自2月27日被曝出設(shè)備存在安全漏洞后，國內(nèi)最大的綜合安防監(jiān)控企業(yè)——?？低曀坪踹€未越過“安全門”。

　　這一點從?？低暿軟_擊的股價上可見一斑：過去10個交易日，該股的平均成本為26.96元，股價在成本下方運行，走勢明顯跑輸大盤。

　　時間推回至2月27日：江蘇省公安廳的一則特急通知成為海康威視陷入“安全門”的發(fā)端。

　　這份《關(guān)于立即對全省?？低暠O(jiān)控設(shè)備進(jìn)行全面清查和安全加固的通知》(以下簡稱“通知”)稱，江蘇省各級公安機(jī)關(guān)使用的?？低暠O(jiān)控設(shè)備存在嚴(yán)重安全隱患，部分設(shè)備已被境外IP地址控制，要求各部門對使用的?？低曉O(shè)備進(jìn)行全面清查。

　　對此，2月28日，?？低曉谄涔倬W(wǎng)(http：//www.hikvision.com/)先后發(fā)布針對設(shè)備安全的說明和致用戶書，指出受境外IP控制的聯(lián)網(wǎng)設(shè)備系存在弱口令漏洞(弱口令包括使用產(chǎn)品初始密碼或其他簡單密碼)，通過修改初始密碼或簡單密碼，或者升級設(shè)備固件可解決。

　　而據(jù)網(wǎng)絡(luò)安全公司知道創(chuàng)宇監(jiān)測統(tǒng)計，5.2萬臺?？低暠O(jiān)控設(shè)備中就有多達(dá)3.5萬臺設(shè)備存在默認(rèn)弱口令。

　　“境外惡意攻擊者一般會對網(wǎng)絡(luò)進(jìn)行掃描，發(fā)現(xiàn)使用?？低暤南到y(tǒng)存在弱口令問題后會利用其中未修復(fù)的安全漏洞進(jìn)行攻擊，然后植入后門軟件進(jìn)行長期控制。”國內(nèi)知名漏洞曝光平臺烏云網(wǎng)創(chuàng)始人方小頓對法治周末記者介紹說。

　　被疑信息披露違規(guī)

　　3月1日晚間，?？低曊桨l(fā)布《關(guān)于部分監(jiān)控設(shè)備遭到網(wǎng)絡(luò)攻擊的情況說明》(以下簡稱《情況說明》)，披露其早在去年9月就應(yīng)聯(lián)網(wǎng)產(chǎn)品系統(tǒng)遭到黑客惡意攻擊向公安機(jī)關(guān)報案。

　　記者也在烏云網(wǎng)上查詢發(fā)現(xiàn)，烏云網(wǎng)曾在去年多次發(fā)布?？低暤陌踩┒刺崾?。最近一次報告為2014年11月底，報告稱?？低暷骋曨l監(jiān)控平臺存在弱口令，并作出高級別危害判定;而?？低曇苍跒踉凭W(wǎng)確認(rèn)漏洞存在，并認(rèn)定漏洞危害等級為“中”。

　　“產(chǎn)品遭受存在漏洞并且受黑客攻擊早已有之，我們卻是因近期江蘇省公安廳的通知才意外獲知，?？低暤淖龇y道不是信息披露違規(guī)嗎?”一位不愿具名的?？低暪善蓖顿Y者質(zhì)疑道。

　　公開資料顯示，?？低曈?010年在深交所掛牌上市。

　　“根據(jù)證券法和上市公司信息披露管理辦法的規(guī)定，上市公司應(yīng)當(dāng)真實、準(zhǔn)確、完整、及時地披露其產(chǎn)品信息，不得有虛假記載、誤導(dǎo)性陳述或者重大遺漏。作為上市公司的?？低曈绕鋺?yīng)對可能對上市公司證券及其衍生品種交易價格產(chǎn)生較大影響的突發(fā)事件，在投資者尚未得知時立即披露，說明事件的起因、目前的狀態(tài)和可能產(chǎn)生的影響。”西南科技大學(xué)法學(xué)院副教授廖天虎告訴法治周末記者。

　　對此，海康威視相關(guān)負(fù)責(zé)人接受媒體采訪時表示，盡管事件對公司的實際影響不大，但如果公司立即披露安全公告的話，可能對整個產(chǎn)業(yè)鏈的發(fā)展更好。

