自2月27日被曝出設(shè)備存在安全漏洞后，國(guó)內(nèi)最大的綜合安防監(jiān)控企業(yè)——?？低曀坪踹€未越過(guò)“安全門(mén)”。

　　這一點(diǎn)從?？低暿軟_擊的股價(jià)上可見(jiàn)一斑：過(guò)去10個(gè)交易日，該股的平均成本為26.96元，股價(jià)在成本下方運(yùn)行，走勢(shì)明顯跑輸大盤(pán)。

　　時(shí)間推回至2月27日：江蘇省公安廳的一則特急通知成為?？低曄萑?ldquo;安全門(mén)”的發(fā)端。

　　這份《關(guān)于立即對(duì)全省?？低暠O(jiān)控設(shè)備進(jìn)行全面清查和安全加固的通知》(以下簡(jiǎn)稱(chēng)“通知”)稱(chēng)，江蘇省各級(jí)公安機(jī)關(guān)使用的?？低暠O(jiān)控設(shè)備存在嚴(yán)重安全隱患，部分設(shè)備已被境外IP地址控制，要求各部門(mén)對(duì)使用的?？低曉O(shè)備進(jìn)行全面清查。

　　對(duì)此，2月28日，海康威視在其官網(wǎng)(http：//www.hikvision.com/)先后發(fā)布針對(duì)設(shè)備安全的說(shuō)明和致用戶書(shū)，指出受境外IP控制的聯(lián)網(wǎng)設(shè)備系存在弱口令漏洞(弱口令包括使用產(chǎn)品初始密碼或其他簡(jiǎn)單密碼)，通過(guò)修改初始密碼或簡(jiǎn)單密碼，或者升級(jí)設(shè)備固件可解決。

　　而據(jù)網(wǎng)絡(luò)安全公司知道創(chuàng)宇監(jiān)測(cè)統(tǒng)計(jì)，5.2萬(wàn)臺(tái)海康威視監(jiān)控設(shè)備中就有多達(dá)3.5萬(wàn)臺(tái)設(shè)備存在默認(rèn)弱口令。

　　“境外惡意攻擊者一般會(huì)對(duì)網(wǎng)絡(luò)進(jìn)行掃描，發(fā)現(xiàn)使用?？低暤南到y(tǒng)存在弱口令問(wèn)題后會(huì)利用其中未修復(fù)的安全漏洞進(jìn)行攻擊，然后植入后門(mén)軟件進(jìn)行長(zhǎng)期控制。”國(guó)內(nèi)知名漏洞曝光平臺(tái)烏云網(wǎng)創(chuàng)始人方小頓對(duì)法治周末記者介紹說(shuō)。

　　被疑信息披露違規(guī)

　　3月1日晚間，海康威視正式發(fā)布《關(guān)于部分監(jiān)控設(shè)備遭到網(wǎng)絡(luò)攻擊的情況說(shuō)明》(以下簡(jiǎn)稱(chēng)《情況說(shuō)明》)，披露其早在去年9月就應(yīng)聯(lián)網(wǎng)產(chǎn)品系統(tǒng)遭到黑客惡意攻擊向公安機(jī)關(guān)報(bào)案。

　　記者也在烏云網(wǎng)上查詢(xún)發(fā)現(xiàn)，烏云網(wǎng)曾在去年多次發(fā)布?？低暤陌踩┒刺崾尽Ｗ罱淮螆?bào)告為2014年11月底，報(bào)告稱(chēng)?？低暷骋曨l監(jiān)控平臺(tái)存在弱口令，并作出高級(jí)別危害判定;而海康威視也在烏云網(wǎng)確認(rèn)漏洞存在，并認(rèn)定漏洞危害等級(jí)為“中”。

　　“產(chǎn)品遭受存在漏洞并且受黑客攻擊早已有之，我們卻是因近期江蘇省公安廳的通知才意外獲知，?？低暤淖龇y道不是信息披露違規(guī)嗎?”一位不愿具名的海康威視股票投資者質(zhì)疑道。

