安防企業(yè)需要打造“大系統(tǒng)性”安全理念

    2月27日，�？低�視作為國內(nèi)最大的安防技術(shù)產(chǎn)品企業(yè)，被爆出“黑天鵝”事件。而幕后最主要的真兇卻是小小的“弱口令”問題，這令整個產(chǎn)業(yè)蒙羞，更反映了一部分安防企業(yè)在“大系統(tǒng)”安全理念上的不足。

    安不安全是產(chǎn)品說了算，還是應用說了算

    作為�？低�視安全防護產(chǎn)品的使用者，必然有足夠的義務去維護設備登錄名稱、密碼鑰匙的安全性，有義務設置屬于自己的安全密碼。這一點毫無爭議。

    但是，作為設備的制造企業(yè)、研發(fā)者，也有足夠的技術(shù)和制度手段，保障每臺產(chǎn)品擁有出廠時期的、不同的、不是簡單原則的原始安全用戶名和密碼鑰匙。雖然，目前沒有用戶需求，或者法律要求安防設備做到這一點。但是作為主動創(chuàng)新、為客戶提供更高安全標準的產(chǎn)品研發(fā)原則，安防企業(yè)也應該做到這一點。

    同一系列設備一致、且異常簡單的初始密碼，成為境外IP操控重要安防安全設備的入口。這樣的事件本應該在產(chǎn)品設計研發(fā)階段、設備交付驗收階段、使用階段、使用情形審查和維護階段等任何一個環(huán)節(jié)被“低成本”的避免。但是，最終的危機卻發(fā)生了。這背后體現(xiàn)的是安防產(chǎn)業(yè)還沒有真正形成“安不安全應用說了算”的產(chǎn)業(yè)標準。

    傳統(tǒng)的安全防控設備研發(fā)的思想過于集中于技術(shù)先進性、單一產(chǎn)品在封閉測試中的安全可控；卻忽略了設備在應用過程中，存在的環(huán)境不可控、人員素質(zhì)不可控、客戶管控制度可能存在人為弱化等問題。所以，最終的產(chǎn)品并不會強制設置高安全度的初始安全密碼鑰匙，也不會強制設置高安全度的客戶應用秘密鑰匙，甚至部分產(chǎn)品的后臺現(xiàn)場升級接口，不需要任何安全驗證，既可以被直接利用。這些問題，在理想的測試條件下，固然能夠保障產(chǎn)品達到必須的安全標準，但是在實際應用體系下卻容易成為“疏忽”、或者其他不可控因素下的安全隱患。

    應對公網(wǎng)互聯(lián)時代，安防企業(yè)需要新思維

    此次�？低�視產(chǎn)品曝露出原始“弱口令”問題，有一個特殊背景，那就是安防產(chǎn)品的大量“公網(wǎng)”使用。

    七八年前的安防產(chǎn)品，更多的使用情況是獨立產(chǎn)品的單獨使用。即便少數(shù)組網(wǎng)產(chǎn)品，也多數(shù)處于專用網(wǎng)絡之中。“物理隔離”手段使得黑客或者境外敵對勢力，難以輕易侵入這些產(chǎn)品和系統(tǒng)之中。

    但是，目前隨著社會化安全、智慧城市體系的建設，更多的安防產(chǎn)品和公安、企業(yè)核心安全系統(tǒng)被暴露在公用互聯(lián)網(wǎng)之中。在這種情況下，必要的網(wǎng)絡安全防火墻、必要的高安全度系統(tǒng)密碼、必要安全措施管理和維護制度成為了安防設備自身安全與否的最大弱點。

    對于安防產(chǎn)品企業(yè)，這就涉及到產(chǎn)品的智能維護問題、使用培訓問題、設備固件的安全防護問題、高級維護權(quán)限的授權(quán)和管理問題、長生命期的安全再測試和漏洞補丁問題等新興的“安全”競爭力與服務項目。

    從獨立專網(wǎng)、甚至簡單獨立設備，到公網(wǎng)互聯(lián)的開放網(wǎng)絡環(huán)境，安全防控設備使用條件的變化，正在成為推動安防企業(yè)研發(fā)思維轉(zhuǎn)變的關(guān)鍵點：設備安全、應用安全和公網(wǎng)下的網(wǎng)絡安全，三個層面的技術(shù)需求已經(jīng)非常明確。

