近年来，中国视频会议产业随着国家相关政策的引导及互联网经济的发展日驱成熟，产业链向着更加多元化、精细化方向发展，视频会议产业生态日渐完善。在传统的硬件视频主导先行的发展大背景下，随着企业端为适应云化环境而设置的相关部署及软硬件配套升级，“云视频”成为该行业领域未来的发展的必然趋势。

　　随着视频会议行业的不断蓬勃发展，“云视频”技术的应用场景不断延伸至教育、医疗、党建、金融、税务等多新兴领域，诸如”双师课堂、智能医疗、远程会诊、基层减负、智慧党建”等具体细分领域发展迅猛。一方面，云视频技术的不断更迭和发展支撑着多维度细分场景的逐步实现，另一方面，产业的发展和细分行业参与者的不断参与也促使云频各细分领域技术的发展日趋成熟。

　　相较于传统视频会议系统，云视频诞生于“互联网+”时代，具备更加优秀的技术基因，具有成本较低、架构灵活、处理高效等方面的巨大比较优势，也因此可将技术纵深至更加垂直、细分的应用场景中。不可否认的是，云视频技术的便利性及高迭代等特点也对于视频会议行业在“数据安全性保护”和“个人数据隐私性保护”等方面提出了更高的要求，针对诸如网络攻击、恶意窃取、信息拦截、信息监听等关键风险点的前置防范及安全预警能力要求较高。

　　近日，Seraph网络安全实验室发布“2020中国视频会议行业网络风险报告”（以下简称“报告”）。报告通过对国内视频会议行业的调研，分析当前视频会议行业的整体安全状况、应用弱点、主机漏洞。通过翔实的数据，展示行业面临的潜在系统性风险，并提出相应的处置建议。

　　报告发现

　　视频会议的使用场景更加广泛，视频会议行业面临的风险压力倍增，其中大型视频会议厂商面临的互联网风险更为严重。从安全漏洞统计来看，小型视频会议厂商受网络安全风险威胁相对较小。60% 的视频会议厂商使用了公有云服务，主要以阿里云和腾讯云为主。云服务在视频会议行业整体互联网服务中占比较高。采样视频会议厂商中共发现，所有主机资产存在1181个 CVE 高危安全漏洞， 其中数量最多的是“SSL采用中等强度加密（SWEET32攻击）”。采样视频会议厂商中共发现，所有Web资产存在385个高危安全漏洞， 其中数量最多的是“XSS跨站脚本攻击”。

　　CVE漏洞分布

　　数据标签分别为：编号，数量，占比

　　视频会议行业安全数据概况

　　Seraph安全实验室对58家视频会议行业厂商的互联网资产和面临的网络风险进行了重点分析，共采集视频会议行业共计2928个互联网资产，其中域名404个，IP地址428个，端口2096个；网络风险共计7762个，其中包括Web高危漏洞385个，Web中危漏洞2932个，Web低危漏洞1825个，主机紧急漏洞116个，主机高危漏洞296个，主机中危漏洞2208个。

　　2020年视频会议行业网络安全风险概况

　　根据上表可知：①视频会议行业网络安全风险状况不容乐观；②Web应用高危漏洞和主机高危漏洞两者危害较大而且数量存在漏洞数量很多；③Web中危漏洞和主机中危漏洞的数量最高，虽然风险会比高危漏洞小但是可能会对生产环境造成巨大影响。网络风险依旧严峻，要自始至终坚持安全防范意识，逐步采取全面、可行的安全防护措施，把安全风险降低到最小程度。

　　视频会议行业互联网资产分析

　　2020年视频会议行业云服务厂商统计

　　视频会议行业有 60% 的资产进行了云迁移部署在云服务商上面，其中有529 个互联网资产部署在阿里云上，是视频会议行业中所使用云服务厂商最多的，这与其全国性的业务范围和云服务商能力有一定关系，国外云服务商beget拥有2 个视频会议行业互联网资产。视频会议行业使用阿里云服务商云迁移比例最高为 72%。

　　Web应用安全漏洞详细说明

　　2020年视频会议行业Web应用高危漏洞统计

　　2020年，视频会议行业评估的厂商中，对视频行业厂商404个域名资产进行安全漏洞检测，共发现中危漏洞CSRF1316个、信息泄露1071个、程序版本漏洞252个、拒绝服务84个、容器漏洞51个、TLS漏洞48个、配置不当41个、注入26个、SSL漏洞20个、XSS跨站脚本17个、URL跳转漏洞2个、代码执行2个、未授权访问2个，总共2932个。

　　报告建议

　　1. 视频会议行业已经具有国家关键信息基础设施的属性，并将在未来一段时间内发挥更加重要的作用，且具有非常高的成长性，需要得到额外的关注和保护。

　　2. 视频会议行业的爆发迅猛，在强调功能和易用性的同时，安全和个人信息及隐私的保护也需要额外得到关注。

　　3. 热点行业向来会招致攻击者的青睐，近期不断爆出的视频会议行业内安全事件，说明攻击者已经开始有所侧重，因此行业安全联盟和信息共享机制需要尽快建立和完善，以应对抗攻击者带来的潜在风险。

　　4. 视频会议服务提供商、国家监管机构和安全服务供应商，三者通力配合才能保证视频会议行业的快速、安全、健康的发展。

　　视频会议服务作为疫情条件下，有效缓解交流场景的支撑技术，已经具有重要基础设置的属性和特征。因此会控系统及会议支撑资产的安全性，成为必须面对的迫切问题。如何让视频会议服务更安全，需要整个生态系统的共同努力，报告希望在这个重要的时间节点，提醒大家关注行业安全。报告分为官方该要版和技术研讨版，本次发布的是官方概要版，以统计、分析、趋势、建议为主，不包含详细的技术细节内容。如需要详细技术探讨，请与Seraph实验室取得联系。Seraph安全实验室，隶属于北京云科安信，主要提供安全能力输出。