电信评估风险下网络安全论文

◆基金项目：2015年广东省本科高校教学质量与教学改革工程项目“应用型卓越会计人才培养计划”（项目编号：粤教高粤[2015]133号）◇摘要：会计信息化影响了企业内部控制的方式，COBIT为信息化内控提供了科学的指导。下面是小编整理的《电信评估风险下网络安全论文(精选3篇)》的相关内容，希望能给你带来帮助!

电信评估风险下网络安全论文 篇1：

借贷的前提是信用风险建模！

如果没有信用风险建模的话我们就没有办法做借贷了。我们看美国过去的十五年借贷情况，最大的一块就是抵押贷款。另外，信用卡的份额已经达到了一万亿美金，这是有史以来的第一次。

信用风险已经回到了2009年大萧条之前的水平，尤其是在美国发生的大萧条。那个时候的逾期贷款比例非常高，当然我们并没有风险建模，那个时候有很多风险评估原则都被大家放弃了，因此当时有大量的不良贷款产生，这就是我们说的逆向选择，这里面有一些固有原因。关于金融架构有很多书，比如说《大空头》，讲了大萧条背后的很多原因，幸运的是我们之后有了好的风险评估机制，不良贷款又回到了可以被管理的水平。

FICO信用风险建模简史

讲到美国的信用风险以及其他国家的信用风险，我们要介绍一下FICO公司的历史。FICO在1956年的时候创立的时候只是一个咨询公司，那个时候专门做运营研究，创始人之前在SRI工作。在1958年，FICO发明了信用评分。在七十年代，美国国会推出了公平信用评分法案，法规要求进行贷款评估的时候必须确保信息是准确的，还有另外一个特点就是如果做出拒绝的决策，这个决策必须是可被解释的。1974年的时候推出了平等信用机会法案，必须要公平，给予信贷的时候必须要根据能力评估，不能根據性别或者说种族来评估。FICO在1975年的时候开发了第一个系统来预测现有客户的信用风险。基于他们现在的行为，比如说使用信用卡的行为习惯，对人的信用风险做出评估。1987年FICO公司上市。他们想创建一种商业解决方案，利用神经网络或者说大脑的工作机制来帮助解决问题。在1989年的时候FICO推出了自己的FICO信用评分机制，一个通用型的信用评估机制的首次亮相。现在这个机制已经成为美国通用的为消费者提供贷款的评分机制。

再来说说跟FICO有密切关系的HNC。1992年的时候HNC推出了自己的“猎鹰”软件，用来探测信用卡的违约可能，会评估每个交易，每个信用卡的行为或者说信用卡用户的行为，然后评估信用卡是否是被偷的信用卡，或者说有问题的信用卡。解决方案推广的很快，很快就在行业当中普遍使用。HNC1995年上市，并在1997年推出“PMAX”软件，使用交易触发机制来对每个信用卡账户进行信用评估。在这之前FICO的解决方案基本上提供了一种月度监控机制，在1997年的解决方案里，在每个交易点上，每次和客户接触的时候都会对客户进行信用风险评估。2001年，myFico.com网站上线。这是一个面向消费者的网站，让每个用户了解自己的FICO分数是多少，提供了信用分数的透明性，帮助消费者很好地管理自己的信用分数。

2002年，FICO收购了HNC。2003年FACTA法案通过，强制让消费者可以了解信用部门提供的信用分数，有了更强的信用透明性，让消费者可以看到自己的信用评分。2009年，FICO改成了现在的名字。目前，全球有25亿信用卡受到了FICO评级的保护。

MyFico可以让消费者很好地了解模型里面讲的是什么，输入的是什么，信用分数是基于什么的，比如说基于信用历史。这里提供一个个性化的分数，会考量个人自己的信用分数，让你有机会想一下如何调整自己的行为，从而提高自己的分数，消费者就可以更好地评估风险。

透明性能够让消费者了解信用提供方是怎么样做决策的，上面讲到的政府法规，极大地影响了使用模型的类型。比如说七十年代通过的法案，不管什么时候想要做拒绝的决定，必须要做出解释才行。对于FCRA法案来说，建立了一个线性模型，可以用自己的算法，通过这种线性模式解释为什么做出这样一个负面信用的决策。还有一个法案叫做ECOA法案，不能使用某些信息，比如说刚才说的性别、种族以及宗教信息等等。这些因素不能植入到模型里面，这些信息必须全部刨除出去，但是可以使用邮局邮编信息，可以去将其他维度加入模型。这里面不要求做欺诈检测，可以用一个非线性的模型，而通过FCRA必须解释负面的批贷决策，这里面涉及到一些非常相关的因素。还有一些额外的法律要求，比如说评分必须要根据年龄的变化进行变化，也就是说信贷申请人随着年龄的变化必须要及时更新评分，这里面我们也提供了一些解决方案，比如保序回归。

