信息化觀察網(wǎng)

前一段時間，一篇題為《一位92年女生致周鴻祎：別再盯著我們》的網(wǎng)文刷爆朋友圈，文中指出360“小水滴”攝像頭涉嫌侵犯個人隱私，一時間引起了廣大網(wǎng)友的熱議。近日，有媒體報道，大量家庭攝像頭遭入侵并借此非法牟利。

據(jù)悉，其中有28批次的數(shù)據(jù)傳輸沒有加密，20批次的初始的密碼安全性較弱，有18批次在身份鑒別方面不能夠提供登陸失敗的處理功能。

企業(yè)發(fā)聲：力證安全 呼吁用戶放心使用

對于國家質(zhì)檢總局發(fā)布的報告，相關(guān)知名家用智能攝像機(jī)制造廠商“按捺不住”，紛紛發(fā)表聲明以證自家的攝像機(jī)“沒問題”。

8成家用監(jiān)控存在安全隱患 被“直播”你怕了嗎？

央視報道出來后，360安全團(tuán)隊、360智能攝像機(jī)產(chǎn)品團(tuán)隊高度重視，針對攝像頭可能存在的安全漏洞，組織安全技術(shù)人員逐一排查并公布了具體檢測結(jié)果。

8成家用監(jiān)控存在安全隱患 被“直播”你怕了嗎？

?？低暺煜缕放莆炇渤鍪玖税踩J(rèn)證。ISO 27001是全球信息安全權(quán)威標(biāo)準(zhǔn)之一，要求企業(yè)必須滿足高規(guī)格高要求的信息安全體系，確保企業(yè)以及用戶的信息安全，以權(quán)威、嚴(yán)格著稱。目前，獲得該認(rèn)證的國內(nèi)企業(yè)主要涉及銀行、保險證券、數(shù)據(jù)處理中心、電信等行業(yè)。

8成家用監(jiān)控存在安全隱患 被“直播”你怕了嗎？

在安全方面小蟻在聲明中表示，將會堅持最嚴(yán)格的“六重隱私安全保障”，讓用戶放心。無論是在訪問攝像機(jī)觀看視頻直/重播、服務(wù)器訪問還是云儲存功能上，傳輸數(shù)據(jù)都是嚴(yán)格加密的；同時后臺使用動態(tài)秘密加密，防止陌生人盜用并且嚴(yán)格保護(hù)用戶信息；另外，小蟻智能攝像機(jī)不存在統(tǒng)一的初始用戶名與密碼，還可設(shè)置多重“強(qiáng)密碼”進(jìn)行高級別的隱私保護(hù)。

8成家用監(jiān)控存在安全隱患 被“直播”你怕了嗎？

除上述企業(yè)外，雄邁、漢邦高科等企業(yè)也發(fā)表了聲明，力證產(chǎn)品的安全性，呼吁用戶放心使用。雄邁提出“三大安全保障”，漢邦高科則以國密技術(shù)佐證產(chǎn)品品質(zhì)。國密即國家密碼局認(rèn)定的國產(chǎn)密碼算法，即商用密碼，主要用于對不涉及國家秘密內(nèi)容但又具有敏感性的內(nèi)部信息、行政事務(wù)信息、經(jīng)濟(jì)信息等進(jìn)行加密保護(hù)，安全系數(shù)高。

除了上述發(fā)表聲明的企業(yè)，零狐還采訪到了杭州蠻?？萍夹U牛云平臺負(fù)責(zé)人鄭驛以及中維世紀(jì)科技有限公司李春生從行業(yè)內(nèi)部的角度對此次事件進(jìn)行了分析。

鄭驛認(rèn)為，家用監(jiān)控產(chǎn)生安全問題的原因，一是因?yàn)樗骄W(wǎng)環(huán)境下的風(fēng)險相對較小致使廠家對設(shè)備安全性的不重視；二是因?yàn)閿?shù)據(jù)傳輸通道及數(shù)據(jù)儲存上的未加密，當(dāng)監(jiān)控設(shè)備暴露在公網(wǎng)上，數(shù)據(jù)就很容易被別人捕獲。

