如何建設(shè)安全的物聯(lián)網(wǎng)+安防解決方案

　　近期，雷鋒網(wǎng)AI掘金志邀請(qǐng)到了宇視安全&網(wǎng)絡(luò)解決方案總工王連朝做客雷鋒網(wǎng)公開課，以“如何建設(shè)安全的物聯(lián)網(wǎng)+安防解決方案”為題進(jìn)行了干貨分享。

　　王連朝認(rèn)為，科技不斷的創(chuàng)新發(fā)展，物聯(lián)網(wǎng)技術(shù)和相關(guān)的大數(shù)據(jù)、智能應(yīng)用廣泛地與傳統(tǒng)安防應(yīng)用深度融合。物聯(lián)網(wǎng)+安防系統(tǒng)在普遍應(yīng)用的同時(shí)，安全問題也隨之而來。如果安防自身的安全性得不到保障，只是通過外部來防護(hù)，很難做到完全的安全，所以安防產(chǎn)品自身的可靠性是系統(tǒng)安全的根基。王連朝從感知層、傳輸層、管理層和應(yīng)用層四個(gè)層面出發(fā)，結(jié)合宇視的產(chǎn)品、技術(shù)和實(shí)踐經(jīng)驗(yàn)進(jìn)行了詳細(xì)的解決方案分享。

　　以下為王連朝分享內(nèi)容節(jié)選，雷鋒網(wǎng)AI掘金志做了不改變?cè)獾木庉嫛?/p>

　　浙江宇視科技有限公司成立于2011年，是全球公共安全和智能交通的解決方案提供商，以全景、數(shù)智、物聯(lián)產(chǎn)品技術(shù)為核心的引領(lǐng)者。

　　我們一直是安防IP化的倡導(dǎo)者，也走在了IP網(wǎng)絡(luò)監(jiān)控的前列。

　　宇視經(jīng)過了8年的歷程，實(shí)現(xiàn)了營收16倍的增長，交付的產(chǎn)品已經(jīng)覆蓋了全世界的145個(gè)國家和地區(qū)。這段時(shí)間整個(gè)公司的成長也是比較快，2014年我們就進(jìn)入了全球Top12，2018年進(jìn)入全球前四。

　　公司在技術(shù)上得過一些重要的獎(jiǎng)項(xiàng)。2010年獲得了國家科技進(jìn)步二等獎(jiǎng);中國網(wǎng)絡(luò)安全方面的實(shí)現(xiàn)公私網(wǎng)穿越的專利獎(jiǎng);雷鋒網(wǎng)2019年度AIoT智能城市創(chuàng)新的企業(yè)獎(jiǎng)。

　　在研發(fā)團(tuán)隊(duì)方面，我們無論是軟件還是硬件實(shí)力在業(yè)內(nèi)都是比較領(lǐng)先的水平。軟件在業(yè)內(nèi)達(dá)到了CMMI 5級(jí)認(rèn)證，這是安防業(yè)界最高水平。

　　在創(chuàng)新能力上，我們是國家知識(shí)產(chǎn)權(quán)的示范企業(yè);浙江省發(fā)明專利授權(quán)量50強(qiáng)，排名第二。我們現(xiàn)在有2000多件專利申請(qǐng)，幾乎每天新增1件發(fā)明專利申請(qǐng)，其中94%的發(fā)明專利授權(quán)率業(yè)界第一，人均發(fā)明專業(yè)業(yè)界第一。

　　宇視對(duì)視頻的安全比較重視，在安全方面做了很多實(shí)踐。我們?cè)?011年就拿到了中國專利優(yōu)秀獎(jiǎng)：廣域互聯(lián)安全UNP; 成立安全實(shí)驗(yàn)室。在此之后宇視一直在做視頻安全研究，比如高安全的存儲(chǔ)、高安全的傳輸和社會(huì)資源的接入等這些方案。2016年發(fā)布了燕山準(zhǔn)入網(wǎng)絡(luò)安全方案;2017年推出了數(shù)據(jù)安全加密幻影方案，保障了金磚峰會(huì);2019年成為了公共安全視頻網(wǎng)絡(luò)安全的監(jiān)測預(yù)警的支撐單位;安防行業(yè)內(nèi)首家符合歐盟GDRP法案等等。

