隨著網(wǎng)絡(luò)攝像頭的普及，遠(yuǎn)程監(jiān)控越來越多的運(yùn)用在公共設(shè)施、辦公生產(chǎn)和家庭生活等場(chǎng)景當(dāng)中，在給我們提供便利的同時(shí)也帶來了許多安全隱患，圍繞攝像頭破解、隱私偷窺和非法內(nèi)容傳播等環(huán)節(jié)的黑色產(chǎn)業(yè)鏈規(guī)模不斷擴(kuò)大，危害日趨嚴(yán)重。

近日，由中央網(wǎng)信辦、工業(yè)和信息化部、公安部、市場(chǎng)監(jiān)管總局四部門聯(lián)合發(fā)布了《關(guān)于開展攝像頭偷窺等黑產(chǎn)集中治理的公告》，決定自2021年5月至8月，在全國(guó)范圍組織開展攝像頭偷窺黑產(chǎn)集中治理工作。

公告在落實(shí)各項(xiàng)主體責(zé)任的同時(shí)也概括了攝像頭偷窺這條黑色產(chǎn)業(yè)鏈所涉及的關(guān)鍵環(huán)節(jié)，并指出了對(duì)應(yīng)的安全問題點(diǎn)和處置要求。下面我們將從攝像頭的設(shè)備自身安全、用戶使用安全和運(yùn)營(yíng)管理安全幾個(gè)維度來分別進(jìn)行解讀。

【設(shè)備自身安全】

要整治攝像頭偷窺黑產(chǎn)的問題，首先需要確保攝像頭本身以及配套管控平臺(tái)的安全性。網(wǎng)絡(luò)攝像頭通常采用嵌入式的操作系統(tǒng)，容易產(chǎn)生漏洞風(fēng)險(xiǎn)，而市面上流通的網(wǎng)絡(luò)攝像頭品牌繁多，生產(chǎn)廠家眾多，部分廠商只是在通用的設(shè)計(jì)方案基礎(chǔ)上進(jìn)行簡(jiǎn)單的二次包裝，安全生產(chǎn)規(guī)范并不嚴(yán)格，尤其是一些低端產(chǎn)品的安全研發(fā)投入幾乎為零，再加上缺乏專業(yè)的網(wǎng)絡(luò)安全檢測(cè)經(jīng)驗(yàn)，在出廠情況下就很容易遺留安全漏洞，比較突出的問題包括初始口令易被破解、存在遠(yuǎn)程執(zhí)行漏洞等。要做到攝像頭自身安全，就要從技術(shù)和管理兩方面來做好控制。

◆ 從技術(shù)層面來說，一方面需要采用可靠的操作系統(tǒng)，遵循安全編碼規(guī)范，同時(shí)還要做好環(huán)境網(wǎng)絡(luò)安全，加強(qiáng)廠房和車間的網(wǎng)絡(luò)安全建設(shè)，減少暴露風(fēng)險(xiǎn)，做好安全域劃分和訪問控制；另一方面需要進(jìn)行嚴(yán)格的出廠前安全基線檢查，對(duì)口令復(fù)雜度、初始安全策略和系統(tǒng)安全性進(jìn)行審核確認(rèn)。

◆ 從管理層面看，要嚴(yán)格遵循數(shù)據(jù)安全、信息安全標(biāo)準(zhǔn)規(guī)范，制定全面的網(wǎng)絡(luò)安全管理制度，并設(shè)定紅線考核要求，同時(shí)還要定期開展網(wǎng)絡(luò)安全專題培訓(xùn)，提升全員的生產(chǎn)安全意識(shí)。最后，針對(duì)視頻監(jiān)控的云平臺(tái)，既需要做好出口限制，僅開放必要的管理服務(wù)，并部署細(xì)粒度的安全防護(hù)手段；又需要關(guān)注熱點(diǎn)漏洞，持續(xù)性進(jìn)行安全自查并及時(shí)修補(bǔ)漏洞風(fēng)險(xiǎn)，做好應(yīng)急處置預(yù)案。