中維世紀(jì)則認(rèn)為，此次事件的爆發(fā)勢必會影響產(chǎn)品的市場需求，但暴露問題才能更好的解決問題，行業(yè)、企業(yè)也為因此對產(chǎn)品進(jìn)行改造升級，反倒有利于行業(yè)健康和可持續(xù)發(fā)展。

企業(yè)怎樣解除家用監(jiān)控的隱私安全隱患？

鄭驛表示企業(yè)應(yīng)該從以下三個方面來進(jìn)行把控：

全鏈路數(shù)據(jù)加密：針對整個數(shù)據(jù)傳輸鏈路進(jìn)行高規(guī)格的數(shù)據(jù)加密，保證即使數(shù)據(jù)被別人竊取，也無法查看，尤其是針對一些用戶帳戶等信息，采用HTTPS的方式進(jìn)行數(shù)據(jù)安全傳輸，以保證數(shù)據(jù)安全；

弱密碼提示：針對弱密碼進(jìn)行用戶提示，提醒用戶盡量設(shè)置復(fù)雜密碼，提醒修改出廠密碼；

用戶引導(dǎo)：通過各種渠道對用戶進(jìn)行安全性方面的引導(dǎo)和安全性知識普及，讓用戶在使用產(chǎn)品的過程中提高隱私安全防范意識。

有較多企業(yè)做了檢測并獲得了證書，這些檢測證是否權(quán)威？

企業(yè)為獲得渠道銷售商和終端用戶認(rèn)可促進(jìn)銷售，給自身產(chǎn)品增加信任背書，找一些機(jī)構(gòu)或單位進(jìn)行產(chǎn)品檢測和認(rèn)證，都是較為常用的手段。有勝于無，對受眾而言這些檢測證還是具備一定信任作用的。

至于檢測證是否權(quán)威，中維世紀(jì)認(rèn)為關(guān)鍵在于兩個方面：一是檢測標(biāo)準(zhǔn)是否權(quán)威；二是檢測機(jī)構(gòu)是否權(quán)威。

比如是否參照和對標(biāo)GB/T 22239-2008《信息安全技術(shù)、信息系統(tǒng)安全等級保護(hù)基本要求》等國家相關(guān)標(biāo)準(zhǔn)，或是國際上公眾認(rèn)可的美標(biāo)、歐標(biāo)等相應(yīng)標(biāo)準(zhǔn)，這些標(biāo)準(zhǔn)相對權(quán)威。另外，檢測實(shí)施方和檢測證出具方是否是國家或國際指定的檢測機(jī)構(gòu)，如果不是就很難保證檢測證的權(quán)威性。

如果檢測證采用的檢測標(biāo)準(zhǔn)權(quán)威，檢測機(jī)構(gòu)同樣權(quán)威，那么檢測證就相對是權(quán)威的，否則就很難證明其權(quán)威性。

最后，兩家企業(yè)就購買監(jiān)控的角度給用戶提出了建議：在選擇產(chǎn)品時應(yīng)優(yōu)先購買權(quán)威機(jī)構(gòu)安全認(rèn)證，值得信賴的監(jiān)控品牌產(chǎn)品；留意權(quán)威部門所發(fā)布的相關(guān)產(chǎn)品質(zhì)量信息；盡量設(shè)置復(fù)雜密碼，切記修改初始密碼；在使用監(jiān)控配套軟件時選擇廠家指定的軟件。

用戶調(diào)查：被“直播” 你怕了嗎？

隱私得不到保障，家用攝像機(jī)仿佛變相的“直播機(jī)器”，給熱愛智能家居產(chǎn)品的用戶們澆了一盆涼水，對于智能攝像機(jī)本身以及攝像機(jī)的安全隱私問題，用戶們是怎么看的呢？

