家用智能摄像头信息安全风险分析

　　为有效遏制和打击智能摄像头偷窥等违法违规行为，维护消费者在网络空间的合法权益，2021年6月，中央网信办、工信部、公安部、市场监管总局联合发布《关于开展摄像头偷窥等黑产集中治理的公告》（简称《公告》），自2021年5月至8月，在全国范围组织开展摄像头偷窥黑产集中治理。《公告》要求，摄像头生产企业要按照数据安全、信息安全有关规定和标准提升产品安全能力，提供公共服务的视频监控云平台及有关企业要严格履行网络安全主体责任，强化云平台网络安全防护，落实对远程视频监控App的数据安全防护责任。
　　作为国内电子产品领域的权威检测机构，工信部电子第五研究所（中国赛宝实验室）自2016年起，就持续关注智能摄像头产品信息安全状况。2021年6月至12月，我们针对智能摄像头生产企业及产品开展了广泛调研，梳理了国内智能摄像头行业及产品的信息安全风险状况，并用两个月时间，进行了细致的产品检测和风险评估等工作。
　　企业负担重且缺标准
　　智能摄像头主要是指在传统摄像头基础上加入算法，实现智能化功能的摄像头，具有安防监控、人脸识别、语音对讲等功能。智能摄像头一般应用于公共安全、家庭监控等领域。公共安全领域的智能摄像头用于维护社会公共安全，主要分布在公共聚集场所，如医院、商场及街道等治安维护重点区域。家用智能摄像头主要用于家居安防、幼童看护和宠物活动记录等场景。
　　近年来，随着人工智能技术逐渐兴起，全面推动智能摄像头在家居安防、交通监控、医疗卫生、公共安防等多个领域的快速发展，智能摄像头需求量不断增大。根据各领域需求的不同，摄像头生产企业加入不同智能化算法，实现产品功能上的差异。目前，智能摄像头生产企业主要集中在长三角、珠三角和京津冀等地区，以杭州、广州、深圳、北京等城市为主。当下智能摄像头行业参与者众多，市场低价竞争激烈，行业整体成本高企不下，生产企业普遍利润率低于30%。摄像头生产企业盈利空间有限，生产企业经济负担重，致使用于算法功能创新及产品信息安全防护的预算有限，企业自主创新能力疲弱，摄像头产品普遍安全防护等级低，用户隐私安全问题频发，制约了摄像头行业的发展。
　　目前，国内针对摄像头产品的标准主要针对公共安防类摄像头。2018年11月1日，国家正式实施行业强制标准GB35114-2017《公共安全视频监控联网信息安全技术要求》，归口单位为全国安全防范报警系统标准化技术委员会(SAC/TC100)，该标准规定了公共安全领域视频监控联网视频信息以及控制信令信息安全保护的技术要求，适用于公共安全领域视频监控系统的信息安全方案设计、系统检测及与之相关的设备研发与检测。但是，针对家用智能摄像头产品尚无强制性国家标准，仅有推荐性国家标准，比如GB/T 38626-2020《信息安全技术 智能联网设备口令保护指南》和GB/T 38632-2020《信息安全技术智能音视频采集设备应用安全要求》，且无相关检测技术配套标准。
　　随着智能摄像头行业的快速发展，大量电子产品生产企业开始从事智能摄像头的生产制造，随之衍生出诸多问题。我们走访调研了11家智能摄像头生产企业，检测了96批次智能摄像头产品，发现智能摄像头行业普遍缺乏信息安全企业标准、生产企业信息安全投入和防护能力参差不齐和产品信息安全防护能力不足等问题，影响行业未来健康发展。
　　智能摄像头生产企业普遍缺乏信息安全企业标准。通过调研情况看，11家企业中仅有3家企业具备智能摄像头产品信息安全企业标准，中小型企业的企业标准较为混乱，部分智能摄像头生产企业的企业标准技术要求甚至低于国家标准，导致智能摄像头信息安全水平参差不齐。如果不能在统一安全技术标准下制造产品，最终将无法保障消费者的权益。智能摄像头行业中，部分中小企业由于成本、技术、设计等原因，未能严格执行标准，在研发管理、供应商管理、安全保障、质量管理等方面缺乏经验与管控能力，只能依靠低质低价冲击市场，对智能摄像头行业的发展及应用普及带来巨大负面影响。为避免劣币驱逐良币，使得同业科学竞争，促进行业内企业的优胜劣汰，亟须加快国家层面的标准宣贯和落地。
　　生产企业信息安全研发投入和防护能力参差不齐。通过调研和现场检查发现，摄像头生产企业主要有三大类：互联网企业、传统安防企业、原始设计制造商/原始设备制造商（ODM/OEM）企业。互联网企业在摄像头终端软件、传输加密协议、后端信息平台等方面，均是自主研发，企业通常会配备独立的信息安全检测及防护实验室，信息安全防护水平较高。传统安防企业的摄像头产品主要应用于公共安防领域。公共安防类产品常处于内网系统，部分企业在转型研发生产家用智能摄像头产品的过程中，缺少安全终端和云平台开发和设计的经验，在身份鉴别、访问控制和日志审计方面存在一定不足。ODM/OEM企业的信息安全防护意识整体较为薄弱，部分生产企业为纯代工生产模式，甚至出现多个企业生产的摄像头产品，共用一套第三方云服务平台，企业对云服务平台不可控，导致终端产品的信息安全风险较高。