下面很快讲一下刚才所说的怎么样解释这些负面的评分决策，或者说我们打了不好的分，怎么进行解释。

人们比较关注模型是怎么样来解释的。FICO刚开始设立了一个非常清楚的方法，解释之前说的线性模型，里面有输入的变量，还有相关的一些概率值。所以必须要把这个函数和概率链接起来。你去建模的时候必须考虑到逻辑回归跟概率的关系。为什么一个人会得到不太好的分数，必须要看在这里面变量是如何产生的，什么样的变量或者说因素会贡献负的变量，或者说得分比较低的变量。

首先要去掉这个尺度，因为这是一个线性的模型，在这里不太很必要去掉尺度，但是对于要求解的神经网络来说还是非常重要的。然后减去平均值，然后重新来评估你的评分。分析哪个变量给线性模型贡献的变量是最大的，这里面有可能两个变量是有相互关系的，比如说有收入和成本两个变量，你就知道你的利润等于收入减成本，如果只看收入或者只看成本的话，评估结果可能就是非常不全面的，所以解决方案就是你把所有有意义的可以解释的变量都放入子集里面，根据子集的总量对总模型贡献来进行排序。要构建一个比较有意义的或者是可解释的子集。这是一个关于线性模式的解释。

用模型评估风险，无处不在

对于前面说的非线性的模型，神经网络怎么做的，方法就和线性模型不太一样，神经网络并非依赖于线性的模型，也不是说隐藏节点有很多层，可以是单层的。在这里面输出模型，必须要决定输入量是什么，有两种方法来决定：第一种就是把每个子集的变量全部设置为平均值，如果所有都是平均值的话，新的量要怎么处理，要把新的变量和平均值进行比较，这样的子集会对总分产生一个非常大的变化，可以根据总分变化来排名，这是我们今天用得比较多的模型；或者也可以用单独的模型，每次可以一次删除一个子集，之后构建一个单独的模型，然后再根据单独的模型进行评分，然后再来看在子集里面，哪个变量会产生最大的对于模型变化量的最大的贡献，然后对此进行分析。

我们之前讲了信用风险，除此之外还有其他领域的风险应用，最早是在保险方面用得最多。在七八十年代分析客户风险，你可以知道保险公司在这里面有非常多的应用，有一个人写了一本书《醉汉走路如何影响我们的生活》非常好地描述了风险应用。再比如说电信网络方面，怎么样减少风险、评估风险，电信网络会不会有一些故障等等，根据一些标签很少的数据集，我们用无监督的学习方法来评估里面的风险，所以说在这里面必须要构建一个比较好的模型。我们现在也用人工智能去解决，比如说网络安全等等方面的问题，比如说黑客攻击等等，必须要做一些渗透测试以及怎么从网络当中提取信息，这些都是我们做风险建模的时候可以做非常多贡献的地方。技术问题非常有意思，有的时候数据没有做标签，你不知道网络是否被入侵了，我们要做平衡，有标签和无标签，有监督和无监督必须要有一个平衡。我们一直讲深度学习，有一个朋友领导了一个团队，他们在社交媒体上很有名，他們的很多视频、音频或者说图像，有的时候一些内容不太健康，黄色内容或者说暴力内容，他们的挑战在于说要用人工智能来识别这些视频，一旦视频上线的话，这会影响到他们的声望，因此他们用深度学习机制来识别这些视频图像。他们建立了这样一个数据库，数据库里面都是不健康的上传内容，利用数据库来对人工智能进行训练。

* 作者系美国费埃哲（FICO）原首席科学家；大数据进行风险决策领域的世界级领军人物。拥有超过20年的分析，模型，数据挖掘，机器学习的经验。早年作为核心建模成员，开发了美国费埃哲（FICO）的Falcon反欺诈系统（目前在北美市场有接近100%占有率）。拥有美国费埃哲12年履职经历，曾历任研发中心高级副总裁（领导了年销量超过1亿美元的反欺诈类产品线的研发和产品化）；首席科学家（领导费埃哲研发部，推动新兴领域基于数据模型进行决策管理的创新，建立了费埃哲的核心知识产权库）等核心职位。并在信用风险，反欺诈，营销，数据传输等领域拥有超过20项核心技术专利。Milana拥有康奈尔大学（Cornell University）的本科，以及纽约州立大学石溪分校（Stony Brook University）的博士学位。