　　物聯(lián)網(wǎng)及物聯(lián)網(wǎng)的基本架構(gòu)

　　隨著科技不斷的創(chuàng)新發(fā)展，物聯(lián)網(wǎng)技術(shù)和相關(guān)的大數(shù)據(jù)、智能應(yīng)用廣泛地與傳統(tǒng)安防應(yīng)用深度融合。物聯(lián)網(wǎng)+安防系統(tǒng)在普遍應(yīng)用的同時(shí)，安全問題也隨之而來。

　　從20世紀(jì)90年代物聯(lián)網(wǎng)的概念提出來，到現(xiàn)在經(jīng)過了近30年的實(shí)踐和發(fā)展，大家對(duì)物聯(lián)網(wǎng)的認(rèn)識(shí)已經(jīng)比較深刻了。

　　根據(jù)ITU的定義，物聯(lián)網(wǎng)是一種通過射頻識(shí)別(RFID)、紅外感應(yīng)器，定位系統(tǒng)等信息傳感設(shè)備，按照一定的約定協(xié)議，讓物體與互聯(lián)網(wǎng)相連接，進(jìn)行信息的交換和通訊，以實(shí)現(xiàn)對(duì)物體的智能化識(shí)別、定位、跟蹤、監(jiān)控和管理的網(wǎng)絡(luò)。

　　總而言之，物聯(lián)網(wǎng)是一種網(wǎng)，它在應(yīng)用中實(shí)際上也更多的與現(xiàn)在大數(shù)據(jù)技術(shù)和智能技術(shù)相結(jié)合，是新一代信息技術(shù)的高度集成和綜合運(yùn)用，所以物聯(lián)網(wǎng)也被稱為信息科技產(chǎn)業(yè)的第三次革命。

　　物聯(lián)網(wǎng)的基本結(jié)構(gòu)，從下往上我們可以認(rèn)為是三個(gè)層級(jí)。

　　最下面叫做感知層或叫數(shù)據(jù)采集層，就是通過傳感設(shè)備進(jìn)行數(shù)據(jù)的采集。因?yàn)檫@里采集的數(shù)據(jù)是物理存在的，所以數(shù)據(jù)是比較真實(shí)的，也比人工采集更便捷，這也是物聯(lián)網(wǎng)現(xiàn)在應(yīng)用比較廣泛的一個(gè)原因。

　　在數(shù)據(jù)采集之后，要做一些簡單的數(shù)據(jù)預(yù)處理，經(jīng)過數(shù)據(jù)預(yù)處理之后，會(huì)將這些數(shù)據(jù)通過傳輸層進(jìn)行傳輸。

　　中間叫傳輸層，在進(jìn)行傳輸時(shí)，就要考慮到異構(gòu)網(wǎng)的融合，需要將ZigBee、Lora、WiFi等技術(shù)與有線網(wǎng)絡(luò)、無線網(wǎng)絡(luò)，以及5G等下一代網(wǎng)絡(luò)相融合，形成高效、穩(wěn)定的傳輸網(wǎng)絡(luò)。

　　通過傳輸網(wǎng)絡(luò)之后，這些數(shù)據(jù)會(huì)送到應(yīng)用層。應(yīng)用層可以分為兩個(gè)部分。一部分是基礎(chǔ)服務(wù)平臺(tái)，基礎(chǔ)服務(wù)平臺(tái)對(duì)數(shù)據(jù)進(jìn)行接收和處理。在這個(gè)基礎(chǔ)服務(wù)平臺(tái)之上，就是應(yīng)用層，現(xiàn)在大家比較熟知的像智能家居、環(huán)境監(jiān)測、智能交通，還有智能安防等應(yīng)用。

