2月27日，海康威視作為國(guó)內(nèi)最大的安防技術(shù)產(chǎn)品企業(yè)，被爆出“黑天鵝”事件。而幕后最主要的真兇卻是小小的“弱口令”問題，這令整個(gè)產(chǎn)業(yè)蒙羞，更反映了一部分安防企業(yè)在“大系統(tǒng)”安全理念上的不足。

    安不安全是產(chǎn)品說了算，還是應(yīng)用說了算

    作為�？低�視安全防護(hù)產(chǎn)品的使用者，必然有足夠的義務(wù)去維護(hù)設(shè)備登錄名稱、密碼鑰匙的安全性，有義務(wù)設(shè)置屬于自己的安全密碼。這一點(diǎn)毫無爭(zhēng)議。

    但是，作為設(shè)備的制造企業(yè)、研發(fā)者，也有足夠的技術(shù)和制度手段，保障每臺(tái)產(chǎn)品擁有出廠時(shí)期的、不同的、不是簡(jiǎn)單原則的原始安全用戶名和密碼鑰匙。雖然，目前沒有用戶需求，或者法律要求安防設(shè)備做到這一點(diǎn)。但是作為主動(dòng)創(chuàng)新、為客戶提供更高安全標(biāo)準(zhǔn)的產(chǎn)品研發(fā)原則，安防企業(yè)也應(yīng)該做到這一點(diǎn)。

    同一系列設(shè)備一致、且異常簡(jiǎn)單的初始密碼，成為境外IP操控重要安防安全設(shè)備的入口。這樣的事件本應(yīng)該在產(chǎn)品設(shè)計(jì)研發(fā)階段、設(shè)備交付驗(yàn)收階段、使用階段、使用情形審查和維護(hù)階段等任何一個(gè)環(huán)節(jié)被“低成本”的避免。但是，最終的危機(jī)卻發(fā)生了。這背后體現(xiàn)的是安防產(chǎn)業(yè)還沒有真正形成“安不安全應(yīng)用說了算”的產(chǎn)業(yè)標(biāo)準(zhǔn)。

    傳統(tǒng)的安全防控設(shè)備研發(fā)的思想過于集中于技術(shù)先進(jìn)性、單一產(chǎn)品在封閉測(cè)試中的安全可控；卻忽略了設(shè)備在應(yīng)用過程中，存在的環(huán)境不可控、人員素質(zhì)不可控、客戶管控制度可能存在人為弱化等問題。所以，最終的產(chǎn)品并不會(huì)強(qiáng)制設(shè)置高安全度的初始安全密碼鑰匙，也不會(huì)強(qiáng)制設(shè)置高安全度的客戶應(yīng)用秘密鑰匙，甚至部分產(chǎn)品的后臺(tái)現(xiàn)場(chǎng)升級(jí)接口，不需要任何安全驗(yàn)證，既可以被直接利用。這些問題，在理想的測(cè)試條件下，固然能夠保障產(chǎn)品達(dá)到必須的安全標(biāo)準(zhǔn)，但是在實(shí)際應(yīng)用體系下卻容易成為“疏忽”、或者其他不可控因素下的安全隱患。

    應(yīng)對(duì)公網(wǎng)互聯(lián)時(shí)代，安防企業(yè)需要新思維

    此次�？低�視產(chǎn)品曝露出原始“弱口令”問題，有一個(gè)特殊背景，那就是安防產(chǎn)品的大量“公網(wǎng)”使用。

    七八年前的安防產(chǎn)品，更多的使用情況是獨(dú)立產(chǎn)品的單獨(dú)使用。即便少數(shù)組網(wǎng)產(chǎn)品，也多數(shù)處于專用網(wǎng)絡(luò)之中�！拔锢砀綦x”手段使得黑客或者境外敵對(duì)勢(shì)力，難以輕易侵入這些產(chǎn)品和系統(tǒng)之中。

    但是，目前隨著社會(huì)化安全、智慧城市體系的建設(shè)，更多的安防產(chǎn)品和公安、企業(yè)核心安全系統(tǒng)被暴露在公用互聯(lián)網(wǎng)之中。在這種情況下，必要的網(wǎng)絡(luò)安全防火墻、必要的高安全度系統(tǒng)密碼、必要安全措施管理和維護(hù)制度成為了安防設(shè)備自身安全與否的最大弱點(diǎn)。

    對(duì)于安防產(chǎn)品企業(yè)，這就涉及到產(chǎn)品的智能維護(hù)問題、使用培訓(xùn)問題、設(shè)備固件的安全防護(hù)問題、高級(jí)維護(hù)權(quán)限的授權(quán)和管理問題、長(zhǎng)生命期的安全再測(cè)試和漏洞補(bǔ)丁問題等新興的“安全”競(jìng)爭(zhēng)力與服務(wù)項(xiàng)目。

    從獨(dú)立專網(wǎng)、甚至簡(jiǎn)單獨(dú)立設(shè)備，到公網(wǎng)互聯(lián)的開放網(wǎng)絡(luò)環(huán)境，安全防控設(shè)備使用條件的變化，正在成為推動(dòng)安防企業(yè)研發(fā)思維轉(zhuǎn)變的關(guān)鍵點(diǎn)：設(shè)備安全、應(yīng)用安全和公網(wǎng)下的網(wǎng)絡(luò)安全，三個(gè)層面的技術(shù)需求已經(jīng)非常明確。

