點(diǎn)擊「華安泰智能」可快速關(guān)注

微信號：VIKOR_CHINA

關(guān)于某安防產(chǎn)品“棱鏡門(mén)”

近段時(shí)間，安防界炒得沸沸揚揚的安全漏洞事件，實(shí)際上在2013年便已經(jīng)爆發(fā)，但此事在爆發(fā)之時(shí)并未受到一些廠(chǎng)家重視，按照廠(chǎng)家在15年2月份給出的聲明，2014年便已在做相關(guān)措施，但并未對已銷(xiāo)售的產(chǎn)品進(jìn)行公告或者主動(dòng)聯(lián)系經(jīng)銷(xiāo)商及用戶(hù)以解決問(wèn)題，導致該事件持續發(fā)酵，從而釀成整個(gè)行業(yè)人盡皆知的嚴重事件，造成用戶(hù)重大損失。

分析造成事此件的原因，可以使我們更了解信息安全的重要性，對安防行業(yè)廠(chǎng)家也是一個(gè)警鐘。造成目前狀況的原因，很多人都在做“高大上”的分析，但很多都因為太過(guò)學(xué)術(shù)性非行業(yè)人士難以讀懂，以大白話(huà)方式分析大致有以下原因：

1、 事件發(fā)生之初在2013年11月，某品牌在已經(jīng)了解漏洞存在，到所有出貨至出面來(lái)解決這個(gè)問(wèn)題已是2014年3月，用了差不多4個(gè)月時(shí)間，這么長(cháng)時(shí)間的周期，反應速度明顯過(guò)慢，從而導致2015年初爆發(fā)成社會(huì )性問(wèn)題。

2、 在解決了出貨問(wèn)題之后，并未對已銷(xiāo)售產(chǎn)品進(jìn)行召回升級或者通知消費者及經(jīng)銷(xiāo)商以解決漏洞問(wèn)題，導致用戶(hù)一直冒著(zhù)信息泄漏及設備無(wú)法正常工作的風(fēng)險在使用，并且直接導致后來(lái)問(wèn)題的大規模爆發(fā)，這說(shuō)明某品牌雖然已經(jīng)成為安防界的龍頭老大，但對于產(chǎn)品信息安全的意識以及用戶(hù)利益保障方面，并未達到與其行業(yè)地位和規模匹配的高度，危機攻關(guān)也有滯后。如果在歐美國家對信息安全比較敏感的國家，可能早就有用戶(hù)集體索賠到傾家蕩產(chǎn)。

3、 工程商集成商的安全意識較為淡薄，如果在安裝之后及時(shí)將設備原來(lái)的弱口令進(jìn)行更改，這個(gè)問(wèn)題也不會(huì )產(chǎn)生，這也表現出國內工程商與集成商的網(wǎng)絡(luò )監控知識有待深入了解與提高。

4、 部份用戶(hù)安因不了解產(chǎn)品導致表面的安全意識弱，這當然也與廠(chǎng)商、經(jīng)銷(xiāo)商及工程商和集成商的培訓與引導有關(guān)系。正常情況下，如果從產(chǎn)品設計與用戶(hù)在使用過(guò)程中都了解到弱口令的弊端有可能會(huì )避免。

綜合以上幾點(diǎn)，我們看到，在廠(chǎng)商、經(jīng)銷(xiāo)商、集成商、用戶(hù)四個(gè)環(huán)節對安全的控制，環(huán)環(huán)缺失，從而導致該問(wèn)題大面積爆發(fā)。信息安全問(wèn)題，在安防領(lǐng)域已成為一個(gè)刻不容緩的嚴重問(wèn)題，如果再不得到重視，將導致嚴重損失，國內安防行業(yè)必將受到嚴重打擊。對于預防該類(lèi)問(wèn)題再次出現，我們需要多方努力，提高從業(yè)人員及用戶(hù)的安全意識，具體措施可以按以下幾點(diǎn)：
1、 廠(chǎng)家對經(jīng)銷(xiāo)商、集成商需要多宣傳信息安全問(wèn)題，做相關(guān)的信息安全知識培訓，以讓經(jīng)銷(xiāo)商、集成商提高信息安全意識。
2、 產(chǎn)品方面，應在第一次啟動(dòng)時(shí)增加設置引導程序，并說(shuō)明書(shū)中需強調修改密碼的重要性；將程序中的明文密碼改為暗文密碼，以避免被截獲。
3、 視頻編碼信息需要加密，不要使用標準的解碼信息，否則很容易為黑客截取并解碼獲取視頻信息。
4、 用戶(hù)自己要也有足夠的安全意識，在使用設備時(shí)一定不能沿用默認用戶(hù)密碼，特別是有保密性質(zhì)的單位，有必要的情況下視頻監控網(wǎng)絡(luò )要與外網(wǎng)隔離開(kāi)來(lái)。

如果以上措施做足，要攻破視頻監控網(wǎng)絡(luò )的可能性就非常低了，完全可以滿(mǎn)足一般用戶(hù)的信息安全需求，而對信息安全有更高要求的使用單位，則需要更為專(zhuān)業(yè)的網(wǎng)絡(luò )手段來(lái)防止信息的泄漏。

這一次的信息安全事故，也對我司的產(chǎn)品提出了考驗。目前我們的系統密碼未采用弱口令，用戶(hù)密碼也是暗文，同時(shí)視頻信號傳輸也是有加密的，這兩點(diǎn)相對而言提供了較好的安全保障，但是對于部份用戶(hù)安全信息的宣傳仍然不夠，也是我們需要改進(jìn)的地方，這些工作都將在近期得到完善，以保障我們的產(chǎn)品能夠在安全性上更高一層。

作者：華安泰技術(shù)總監游義

↓↓↓華安泰招聘（火熱進(jìn)行中）