● 本文由智慧金融研究院、拍拍贷授权；原题方向为“风险信用模型的历史和展望”，为最大程度保障文本精华、原意，以及阅读需要，本刊仅做题目及内容分层进行编辑。

作者：Joseph Milana PhD

电信评估风险下网络安全论文 篇2：

会计信息化下COBIT框架对企业内部控制的影响

◆基金项目：2015年广东省本科高校教学质量与教学改革工程项目“应用型卓越

会计人才培养计划”（项目编号：粤教高粤[2015]133号）

◇

摘要：会计信息化影响了企业内部控制的方式，COBIT为信息化内控提供了科学的指导。本文从会计信息化对企业内部控制的作用和风险两方面，进一步引出COBIT框架对企业内部控制的具体影响。

关键词：会计信息化 内部控制 COBIT

进入21世纪以来，信息化的浪潮席卷了各个领域，包括会计职能的发挥。其中，会计信息化除了体现在会计核算从手工做账转变为电子形式，极大地提高了会计工作的效率和质量之外，财务软件、ERP、XBRL等技术的发展更多的是对会计管理职能的拓展和巩固，特别是对企业内部控制的建立和执行有了长足的影响。

我国内部控制的发展经历了漫长的阶段，是在总结我国企业管理实践经验、借鉴国际先进成果的基础上形成的。其中，《企业内部控制基本规范》第四十一条指出，企业应当利用信息技术促进信息的集成与共享，加强对信息系统开发与维护、访问与变更、数据输入与输出、文件储存与保管、网络安全等方面的控制，保证信息系统安全稳定运行，充分发挥信息技术在信息与沟通中的作用。因此COBIT框架作为目前国际公认的最先进、最权威的安全和信息技术管理和控制的标准，开始成为信息系统内部控制的重要保障。COBIT综合了包括COSO报告在内的内部控制标准，并将之嵌入企业信息化工作流程，从而将企业战略目标和业务目标落实到作业执行过程中，通过控制过程作业活动达到控制业务活动，实现战略目标。因此，相比较COSO报告等具有导向作用的内部控制标准，COBIT更具体，对会计信息系统内部控制点的设置具有直接的指导意义。

一、会计信息化对企业内部控制的影响

会计信息化由会计电算化演变而来，从最开始借助机器的精密运算程序来弥补手工计算的复杂和失误，到现在逐步运用于管理信息系统，比如企业内部控制框架的建立和执行，其中存在着丝丝缕缕的必然联系。会计信息化能使得内部控制的八大要素通过数据构建的手段紧密结合起来，并在各大关键点设立互通机制，让信息与沟通不再堵塞、延迟甚至错乱；而健全的内部控制则保证了在人的主观能动性基础上，发挥出信息化的强大覆盖力及执行效率。然而，有利即有弊，在我国内部控制初步发展阶段，过快的步入信息化进程同样可能导致二者相互制约。其作用与风险具体表现为：

（一）会计信息化对企业内部控制产生的作用

1.会计核算结构优化，组织职能发挥强效。财务软件、ERP等信息系统的使用不仅使会计部门的机构设置变得更为精简高效，同时使每一位财务人员参与到数据处理的管理系统中来，实现了权利与义务的统一。在流畅的数据互通中，登录权限的设置与模块的分工充分体现了内部控制中的职责分工、授权审批等制度，同时也满足了治理层履行其监督职能的需求。

2.保证了会计信息的真实、完整与准确性。目前我国企业会计信息失真现象普遍，一方面是管理层舞弊等有意为之，因此账外设账，藏匿、修改、毁损凭证账簿的手法层出不穷；另一方面是手工运算与信息传递产生的失误也时有发生。而信息技术的运用则有效解决了这些问题，一方面是各类权限的设置具有高度保密性和监督功能；另一方面，数据的运算基本可实现零失误，并且系统间的信息传递速度也只在一“指”之间。同时信息的相互关联性可进行实时的检查与稽核，保证授权的合理与执行以及失误的预警与弥补，从而保证了每一笔会计信息的及时录入，真实反映，准确核算。