【用戶使用安全】

攝像頭的用戶可以分為個(gè)人用戶和企業(yè)用戶。

◆ 個(gè)人用戶，在攝像頭使用過程中要注意以下幾點(diǎn)安全事項(xiàng)，一是要做好口令安全，包括及時(shí)修改初始密碼、采用復(fù)雜口令以及定期修改口令等；二是要加強(qiáng)安全意識(shí)，不隨意開啟直播共享、不隨意向他人傳播地址賬號(hào)等，同時(shí)在隱私場(chǎng)所或休息時(shí)間做好遮擋保護(hù)工作。

◆ 企業(yè)用戶，除上述注意事項(xiàng)之外，還需要考慮網(wǎng)絡(luò)的安全規(guī)劃，首先，避免將攝像頭暴露在公網(wǎng)當(dāng)中，包括直接配置公網(wǎng)IP或者對(duì)外映射等操作；其次，需要做好安全隔離，劃分專門的安全域來實(shí)行分區(qū)保護(hù)，并設(shè)定橫向安全防護(hù)能力；第三，需要采取必要的威脅檢測(cè)手段，在攝像頭接入位置做好攻擊監(jiān)測(cè)工作，及時(shí)發(fā)現(xiàn)并處置入侵風(fēng)險(xiǎn)和異常行為；最后，還要定期進(jìn)行網(wǎng)絡(luò)暴露面的攝像頭資產(chǎn)探測(cè)，及時(shí)發(fā)現(xiàn)并處置暴露風(fēng)險(xiǎn)，同時(shí)做好針對(duì)攝像頭的脆弱性檢查，防范弱口令問題，并及時(shí)聯(lián)系供應(yīng)商進(jìn)行固件升級(jí)和漏洞修補(bǔ)。

【運(yùn)營(yíng)管理安全】

運(yùn)營(yíng)安全的屬性較為復(fù)雜，除攝像頭廠商和用戶以外，外包運(yùn)維團(tuán)隊(duì)、第三方軟件服務(wù)商和內(nèi)容托管平臺(tái)等都屬于運(yùn)營(yíng)的范疇。

◆ 對(duì)于外包運(yùn)維方，需要嚴(yán)格遵守用戶的安全規(guī)定，不能私自傳播攝像頭管理地址和賬號(hào)口令等信息，也不得違規(guī)獲取攝像頭內(nèi)容信息，甚至上傳至第三方平臺(tái)。

◆ 對(duì)于第三方軟件服務(wù)商，要嚴(yán)格控制調(diào)用接口的安全，并確保自身軟件程序安全可靠，避免給用戶帶來供應(yīng)鏈攻擊風(fēng)險(xiǎn)，同時(shí)還要做好對(duì)用戶內(nèi)容的安全保護(hù)，不使用危險(xiǎn)的數(shù)據(jù)存儲(chǔ)和中轉(zhuǎn)方式。

◆ 對(duì)于內(nèi)容托管平臺(tái)，如云盤、網(wǎng)站、論壇和視頻運(yùn)營(yíng)平臺(tái)等組織，需要履行內(nèi)容審核和安全監(jiān)督的責(zé)任，一方面需要識(shí)別涉及用戶隱私的非法攝像頭視頻內(nèi)容并進(jìn)行過濾，配合監(jiān)管部門做好取證工作；另一方面需要做好敏感信息的監(jiān)控，對(duì)攝像頭破解、非法利用、教唆引導(dǎo)等內(nèi)容做好監(jiān)測(cè)預(yù)警工作，及時(shí)處理并上報(bào)執(zhí)法部門。

【盛邦安全網(wǎng)絡(luò)空間資產(chǎn)探測(cè)系統(tǒng)（RaySpace）】

從網(wǎng)絡(luò)空間資產(chǎn)測(cè)繪維度協(xié)助各單位針對(duì)攝像頭資產(chǎn)進(jìn)行全面“體檢”，收斂暴露面風(fēng)險(xiǎn)，防患于未然。