    將人為因素列為首要的“產(chǎn)品安全生態(tài)因素”

    設備的可靠性不應僅僅體現(xiàn)在設備的硬件、軟件自身之上：設備與人結(jié)合的安全性才是最關(guān)鍵的指標。

    一方面，工作人員必然會存在“疏忽”。系統(tǒng)長期工作、設備長期運行、工作人員更換調(diào)整，工作狀態(tài)的變換，都會導致在人機結(jié)合的部位出現(xiàn)安全漏洞。誤操作、安全維護不到位、人為泄密，這些問題都可能嚴重影響系統(tǒng)安全性能。這就對安防企業(yè)的售后服務能力提出了新的挑戰(zhàn)。

    另一方面，既然需要安防設備，即表示有不懷好意的人在時刻“窺伺”這個系統(tǒng)空間。防范各種滲透、破壞、信息攻擊與竊密、黑客程序植入，必須依賴技術(shù)和制度兩個層面的建設。其中，技術(shù)建設中不可缺乏安防企業(yè)的主角位置。

    從一般的產(chǎn)品和服務設計原則看，安防企業(yè)應該確立“最差勁的使用人員”的設備軟硬件研發(fā)標準。系統(tǒng)應用的安全，不能主要寄希望于高水平的客戶使用和維護力量，而應該寄希望于超前的產(chǎn)品設計和及時的后期服務與維護力量�！�—安防企業(yè)給予“客戶的安全冗余空間越大”，企業(yè)和產(chǎn)品的競爭力才會越強。將差勁的使用人員作為安防設備第一位的“不安全”因素，加入到產(chǎn)品的研發(fā)和售后服務環(huán)節(jié)是未來行業(yè)發(fā)展和競爭的必然需求。

    面對“大系統(tǒng)”安全，安防企業(yè)不可有惰性思維

    “弱口令”問題的責任在于誰呢？這是一個復雜的問題。但是，至少安防產(chǎn)品提供者應該具有“明確告知”客戶“弱密碼”這一重大隱患的義務。

    事實上，對于安防產(chǎn)品的安全漏洞，設備研發(fā)制造和提供者所承擔的“法律責任”是非常重大的。面對安防產(chǎn)品應用環(huán)境日益復雜、應用需求多樣化、產(chǎn)品設備大量暴露在公用網(wǎng)絡之中，以及使用單位和人員素質(zhì)參差不齊的狀況，產(chǎn)品安全設計和后續(xù)安全維護與升級責任的“盡職到位”不僅僅是企業(yè)競爭力的問題，更是重大的法律責任和潛在的爭議、訴訟風險所在。

    目前，安防市場正處于大浪淘沙階段：一方面，產(chǎn)品應用規(guī)�；�、系統(tǒng)化，要求廠商實力不斷提升；另一方面核心技術(shù)的過剩與信息安全本土可控化的要求，也在加速行業(yè)市場整合。預計，未來三年內(nèi)，可能有高達半數(shù)的安防企業(yè)會退出市場競爭。

    在激烈的市場競爭和快速的產(chǎn)業(yè)發(fā)展中，安防企業(yè)如何保持持續(xù)的競爭力，營造好良好的品牌形象，提供日益更為安全的產(chǎn)品和服務體系，將是重大考驗。在這一過程中安防企業(yè)應該做主動的“找問題”者，而不是“責任推卸”者，任何的惰性思維都可能成為企業(yè)生存力倒退的第一張多米諾骨牌。

    海康威視黑天鵝事件，本質(zhì)是安防系統(tǒng)從簡單應用到復雜的大系統(tǒng)化應用過程中難以避免的挫折。類似的問題，浮出水面的、還在潛伏的、已經(jīng)被解決一定不是一個小數(shù)目。對此，安防企業(yè)轉(zhuǎn)變思維，逐步構(gòu)建從簡單的產(chǎn)品安全向應用安全、網(wǎng)絡安全、人本安全等大系統(tǒng)安全理念過渡的服務體系勢在必行。