3.激发了内部控制作用的外延。信息化会计较传统会计增加大量工作，例如：远程报表 、网上支付、网上报税等。所以，会计信息化条件下的内部控制范围也相应扩大，如网络系统安全的控制、系统权限的控制、会计信息资料的安全保护、计算机病毒防护、计算机操作管理、系统开发与维护等，都成为会计信息化条件下内部控制的内容。

（二）会计信息化对企业内部控制产生的风险

1.我国内部控制的建设与信息化进程的不匹配。从我国内部控制发展的历程来看，一直是在借鉴国际研究成果的基础上结合国情作出的调整和创新，这就决定了我国企业在建立内控制度上起点过高而后劲不足。因此，在新的会计信息化环境下，很多现存的制度和机制已无法适应发展的要求，加速建立健全会计信息环境下的内部控制制度和相应的管理机制显得迫在眉睫。从现实来看，一方面表现为我国会计信息系统开发机构与技术都欠成熟，而复杂的市场经济形势导致各企业甚至各部门的诉求远超设定，比如庞大数据库的建立就已经很困难了，需要前期投入大量人力物力财力。另一方面，国外的经验并不适用于我国企业内控的建设，如果盲目追求与国际接轨使得信息系统的使用不能构造畅通的渠道，甚至数据对接出现问题的话，结果可能导致我国在内部控制建设上出现严重偏差，企业也极其容易因为信息不畅导致决策失误加大经营风险。

2.信息安全得不到保障。在采用了信息系统的内部控制管理体系里，其五个关键控制点：开发与维护、访问与变更、数据输入与输出、文件存储与保管、网络安全都容易比传统手工控制产生更多的安全风险。比如，研发技术不当会使得信息系统不能与企业内控制度兼容，或者是产生安全漏洞导致黑客攻击从而泄露商业机密；权限设置不严密使得信息被随意篡改，授权审批等控制活动流于形式；数据存储与交互、备份与恢复等功能不全导致数据丢失；对系统程序的缺陷或漏洞安全防护不够，无法保障信息安全；对各种计算机病毒防范清理不力，导致系统运行不稳定甚至瘫痪等。

3.工作人员的综合素质有待加强。由于是在信息化条件下建立的内控制度，许多环节忽视了人的作用导致大部分决策是机器分析的结果，而没有人的思考与判断，容易滋生偷懒思想，抑制工作积极性，因此需要协调好人工与自动化成分在整个内控系统中的关系。另外，体现最明显的就是专业胜任能力方面，现在的财务人员除了要掌握会计基础知识，还必须熟悉甚至精通信息技术相关要求，才能达到在专业指导下去执行和完成信息系统分配的职责，不然不仅不能提高工作效率，反而还会造成操作不熟练、权责分配不清、监督失效等问题。

二、会计信息化下COBIT框架的建立及对企业内部控制的影响

（一）COBIT概念及其框架和发展

COBIT （Control Objectives for Inform ation and related Technology信息及相关技术控制目标）是由信息系统审计和控制协会（ISACA）下属的 IT治理研究院（ITGI）发布的 ，旨在为 IT 的治理、安全和控制提供一个普遍适用的公认的标准，以辅助企业管理层进行IT治理。1996年COBIT体系作为一个审计框架而被提出，经历了多次调整，直至2012年推出COBIT 5.0，是目前最新的研究成果。COBIT 5.0在借鉴了前面系列框架的基础上，被定位为IT治理与IT管理框架，不仅仅为IT治理框架，更加符合了COBIT的实际应用。

简要来说，COBIT 框架的IT过程就是在IT总体控制目标的导向下，对组织的信息化归纳为34个IT处理流程，在控制目标的确定上，COBIT 将管理活动分为4个领域：计划与组织、获取与实施、交付与支持、检测和评价，针对34个IT处理流程进一步进行分解，确定了210个具体的控制目标，在梳理控制目标的基础上，对每一控制目标的实现建立详细的管理策略等，在对业务目标分解和控制具体目标确定的基础上，COBIT又形成了管理指南，使得COBIT 的可操作性大大提高。利用成熟度模型，可以对组织目前所处的 IT 环境进行判断，同时，在管理指南中详细地叙述了每个过程的成熟度模型——浑沌状态的0级到优化的5级、KGI、KPI以及要达到 KGI的 “重要成功因素”CSF。同时，还给出了与这个过程密切相关的IT资源，以及信息判据中哪些特征最为重要和比较重要。在文件“详细控制目标”中，则按照34个IT 处理流程逐一给出“详细控制目标”。最后，COBIT还包括“信息系统审计指南”，构成比较复杂，包含了“审计道德要求”“信息系统审计标准”“信息系统审计指南”“信息系统审计过程”等子文件。