　　記者在《情況說明》中看到：“為保護(hù)投資者權(quán)益，保證公平信息披露，申請自3月2日開市起臨時停牌”。

　　根據(jù)深交所交易規(guī)則，公眾傳媒中出現(xiàn)上市公司尚未披露的重大信息，可能或已經(jīng)對公司股票及其衍生品種的交易價格產(chǎn)生較大影響的，交易所可在交易時間對公司股票及其衍生品種實施停牌，直至公司披露相關(guān)公告的當(dāng)日開始時復(fù)牌。

　　“安全門”事件曝出后的首個交易日(3月2日)，海康威視宣布股票停牌，并舉行投資者說明會。

　　聯(lián)網(wǎng)終端漏洞普遍

　　在投資者說明會上，國家互聯(lián)網(wǎng)應(yīng)急中心浙江分中心技術(shù)保障處副處長厲斌表示，計算機(jī)感染病毒的現(xiàn)象時有發(fā)生，而聯(lián)網(wǎng)視頻監(jiān)控設(shè)備相對于計算機(jī)來說更為簡單，視頻監(jiān)控設(shè)備互聯(lián)網(wǎng)化后必然也會面臨同樣的問題。

　　無獨有偶，中科院信息工程研究所高級工程師仇新梁在接受法治周末記者采訪時指出，此次曝出的?？低暟踩┒磫栴}，在安防產(chǎn)品在內(nèi)的我國各項聯(lián)網(wǎng)基礎(chǔ)設(shè)施中是非常普遍的，“只是?？低暤膽?yīng)用比較特殊、范圍也比較廣，因而關(guān)注度高”。

　　據(jù)悉，?？低曄蛉珖嗍∈械墓膊块T提供產(chǎn)品和服務(wù)，借助安防產(chǎn)業(yè)的高度景氣，過去9年間，海康威視業(yè)績增加了20多倍。

　　“開發(fā)過程中缺乏必要的安全環(huán)節(jié)，應(yīng)用之前缺少嚴(yán)格的安全評估，使用過程中缺少必要的監(jiān)控，安全管理基本空白，都是導(dǎo)致漏洞出現(xiàn)的必然。”仇新梁坦言，“最擔(dān)心的是通過這些漏洞可能使一些基礎(chǔ)設(shè)施被橫向攻擊，并被控制”。

　　方小頓則認(rèn)為，國內(nèi)的安防產(chǎn)品的漏洞問題由來已久，主要原因在于社會和國家對信息化依賴越來越高。

　　“所有暴露在互聯(lián)網(wǎng)環(huán)境下的設(shè)備都會面臨黑客攻擊的風(fēng)險，很多用戶缺乏安全意識，在安全上考慮不足也導(dǎo)致容易出現(xiàn)安全漏洞。”方小頓補(bǔ)充道。

　　一位江蘇省公安廳的人士告訴法治周末記者，被黑客攻擊的江蘇某市安裝?？低曉O(shè)備的場所，每天的監(jiān)控資料都被傳至境外，除了弱口令問題外，其聯(lián)網(wǎng)監(jiān)控設(shè)備自身也是存在設(shè)計缺陷的。

　　對此，360攻防實驗室也曾發(fā)布報告稱，部分?？低曉O(shè)備存在的高危漏洞，已被蠕蟲病毒控制，只由用戶修改密碼并不能解決根本問題，需要?？低晱S家更新固件。

　　“如果生產(chǎn)企業(yè)生產(chǎn)的安防產(chǎn)品存在明顯的安全漏洞，造成使用者或消費者財產(chǎn)損失或其他損害的，根據(jù)產(chǎn)品質(zhì)量法等相關(guān)規(guī)定，應(yīng)由廠家承擔(dān)相應(yīng)的經(jīng)濟(jì)賠償責(zé)任，同時生產(chǎn)廠商應(yīng)及時為用戶提供免費的修補(bǔ)安防產(chǎn)品安全漏洞的技術(shù)服務(wù)。”廖天虎談道。

　　催化重視信息安全

　　按照?？低暪倬W(wǎng)公告的內(nèi)容，江蘇省公安廳的通知發(fā)布后，“觸動聯(lián)網(wǎng)設(shè)備用戶對弱口令修改、系統(tǒng)漏洞修補(bǔ)的認(rèn)知和重視，已經(jīng)并將繼續(xù)推動所有?？低曈脩艨焖俨扇”匾穆┒葱扪a(bǔ)措施，也促使?？低晫Ξa(chǎn)品安全問題的進(jìn)一步重視和投入”。

