法治周末记者 仇飞
自2月27日被曝出设备存在安全漏洞后,国内最大的综合安防监控企业——海康威视(27.85, -0.50, -1.76%)似乎还未越过“安全门”。
这一点从海康威视受冲击的股价上可见一斑:过去10个交易日,该股的平均成本为26.96元,股价在成本下方运行,走势明显跑输大盘。
时间推回至2月27日:江苏省公安厅的一则特急通知成为海康威视陷入“安全门”的发端。
这份《关于立即对全省海康威视监控设备进行全面清查和安全加固的通知》(以下简称“通知”)称,江苏省各级公安机关使用的海康威视监控设备存在严重安全隐患,部分设备已被境外IP地址控制,要求各部门对使用的海康威视设备进行全面清查。
对此,2月28日,海康威视在其官网先后发布针对设备安全的说明和致用户书,指出受境外IP控制的联网设备系存在弱口令漏洞(弱口令包括使用产品初始密码或其他简单密码),通过修改初始密码或简单密码,或者升级设备固件可解决。
而据网络安全公司知道创宇监测统计,5.2万台海康威视监控设备中就有多达3.5万台设备存在默认弱口令。
“境外恶意攻击者一般会对网络进行扫描,发现使用海康威视的系统存在弱口令问题后会利用其中未修复的安全漏洞进行攻击,然后植入后门软件进行长期控制。”国内知名漏洞曝光平台乌云网创始人方小顿对法治周末记者介绍说。
被疑信息披露违规
3月1日晚间,海康威视正式发布《关于部分监控设备遭到网络攻击的情况说明》(以下简称《情况说明》),披露其早在去年9月就应联网产品系统遭到黑客恶意攻击向公安机关报案。
记者也在乌云网上查询发现,乌云网曾在去年多次发布海康威视的安全漏洞提示。最近一次报告为2014年11月底,报告称海康威视某视频监控平台存在弱口令,并作出高级别危害判定;而海康威视也在乌云网确认漏洞存在,并认定漏洞危害等级为“中”。
“产品遭受存在漏洞并且受黑客攻击早已有之,我们却是因近期江苏省公安厅的通知才意外获知,海康威视的做法难道不是信息披露违规吗?”一位不愿具名的海康威视股票投资者质疑道。
公开资料显示,海康威视于2010年在深交所[微博]挂牌上市。
“根据证券法和上市公司信息披露管理办法的规定,上市公司应当真实、准确、完整、及时地披露其产品信息,不得有虚假记载、误导性陈述或者重大遗漏。作为上市公司的海康威视尤其应对可能对上市公司证券及其衍生品种交易价格产生较大影响的突发事件,在投资者尚未得知时立即披露,说明事件的起因、目前的状态和可能产生的影响。”西南科技大学法学院副教授廖天虎告诉法治周末记者。
对此,海康威视相关负责人接受媒体采访时表示,尽管事件对公司的实际影响不大,但如果公司立即披露安全公告的话,可能对整个产业链的发展更好。
记者在《情况说明》中看到:“为保护投资者权益,保证公平信息披露,申请自3月2日开市起临时停牌”。
根据深交所交易规则,公众传媒中出现上市公司尚未披露的重大信息,可能或已经对公司股票及其衍生品种的交易价格产生较大影响的,交易所可在交易时间对公司股票及其衍生品种实施停牌,直至公司披露相关公告的当日开始时复牌。
“安全门”事件曝出后的首个交易日(3月2日),海康威视宣布股票停牌,并举行投资者说明会。
联网终端漏洞普遍
在投资者说明会上,国家互联网应急中心浙江分中心技术保障处副处长厉斌表示,计算机感染病毒的现象时有发生,而联网视频监控设备相对于计算机来说更为简单,视频监控设备互联网化后必然也会面临同样的问题。
无独有偶,中科院信息工程研究所高级工程师仇新梁在接受法治周末记者采访时指出,此次曝出的海康威视安全漏洞问题,在安防产品在内的我国各项联网基础设施中是非常普遍的,“只是海康威视的应用比较特殊、范围也比较广,因而关注度高”。
据悉,海康威视向全国多省市的公安部门提供产品和服务,借助安防产业的高度景气,过去9年间,海康威视业绩增加了20多倍。