　　公開(kāi)資料顯示，?？低曈?010年在深交所掛牌上市。

　　“根據(jù)證券法和上市公司信息披露管理辦法的規(guī)定，上市公司應(yīng)當(dāng)真實(shí)、準(zhǔn)確、完整、及時(shí)地披露其產(chǎn)品信息，不得有虛假記載、誤導(dǎo)性陳述或者重大遺漏。作為上市公司的海康威視尤其應(yīng)對(duì)可能對(duì)上市公司證券及其衍生品種交易價(jià)格產(chǎn)生較大影響的突發(fā)事件，在投資者尚未得知時(shí)立即披露，說(shuō)明事件的起因、目前的狀態(tài)和可能產(chǎn)生的影響。”西南科技大學(xué)法學(xué)院副教授廖天虎告訴法治周末記者。

　　對(duì)此，海康威視相關(guān)負(fù)責(zé)人接受媒體采訪時(shí)表示，盡管事件對(duì)公司的實(shí)際影響不大，但如果公司立即披露安全公告的話，可能對(duì)整個(gè)產(chǎn)業(yè)鏈的發(fā)展更好。

　　記者在《情況說(shuō)明》中看到：“為保護(hù)投資者權(quán)益，保證公平信息披露，申請(qǐng)自3月2日開(kāi)市起臨時(shí)停牌”。

　　根據(jù)深交所交易規(guī)則，公眾傳媒中出現(xiàn)上市公司尚未披露的重大信息，可能或已經(jīng)對(duì)公司股票及其衍生品種的交易價(jià)格產(chǎn)生較大影響的，交易所可在交易時(shí)間對(duì)公司股票及其衍生品種實(shí)施停牌，直至公司披露相關(guān)公告的當(dāng)日開(kāi)始時(shí)復(fù)牌。

　　“安全門(mén)”事件曝出后的首個(gè)交易日(3月2日)，?？低曅脊善蓖Ｅ?，并舉行投資者說(shuō)明會(huì)。

　　聯(lián)網(wǎng)終端漏洞普遍

　　在投資者說(shuō)明會(huì)上，國(guó)家互聯(lián)網(wǎng)應(yīng)急中心浙江分中心技術(shù)保障處副處長(zhǎng)厲斌表示，計(jì)算機(jī)感染病毒的現(xiàn)象時(shí)有發(fā)生，而聯(lián)網(wǎng)視頻監(jiān)控設(shè)備相對(duì)于計(jì)算機(jī)來(lái)說(shuō)更為簡(jiǎn)單，視頻監(jiān)控設(shè)備互聯(lián)網(wǎng)化后必然也會(huì)面臨同樣的問(wèn)題。

　　無(wú)獨(dú)有偶，中科院信息工程研究所高級(jí)工程師仇新梁在接受法治周末記者采訪時(shí)指出，此次曝出的?？低暟踩┒磫?wèn)題，在安防產(chǎn)品在內(nèi)的我國(guó)各項(xiàng)聯(lián)網(wǎng)基礎(chǔ)設(shè)施中是非常普遍的，“只是?？低暤膽?yīng)用比較特殊、范圍也比較廣，因而關(guān)注度高”。

　　據(jù)悉，?？低曄蛉珖?guó)多省市的公安部門(mén)提供產(chǎn)品和服務(wù)，借助安防產(chǎn)業(yè)的高度景氣，過(guò)去9年間，?？低晿I(yè)績(jī)?cè)黾恿?0多倍。

　　“開(kāi)發(fā)過(guò)程中缺乏必要的安全環(huán)節(jié)，應(yīng)用之前缺少?lài)?yán)格的安全評(píng)估，使用過(guò)程中缺少必要的監(jiān)控，安全管理基本空白，都是導(dǎo)致漏洞出現(xiàn)的必然。”仇新梁坦言，“最擔(dān)心的是通過(guò)這些漏洞可能使一些基礎(chǔ)設(shè)施被橫向攻擊，并被控制”。

