■原题：滴滴下架、三大头部企业被审查，是时候正视网络安全了
■记者：余快

6月最后一天在大洋彼岸上市后，滴滴一直站在了舆论的中心地带，尽管这并非滴滴所愿。

大批媒体的跟进后，蛰伏三年、一朝上市的滴滴在“数据安全”上迎来了一记重拳。

7月4日，国家互联网信息办公室正式通报：「滴滴出行」App 存在严重违法违规收集使用个人信息问题，被要求在各大应用商店下架。紧跟着，网络安全审查办公室对运满满、货车帮、BOSS 直聘实施网络安全审查，审查期间「运满满」「货车帮」「BOSS 直聘」停止新用户注册。

国家网信办紧急刹车、行业头部遭遇严管，安全问题冲上热搜。对于"被点名”的几家，个人用户讨论激烈，行业人则喜忧参杂。

忧于“数据安全”问题，业内太过普遍：头部玩家尚未如此，更何况万千中小企业。

喜于今年来“数据安全”数次出圈，也许能让这个被人忽视的行业，得到应有的重视。

在AI逐渐规模化落地之时，提升安全意识，让数据安全与网络安全的建设成为重中之重。本文，将以视频数据为切入点，深入探讨智能时代下的这一基础命题。

网络安全发展为什么脱节：重建设、轻安全。

首先要明白一点，视频安全至关重要。视频网络的头号威胁，是网络攻击战，攻击强度、渗透深度也会不断地增强。受攻击后，视频数据泄露、拍摄区域成为盲区、失去敏感数据控制权将接踵而至。但一直以来，视频的网络安全并未得到应有的重视。

中国政府是有全世界对新技术最包容的国家政府，先引入，再在实践中改进，在过去70年中大体如一。

重建设，轻安全，是十三五建设中的安全防护领域面临的处境。以往视频管理建设中，大多应用先行、网络为后。首先保障系统的业务可行，其次是系统的安全性，甚至没有“其次”。

也因此，缺乏体系化地规划、部署网络安全，缺乏系统地培养安全管理人才，缺乏视频接入网络流程和制度。

信息化和网络安全发展脱节。两者的脱节，不仅在技术层面，还在体系化、建设思路、战略性等层面。

脱节的视频网络安全存在哪些风险?

在2017年物联网安全研究报告中，就已经发现物联网的设备暴露在互联网之下，普遍存在被攻击、被利用的风险。其中，路由器和安全防护设备暴露的数量最多。

2019年的物联网安全事件中，主要是三类：漏洞和弱口令、准入控制乏力、应用监管不足

欧亿安全&网络解决方案总工王连朝告诉AI掘金志，其中有一半是漏洞和弱密码造成的。

漏洞和弱密码使得设备很容易被控制、被利用，从而造成信息泄露，或引发DDOS攻击。

而造成产品本身安全不足的原因有二：

- 组织管理不足，设计之初未曾考虑安全设计，未曾建立漏洞发现、修复、响应机制等，导致后期难以修复。

- 技术防范手段不足，存在弱口令，预留后门，或者软件开发本身不规范，缺失认证机制、数据明文传输等。

换句话说，漏洞和弱口令风险说明一个问题：产品自身的可靠性是系统安全的根基。如果自身的安全性得不到保障，仅通过外部防护，很难做到完全的安全。除弱口令和漏洞的风险外，在整个系统建设中，缺乏设备的准入控制。IT系统较成熟，准入控制考虑得较周全，业界对IT系统的黑客攻击、网络风险的暴露认识更深刻。但是行业对安全防护系统中的安全问题普遍认识不足。

正如2018年，某地的交警处罚系统被黑客侵入，造成了非法销分，原因正是安全防护系统没有对设备准入做控制。

安全是三分技术、七分管理。

应用监管不足，视频信息容易被内部人员泄露。无论是安全防护系统的个人使用者还是主管方，对此意识都比较缺乏。

“安全防护系统从前端接入区到数据汇聚区再到核心应用区，从数据产生、传输、存储、应用、管理等，多个维度每一个环节都存在非常突出的安全问题。”欧亿网安总工周欣如强调。

智能硬件中，具备算力的终端中除了操作系统，还会用到大量的电子元器件，比如当内存的算法明文保存，黑客就可远程登录，调式硬件，内存条芯片接口就能成为被攻击的入口。

云管端管边的物联网架构造就了万物互联的美好设想，但却忽略了智能硬件在与服务器或云连接与传输过程中，黑客可以通多如网络截取数据包的方式，破解数据包中的所有内容。

在管理平台中，黑客同样可以通过软件的反编译查看到软件漏洞并侵入。万物互联的同时，也拉长了网络攻击的指数和战线，单点防护难以保护整个网络。

物联网的打通，模糊了虚拟和现实的边界，虚拟世界中的漏洞可能给物理世界带来巨大的灾难。正如一辆无人驾驶汽车出现一个安全漏洞，在高速公路上突然停车，会造成车毁人亡的惨案。