　　現(xiàn)在各地都在進(jìn)行智慧城市的建設(shè)，其實(shí)物聯(lián)網(wǎng)就是智慧城市的基礎(chǔ)。作為物聯(lián)傳感過程的重要部分，攝像機(jī)視頻數(shù)據(jù)信息，占據(jù)了全世界約一半的數(shù)據(jù)存儲(chǔ)量。智能安防是物聯(lián)網(wǎng)產(chǎn)業(yè)的核心組成部分，所以安防系統(tǒng)有力的促進(jìn)物聯(lián)網(wǎng)應(yīng)用的快速落地和推廣。

　　安防系統(tǒng)建設(shè)中面臨的安全風(fēng)險(xiǎn)

　　那么作為物聯(lián)網(wǎng)的應(yīng)用，安防系統(tǒng)在建設(shè)中面臨哪些風(fēng)險(xiǎn)?

　　在2017年物聯(lián)網(wǎng)安全研究報(bào)告中，就已經(jīng)發(fā)現(xiàn)物聯(lián)網(wǎng)的設(shè)備暴露在互聯(lián)網(wǎng)之下，普遍存在被攻擊、被利用的風(fēng)險(xiǎn)。其中，路由器和安防設(shè)備暴露的數(shù)量最多。

　　2019年的物聯(lián)網(wǎng)安全事件中，主要是三類：漏洞和弱口令、準(zhǔn)入控制乏力、應(yīng)用監(jiān)管不足。

　　其中，有一半是漏洞和弱密碼造成的。漏洞和弱密碼的風(fēng)險(xiǎn)就是很容易被控制，然后設(shè)備被利用從而造成信息泄露，或引發(fā)DDOS攻擊。比如之前英國部分學(xué)校的安防系統(tǒng)中，攝像頭因?yàn)槿趺艽a而被控制了，視頻被泄露，引起了所有英國學(xué)校學(xué)生的恐慌。

　　除了弱口令和漏洞的風(fēng)險(xiǎn)之外，在整個(gè)安防系統(tǒng)建設(shè)中，設(shè)備的準(zhǔn)入控制是缺少的。IT系統(tǒng)比較成熟，所有的控制考慮得比較周全的，也是因?yàn)榇蠹覍?duì)IT系統(tǒng)上的黑客攻擊、網(wǎng)絡(luò)風(fēng)險(xiǎn)的暴露都有認(rèn)識(shí)。但是在安防系統(tǒng)中，大家對(duì)這方面的認(rèn)識(shí)還不是很清楚。有個(gè)例子，2018年，某地的交警處罰系統(tǒng)被黑客侵入了，造成了非法銷分，其實(shí)原因就是安防系統(tǒng)沒有對(duì)設(shè)備準(zhǔn)入做控制。

　　另一個(gè)風(fēng)險(xiǎn)就是應(yīng)用監(jiān)管不足，視頻信息被內(nèi)部人員泄露。無論是安防系統(tǒng)的個(gè)人使用者還是主管方，對(duì)這方面的意識(shí)都比較缺乏。近年來關(guān)于隱私泄漏的事件也很多，我看到兩個(gè)例子，一個(gè)是某明星去某個(gè)酒店，和朋友約會(huì)，被別人從視頻系統(tǒng)中拍攝下來，泄露出去了。另一個(gè)是在某地一個(gè)醫(yī)院，某個(gè)病人整個(gè)手術(shù)過程的視頻信息也是被別人拍攝后泄露，這些事件也引起了相關(guān)的法律的一些糾紛。

　　安防產(chǎn)品自身的可靠性是系統(tǒng)安全的根基

　　漏洞和弱口令風(fēng)險(xiǎn)說明一個(gè)問題：安防產(chǎn)品自身的可靠性是系統(tǒng)安全的根基。如果自身的安全性得不到保障，只是通過外部來防護(hù)，很難做到完全的安全。