　　厲斌認(rèn)為，解決視頻監(jiān)控設(shè)備等終端互聯(lián)網(wǎng)化、智能化后產(chǎn)生的安全漏洞問題時，需要企業(yè)和用戶的共同努力，由于網(wǎng)絡(luò)攻擊的手段和來源的多樣性，決定了解決此類問題不可能一勞永逸，除了產(chǎn)品制造廠商需要重視產(chǎn)品安全問題，及時發(fā)布漏洞修復(fù)工具、病毒查殺工具外，用戶也應(yīng)提升網(wǎng)絡(luò)安全意識、加強(qiáng)自我保護(hù)，主動更新固件。

　　“安防產(chǎn)品生產(chǎn)企業(yè)應(yīng)能夠提供有效的安全策略和手段，有穩(wěn)定的人才隊伍，做到專業(yè)化和職業(yè)化，為用戶提供行之有效的工具和服務(wù)，解決用戶實際問題。”仇新梁建議，政府也要提供正確的扶持政策，提高安全投入比例和追責(zé)制度，尤其是針對基礎(chǔ)設(shè)施相關(guān)的信息系統(tǒng)，組建真正專業(yè)的安全咨詢和評估國家隊。

　　呂述望：安防國產(chǎn)化太慢

　　“目前國內(nèi)針對公眾使用的與網(wǎng)絡(luò)連接的安防產(chǎn)品，都是接入美國互聯(lián)網(wǎng)的，受制于此，這類安防產(chǎn)品的國產(chǎn)化進(jìn)程比較緩慢。”近日，中科院信息安全國家重點實驗室教授呂述望接受法治周末記者采訪時坦言，?？低?ldquo;安全門”事件將對我國聯(lián)網(wǎng)安防產(chǎn)品的國產(chǎn)化進(jìn)程產(chǎn)生深遠(yuǎn)影響。

　　在國家對網(wǎng)絡(luò)和信息安全高度重視的當(dāng)下，扮演政府、企業(yè)、社區(qū)“守門人”角色的安防行業(yè)，實現(xiàn)自主可控異常重要。

　　西南科技大學(xué)法學(xué)院副教授廖天虎認(rèn)為，政府和企業(yè)在涉及信息安全問題的硬件設(shè)備和軟件的采購中應(yīng)考慮優(yōu)先使用國產(chǎn)產(chǎn)品。

　　據(jù)悉，目前我國的安防視頻監(jiān)控體統(tǒng)國家標(biāo)準(zhǔn)為《安全防范視頻監(jiān)控聯(lián)網(wǎng)系統(tǒng)信息傳輸、交換、控制技術(shù)要求》(GB 28181)。

　　“但這一標(biāo)準(zhǔn)下，視頻監(jiān)控圖像信息互聯(lián)共享及擴(kuò)容維護(hù)困難的問題仍未解決，安防行業(yè)上游的核心技術(shù)長久以來也多被外國廠商壟斷。”一位不愿具名的業(yè)內(nèi)人士告訴記者。

　　呂述望指出，在此背景下，國內(nèi)安防產(chǎn)品的生產(chǎn)企業(yè)要想實現(xiàn)突圍，必須依托我們國家的信息安全建設(shè)，針對公眾的產(chǎn)品接入網(wǎng)絡(luò)就一定要由公眾網(wǎng)絡(luò)來做，與其他國家網(wǎng)絡(luò)互連要經(jīng)授權(quán)，重視領(lǐng)網(wǎng)建設(shè)和數(shù)據(jù)主權(quán)問題。

　　公開數(shù)據(jù)顯示，有74.1%的網(wǎng)民在過去半年內(nèi)遇到網(wǎng)絡(luò)信息安全事件。有專家估計，中國每年因網(wǎng)絡(luò)信息安全問題造成的經(jīng)濟(jì)損失高達(dá)數(shù)百億美元。

　　在今年的全國兩會上，中國移動[微博]廣東公司總經(jīng)理鐘天華代表建議，加快制定網(wǎng)絡(luò)信息安全法，從監(jiān)管主體、設(shè)施安全、運行安全、信息安全、法律責(zé)任等方面規(guī)范網(wǎng)絡(luò)信息安全。

　　呂述望則透露，列入今年立法計劃的網(wǎng)絡(luò)安全法中，會涉及信息安全的問題。