明朝万达喻波：视频监控系统或成企业机构薄弱环节安全事件回顾日前有境外黑客组织声称将

　　近日，明朝万达高级副总裁、首席技术官喻波接受了中国机场安防网的采访，就目前视频监控系统现状及存在的安全问题，发表了自己的观点。

　　安全事件回顾

　　日前有境外黑客组织声称将对我国发起网络攻击，该组织称已掌握我境内大量摄像头控制权限，并公布了其掌握的部分闭路电视系统外围探测信息。

　　经分析，我国视频监控系统存在一定的漏洞安全隐患和数据泄漏风险，可能成为境外黑客发起攻击的薄弱环节。视频监控系统应用于各行各业，万物互联之下，一旦遭遇恶意侵入后果不堪设想。

　　喻波表示

　　视频监控系统是信息技术的一个分支，那么其理论必然是建立在香农的通信数据原理、图灵机、冯诺依曼系统结构基础之上，而这三大理论建立之初是缺乏安全设计的。所以信息科学从他诞生的第一天起，就注定与信息安全的对立统一性，这是视频监控系统信息安全属性的一般性。

　　视频监控系统网络威胁体现在以下三个方面：

　　对于深网视界来讲，他们碰到发展路上的黑天鹅，此次大规模数据泄漏产生了很坏的社会影响，可能会波及公司经营等其它方面。此次数据安全泄漏事件对于深网视界业来讲是黑天鹅，而对于社会来讲却是灰犀牛!

　　对于本次大规模数据泄漏，如果我们从对安全的认知、安全技术、防护成本、监管要求等方面去分析其本质的话，可以发现其本质是对数据安全的认知不到位，我们可以从以下三个方面去论证：其使用的是MongoDB数据库对于权限、端口等基本安全配置存在严重问题;敏感数据没有分类分级或者加密存储机制;对于安全预警信息，没有及时处理。因此，在安全认识不到位的前提下，安全技术、防护成本、监管要求都如空中楼阁一般脆弱。

　　管中窥豹、可见一斑。此次安全事件不是偶然现象，而是随着信息技术的发展，与之相伴的必然现象，是以往发生在汉庭、携程身上的安全故事重演。当下我国的数据安全形势十分严峻，需要我们从监管、技术、认知等多个层面加以保障和完善，其中数据安全认知薄弱是导致数据安全事件不断重演的根本因素。

　　建议各地监管单位，利用相关安全监测平台、态势感知系统，对辖区内的相关重点单位资产进行持续性监测，特别是其中相关视频监控、网络摄像头的安全监测，一旦发现有大规模的攻击行为，可以直接通过相关系统阻断其恶意流量;

　　建议各视频监控系统、设备生产厂商，尽快排查当前出售的各类软硬件产品是否存在相关安全漏洞，如果有发现请立即修复，第一时间内在官方渠道发布安全修复补丁。同时排查互联网内现存安全问题的设备，对发现安全问题的设备推出相应的安全修复和升级更新;

　　各企事业单位、个人用户，需要尽快对所有的相关视频监控、网络摄像头的设备及时进行安全加固和系统更新;各企事业单位也可通过相关安全监测平台、资产管理设备，对相应系统进行持续监控，一旦发现有可疑攻击行为，可以直接通过相关系统阻断其恶意流量。

　　基于等保安全防护方案及数据安全技术方面考虑，我们建议如下：