（二）COBIT框架对企业内部控制的影响

COBIT框架在对信息化目标进行分解过程中，能够有效地平衡企业效益实现、风险水平和资源使用的关系，能为各个层级提供治理或管理需要。如对COSO框架中的内部控制体系进行补充，则可为管理层在信息不对称的IT环境中权衡风险与投资关系，使用者随时获取信息安全与控制保证，审计人员证实其对企业内控整体的评价与建议等方面发挥极大作用。

1.统筹IT控制目标和内部控制目标。在COBIT模型中，企业在对信息进行控制时，将IT资源、信息准则、IT过程与企业目标或策略结合起来，形成一个三维立体结构。而内部控制框架同样通过四目标、八要素、三主题构成，通过对二者的对比可发现，如果将内部控制目标与IT控制目标进行目标级连，自定义COBIT以适应内控需求，则可将高级的内控目标转化为易管理的、指定的IT相关目标并映射到具体的内控流程和实践。其全覆盖率、高兼容性、整体联系性使得在各内控目标指导下能够合理配置IT资源，准确有序完成业务过程，高效评估风险，实现各利益相关者的信息需求。

2.从战略层面考虑企业内部控制体系设置。会计信息化下内部控制的变化不仅仅体现在财务软件、管理信息系统的运用，更多的是让信息化的管理意识及其操作流程贯穿于所有生产、经营的场所与人员。由此，企业应该从战略角度上进行企业内控体系的设置。结合COBIT框架，确定每个内部控制过程的控制目标 、涉及到的IT资源、过程成熟度指标、监控和评价标准。在区分管理与治理的基础上，根据业务需求，治理层对管理层进行评估、指导、监控，做好基于内部控制的IT绩效评价，分析成功经验为下期做好借鉴；管理层负责计划、构建、运营与监控，并及时对治理层进行管理反馈；具体业务执行者在这四个领域里按照IT资源的分配完成相关流程，并需注意为企业内控建设创造合适环境，识别难点与触发事件，采用生命周期方法进行缺陷的发现与弥补。

3.在风险管理方面的应用。COBIT框架设计了详细的信息流通路径，企业可以根据具体经营情况，梳理业务流程节点，建立起风险控制机制。首先，可以采用COBIT中的风险衡量（定性分析法）对风险进行评估，通过对风险级别的衡量，管理层可以在投资决策上进行更多的分析，保证资产的安全性，并通过预警机制及时处理突发情况。其次，参考 COBIT的“IT风险评估及管理”模块，为每个风险制定潜在控制措施列表，实施控制措施后建立风险等级对比表 ，以评估风险降低程度和解决方案的成本，选择风险缓解方案。最后，启用C0BIT的“确保系统安全”程序，管理层应时刻关注信息数据的完整性、准确性、有效性和相关授权来保证用于财务报告和相关披露的信息的质量和完整性。同时通过审计人员的评价确定内部控制的有效性，并加强内部监督的作用。要求企业建立一套完整的安全事故监控和反应制度，及时报告安全事故、安全弱点、软件故障，妥善处理后归档保存。

综上所述，会计信息化为企业内部控制的建设和发展带来了深远的影响，但无论利弊都是生产力发展到一定阶段的必然结果。为了取长补短，由此产生了COBIT框架与内部控制框架的有效结合，从而优化了信息系统内部控制的科学性和严谨性，可为我国大部分企业提供有效借鉴，加快会计信息化下我国企业内部控制的进程，并保障其健康、有序地发展。Z

参考文献：

[1]钟红英.基于COBIT的会计信息系统内部控制研究[J].财会通讯·综合（上） ，2009，（8）.

[2]张喜娟.会计信息化内部控制与有效实施[J].信息技术，2011，（7）.

[3]罗灿姬.会计信息化与内部控制[J].沿海企业与科技，2012，（02）.

[4]李强.COBIT框架下的会计信息系统内部控制初探[J].当代经济，2010，1月（下）.

[5]陈亚娟.IT环境下COBIT在内部控制中的应用[J].Commercial Accounting ，2011，（14）.