Q1：對智能攝像機(jī)這個產(chǎn)品本身怎么看？

李女士：非常需要，家里有孩子，有時候會讓她單獨(dú)在家，有這個產(chǎn)品，自己外出比較放心，可以隨時查看她的情況。

張先生：產(chǎn)品本身沒啥問題，只不過現(xiàn)在的攝像機(jī)最多算個網(wǎng)絡(luò)攝像機(jī)，算不上智能，智能要有自動識別功能，語言控制功能等等，目前大部分都是沒有的，最多連接網(wǎng)絡(luò)云臺，手機(jī)控制而已。

沈先生：對現(xiàn)在工作高強(qiáng)度高節(jié)奏、大量時間不在家里的上班族而言，特別是家中有老人、孩子、寵物的特定人群，智能攝像機(jī)監(jiān)控家里的情況還是有必要的。但是現(xiàn)在智能攝像機(jī)的安全問題得不到保障，搞得人心惶惶的。

Q2：隱私遭泄，安全問題嚴(yán)峻，以后還會使用嗎？為什么？

沈先生：還是會用的，雖然對產(chǎn)品來說沒有出臺規(guī)定和標(biāo)準(zhǔn)，而且信息化安全標(biāo)準(zhǔn)條律也沒完善，但國家也很重視這點(diǎn)，相信后續(xù)會有改善，畢竟家用監(jiān)控最終是有益的存在。

李女士：會使用，我個人一直接觸互聯(lián)網(wǎng)，知道這個問題，在互聯(lián)網(wǎng)出現(xiàn)的同時一直就存在這樣的問題，就像當(dāng)初我們懷疑互聯(lián)網(wǎng)，互聯(lián)網(wǎng)支付，現(xiàn)在全部接受一樣，知道這是一個過程，終究會解決掉。最主要就是我已經(jīng)養(yǎng)成習(xí)慣，去設(shè)置比較安全的密碼。

李先生：目前來看，主要應(yīng)用智能攝像機(jī)的人群還是剛性需求為主，即有特殊目的才會使用，一般家庭不太會考慮。

Q3：對家用監(jiān)控的發(fā)展有什么期待？

沈先生：首先是達(dá)到安全標(biāo)準(zhǔn)，在變換不同造型，融合家庭氛圍的同時，提高其防護(hù)性，現(xiàn)在高清、云臺、報警、網(wǎng)絡(luò)存盤等都沒難度，接下來要希望能在更多的特殊情況下完成防護(hù)性，比如斷網(wǎng)、斷電、在死角位被砸，遇到這些情況該怎么辦，還有同款產(chǎn)品是否可以進(jìn)行全息視頻對話等，當(dāng)然最后這點(diǎn)是科幻片看多了，呵呵。

李女士：希望更加智能，與報警聯(lián)系在一起，當(dāng)有入侵的時候可以即刻報警。也希望法律加大竊取信息者的犯罪成本，給予更合理果斷的處罰。

張先生：希望在保證安全的前提下，其他功能可以跟進(jìn)，可能很多功能已經(jīng)有了，只是用在高端的產(chǎn)品上，希望可以越來越普及。

總的來說，市場需求是大量存在的。用戶對家用監(jiān)控的“看家”功能頗為滿意，頻繁發(fā)生的安全問題并沒有完全打消用戶對智能家居安防產(chǎn)品的熱情，他們?nèi)匀幌Ｍ懈踩?、功能更全面、性能更穩(wěn)定、性價比更高的產(chǎn)品出現(xiàn)。

