你能够想象每天都被人“盯着”围观的感觉是什么样的吗?并且极具隐私的内容“围观”的人更多。
近日有媒体报道,大量涉及隐私的当事人并不知情的监控直播正在互联网上疯狂传播:在一个家庭卧室内一对年轻夫妇身着内衣靠在床上玩手机;一户家庭客厅中,摄像头对着红色的沙发床和电视柜,一个10多岁的小女孩证趴在沙发床上用平板电脑看视频,一个身材微胖的中年男子靠在毯子上看电视……。到底是谁哪些无聊者在窥视着别人的生活?
你可能被“窥视” 但摄像头隐私防范不只是“封堵”那么简单
C 端智能摄像头安全隐患重重
2014年,互联网+风口正紧,随之智能摄像头开始火爆。谷歌32亿元收购nest,构建物联网的标准体系。百度推出“小度i耳目”,基于百度云向公众提供安全、实时的音视频监控服务,通过i耳目服务,可以对家庭、小孩、宠物和办公室进行实时音视频监控;互联网公司360也推出了类似的“水滴摄像机”,直接使用Wi-Fi联网的智能家居产品,配手机APP,可以远程随时随地查看家里的一切。在安防行业内,海康威视也拥有自身的云运营平台,面向中小企业、家庭用户提供云监控服务;另外,大华也有相关的家庭安防业务开展。
据相关统计,经过几年发展,目前家庭摄像头的安装量应该在3000万水平,甚至更高。从厂家宣传推广的内容可以了解,目前针对C端个人消费者,在家中安装智能摄像头的目的,大多是为了安防,照看监护老人及儿童。
另外,智能摄像头安装使用极其方便,与传统需与电脑连接或硬盘存储录像的摄像头不同,直接使用Wi-Fi联网,配有移动应用远程查看。用户安装好智能监控后,只需*载下**专用的客户端,即可实现远程操控监控。除实时监控及远程操控角度外,许多与智能摄像头搭配使用的监控软件还有录像、录音等功能。
你可能被“窥视” 但摄像头隐私防范不只是“封堵”那么简单
然而越是方便易用的硬件产品,安全隐患可能越大。2017年6月18日,国家质检总局在官网发布智能摄像头质量安全风险警示,称产品质量监督司采集38个品牌共40批次的样品进行抽检,重点对操作系统的更新、恶意代码防护、身份鉴别、弱口令校验、访问控制、信息泄露、数据传输使用安全有效加密、本地存储数据保护等项目进行了检测。结果显示,存在安全漏洞的多达32批次,占比高达80%,不乏国内外安防大牌。
安全隐患致“隐私倒卖”黑产嚣张
文章开头提到隐私泄露的一幕幕,正是黑客利用了厂商在产品软硬件设计中存在安全漏洞,借助程序工具进行蓄意攻击,迅速获取摄像头的账户密码,进而控制摄像头、获得实时影像。黑客再通过向那些为满足好奇心和窥私欲的*窥偷**者倒卖账户信息及影像资料,进而获利。
相关媒体曾采访一名黑客,其表示。“不要问我怎么破解监控摄像头,因为实在太简单。”目前国内家庭摄像头个人信息及监控直播资源正在形成破解、买卖、*窥偷**一条龙黑产服务,几块钱即可得到私人摄像头相关信息。
除了C端外,在B端(行业市场)也有相应的信息安全隐患存在。据悉,相关网络实验室在过去几年发现过大量监控摄像头的安全漏洞,除了单个摄像头,更有安防企业的视频管理平台被黑客突破的现象。
2015年春节,江苏省公安厅发出特急通知,称江苏省各级公安机关使用的海康威视监控设备存在严重安全隐患,海康威视事后澄清,是由于用户使用弱口令所致。由于行业市场涉及金融、公共安全等众多敏感领域,信息泄露就不仅仅是个人隐私方面的问题,可能危及金融市场秩序甚至国家安全。
主流防范举措依然是封堵
针对目前网络安全现状无论是C端的智能摄像头,还是B端行业安防监控,绝大多数涉及厂商依然只是采用围堵的方案,封堵住安全漏洞,加强对安全问题的重视和投入,组建网络安全团队或者是建立安全事故紧急应对体系等措施。