　　造成產(chǎn)品本身安全不足的原因主要有兩個(gè)。

　　一是組織管理的不足，在設(shè)計(jì)的時(shí)候就沒有考慮安全設(shè)計(jì)，項(xiàng)目實(shí)施不規(guī)范，沒有考慮漏洞發(fā)現(xiàn)、修復(fù)和響應(yīng)機(jī)制等等。我們看到互聯(lián)網(wǎng)上有很多的相機(jī)被控制了，但是因?yàn)樵O(shè)計(jì)的原因，或者是沒有這個(gè)機(jī)制，導(dǎo)致很難去修復(fù)。

　　二是技術(shù)防范手段不足，存在弱口令，預(yù)留后門，或者軟件開發(fā)本身是不規(guī)范的，缺失認(rèn)證機(jī)制、數(shù)據(jù)明文傳輸?shù)取?/p>

　　宇視在這方面是有一些經(jīng)驗(yàn)的，因?yàn)槲覀兡玫搅薈MMI5級(jí)的認(rèn)證，同時(shí)我們集成了U-IPD的開發(fā)流程，無論是在需求分析、設(shè)計(jì)、編碼、測試等等各方面都考慮到了安全性的需求。

　　同時(shí)我們也希望行業(yè)內(nèi)的企業(yè)在軟件開發(fā)時(shí)，一定要重視軟件開發(fā)的規(guī)范性和嚴(yán)謹(jǐn)性，要建立整一套的產(chǎn)品安全開發(fā)流程。

　　在產(chǎn)品和解決方案發(fā)布時(shí)，一定要考慮到它的整個(gè)流程，建立正式安全的發(fā)布機(jī)制，來保證這個(gè)產(chǎn)品必須是經(jīng)過了正規(guī)、嚴(yán)格的測試之后才發(fā)布出去的，也必須要通過正規(guī)的渠道發(fā)布。也就是說產(chǎn)品首先要保證自己是安全可靠的才能對(duì)系統(tǒng)做根本支撐。

　　最后，對(duì)于產(chǎn)品發(fā)布后，要成立專門的安全應(yīng)急響應(yīng)團(tuán)隊(duì)和機(jī)制，來保證出現(xiàn)問題時(shí)能夠快速響應(yīng)。比如今年2月份網(wǎng)上曝光說有黑客對(duì)中國互聯(lián)網(wǎng)上的設(shè)備進(jìn)行攻擊，我們公司及時(shí)的響應(yīng)團(tuán)隊(duì)去分析，幫助我們的用戶避免遭受攻擊。

　　如何從4個(gè)層面實(shí)現(xiàn)安全的安防解決方案

　　整個(gè)安防系統(tǒng)中有4個(gè)層面的風(fēng)險(xiǎn)。分別是感知層、傳輸層、管理層和應(yīng)用層。

　　感知層主要的問題是感知設(shè)備有可能被劫持;傳輸層會(huì)受到網(wǎng)絡(luò)的攻擊，比如“私接”網(wǎng)絡(luò)、DDOS攻擊;管理層或者說平臺(tái)服務(wù)層，可能會(huì)受到非法入侵，然后被竊取;應(yīng)用層，可能會(huì)受到黑客對(duì)PC機(jī)或者應(yīng)用設(shè)備的攻擊，同時(shí)還可能會(huì)有一些用戶有意無意的信息泄露，比如手機(jī)錄屏截屏。

　　感知層安全防護(hù)

　　感知層中，攝像機(jī)在前端的部署是非常廣泛的，數(shù)量非常多，而且大部分都在室外，這就要求我們考慮得更多。

　　在物理接入方面，首先要考慮到設(shè)備的防拆設(shè)計(jì)，因?yàn)橛行┰O(shè)備可能會(huì)被別人替換或竊取。

　　其次傳統(tǒng)的設(shè)備一般都有一些調(diào)試接口，建議把這些接口屏蔽或隱藏，或者直接去除，不要在物理層面提供這樣的調(diào)試接口，給非法人員可乘之機(jī)。

