客服热线
400-655-2828
■原题:滴滴下架、三大头部企业被审查,是时候正视网络安全了
■记者:余快
6月最后一天在大洋彼岸上市后,滴滴一直站在了舆论的中心地带,尽管这并非滴滴所愿。
大批媒体的跟进后,蛰伏三年、一朝上市的滴滴在“数据安全”上迎来了一记重拳。
7月4日,国家互联网信息办公室正式通报:「滴滴出行」App 存在严重违法违规收集使用个人信息问题,被要求在各大应用商店下架。紧跟着,网络安全审查办公室对运满满、货车帮、BOSS 直聘实施网络安全审查,审查期间「运满满」「货车帮」「BOSS 直聘」停止新用户注册。
国家网信办紧急刹车、行业头部遭遇严管,安全问题冲上热搜。对于"被点名”的几家,个人用户讨论激烈,行业人则喜忧参杂。
忧于“数据安全”问题,业内太过普遍:头部玩家尚未如此,更何况万千中小企业。
喜于今年来“数据安全”数次出圈,也许能让这个被人忽视的行业,得到应有的重视。
在AI逐渐规模化落地之时,提升安全意识,让数据安全与网络安全的建设成为重中之重。本文,将以视频数据为切入点,深入探讨智能时代下的这一基础命题。
网络安全发展为什么脱节:重建设、轻安全。
首先要明白一点,视频安全至关重要。视频网络的头号威胁,是网络攻击战,攻击强度、渗透深度也会不断地增强。受攻击后,视频数据泄露、拍摄区域成为盲区、失去敏感数据控制权将接踵而至。但一直以来,视频的网络安全并未得到应有的重视。
中国政府是有全世界对新技术最包容的国家政府,先引入,再在实践中改进,在过去70年中大体如一。
重建设,轻安全,是十三五建设中的安全防护领域面临的处境。以往视频管理建设中,大多应用先行、网络为后。首先保障系统的业务可行,其次是系统的安全性,甚至没有“其次”。
也因此,缺乏体系化地规划、部署网络安全,缺乏系统地培养安全管理人才,缺乏视频接入网络流程和制度。
信息化和网络安全发展脱节。两者的脱节,不仅在技术层面,还在体系化、建设思路、战略性等层面。
脱节的视频网络安全存在哪些风险?
在2017年物联网安全研究报告中,就已经发现物联网的设备暴露在互联网之下,普遍存在被攻击、被利用的风险。其中,路由器和安全防护设备暴露的数量最多。
2019年的物联网安全事件中,主要是三类:漏洞和弱口令、准入控制乏力、应用监管不足
博亚安全&网络解决方案总工王连朝告诉AI掘金志,其中有一半是漏洞和弱密码造成的。
漏洞和弱密码使得设备很容易被控制、被利用,从而造成信息泄露,或引发DDOS攻击。
而造成产品本身安全不足的原因有二:
- 组织管理不足,设计之初未曾考虑安全设计,未曾建立漏洞发现、修复、响应机制等,导致后期难以修复。
- 技术防范手段不足,存在弱口令,预留后门,或者软件开发本身不规范,缺失认证机制、数据明文传输等。
换句话说,漏洞和弱口令风险说明一个问题:产品自身的可靠性是系统安全的根基。如果自身的安全性得不到保障,仅通过外部防护,很难做到完全的安全。除弱口令和漏洞的风险外,在整个系统建设中,缺乏设备的准入控制。IT系统较成熟,准入控制考虑得较周全,业界对IT系统的黑客攻击、网络风险的暴露认识更深刻。但是行业对安全防护系统中的安全问题普遍认识不足。
正如2018年,某地的交警处罚系统被黑客侵入,造成了非法销分,原因正是安全防护系统没有对设备准入做控制。
安全是三分技术、七分管理。
应用监管不足,视频信息容易被内部人员泄露。无论是安全防护系统的个人使用者还是主管方,对此意识都比较缺乏。
“安全防护系统从前端接入区到数据汇聚区再到核心应用区,从数据产生、传输、存储、应用、管理等,多个维度每一个环节都存在非常突出的安全问题。”博亚网安总工周欣如强调。
智能硬件中,具备算力的终端中除了操作系统,还会用到大量的电子元器件,比如当内存的算法明文保存,黑客就可远程登录,调式硬件,内存条芯片接口就能成为被攻击的入口。
云管端管边的物联网架构造就了万物互联的美好设想,但却忽略了智能硬件在与服务器或云连接与传输过程中,黑客可以通多如网络截取数据包的方式,破解数据包中的所有内容。
在管理平台中,黑客同样可以通过软件的反编译查看到软件漏洞并侵入。万物互联的同时,也拉长了网络攻击的指数和战线,单点防护难以保护整个网络。
物联网的打通,模糊了虚拟和现实的边界,虚拟世界中的漏洞可能给物理世界带来巨大的灾难。正如一辆无人驾驶汽车出现一个安全漏洞,在高速公路上突然停车,会造成车毁人亡的惨案。
视图数据共享时安全不可控,数据泄密,无法溯源。
在大数据时代,行业上下致力于消除数据孤岛,但共享数据时,难以保护所涉人员隐私、名誉安全,视图外泄后更难以溯源、定责。
安全围墙是怎么修起来的?