專家解析：聚焦網(wǎng)絡(luò)信息安全 如何規(guī)避“弱口令”風(fēng)險？

智能攝像頭的IP地址和登錄密碼是如何落入別人手中的？質(zhì)檢視頻顯示主要是依靠掃描器，用一些弱口令密碼做大范圍的掃描得來的。不光家用攝像頭能夠被輕松入侵，在用于城市管理，交通監(jiān)測的公共攝像頭中，也大量存在使用弱口令便可以打開的問題。

筆者認(rèn)為，只有弄清不法之徒是怎樣入侵家用監(jiān)控的，才可以有效規(guī)避網(wǎng)絡(luò)風(fēng)險。為此，零狐特邀杭州安恒信息技術(shù)有限公司信息安全專家馮旭杭為用戶解析“弱口令”的危害，并就如何保障網(wǎng)絡(luò)信息安全提出建議。

8成家用監(jiān)控存在安全隱患 被“直播”你怕了嗎？

什么是“弱口令”？

口令常指我們所說的密碼，它是進(jìn)入系統(tǒng)的方式，一般進(jìn)入系統(tǒng)可以有多因素認(rèn)證，用戶名和密碼是其中最簡單的一種。密碼過于簡單會讓系統(tǒng)的突破口變得極其脆弱。

馮旭杭介紹道，很多設(shè)備出廠的時候會設(shè)置默認(rèn)的用戶名和密碼，而這個密碼基本上是以簡單的數(shù)字或字母的排序比如admin、rut這樣的弱口令作為初始設(shè)置，這些口令基本都存在于破解密碼的密碼字典中，但是密碼字典中的弱密碼遠(yuǎn)遠(yuǎn)不止這些，弱口令可以說是導(dǎo)致網(wǎng)絡(luò)安全事件爆發(fā)最為集中的因素。就大批量家用攝像頭被入侵的事件而言，弱口令就是根本原因。

家用監(jiān)控是怎樣被入侵的？

零狐從馮先生處得知，首先入侵者利用互聯(lián)網(wǎng)掃描器對批量的IP地址進(jìn)行掃描，鎖定入侵智能攝像頭的范圍，鎖定地址源后，利用暴力破解（窮舉密碼的可能性）的方式進(jìn)行密碼破解。

比如我們常見的6位數(shù)純數(shù)字密碼，總共有10的6次方種排列方式即密碼的可能性，按照現(xiàn)在主流計算機(jī)的運(yùn)行速度，不到1分鐘就能窮舉所有密碼，即入侵者在1分鐘內(nèi)就能

破解你的密碼，即使你更換密碼但沒有避開弱密碼范圍，入侵者還是能夠在短時間內(nèi)破解，登錄你的攝像頭進(jìn)行控制和數(shù)據(jù)奪取。

規(guī)避風(fēng)險 廠商、用戶需齊頭并進(jìn)

怎樣規(guī)避家用攝像頭帶來的網(wǎng)絡(luò)信息安全問題？馮先生認(rèn)為應(yīng)該以廠商提升安全成本、用戶提高安全意識為主，監(jiān)管機(jī)構(gòu)加大力度、第三方網(wǎng)絡(luò)安全企業(yè)協(xié)助為輔，社會各界同心協(xié)力，才能提高整個互聯(lián)網(wǎng)的安全使用氛圍，新技術(shù)、新設(shè)備才能更加名正言順的為老百姓服務(wù)。

設(shè)備制造廠商對于產(chǎn)品的安全系數(shù)應(yīng)該重視，使用多因素的認(rèn)證方式、除了用戶名密碼還設(shè)置一些動態(tài)令牌、加強(qiáng)對登錄入口的保護(hù)等等都是企業(yè)可以考慮到的問題；而用戶則應(yīng)該養(yǎng)成良好的安全習(xí)慣、提升安全意識，比如修改密碼時使用“字母+數(shù)字+特殊符號”等位數(shù)足夠長的強(qiáng)密碼、采用域名方式隱藏攝像頭的管理地址并設(shè)置登錄驗(yàn)證等等。