视图数据共享时安全不可控，数据泄密，无法溯源。

在大数据时代，行业上下致力于消除数据孤岛，但共享数据时，难以保护所涉人员隐私、名誉安全，视图外泄后更难以溯源、定责。

安全围墙是怎么修起来的？

To G市场的网络安全中，安全防护企业所占份额极小，玩家以传统信息安全厂家为主。

视频物联的发展，视频安全需求剧增，唯有深入视频业务的企业才能做出更贴合的视频保护方案。

即使养在深闺无人知，深谙安全之要的视觉企业们似乎从未放弃过修建视频安全的围墙。

整个安全防护系统中的风险来自感知层、传输层、管理层和应用层4大方面。

感知层安全防护

感知层，前端摄像机部署广泛、数量巨多。在物理接入上，首先需考虑防拆设计，防止设备被替换或窃取，其次是传统设备的调试接口，建议屏蔽、隐藏或去除，容易给非法人员可乘之机。网络接入上，欧亿增加了PON口接入，这种光纤接入和传输方式，可以防止电口私接、侦听。

物理层外，整个终端设备安全也应考虑。摄像机其实是弱功能系统，需要检查它是否存在弱口令、端口信息、协议信息、CPU占用情况等，实时记录并上传，及时发现终端设备的安全状态。

终端的另一个关键，就是视频数据安全。摄像头系统中的标准协议，对视频的保护规定不足，完全以明文状态在网络中传输，数据容易被截取。而一般的视频数据安全保护方案有两种。

一是对数据全部进行加密，信令、数据、传输协议，经过加解密设备直接进行加密。但必须要成对地配置加解密设备，另外它导致数据很难识别，成本相对较高。

二是通道加密，但因数据都封装在通道内，导致通用的网络流量分析工具难做到安全的分析，无法准确的判断实际网络中的真实状态。

欧亿采用的视频加密方案，可以正常的信令交互，在交互的情况下不影响系统的兼容性，即使视频数据被非法获取，只有在合法的解码端才可正常观看，仍然可以保证其安全。

传输层安全防护

市场上有多种传输层方案，各有优劣，完全适合的方案并不多。

比如信息系统相对成熟，但物理网或安全防护系统中，摄像头与PC机等终端设备不同，不能主动连接、配置密码，摄像头相当于哑终端。

再比如扫描检测方案，需要先扫描再人工判定合法性与非法性，效率和安全性较弱。

欧亿认为，物联网的安全准入方案更加适合安全防护系统。

除了实现防火墙方案中对IP、MAC及端口绑定之外，还可进行应用的感知，识别安全防护的接入协议，感知设备的状态，且与检测异常等信息相配合，实时防控得以实现，且支持旁挂、串接，防护手段更加丰富。

跨互联网或广域网接入，主要是保证传输的安全性，且需要对整体的网络、系统和结构适配。

基于此，行业内以VPN方案和ALG网关为主。前者可实现安全传输，但涉及到IP地址冲突或系统的改造，灵活度低，后者兼容性差，且明文传输，安全性差。

欧亿推出了UNP方案，同时满足了方便部署、安全性高和视频跨网设计的需求，且针对安全防护系统里的协议做了适配，保证了一定的安全性。

管理平台安全防护

在主机层，欧亿通过多机备份，比如双机或一对多备份的快速切换，保证应用服务安全。

在数据存储上，则使用多级备份、多阵列存储等，另外支持流量中断的及时备份，另外使用了安全块存储。

“安全块存储是我们的创新，它是基于视频流/块的存储技术，因为它的关键信息是独立存放的，即使获取到硬盘也无法直接拷贝出数据。”王连朝表示。

用户管理安全

许多重要信息泄漏于用户侧，欧亿在用户侧做事前、事中、事后三个阶段的安全管理。

事前防御，在用户终端接入系统前做准入判断;事中控制，定义授权范围，即对用户的一些操作做授权或者管控;事后审计，对所有操作做日志审计。

 “重建设，轻安全的现象会在2021年开始完全改善。”周欣如语气里带着喜悦。

发改委、中央综治办等九部委联合下发996号文，要求加强公共安全视频联网建设和应用，提出到2020年，实现“全域覆盖、全网共享、全时可用、全程可控”的公共安全视频建设联网应用。

十四五规划中，网络安全高频出现，多个安全法规以及视频相关的安全法律法规将相继落地执行。

显而易见，公共安全领域的网络安全已得到空前高度的重视。

不管世界对安全重视与否，依赖与否，安全的本质使命未曾改变。

[出处] 余快. 滴滴下架、三大头部企业被审查，是时候正视网络安全了. 雷锋网, 2021-07-06 本文有删节