　　另外在接入到網(wǎng)絡(luò)中，除了傳統(tǒng)的以太網(wǎng)接入方式之外，我們應(yīng)用了PON口接入，它是一種光纖接入，主要通過光來進(jìn)行接入和傳輸，就很好地防止了電口私接、偵聽。

　　在物理層防護(hù)之外，還要考慮整個(gè)終端設(shè)備的安全。攝像機(jī)其實(shí)是功能比較弱的一個(gè)系統(tǒng)，在這個(gè)系統(tǒng)中，我們通過檢查它是否存在弱口令、端口信息、協(xié)議信息、CPU占用情況等，時(shí)時(shí)記錄并上傳到中心服務(wù)器，通過和中心運(yùn)維管控平臺(tái)的相互配合，及時(shí)發(fā)現(xiàn)終端設(shè)備的安全狀態(tài)，比如有沒有異常流量或者異常端口，然后及時(shí)進(jìn)行聯(lián)動(dòng)或者報(bào)警來保證終端的正常運(yùn)行。

　　在終端還有一個(gè)關(guān)鍵的部分，就是視頻數(shù)據(jù)的安全。

　　很多安防系統(tǒng)或者攝像機(jī)系統(tǒng)里的標(biāo)準(zhǔn)協(xié)議，國標(biāo)也好，還是一些廠家自己的協(xié)議也好，對(duì)視頻的保護(hù)規(guī)定是不足的，完全是以明文狀態(tài)在網(wǎng)絡(luò)中傳輸，這種就很容易被別人截取數(shù)據(jù)，然后通過一些常用的播放軟件播放出來。

　　我們?cè)谶@方面提供了視頻數(shù)據(jù)安全保護(hù)方案。

　　一般來講有兩種手段，一種是對(duì)數(shù)據(jù)全部進(jìn)行加密，不管是信令、還是數(shù)據(jù)、還是傳輸協(xié)議，經(jīng)過加解密設(shè)備直接進(jìn)行加密。這個(gè)方式有一個(gè)弊端，就是必須要成對(duì)地配置加解密設(shè)備，另外它導(dǎo)致數(shù)據(jù)很難識(shí)別，比如說信令相關(guān)的處理其實(shí)是很難的，成本也相對(duì)比較高。

　　還有一種方式就是通道加密，其實(shí)也還是需要進(jìn)行成對(duì)地配置，因?yàn)閿?shù)據(jù)都封裝在通道內(nèi)，導(dǎo)致通用的網(wǎng)絡(luò)流量分析工具很難做到安全的分析，無法準(zhǔn)確的判斷實(shí)際網(wǎng)絡(luò)中的真實(shí)狀態(tài)。

　　宇視采用的是視頻加密的方案，好處是可以正常的信令交互，在交互的情況下不影響系統(tǒng)的兼容性，即使視頻數(shù)據(jù)被非法獲取，仍然可以保證它是安全的，只有在合法的解碼端才可以正常進(jìn)行觀看的。

　　我們的方案在很多的地方應(yīng)用了，比如一些高校和企業(yè)的園區(qū)中都有比較重要的應(yīng)用，也獲得了大家的認(rèn)可。

　　傳輸層安全防護(hù)

　　傳輸層主要給大家分享的是兩個(gè)方案。

　　一個(gè)是準(zhǔn)入方案，信息系統(tǒng)相對(duì)比較成熟，但是應(yīng)用在物聯(lián)網(wǎng)或安防系統(tǒng)當(dāng)中，有一個(gè)不同的地方，因?yàn)榻K端設(shè)備或攝像機(jī)設(shè)備，其實(shí)類似于啞終端，它不像PC機(jī)之類的終端設(shè)備，可以進(jìn)行主動(dòng)地連接，主動(dòng)地配置密碼，所以傳統(tǒng)的方式不太合適。

