、智慧警務......
未來城市,在路上。雷鋒網雷鋒網雷鋒網
雷峰網原創(chuàng)文章,未經授權禁止轉載。詳情見轉載須知。