另外，監(jiān)管機(jī)構(gòu)等相關(guān)部門也應(yīng)該加強(qiáng)網(wǎng)絡(luò)安全監(jiān)管力度，完善、制定行業(yè)安全標(biāo)準(zhǔn)或制度，讓所有人有法可依；有技術(shù)、有責(zé)任的第三方做網(wǎng)絡(luò)安全、信息安全的服務(wù)商，也可以對設(shè)備廠商進(jìn)行一些宣貫、輔導(dǎo)升職協(xié)助。

不使用不就沒有安全問題了嗎？

從前在純物理化的家庭里，你以為只要管好門窗，家里可能就是安全的，但事實(shí)上仍然避免不了入室盜竊、偷拍等負(fù)面事件發(fā)生。如今有智能監(jiān)控、智能門鎖等智能家居單品，可以為家庭提供更高級別的安全防護(hù)，為什么大家卻不敢嘗試了呢？

互聯(lián)網(wǎng)、物聯(lián)網(wǎng)的發(fā)展改變著我們的方方面面，智能化的未來生活是必然趨勢。好比最早出現(xiàn)網(wǎng)上銀行時，幾乎沒有人敢用，隨著第二代u盾、安全技術(shù)的發(fā)展下，確保其使用過程安全，越來越多的人使用上了網(wǎng)上銀行、手機(jī)銀行。

馮旭杭建議，與其畏手畏腳不敢使用，不如積極探索如何讓它們更好、更安全的便捷我們的生活，網(wǎng)絡(luò)安全遲早會變成智能設(shè)備的基本屬性，大家大可放寬心。

觀點(diǎn)：將安全落到實(shí)處

首先，質(zhì)檢總局稱“8成家用監(jiān)控存在安全隱患”，卻不是說“不合格”。這意味著目前對于智能家居產(chǎn)品還沒有出臺正式的安全質(zhì)量檢測標(biāo)準(zhǔn)，既然如此，廠商生產(chǎn)的產(chǎn)品入市沒有標(biāo)準(zhǔn)可依，“無規(guī)矩不成方圓”，大量山寨機(jī)、貼牌機(jī)，以及小廠家的攝像機(jī)產(chǎn)品加速流入市場從而產(chǎn)生的安全問題，又怎么能完全歸責(zé)于廠商呢？

其次，行業(yè)洗牌勢在必行，企業(yè)需加大安全技術(shù)成本。用戶需求持續(xù)存在，有責(zé)任心、技術(shù)力量過硬、關(guān)注用戶體驗(yàn)和服務(wù)的企業(yè)肯定能夠在惡劣的環(huán)境下生存下來，但那些濫竽充數(shù)、技術(shù)薄弱、為商則奸的企業(yè)應(yīng)該迅速淘汰。與此同時，企業(yè)也應(yīng)該更加重視產(chǎn)品的安全問題，加大成本用于提高安全技術(shù)。第三方網(wǎng)絡(luò)信息安全服務(wù)商也可以適當(dāng)參與進(jìn)來，為提高產(chǎn)品的安全系數(shù)出一份力。

執(zhí)法部門可以增加違法者的犯罪成本。雖說攝像機(jī)本身可以被入侵是導(dǎo)致其不安全的重要因素，但那些入侵?jǐn)z像機(jī)、窺探別人隱私甚至用于非法牟利的犯罪分子不是更加可恨嗎？他們之所以敢一而再、再而三的盜取用戶信息，很大一部分原因在于懲治力度不夠嚴(yán)格。

最后，媒體在為用戶發(fā)聲的同時，應(yīng)該公正客觀、就事論事，不能一概而論。要知道其不清晰的描述、博眼球的言論不僅會產(chǎn)生輿論誤導(dǎo)，還會誤傷到一大批致力于智能安防發(fā)展的企業(yè)。

（原標(biāo)題：成家用監(jiān)控存在安全隱患 被“直播”你怕了嗎？）