　　相對(duì)于傳統(tǒng)的方式，也有一些其他的方案應(yīng)用到準(zhǔn)入中來。比如掃描檢測方案，需要通過人工配合，首先掃描到這些設(shè)備，然后通過人工來判定合法性與非法性。當(dāng)然這是解決了一部分的問題，但是它的效率包括整體的安全性相對(duì)比較弱。

　　進(jìn)一步有一些基于防火墻的方案，可以基于設(shè)備的黑白名單來進(jìn)行防護(hù)，也可以配置一定的過濾規(guī)則，比如像IP、MAC特征庫的檢測，這樣也可以做到一些安全的防護(hù)。

　　物聯(lián)網(wǎng)的安全準(zhǔn)入方案除了做到了防火墻方案中對(duì)IP、MAC及端口綁定之外，還做到應(yīng)用的感知，可以識(shí)別安防的接入?yún)f(xié)議，可以感知設(shè)備的狀態(tài)，可以跟前面講的檢測異常等信息相配合，這樣就可以實(shí)時(shí)防控。同時(shí)支持旁掛、串接，防護(hù)的手段更加豐富。在網(wǎng)絡(luò)接入情況下，我們采用的這種準(zhǔn)入方案是比較適合安防系統(tǒng)的一種方案。

　　在跨互聯(lián)網(wǎng)或廣域網(wǎng)接入中，宇視推出了UNP方案，主要解決跨互聯(lián)網(wǎng)企業(yè)跨公網(wǎng)的安防接入要求。

　　跨互聯(lián)網(wǎng)或廣域網(wǎng)接入主要是保證傳輸?shù)陌踩裕硗膺€要保證對(duì)整體的網(wǎng)絡(luò)、系統(tǒng)和結(jié)構(gòu)盡量適合，不做大的改動(dòng)。

　　針對(duì)這種情況，行業(yè)里也有幾種方案。VPN方案，可以做到安全傳輸，但是它有一個(gè)問題，就是當(dāng)系統(tǒng)是已經(jīng)建好的，就可能涉及到IP地址沖突或系統(tǒng)的改造，要提前做一些規(guī)劃，靈活度比較低。

　　還有一種方案是ALG網(wǎng)關(guān)，通過轉(zhuǎn)換協(xié)議，把相關(guān)的信令通過轉(zhuǎn)換來進(jìn)行傳輸。這種方案的現(xiàn)網(wǎng)兼容性差，同時(shí)因?yàn)樗呛唵蔚南?shù)據(jù)修改，它的信令，包括數(shù)據(jù)，大部分是明文傳輸，安全性也很差。

　　宇視的UNP方案同時(shí)滿足了方便部署、安全性高和視頻跨網(wǎng)設(shè)計(jì)的需求。我們針對(duì)安防系統(tǒng)里的協(xié)議做了適配，保證了一定的安全性。這個(gè)方案獲得了中國的專利優(yōu)秀獎(jiǎng)。我們所有的方案都是經(jīng)過了實(shí)踐，真正能解決用戶的問題。我們?cè)谀称放破?S店應(yīng)用已經(jīng)很成熟。目前，在全國有很多的項(xiàng)目在應(yīng)用。

　　管理平臺(tái)安全防護(hù)

　　建議在中心層也是要做到一定的安全防護(hù)。重點(diǎn)是防止非法侵入平臺(tái)主機(jī)和云存儲(chǔ)，防止竊取、篡改、刪除其中的視頻數(shù)據(jù)。

　　在傳統(tǒng)安全防護(hù)層面，仍然推薦采用防火墻、入侵檢測、漏洞掃描、大數(shù)據(jù)審計(jì)等專用防護(hù)設(shè)備組合進(jìn)行外部的安全檢測，這些設(shè)備也要根據(jù)防護(hù)的需求做相應(yīng)的配備來對(duì)整個(gè)中心服務(wù)區(qū)做安全的防護(hù)。