　　方小頓則認(rèn)為，國(guó)內(nèi)的安防產(chǎn)品的漏洞問(wèn)題由來(lái)已久，主要原因在于社會(huì)和國(guó)家對(duì)信息化依賴(lài)越來(lái)越高。

　　“所有暴露在互聯(lián)網(wǎng)環(huán)境下的設(shè)備都會(huì)面臨黑客攻擊的風(fēng)險(xiǎn)，很多用戶缺乏安全意識(shí)，在安全上考慮不足也導(dǎo)致容易出現(xiàn)安全漏洞。”方小頓補(bǔ)充道。

　　一位江蘇省公安廳的人士告訴法治周末記者，被黑客攻擊的江蘇某市安裝?？低曉O(shè)備的場(chǎng)所，每天的監(jiān)控資料都被傳至境外，除了弱口令問(wèn)題外，其聯(lián)網(wǎng)監(jiān)控設(shè)備自身也是存在設(shè)計(jì)缺陷的。

　　對(duì)此，360攻防實(shí)驗(yàn)室也曾發(fā)布報(bào)告稱(chēng)，部分?？低曉O(shè)備存在的高危漏洞，已被蠕蟲(chóng)病毒控制，只由用戶修改密碼并不能解決根本問(wèn)題，需要?？低晱S家更新固件。

　　“如果生產(chǎn)企業(yè)生產(chǎn)的安防產(chǎn)品存在明顯的安全漏洞，造成使用者或消費(fèi)者財(cái)產(chǎn)損失或其他損害的，根據(jù)產(chǎn)品質(zhì)量法等相關(guān)規(guī)定，應(yīng)由廠家承擔(dān)相應(yīng)的經(jīng)濟(jì)賠償責(zé)任，同時(shí)生產(chǎn)廠商應(yīng)及時(shí)為用戶提供免費(fèi)的修補(bǔ)安防產(chǎn)品安全漏洞的技術(shù)服務(wù)。”廖天虎談道。

　　催化重視信息安全

　　按照?？低暪倬W(wǎng)公告的內(nèi)容，江蘇省公安廳的通知發(fā)布后，“觸動(dòng)聯(lián)網(wǎng)設(shè)備用戶對(duì)弱口令修改、系統(tǒng)漏洞修補(bǔ)的認(rèn)知和重視，已經(jīng)并將繼續(xù)推動(dòng)所有?？低曈脩艨焖俨扇”匾穆┒葱扪a(bǔ)措施，也促使?？低晫?duì)產(chǎn)品安全問(wèn)題的進(jìn)一步重視和投入”。

　　厲斌認(rèn)為，解決視頻監(jiān)控設(shè)備等終端互聯(lián)網(wǎng)化、智能化后產(chǎn)生的安全漏洞問(wèn)題時(shí)，需要企業(yè)和用戶的共同努力，由于網(wǎng)絡(luò)攻擊的手段和來(lái)源的多樣性，決定了解決此類(lèi)問(wèn)題不可能一勞永逸，除了產(chǎn)品制造廠商需要重視產(chǎn)品安全問(wèn)題，及時(shí)發(fā)布漏洞修復(fù)工具、病毒查殺工具外，用戶也應(yīng)提升網(wǎng)絡(luò)安全意識(shí)、加強(qiáng)自我保護(hù)，主動(dòng)更新固件。

　　“安防產(chǎn)品生產(chǎn)企業(yè)應(yīng)能夠提供有效的安全策略和手段，有穩(wěn)定的人才隊(duì)伍，做到專(zhuān)業(yè)化和職業(yè)化，為用戶提供行之有效的工具和服務(wù)，解決用戶實(shí)際問(wèn)題。”仇新梁建議，政府也要提供正確的扶持政策，提高安全投入比例和追責(zé)制度，尤其是針對(duì)基礎(chǔ)設(shè)施相關(guān)的信息系統(tǒng)，組建真正專(zhuān)業(yè)的安全咨詢(xún)和評(píng)估國(guó)家隊(duì)。