To G市场的网络安全中,安全防护企业所占份额极小,玩家以传统信息安全厂家为主。
视频物联的发展,视频安全需求剧增,唯有深入视频业务的企业才能做出更贴合的视频保护方案。
即使养在深闺无人知,深谙安全之要的视觉企业们似乎从未放弃过修建视频安全的围墙。
整个安全防护系统中的风险来自感知层、传输层、管理层和应用层4大方面。
感知层安全防护
感知层,前端摄像机部署广泛、数量巨多。在物理接入上,首先需考虑防拆设计,防止设备被替换或窃取,其次是传统设备的调试接口,建议屏蔽、隐藏或去除,容易给非法人员可乘之机。网络接入上,博亚增加了PON口接入,这种光纤接入和传输方式,可以防止电口私接、侦听。
物理层外,整个终端设备安全也应考虑。摄像机其实是弱功能系统,需要检查它是否存在弱口令、端口信息、协议信息、CPU占用情况等,实时记录并上传,及时发现终端设备的安全状态。
终端的另一个关键,就是视频数据安全。摄像头系统中的标准协议,对视频的保护规定不足,完全以明文状态在网络中传输,数据容易被截取。而一般的视频数据安全保护方案有两种。
一是对数据全部进行加密,信令、数据、传输协议,经过加解密设备直接进行加密。但必须要成对地配置加解密设备,另外它导致数据很难识别,成本相对较高。
二是通道加密,但因数据都封装在通道内,导致通用的网络流量分析工具难做到安全的分析,无法准确的判断实际网络中的真实状态。
博亚采用的视频加密方案,可以正常的信令交互,在交互的情况下不影响系统的兼容性,即使视频数据被非法获取,只有在合法的解码端才可正常观看,仍然可以保证其安全。
传输层安全防护
市场上有多种传输层方案,各有优劣,完全适合的方案并不多。
比如信息系统相对成熟,但物理网或安全防护系统中,摄像头与PC机等终端设备不同,不能主动连接、配置密码,摄像头相当于哑终端。
再比如扫描检测方案,需要先扫描再人工判定合法性与非法性,效率和安全性较弱。
博亚认为,物联网的安全准入方案更加适合安全防护系统。
除了实现防火墙方案中对IP、MAC及端口绑定之外,还可进行应用的感知,识别安全防护的接入协议,感知设备的状态,且与检测异常等信息相配合,实时防控得以实现,且支持旁挂、串接,防护手段更加丰富。
跨互联网或广域网接入,主要是保证传输的安全性,且需要对整体的网络、系统和结构适配。
基于此,行业内以VPN方案和ALG网关为主。前者可实现安全传输,但涉及到IP地址冲突或系统的改造,灵活度低,后者兼容性差,且明文传输,安全性差。
博亚推出了UNP方案,同时满足了方便部署、安全性高和视频跨网设计的需求,且针对安全防护系统里的协议做了适配,保证了一定的安全性。
管理平台安全防护
在主机层,博亚通过多机备份,比如双机或一对多备份的快速切换,保证应用服务安全。
在数据存储上,则使用多级备份、多阵列存储等,另外支持流量中断的及时备份,另外使用了安全块存储。
“安全块存储是我们的创新,它是基于视频流/块的存储技术,因为它的关键信息是独立存放的,即使获取到硬盘也无法直接拷贝出数据。”王连朝表示。
用户管理安全
许多重要信息泄漏于用户侧,博亚在用户侧做事前、事中、事后三个阶段的安全管理。
事前防御,在用户终端接入系统前做准入判断;事中控制,定义授权范围,即对用户的一些操作做授权或者管控;事后审计,对所有操作做日志审计。
“重建设,轻安全的现象会在2021年开始完全改善。”周欣如语气里带着喜悦。
发改委、中央综治办等九部委联合下发996号文,要求加强公共安全视频联网建设和应用,提出到2020年,实现“全域覆盖、全网共享、全时可用、全程可控”的公共安全视频建设联网应用。
十四五规划中,网络安全高频出现,多个安全法规以及视频相关的安全法律法规将相继落地执行。
显而易见,公共安全领域的网络安全已得到空前高度的重视。
不管世界对安全重视与否,依赖与否,安全的本质使命未曾改变。
[出处] 余快. 滴滴下架、三大头部企业被审查,是时候正视网络安全了. 雷锋网, 2021-07-06 本文有删节