　　安防系統(tǒng)建設(shè)中的服務(wù)主機(jī)也要做安全措施?？梢圆捎枚嗑S防護(hù)手段，包括弱密碼防護(hù)、設(shè)備可疑進(jìn)程檢測和預(yù)警、要有安全的登錄方式，比如采取SSH和HTTPS等方式，以及惡意掃描阻止策略等都需要考慮。

　　在傳統(tǒng)防護(hù)和主機(jī)防護(hù)之外 ，從整個(gè)方案層面也需要進(jìn)行考慮。

　　在主機(jī)層我們實(shí)現(xiàn)了多機(jī)的備份，像雙機(jī)或一對(duì)多備份的快速切換，保證了應(yīng)用服務(wù)的安全。

　　在數(shù)據(jù)存儲(chǔ)方面，使用了安全塊存儲(chǔ)，這是宇視的創(chuàng)新。它是基于視頻流/塊的存儲(chǔ)技術(shù)，因?yàn)樗年P(guān)鍵信息是獨(dú)立存放的，即使獲取到硬盤也無法直接拷貝出數(shù)據(jù)。

　　在存儲(chǔ)方面，我們可以多級(jí)備份、多陣列存儲(chǔ)等，另外支持流量中斷的及時(shí)備份，這些都是我們給用戶提供的系統(tǒng)級(jí)的數(shù)據(jù)存儲(chǔ)安全方案。

　　用戶管理安全

　　在對(duì)服務(wù)防護(hù)的同時(shí)，我們看到其實(shí)很多重要的信息是在用戶側(cè)被泄露出去的。針對(duì)這種情況，我們建議對(duì)用戶做一個(gè)安全管理，可以分為事前、事、中和、事后三個(gè)部分。

　　事前防御階段，在用戶終端接入防護(hù)系統(tǒng)之前做準(zhǔn)入判斷，比如用戶是否合法、相關(guān)配置是否完成、是否存在高風(fēng)險(xiǎn)漏洞。在所有的安全合規(guī)檢查與配置，賬戶檢查、安全設(shè)置規(guī)范檢查等都完成以后，判定它是一個(gè)可以介入系統(tǒng)的終端，才能開始應(yīng)用層面。

　　事中控制階段，我們需要定義授權(quán)范圍，即對(duì)用戶的一些行為或操作做授權(quán)或者管控。比如我要定義用戶能做哪些方面的操作、是否存在非法外聯(lián)的行為、有沒有移動(dòng)硬盤的接入、是否存在錄屏、截屏、拍攝操作、是否有外接USB等這些操作進(jìn)行集中控制，防止信息被泄露。

　　事后審計(jì)階段，我們會(huì)對(duì)所有操作做日志審計(jì)，包括上網(wǎng)行為，對(duì)非授權(quán)外聯(lián)、視頻的存儲(chǔ)、下載和其他操作、文件讀寫操作、即時(shí)通訊、郵件內(nèi)容、文檔操作等行為進(jìn)行審計(jì)，然后進(jìn)行溯源。從而在整個(gè)用戶管理層做到防御、管控、溯源。

　　總體來講，我們對(duì)于安防系統(tǒng)的建設(shè)是從終端、傳輸?shù)椒?wù)平臺(tái)到用戶，做一個(gè)全方位的安全防護(hù)措施。

　　最后想和大家分享一個(gè)觀點(diǎn)，新技術(shù)的發(fā)展，包括5G傳輸、人工智能、大數(shù)據(jù)，區(qū)塊鏈和量子計(jì)算等等新技術(shù)的相互融合，會(huì)促進(jìn)安全系統(tǒng)在安防系統(tǒng)中的應(yīng)用。

　　建設(shè)安全的安防解決方案，構(gòu)建全方位立體防護(hù)體系，要對(duì)業(yè)務(wù)和應(yīng)用具有深刻的理解，同時(shí)運(yùn)用各種前沿技術(shù)不斷完善自己的網(wǎng)絡(luò)安全防御體系。