厂商对用户的建议也依然是陈词滥调,“提高安全意识,定期修改摄像头关联的应用账号密码,尽量不要将摄像头直接联网或置于私密区域。不使用时,要遮挡镜头或关闭电源,非必要时禁用录音功能”等等千篇一律的、无关痛痒的官宣话语。
“只要存在信息网络,安全漏洞就会永远不断出现”相关网络安全专家表示,打击网络信息安全犯罪只靠封堵是无法根治的,只是治标不治本的隔靴搔痒。建立更为严格的标准,加强产品检测不失为从生产之初就强化网络信息安全,杜绝安全漏洞出现。
信息安全标准还在路上
据了解,目前涉及智能摄像头以及安防监控的信息安全标准还有待进一步完善。作为公安部领导下的国家级网络安全和安全防范第三方机构,公安部第三研究所主要负责对主流视频监控类产品进行网络信息安全方面的检测。
检测中心常务副主任鲍逸明在接受媒体采访时表示,公安部第三研究所制定的《智能联网产品信息安全技术规范》和《网络摄像机产品信息安全技术规范》已于2017年10月份完成向国家认证认可监督管理委员会的备案工作,已经开始受理相关认证工作。
此外,《网络摄像机安全技术要求》、《物联网感知层接入信息网络的安全要求》、《联网智能终端口令安全技术规范》等多个标准亦正在制定过程中。
你可能被“窥视” 但摄像头隐私防范不只是“封堵”那么简单
从编解码源头杜绝安全漏洞
面对目前已经形成的乱象市场,单靠厂商封堵以及加强安全监测方面的力度还远远不够。需要从源头上建立安全加密机制,杜绝安全漏洞。2017年6月生效的《网络安全法》提出要求,网络产品、服务应符合相关国家标准的强制性要求,采取数据加密、分类等措施,杜绝安全缺陷和漏洞等风险。
其实针对安防监控网络信息安全问题,早在2011年就引起了行业内重点机构及企业的重视,公安部第一研究所和中星微电子牵头主导制定的SVAC标准就包含了从视频编解码源头进行动态加密,防止信息泄露及*取盗**。
一直以来,安防监控广泛采用的是国际主流标准H.265/264,但这些标准主要针对广播电视和大众娱乐方面的应用,在安全防范领域直接使用还是有很大的不适应性。
SVAC是一项针对安防监控领域应用特殊性而制定国家标准,满足视频图像的实时传输性、全天候24小时监控环境的适应性、场景视音频信息的忠实还原性等。
更为重要的是,SVAC是针对我国安防应用对信息安全有更高要求而推出的,具有自主知识产权的编解码标准。相比H.265/264标准而言,SVAC标准在信息安全方面具有不可替代的优势,可以实现视频监控源的加密认证,标准规定了加密和认证接口及数据格式,保证数据的安全性、完整性、非否认性。密码不是编到视频信息里,而是在提取时需要输入认证数据,既保证格式的统一,便于互联互通,也保留足够的扩展灵活性,实现从源头上保证网络视频信息的安全。
你可能被“窥视” 但摄像头隐私防范不只是“封堵”那么简单
SVAC2.0 版完善数据安全保护
2017年SVAC2.0版正式发布,此次修订吸收近年来不断发展起来的新技术和新算法,进一步提升编码压缩性能,并完善和细化了SVAC标准所独有的视频监控专用功能,使SVAC标准更加适用于公共安全视频监控领域。
与SVAC1.0版相比,SVAC2.0版在数据安全保护方面做了重大改进和完善, 引入对数字证书、国密算法的全面支持,加强了非对称和对称密码技术支持,完善安全参数集,规范定义密钥信息、数字证书信息的携带,对数据加密和认证的支持更加完善,并与报批中的国家标准《公共安全视频监控联网信息安全技术要求》完全兼容,更好地保障安防监控数据信息的保密性、真实性和完整性。
目前在广东、山西、河北等国内多个省市的公共安全、城市管理等行业开展了大规模应用,许多企业也开始对相关技术进行研究,行业内多家知名企业陆续推出SVAC标准的产品。其中中星技术、海康威视、大华股份的SVAC产品线最全,涉及前端摄像机、录像机及平台解码的整体解决方案。