　　呂述望：安防國(guó)產(chǎn)化太慢

　　“目前國(guó)內(nèi)針對(duì)公眾使用的與網(wǎng)絡(luò)連接的安防產(chǎn)品，都是接入美國(guó)互聯(lián)網(wǎng)的，受制于此，這類(lèi)安防產(chǎn)品的國(guó)產(chǎn)化進(jìn)程比較緩慢。”近日，中科院信息安全國(guó)家重點(diǎn)實(shí)驗(yàn)室教授呂述望接受法治周末記者采訪時(shí)坦言，海康威視“安全門(mén)”事件將對(duì)我國(guó)聯(lián)網(wǎng)安防產(chǎn)品的國(guó)產(chǎn)化進(jìn)程產(chǎn)生深遠(yuǎn)影響。

　　在國(guó)家對(duì)網(wǎng)絡(luò)和信息安全高度重視的當(dāng)下，扮演政府、企業(yè)、社區(qū)“守門(mén)人”角色的安防行業(yè)，實(shí)現(xiàn)自主可控異常重要。

　　西南科技大學(xué)法學(xué)院副教授廖天虎認(rèn)為，政府和企業(yè)在涉及信息安全問(wèn)題的硬件設(shè)備和軟件的采購(gòu)中應(yīng)考慮優(yōu)先使用國(guó)產(chǎn)產(chǎn)品。

　　據(jù)悉，目前我國(guó)的安防視頻監(jiān)控體統(tǒng)國(guó)家標(biāo)準(zhǔn)為《安全防范視頻監(jiān)控聯(lián)網(wǎng)系統(tǒng)信息傳輸、交換、控制技術(shù)要求》(GB 28181)。

　　“但這一標(biāo)準(zhǔn)下，視頻監(jiān)控圖像信息互聯(lián)共享及擴(kuò)容維護(hù)困難的問(wèn)題仍未解決，安防行業(yè)上游的核心技術(shù)長(zhǎng)久以來(lái)也多被外國(guó)廠商壟斷。”一位不愿具名的業(yè)內(nèi)人士告訴記者。

　　呂述望指出，在此背景下，國(guó)內(nèi)安防產(chǎn)品的生產(chǎn)企業(yè)要想實(shí)現(xiàn)突圍，必須依托我們國(guó)家的信息安全建設(shè)，針對(duì)公眾的產(chǎn)品接入網(wǎng)絡(luò)就一定要由公眾網(wǎng)絡(luò)來(lái)做，與其他國(guó)家網(wǎng)絡(luò)互連要經(jīng)授權(quán)，重視領(lǐng)網(wǎng)建設(shè)和數(shù)據(jù)主權(quán)問(wèn)題。

　　公開(kāi)數(shù)據(jù)顯示，有74.1%的網(wǎng)民在過(guò)去半年內(nèi)遇到網(wǎng)絡(luò)信息安全事件。有專(zhuān)家估計(jì)，中國(guó)每年因網(wǎng)絡(luò)信息安全問(wèn)題造成的經(jīng)濟(jì)損失高達(dá)數(shù)百億美元。

　　在今年的全國(guó)兩會(huì)上，中國(guó)移動(dòng)[微博]廣東公司總經(jīng)理鐘天華代表建議，加快制定網(wǎng)絡(luò)信息安全法，從監(jiān)管主體、設(shè)施安全、運(yùn)行安全、信息安全、法律責(zé)任等方面規(guī)范網(wǎng)絡(luò)信息安全。

　　呂述望則透露，列入今年立法計(jì)劃的網(wǎng)絡(luò)安全法中，會(huì)涉及信息安全的問(wèn)題。