[6]谢羽霄，邱晨旭.基于COBIT框架的电信企业信息技术内部控制体系研究[J].电信科学，2009，（7）.

作者简介：

何萍，女，广东海洋大学寸金学院会计系，主要讲授审计学、内部控制等课程。

作者：何萍

电信评估风险下网络安全论文 篇3：

家用智能摄像头的网络安全问题及应对策略分析

摘  要：家里安装一个摄像头，手机上安装一个移动APP，就可以远程查看家里的情况了，十分方便。现代家庭中，智能摄像头已经日趋普及。通过手机上的移动APP，可以随时查看老人在家的安全状况，保姆带娃的尽责状态以及有没有小偷进入等，不少人把这些智能摄像头看成“家庭安全盾牌”。本文主要分析家用智能摄像头的使用安全风险和应对措施。

关键词：智能摄像头;智能家居;网络安全

Analysis of Network Security Problem of Home Smart Camera and

Its Countermeasure

BAO Min

（Nanan District Division of Chongqing Municipal Public Security Bureau，Chongqing  400060，China）

0  引  言

家用摄像头多为智能摄像头，指不需连接电脑，直接使用Wi-Fi联网，配有移动应用，可以远程查看家里的情况，集语音通话、视频分享、远程操作监控视角、报警等功能于一体的一类产品的总称。智能摄像头由镜头、声音傳感器、图像传感器、图像、声音、控制器网络服务器、A/D转换器、外部报警、控制接口等部分组成，是网络视频技术与摄像机相结合的新一代产品。目前，市场上的智能摄像头品牌较多，市场口碑较好的国外品牌如安讯士、D-Link、松下，国内品牌如宁泰、海康威视都还不错。

1  家用摄像头的安全现状及原因分析

1.1  安全现状

2017年6月18日，有媒体报道称，大量家庭摄像头遭入侵，有人借此非法牟利。据调查，目前市面上的很多摄像头极易被破解，他人可以随意偷窥家庭隐私。通过在社交平台搜索相关关键字，找到了许多关于“摄像头破解”的通信群组，一些网民会在群聊中时不时地发送一些短视频，号称这是别人家摄像头记录的画面。根据买家提供的使用教程和IP账号，在播放器中输入IP地址、登录名、密码后果真进入了一个摄像头，画面正对一个客厅。

国家市场监督管理总局产品质量监督司组织开展了智能摄像头质量安全风险监测，共从市场上采集摄像头样品40批次，根据GB/T 22239-2008《信息安全技术信息系统安全等级保护基本要求》等标准要求，对弱口令校验、身份鉴别、访问权控制、操作系统更新、恶意代码安全防护、信息泄露、数据传输加密、本地存储数据保护等项目进行了检测。检测结果显示，32批次样品存在质量安全隐患。最终，经评估风险专家评估认定，受测智能摄像头产品的风险等级为高等风险，很有可能让使用者家庭的室内活动被偷窥甚至直播。这个消息一经发布，不少市民都感到吃惊与愤怒。被民众视为家庭安全盾牌的智能摄像头却沦为隐私泄露漏洞，这让民众的安全体验感严重下降。智能摄像头的漏洞不仅泄露个人隐私和敏感信息，也危害互联网的安全。黑客攻击引发互联网大规模瘫痪的事件在美国和欧洲一些国家时有发生。

1.2  安全隐患背后的原因

根据现在的调查结果和攻击情况来看，智能摄像头目前存在的安全隐患主要有以下几个方面：

（1）弱口令。业内专家发现，黑客破解摄像头主要依靠扫描器，用厂家预设的用户名和密码等弱口令进行大范围的扫描，如user、admin、root之类常见而简短的密码。国家互联网应急中心在市场占有率排名靠前的摄像头品牌中随机挑选了两个品牌，进行弱口令漏洞分布盲测，结果检测出十几万个弱口令漏洞。可以说，口令是智能摄像头安全防护的第一道和最直接的防护措施。弱口令成为危害家庭摄像头安全的头号隐患。

（2）系统安全防护功能缺位。很多家用的智能摄像头由工业摄像头演变而来，相较于安全性，厂商更加注重功能性及用户体验;加之国内市场价格竞争激烈，安全成本对产品的竞争力的影响不可小觑，部分山寨厂商在利润的驱逐下甚至直接忽视安全因素，成为国内智能设备在安全方面乱象层出的主要原因。

