从“海康威视”事件看安全意识与责任

陆宝华 毕 宁

从“海康威视”事件看安全意识与责任

陆宝华 毕 宁

乙未伊始，海康威视的视频监控系统被入侵事件被曝光，江苏省公安厅及时发电，指出当前使用的杭州海康威视监控设备存在“严重安全隐患”，部分设备已被境外IP地址控制，通知要求各地加固相应系统。

细查之，此事件的主要责任方并不是设备提供方海康威视，而是由于使用者的安全意识薄弱，设置弱口令所致。此次事件中涉及到许多重要部门与行业，虽然视频监控系统并不会直接影响到信息系统的安全，但是，通过监控系统却能够清晰的查看到某行业、某部门的日常工作情况，甚至对一些清晰度较高的系统，一些敏感的操作也是可以记录的。在这里，必须说明，海康威视也是有责任的，如果在软件中设定了弱口令不能登录的强制要求，也就不会出现这样的问题了。由此事件，不能不让我们对国内许多单位从业人士的安全意识感到担忧。

实际上，视频监控系统由于漏洞而被入侵已经不是首次被发现，2014年，知道创宇信息技术有限公司的技术团队就已经发现了存在于海康威视视频监控系统中的安全漏洞，并应央视的要求，在CCTV13新闻频道的节目中播出，考虑到社会影响，并未将细节进行公布。一年过去了，在此次海康威视事件中，我们又对2014年曾曝出过的漏洞进行了远程扫描，发现仍有相当多数的系统没有修复这些漏洞。

联想到2014年曾曝出的“心脏出血”漏洞，根据我们作出的全球漏洞统计情况，不能不说，我国从事信息化行业的人士在安全意识方面存在着极大的问题。在“心脏出血”漏洞事件中，美国受到影响的比率要远大于我国(美国占受影响总IP数34%还要多，而中国仅为1%多一点，还不及越南7%)，而一天后的漏洞修复率却也是远大于我国的。美国达50%，而我国还不到20%。而我国IT化的程度肯定要大大的高于越南。这事件本身就说明了美国人甚至是越南人的安全意识比我们要强得多。OpenSSL是基于SSL安全协议的开源组件，应用极其广泛，是用来保证登录网络进行认证安全的协议实现，在没有发现“心脏出血”漏洞之前，大家当然认为使用这个安全组件能够实现安全登录，对于保障信息安全是极为重要的。而这个重要的安全组件在美国用的人很多，而我国用的人相对要少得多，这就是“心脏出血”漏洞影响美国人的比率远大于我国的原因；同样，美国人在发现此漏洞之后，第一时间内就有相当多数的人对漏洞进行了修补，而在我国，积极修补漏洞的人数相对于美国来讲就低得多。

同样，在其他的安全漏洞曝出时，根据Zoomeye的统计分析，我国的网络修复率也远低于美国，如当“破壳”漏洞发生后，一天内，美国人的修复率达50%，而我国则达不到20%。20天后，还有相当数量的受影响设备没有修复。

大家都知道，在与美国相比，我们在整体的安全水平上要远低于人家，芯片和操作系统都是人家生产的，如果在安全意识上我们仍不加强，那么我们在整体的网络空间安全的劣势不就更大了吗？安全意识的提高，对我们网络安全空间相对弱势国家来说，尤为重要。这一点是不言而喻的。

安全保障是一个有机的整体，是由一个一个的有机单元构成的，如果这些单元的安全没有解决好，光是在领导层重视，还是无法将安全水平提升上去。

安全意识的提高，必须与安全责任相结合，与责任人的利益相结合。一个没有责任的主体是不会有很强的责任意识的。在我国，法律、法规文件中写明，网络空间的安全是“谁主管谁负责、谁运营谁负责”，这样的规定是非常笼统的，没有将责任主体进行真正的细化和明确，谁应该负什么样的责任并不明确，发生了安全事件后，也没有相关的单位对责任人进行依法、依规的追究；许多安全事件均是不了了之，没有人来承担相应的责任，似乎发生安全事件是正常情形，甚至一些人对此麻木不仁。2014年，发生的多起安全事件，如携程信用卡数据泄露、12306撞库、大大小小的拖库事件，没有哪个主体承担过相应的责任。笔者认为，这是导致从业人员安全意识薄弱的一个重要原因。

针对于此，国家应该出台相应的规定，对于安全事件的责任主体进行明确，各个单位也应该对相关的责任人进行责任认定并应该规定相应的罚责。如果能像消防那样对责任主体进行明确，相关人员的安全意识必然会大大的提高。同时还应该规定安全事件连带责任的追究细则，包括产品本身的安全问题导致的安全事件，还要考虑到安全服务的连带责任，包括测评、集成整改及其他安全服务的责任。

当然对于安全事件还应该进行分析，明确这个事件是否属于不可抗力，对于不可抗力的事件应该有明确的规定，应该是免责的。建议国家相关的主管单位，应该组织相应的专家进行研究，拿出一个科学的、切实可行的具有法规效力的规定来。

随着Internet不断渗透到各个领域，信息安全已经影响到各个行业的有序发展，一个安全漏洞的出现就可以威胁全局的安全，特别是人们在大力提倡万物互联，智慧城市的今天，尤其更要重视。此次工控行业的海康威视的监控设备被境外IP所盯上，就已经为我们鸣响了警钟。