　　信息安全防护能力存在不足。通过企业送样、样品征集和市场购买等渠道，我们采集了64家企业共96批次产品。按用途统计，主要分为安防、专用和家用，其中，安防类41批次，专用类13批次，家用类42批次。安防类主要用于公共安防，专用类主要用于金融、人脸卡口等专用场景，家用类主要用于家庭安防、家庭看护等使用场景。我们进行了两个月的信息安全检测，检测类别包括账号安全、口令安全、设备安全、服务端安全、日志安全、安全漏洞等6个层面68项指标。检测方法主要依据GB/T 38626-2020和GB/T 38632-2020要求。结果显示，96批次摄像头产品中，仅27批次智能摄像头符 合标准要求，符合率为28%。96批次摄像头产品发现存在信息安全不符合项共计248个。主要信息安全风险包括4个方面，一是部分智能摄像头产品账户和口令安全设计有瑕疵，容易导致用户密码泄露；二是部分智能摄像头产品通信安全加密不严，传输数据易被黑客窃取；三是部分智能摄像头个人信息安全保护不完善，敏感信息易被非法收集；四是部分智能摄像头云服务平台应用安全防护不足，易遭受已知信息安全漏洞入侵。
　　解决风险还需标准和体系
　　要想解决智能摄像头的信息安全风险问题，还需推进基础建设和技术创新。首先是加快摄像头产品信息安全标准体系建设和落地。加快先进智能摄像头企业的信息安全保障技术向标准转化进程，培育优势、特色技术成为团体、行业或国家标准，以标准化引领不同档次的智能摄像头信息安全水平提升。组织开展智能摄像头国内外标准比对，加快转化先进适用的国际标准，提升国内外标准一致性程度。开展对标达标活动，鼓励、引领国内智能摄像头企业及其上下游产业链主动制定和实施先进标准。持续开展信息安全风险监测，分析国内智能摄像头产品在网络安全、数据安全等方面安全风险点，为建立分类分级的智能摄像头产品安全体系奠定基础。
　　其次，建设公共技术服务能力和推动一对一技术帮扶。发挥国家级技术服务机构和标杆企业引领作用，推动摄像头产品公共技术服务平台建设，开展一站式服务，为产业信息安全防护能力提升提供全生命周期技术支持。建立和完善智能摄像头信息安全防护能力评价体系，探索建立第三方质量担保机制，开展 ＂智能安全＂＂优品认证＂等自愿性检测认证，推动质量评价由追求＂合格率＂向追求＂安全性＂跃升。依托公共技术服务平台，组织行业协会和相关技术机构对智能摄像头企业进行技术帮扶，开展技术培训，指导生产企业加强产品研发、关键零部件选购等的把关，改进智能摄像头产品生产流程，引导生产企业注重安全技术研发和人性设计，提高智能摄像头产品信息安全保障水平。
　　第三，加强企业信息安全防护体系建设。针对智能摄像头生产，企业应加大信息安全研发投入，严格按照国家标准和行业规范设计、生产、维护智能摄像头产品。
　　从技术层面看，要采用可靠的固件系统，遵循安全编码规范，做好环境网络安全，加强企业网络安全建设，减少暴露风险，做好安全域划分和访问控制。要进行严格的出厂前安全基线检查，对口令复杂度、初始安全策略和系统安全性进行审核确认。针对智能摄像头视频监控的云平台，既要做好数据跨境传输的限制，仅开放必要的管理服务，并部署细粒度的安全防护手段，又需要关注网络安全漏洞，持续性进行安全自查并及时修补漏洞风险，做好应急处置预案。
　　从管理层面看，智能摄像头生产企业应严格遵循网络与数据安全标准规范，制定全面的网络安全管理制度，并设定红线考核要求，同时还要定期开展网络与数据安全专题培训，提升全员的生产安全意识。
　　Tips
　　重拳整治摄像头安全
　　自2021年5月起，中央网信办、工业和信息化部、公安部、市场监管总局在全国范围组织开展摄像头偷窥等黑产集中治理，严厉打击非法利用摄像头偷窥个人隐私画面、交易隐私视频、传授偷窥偷拍技术等侵害公民个人隐私行为。
　　百度、腾讯、UC等重点网站平台，清理有害信息8000余条、处置违规账号134个；京东、淘宝、闲鱼等电商平台，下架违规宣传或违规售卖摄像设备1600余件、处置违规账号3700余个、清理违规信息1.2万余条。对存在隐私视频信息泄露隐患的14家视频监控APP厂商进行了约谈，并督促其完成整改。
　　深圳市工业和信息化局组织检测机构进入当地5家摄像头生产企业开展现场巡查和产品抽检；组织对18家具有行业代表性的视频监控云平台开展检查，发现处置SQL注入、越权操作等一批高危漏洞；全面排查联网摄像头存在的安全隐患，发现4万多个弱口令、未授权访问、远程命令执行等摄像头漏洞，取证并处置500余个。
　　市场监管总局组织召开互联网平台企业行政指导会，要求平台企业严格履行主体责任，强化对平台内假冒伪劣摄像头等商品的治理，并要求限期一个月完成全面整改。