南昌大学信息工程学院教授徐子晨指出，每一台智能摄像头都可以被称为是一个电脑，但是因为智能摄像头专注于摄像这个功能，那么它就把很多交换机里面必要的模块去除了，其中一个很重要的部分就是网络安全检测，或者防范攻击防火墙的功能。一般我们家庭网络里面的防火墙又做得比较初级的情况下，黑客是很容易通过扫描IP或广播的方式找到易受攻击的摄像头。

（3）数据传输和存储未进行加密。根据要求，摄像头与接收终端的通信过程应当进行数据加密，并且明文传输。现在的网络服务安全方面，除了用户自己的用户名和密码之外，服务提供商也会对用户的信息和数据再加密一次，防止黑客暴力破解用户密码后直接获取到相关数据。而目前市场上的很多智能摄像头，虽然要求通过扫描二维码等方式绑定手机，摄像头的设备绑定具备了一定的强度;但是因为采用了未加密的数据传输方式，导致存在极高风险的安全漏洞。质检总局对外公布的调查报告显示，40个批次的样品中有28批次数据传输没有加密！因此，即便很多用户设置了复杂的用户名和密码，家用摄像头仍然容易被暴力破解和控制。

杂牌机在这方面几乎是不设防的。对于这样的设备，不管用户使用多么复杂的密码，只要黑客愿意，通过密码库、暴力破解等方法解开密码其实并不困难。但对于数据单独加密的摄像头来说，破解了用户的登录密码也无法获得摄像头的监控权，就拿某个品牌的摄像头来说，用户通过摄像头录制在手机、电脑甚至是云端的视频都会经过严格的加密，而在用户访问摄像机时，后台也会启用动态密码，防止陌生人盗用，并且用户也能够再单独设定一个访问摄像头的密码，可以说做到了全方位的保护。

（4）身份认证机制缺失。有些智能摄像头的移动应用账号认证系统设计不规范，缺乏身份认证机制，随便输入一个手机号都能够注册账号，进而通过这个账号绑定同一品牌下所有的智能摄像头，横向越权查看所绑定摄像头的视频。由于没有身份认证，会给不法分子以可乘之机，而且发现安全问题后，对于侵入行为无法溯源，也很难追究其法律责任。

（5）其他原因。360攻防实验室发布了《国内智能家庭摄像头安全状况评估报告》，报告发现导致智能摄像头存在安全隐患的原因主要集中在：用户隐私泄露、无人机识别机制、多数智能设备可横向控制、未加密数据传输、未对客户端进行安全加固、代码逻辑设计缺陷、存在硬件调试接口、未对启动程序进行保护和没有远程更新机制这9大风险。另外，路由器的安全问题也是家庭网络安全的重要节点。一旦路由器的密码被攻破，对于黑客来说家里所有连接路由器的设备都“唾手可控”。所以，路由器的安全防护也涉及智能摄像头的安全，同样不可小觑。

大家同样要非常注重路由器的安全，一定要修改admin这样的登录密码，还可以关闭无线广播功能，这样其他用户就不能搜到你的路由器了，安全性可以大幅提升。

2  安全防护措施

智能摄像头无疑为我们的生活带来了极大便利，因噎废食大可不必。我们应当如何安全地使用家庭摄像头呢？笔者认为主要可以从以下几个方面来加强防护安全。

首先，选择正规品牌的摄像头产品，切勿购买“三无”产品，并注意相关部门发布的产品质量信息。购买产品前应仔细辨别相关产品是否具备身份认证机制等安全防护程序。同时，在安装的过程中要慎重考虑厂家关于收集、保存和使用用户信息的要求。市场上的智能摄像头质量参差不齐，消费者应综合选择安全防护性高的品牌，从硬件上保证安全防护的底线不被突破。

其次，设置安全密码，及时更新智能摄像头操作系统版本和相关的移动应用，养成定期杀毒的好习惯。专家建议用户在启用智能摄像头前要做的第一件事就是修改密码，而且要定期进行更换。同时及时地更新最新补丁及固件，养成定期查杀病毒的好习惯。

再次，应经常登录摄像头进行查看，摄像头切勿正对卧室、浴室等私密区域，如发现摄像头的角度发生变化，就需留意账号安全。另外，要随时关注手机移动应用软件的提醒。如果绑定的手机收到了验证码短信，应及时修改密码。

