海康威视爆发安全事故 应用软件安全敲警钟

2月27日11时，江苏省公安厅发布了一则标记为“特急”的通知，主题是《关于立即对全省海康威视监控设备进行全面清查和安全加固的通知》（以下简称“通知”），通知称 “海康威视监控设备存在严重安全隐患，部分设备已经被境外IP地址控制”。27日当天夜里，海康威视发布说明，指出安全隐患的原因和修复方式。因海康威视的解决方案大量应用于公安系统、央企、平安城市、平安乡镇等，所以其暴露的安全隐患引发全社会关注，这一事件相关信息开始网上大量传播。

应用软件安全问题不容忽视

国产基础软件的薄弱问题被高度关注，但如果忽略应用软件同样会带来巨大的信息安全问题。

2月28日，就海康威视的安全事件《中国电子报》记者电话采访工业和信息化部赛迪智库信息安全研究所所长刘权博士，刘权证实了江苏省公安厅“通知”的真实性，并透露在此“通知”发出之前，包括中石化等在内的许多央企已经下文要求测查并停止使用海康威视的相关设备。

刘权提供了来自赛迪智库安全研究所掌握的信息，引发此次事件的根源在于软件而不是硬件，目前海康威视设备中核心系统软件并非自己研发，而是在别人的核心系统软件上进行的升级，问题就出在升级的这个部分上。

刘权认为，当大家提及信息安全，通常会提及国产IT的两个薄弱环节：一是国产芯片，二是国产基础软件，包括数据库和操作系统等。但这次问题的爆发并非在这两个环节，而是出在了应用软件层面，说明信息安全涉及到方方面面。从目前国产信息技术发展的状况来看，国产芯片的技术正在加速突破，包括华为海思在内国产芯片水平不断提升，已经开始越来越多地被采用，但软件的薄弱却很少被意识到，尤其是应用软件，国产基础软件的薄弱问题目前被高度关注，事实上如果忽略应用软件同样会带来巨大的信息安全问题。所以对大型的行业应用软件的安全问题必须高度关注，在大力发展应用软件的同时必须进一步强化安全的问题。

思普公司董事长张龙对《中国电子报》记者坦言，软件是驱动一切的命脉，如果你用封闭不开源的软件，难免会遇到一些封闭、不可视的代码，这些代码就容易存在安全的隐患，一旦在某一时间被激活，容易导致安全事件。

刘权说，这次问题的发生境外黑客是应该被谴责和追究方面，但更多的问题暴露于我们自身，问题在于海康威视产品和系统所存在的漏洞给了别人可乘之机。而眼下要解决这个问题必须要将这些设备下架，找出技术问题，解决问题。与此同时要进一步强化用户的安全防范意识，如果用户能够提前防范，采用安全管理等相关系统，也能够及早发现包括流量异常等问题，杜绝恶意攻击行为的发生。而且应该进一步强化重要行业的网络安全检测制度，在更大范围内进行网络安全制度的检查，推动第三方检测。

中国工程院院士倪光南对《中国电子报》记者表示，从海康威视的公开回应信息来看，这次事件主要是江苏省互联网应急中心通过网络流量监控发现部分在互联网上的海康威视设备因弱口令问题（弱口令包括使用产品初始密码或其他简单密码，如123456、888888、admin等），被黑客攻击。纠正此问题主要通过修改密码等方式来解决。

对待IT产品需要“新安全观”

IT的“新安全观”事实上是用动态的方式来看待和解决信息产品的安全问题，通过动态的方式来不断发现和不断完善IT产品的安全性。

中国计算机学会常务理事、启明星辰首席战略官潘柱廷在接受《中国电子报》记者采访时坦言，这件事情的爆发对用户的提醒是，应该设立“首席安全官”这样的职位和建立相应的安全机制。过去大家对信息安全的关注主要是在互联网和包括政府在内的敏感部门，但其实信息安全的问题无所不在，视频监控领域过去被大家忽略了，出了海康的问题，大家开始重视视频监控领域的安全。工控领域的安全也曾被大家忽略，出了“网震”事件，大家开始关注工业控制领域的安全。比如互联网金融很火，过一段时间也许会爆发安全事件。其实用户层面会有很多地方都存在信息安全的隐患，用户需要从体制机制层面去重视和解决这些安全隐患，比如在美国重要的机构和企业都有“首席安全官”，它是用体制机制的方式来解决用户问题，信息安全的问题需要在用户最高决策层有一个执行机构来履行职责。

应该说，在万物互联的信息时代，网络信息安全已经是一个无所不在的系统问题，今天海康威视所暴露出来的是安全监控领域，因为安全意识薄弱，设备存在安全漏洞，导致了安全隐患，看起来是一个局部、零星的安全问题。但事实上，最近以来全球化的网络信息安全事件频发，从“棱镜门”到“苹果门”到工控领域的“网震门“，到诸多互联网公司用户信息泄露等，涉及很多维度，从输入端到传输过程以及信息处理众多环节，从设备系统本身到用户使用等每一个维度，都有可能存在不安全隐患，要想真正保障网络信息安全，必须把信息安全用系统工程的方法来抓，防患于未然。

潘柱廷同时强调，看待IT产品、IT技术需要“新安全观”。他认为不能够因为海康威视出了这样的问题就举起大棒子将其一闷棍打死，事实上，对于信息技术和信息产品来说，永远没有绝对安全的产品，安全是一个相对的概念。“我们强调IT的‘新安全观’，事实上是用动态的方式来看待和解决信息产品的安全问题，通过动态的方式来不断发现和不断完善IT产品的安全性。”潘柱廷对记者格外强调，在他看来一个IT企业的产品暴露出漏洞、问题，并不能就此断言该产品就存在极大的问题，他以微软的windows为例，事实上windows是世界上出现过问题、漏洞最多的产品，因为windows是被最广泛使用，也是被黑客们攻击最多的产品，但是某种意义上可以说windows是最安全的操作系统，因为它的问题和漏洞总是被及时、动态地修复。他认为信息技术和家具产品不一样，不能够要求一个电子产品40年甚至70年不出问题。

潘柱廷提及了去年10月份举行的“极棒”活动，这是一个极客们对智能生活产品进行检查和攻击的大赛，结果特斯拉和360手环都被极客们“攻破”了。潘柱廷坦言，用第三方的力量、社交的力量来发现和找出产品问题，来加速产品安全性提升正在成为IT产业的一个重要趋势，所以包括”乌云“等第三方的测试平台正在成为IT生态链中重要的推动力量被越来越多的企业所重视。

对于动态修复、对于海康威视的问题，倪光南院士表达了同样的观点，他认为这并不是太大的事情，不断发现问题，不断解决问题将是IT产业发展的常态。