“开发过程中缺乏必要的安全环节,应用之前缺少严格的安全评估,使用过程中缺少必要的监控,安全管理基本空白,都是导致漏洞出现的必然。”仇新梁坦言,“最担心的是通过这些漏洞可能使一些基础设施被横向攻击,并被控制”。
方小顿则认为,国内的安防产品的漏洞问题由来已久,主要原因在于社会和国家对信息化依赖越来越高。
“所有暴露在互联网环境下的设备都会面临黑客攻击的风险,很多用户缺乏安全意识,在安全上考虑不足也导致容易出现安全漏洞。”方小顿补充道。
一位江苏省公安厅的人士告诉法治周末记者,被黑客攻击的江苏某市安装海康威视设备的场所,每天的监控资料都被传至境外,除了弱口令问题外,其联网监控设备自身也是存在设计缺陷的。
对此,360攻防实验室也曾发布报告称,部分海康威视设备存在的高危漏洞,已被蠕虫病毒控制,只由用户修改密码并不能解决根本问题,需要海康威视厂家更新固件。
“如果生产企业生产的安防产品存在明显的安全漏洞,造成使用者或消费者财产损失或其他损害的,根据产品质量法等相关规定,应由厂家承担相应的经济赔偿责任,同时生产厂商应及时为用户提供免费的修补安防产品安全漏洞的技术服务。”廖天虎谈道。
催化重视信息安全
按照海康威视官网公告的内容,江苏省公安厅的通知发布后,“触动联网设备用户对弱口令修改、系统漏洞修补的认知和重视,已经并将继续推动所有海康威视用户快速采取必要的漏洞修补措施,也促使海康威视对产品安全问题的进一步重视和投入”。
厉斌认为,解决视频监控设备等终端互联网化、智能化后产生的安全漏洞问题时,需要企业和用户的共同努力,由于网络攻击的手段和来源的多样性,决定了解决此类问题不可能一劳永逸,除了产品制造厂商需要重视产品安全问题,及时发布漏洞修复工具、病毒查杀工具外,用户也应提升网络安全意识、加强自我保护,主动更新固件。
“安防产品生产企业应能够提供有效的安全策略和手段,有稳定的人才队伍,做到专业化和职业化,为用户提供行之有效的工具和服务,解决用户实际问题。”仇新梁建议,政府也要提供正确的扶持政策,提高安全投入比例和追责制度,尤其是针对基础设施相关的信息系统,组建真正专业的安全咨询和评估国家队。
吕述望:安防国产化太慢
法治周末记者 仇飞
“目前国内针对公众使用的与网络连接的安防产品,都是接入美国互联网的,受制于此,这类安防产品的国产化进程比较缓慢。”近日,中科院信息安全国家重点实验室教授吕述望接受法治周末记者采访时坦言,海康威视“安全门”事件将对我国联网安防产品的国产化进程产生深远影响。
在国家对网络和信息安全高度重视的当下,扮演政府、企业、社区“守门人”角色的安防行业,实现自主可控异常重要。
西南科技大学法学院副教授廖天虎认为,政府和企业在涉及信息安全问题的硬件设备和软件的采购中应考虑优先使用国产产品。
据悉,目前我国的安防视频监控体统国家标准为《安全防范视频监控联网系统信息传输、交换、控制技术要求》(GB 28181)。
“但这一标准下,视频监控图像信息互联共享及扩容维护困难的问题仍未解决,安防行业上游的核心技术长久以来也多被外国厂商垄断。”一位不愿具名的业内人士告诉记者。
吕述望指出,在此背景下,国内安防产品的生产企业要想实现突围,必须依托我们国家的信息安全建设,针对公众的产品接入网络就一定要由公众网络来做,与其他国家网络互连要经授权,重视领网建设和数据主权问题。
公开数据显示,有74.1%的网民在过去半年内遇到网络信息安全事件。有专家估计,中国每年因网络信息安全问题造成的经济损失高达数百亿美元。
在今年的全国两会上,中国移动[微博]广东公司总经理钟天华代表建议,加快制定网络信息安全法,从监管主体、设施安全、运行安全、信息安全、法律责任等方面规范网络信息安全。