最后，应制定家用智能摄像头的安全信息标准，推动厂家提高产品的信息安全防护能力，这才是从根本上解决家用智能摄像头安全的关键所在。目前，我国还没有针对家用智能摄像头的行业标准，呼吁政府部门推动行业协会先行制定行业标准，并尽快制定强制检查制度。在此之前，监管部门应该加强对智能攝像头的质量安全监管和曝光力度。

3  智能摄像头安全法律分析

3.1  现行法律分析

从现行的法律法规来看，并没有针对家庭智能摄像头安全设置专门的法律规定，但在现行的法律框架内还是有法律依据可循。

3.1.1  行政责任

暴力破解智能摄像头账号和密码并在网上公开出售的行为涉嫌非法获取、出售公民个人信息、散布他人隐私，可按照《中华人民共和国治安管理处罚法》第四十二条的规定按情节做出罚款或拘留的处罚决定。

制作、传播和出售从摄像头中获取的隐私视频牟利，可按照《中华人民共和国治安管理处罚法》第六十八条的规定做出罚款或拘留的处罚决定。

3.1.2  刑事责任

（1）侵犯公民个人信息罪。破解获取智能摄像头账号和密码并出售的行为，涉嫌侵犯公民个人信息罪。根据《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》第一条的规定，明确账号密码和行踪轨迹属于公民个人信息，非法获取、出售或者提供50条以上即涉嫌构成侵犯公民个人信息罪。根据《中华人民共和国刑法》第253条的规定，违反国家有关规定，向他人出售或者提供公民个人信息，情节严重的，处三年以下有期徒刑或者拘役，并处或者单处罚金;情节特别严重的，处三年以上七年以下有期徒刑，并处罚金。窃取或者以其他方法非法获取公民个人信息的，依照第一款的规定处罚。

（2）传播淫秽物品罪和制作、贩卖、传播淫秽物品牟利罪。对于非法侵入家用智能摄像头并截取摄像头中的性行为视频进行制作、传播的，涉嫌构成传播淫秽物品罪;如果传播者因此牟利，将涉嫌构成传播淫秽物品牟利罪。《中华人民共和国刑法》第三百六十三条、第三百六十四条和《关于办理利用互联网、移动通讯终端、声讯台制作、复制、出版、贩卖、传播淫秽电子信息刑事案件具体应用法律若干问题的解释（一）》《关于办理利用互联网、移动通讯终端、声讯台制作、复制、出版、贩卖、传播淫秽电子信息刑事案件具体应用法律若干问题的解释（二）》和《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》等相关司法解释，具体明确了上述违法犯罪行为的构成要素。

3.2  可行性法律分析

对于守护智能摄像头安全的第一道防线的摄像头生产厂家和销售商家，国家相关部门应该尽快制定出台相应的物联网安全技术标准和强制性要求，明确智能摄像头必须具备健全的身份识别模块、系统安全防护功能、存储和传输数据加密功能等基本安全措施，以便进行安全测评和认证。同时，制定相应的法律法规，对于明显不符合安全标准的产品，责令停止生产和销售;对产品存在的安全缺陷和漏洞等风险未及时采取补救措施或未按照规定及时告知消费者和相关部门的，由主管部门对涉事企业采取责令改正、责令召回、罚款、停业整顿或吊销营业执照等行政处罚措施。

4  结  论

智能摄像头作为防卫网络安全的重要组成部分，其安全至关重要。综上所述，鉴于现行法律法规只有笼统规定，行政管理部门无法对智能摄像头的安全进行有效监管;同时，现行的法律法规也无法为行政管理部门和司法部门提供执法依据。尽快制定和出台针对智能摄像头的安全技术标准和专门性法律法规，明确行政管理部门的管理职能和司法机关的执法依据已经迫在眉睫。

参考文献：

[1] 李俊艳.电信运营商业务平台安全防护体系规划 [J].信息技术与信息化，2017（Z1）：18-21.

[2] 张国华.主机数据泄露防护技术研究 [D].南京：南京大学，2012.

[3] 张文礼.质检总局发布智能摄像头质量安全风险警示 [N].中国质量报，2017-06-19（第2版）.

[4] 冯松龄.八成智能摄像头样品存安全隐患 [N].中国消费者报，2017-06-21（第1版）.

[5] 李晓磊.“智能摄像头”破解调查：偷窥隐私已成利益链 [J].法治与社会，2017（9）：62-64.

作者简介：鲍敏（1982-），女，汉族，山东人，警务技术一级主管，法律硕士，研究方向：民商法方向。

作者：鲍敏