    將人為因素列為首要的“產(chǎn)品安全生態(tài)因素”

    設(shè)備的可靠性不應(yīng)僅僅體現(xiàn)在設(shè)備的硬件、軟件自身之上：設(shè)備與人結(jié)合的安全性才是最關(guān)鍵的指標(biāo)。

    一方面，工作人員必然會(huì)存在“疏忽”。系統(tǒng)長(zhǎng)期工作、設(shè)備長(zhǎng)期運(yùn)行、工作人員更換調(diào)整，工作狀態(tài)的變換，都會(huì)導(dǎo)致在人機(jī)結(jié)合的部位出現(xiàn)安全漏洞。誤操作、安全維護(hù)不到位、人為泄密，這些問題都可能嚴(yán)重影響系統(tǒng)安全性能。這就對(duì)安防企業(yè)的售后服務(wù)能力提出了新的挑戰(zhàn)。

    另一方面，既然需要安防設(shè)備，即表示有不懷好意的人在時(shí)刻“窺伺”這個(gè)系統(tǒng)空間。防范各種滲透、破壞、信息攻擊與竊密、黑客程序植入，必須依賴技術(shù)和制度兩個(gè)層面的建設(shè)。其中，技術(shù)建設(shè)中不可缺乏安防企業(yè)的主角位置。

    從一般的產(chǎn)品和服務(wù)設(shè)計(jì)原則看，安防企業(yè)應(yīng)該確立“最差勁的使用人員”的設(shè)備軟硬件研發(fā)標(biāo)準(zhǔn)。系統(tǒng)應(yīng)用的安全，不能主要寄希望于高水平的客戶使用和維護(hù)力量，而應(yīng)該寄希望于超前的產(chǎn)品設(shè)計(jì)和及時(shí)的后期服務(wù)與維護(hù)力量�！�—安防企業(yè)給予“客戶的安全冗余空間越大”，企業(yè)和產(chǎn)品的競(jìng)爭(zhēng)力才會(huì)越強(qiáng)。將差勁的使用人員作為安防設(shè)備第一位的“不安全”因素，加入到產(chǎn)品的研發(fā)和售后服務(wù)環(huán)節(jié)是未來行業(yè)發(fā)展和競(jìng)爭(zhēng)的必然需求。

    面對(duì)“大系統(tǒng)”安全，安防企業(yè)不可有惰性思維

    “弱口令”問題的責(zé)任在于誰呢？這是一個(gè)復(fù)雜的問題。但是，至少安防產(chǎn)品提供者應(yīng)該具有“明確告知”客戶“弱密碼”這一重大隱患的義務(wù)。

    事實(shí)上，對(duì)于安防產(chǎn)品的安全漏洞，設(shè)備研發(fā)制造和提供者所承擔(dān)的“法律責(zé)任”是非常重大的。面對(duì)安防產(chǎn)品應(yīng)用環(huán)境日益復(fù)雜、應(yīng)用需求多樣化、產(chǎn)品設(shè)備大量暴露在公用網(wǎng)絡(luò)之中，以及使用單位和人員素質(zhì)參差不齊的狀況，產(chǎn)品安全設(shè)計(jì)和后續(xù)安全維護(hù)與升級(jí)責(zé)任的“盡職到位”不僅僅是企業(yè)競(jìng)爭(zhēng)力的問題，更是重大的法律責(zé)任和潛在的爭(zhēng)議、訴訟風(fēng)險(xiǎn)所在。

    目前，安防市場(chǎng)正處于大浪淘沙階段：一方面，產(chǎn)品應(yīng)用規(guī)模化、系統(tǒng)化，要求廠商實(shí)力不斷提升；另一方面核心技術(shù)的過剩與信息安全本土可控化的要求，也在加速行業(yè)市場(chǎng)整合。預(yù)計(jì)，未來三年內(nèi)，可能有高達(dá)半數(shù)的安防企業(yè)會(huì)退出市場(chǎng)競(jìng)爭(zhēng)。

    在激烈的市場(chǎng)競(jìng)爭(zhēng)和快速的產(chǎn)業(yè)發(fā)展中，安防企業(yè)如何保持持續(xù)的競(jìng)爭(zhēng)力，營(yíng)造好良好的品牌形象，提供日益更為安全的產(chǎn)品和服務(wù)體系，將是重大考驗(yàn)。在這一過程中安防企業(yè)應(yīng)該做主動(dòng)的“找問題”者，而不是“責(zé)任推卸”者，任何的惰性思維都可能成為企業(yè)生存力倒退的第一張多米諾骨牌。

    海康威視黑天鵝事件，本質(zhì)是安防系統(tǒng)從簡(jiǎn)單應(yīng)用到復(fù)雜的大系統(tǒng)化應(yīng)用過程中難以避免的挫折。類似的問題，浮出水面的、還在潛伏的、已經(jīng)被解決一定不是一個(gè)小數(shù)目。對(duì)此，安防企業(yè)轉(zhuǎn)變思維，逐步構(gòu)建從簡(jiǎn)單的產(chǎn)品安全向應(yīng)用安全、網(wǎng)絡(luò)安全、人本安全等大系統(tǒng)安全理念過渡的服務(wù)體系勢(shì)在必行。