安防IT化 解析安防產品互聯網應用漏洞

2015年04月06日
安防IT化 解析安防產品互聯網應用漏洞
中國安防行業網       關鍵字:安防,IT化,互聯網,漏洞    

  互聯網、大數據時代雖然帶來了安防行業新的機遇與信息面貌,但是伴隨信息聚集性越來越高,云安全問題也帶來了新的挑戰。對不法分子來說,只要擊破云服務器,意味著可以獲得更多的資源,例如iCloud泄露門,12306信息泄露,攜程信息泄露等。?低“安全門”事件,對正在大力發展信息經濟與互聯網經濟的中國,提出了信息安全的極大思考。信息安全任重而道遠,千里之堤,毀于蟻穴。所以在信息安全上,應仔細排查安全隱患,防患于未然。
  一、產品漏洞原因——安防國產化太慢
  中科院信息安全國家重點實驗室教授呂述望接受法治周末記者采訪時指出目前國內針對公眾使用的與網絡連接的安防產品,都是接入美國互聯網的,受制于此,這類安防產品的國產化進程比較緩慢。?低“安全門”事件將對我國聯網安防產品的國產化進程產生深遠影響。
  在國家對網絡和信息安全高度重視的當下,扮演政府、企業、社區“守門人”角色的安防行業,實現自主可控異常重要。
  西南科技大學法學院副教授廖天虎認為,政府和企業在涉及信息安全問題的硬件設備和軟件的采購中應考慮優先使用國產產品。
  據悉,目前我國的安防視頻監控體統國家標準為《安全防范視頻監控聯網系統信息傳輸、交換、控制技術要求》(GB28181)。“但這一標準下,視頻監控圖像信息互聯共享及擴容維護困難的問題仍未解決,安防行業上游的核心技術長久以來也多被外國廠商壟斷。
  呂述望指出,在此背景下,國內安防產品的生產企業要想實現突圍,必須依托我們國家的信息安全建設,針對公眾的產品接入網絡就一定要由公眾網絡來做,與其他國家網絡互連要經授權,重視領網建設和數據主權問題。
  公開數據顯示,有74.1%的網民在過去半年內遇到網絡信息安全事件。有專家估計,中國每年因網絡信息安全問題造成的經濟損失高達數百億美元。
  在今年的全國兩會上,中國移動廣東公司總經理鐘天華代表建議,加快制定網絡信息安全法,從監管主體、設施安全、運行安全、信息安全、法律責任等方面規范網絡信息安全。
  呂述望則透露,列入今年立法計劃的網絡安全法中,會涉及信息安全的問題。
  二、國內安防產品漏洞現狀
  2014年12月5日?低暟l布安全通告“?低暡糠諨VR/NVR設備存在內存溢出漏洞”,并稱攻擊者可以利用該3個漏洞,發送惡意構造的報文,導致設備重啟或工作異常。針對這個情況,?低曇舶l布了更新版本。而在事件發生后的24小時內,?低曇淹ㄟ^危機應對小組在官網和官微發布兩次情況說明。
  2月27日被曝出設備存在安全漏洞,深陷“棱鏡門”事件。針對這一事件,國內知名漏洞曝光平臺烏云網創始人方小頓接受法治周末記者采訪時指出,國內的安防產品的漏洞問題由來已久,主要原因在于社會和國家對信息化依賴越來越高。境外惡意攻擊者一般會對網絡進行掃描,發現使用?低暤南到y存在弱口令問題后會利用其中未修復的安全漏洞進行攻擊,然后植入后門軟件進行長期控制。所有暴露在互聯網環境下的設備都會面臨黑客攻擊的風險,很多用戶缺乏安全意識,在安全上考慮不足也導致容易出現安全漏洞。
  中科院信息工程研究所高級工程師仇新梁指出安防產品在開發過程中缺乏必要的安全環節,應用之前缺少嚴格的安全評估,使用過程中缺少必要的監控,都是導致漏洞出現的必然。最擔心的是通過這些漏洞可能使一些基礎設施被橫向攻擊,并被控制。針對此,仇新梁建議安防產品生產企業應能夠提供有效的安全策略和手段,有穩定的人才隊伍,做到專業化和職業化,為用戶提供行之有效的工具和服務,解決用戶實際問題。政府也要提供正確的扶持政策,提高安全投入比例和追責制度,尤其是針對基礎設施相關的信息系統,組建真正專業的安全咨詢和評估國家隊。
  (一)RTSP緩沖區溢出漏洞
  2014年11月,知名專業安全網站SecurityStreetRapid公布了3個RTSP安全漏洞,編號分別為:CVE-2014-4878、CVE-2014-4879及CVE-2014-4880。這三個漏洞均為監控設備對RTSP請求處理不當導致的緩沖區溢出漏洞。通過該漏洞,攻擊者只要知道設備的IP地址,即可采用電腦對設備進行拒絕服務攻擊,從而導致設備癱瘓或被攻擊者接管。
  (二)弱口令
  除了上述RTSP緩沖區溢出漏洞,此次“安全門“事件還涉及另外一個安全問題:弱口令。弱口令是指容易被攻擊者猜測到或被破解工具破解的口令。此次媒體報道中提及的弱口令問題主要是由于未修改設備初始密碼或設備密碼過于簡單導致的安全問題。弱口令問題普遍存在,主要的解決方式是建立嚴格、規范化的口令管理流程和管理機制。
  (三)智能家居隱患多
  惠普Fortify應用程序安全部門對市面上最熱門的10款消費級智能家居產品進行了研究分析,共發現250種安全漏洞,而產品涉及電視、網絡攝像頭、家用恒溫器、遠程電源插座、灑水車控制器、多設備控制中樞器、門鎖、家庭警報器、磅秤和車庫開門器等多種較為常見的智能家居設備。黑客通過這些設備的安全漏洞就可以很容易收集郵箱地址、家庭住址、姓名和出生日期等用戶個人信息。安防廠商需要與IT廠商資源互補加強安全合作,保證網絡存安全。否則,未來隨著監控設備、智能家居產品廣泛家用,個人私生活被直播泄露的問題也會隨之而來。此外,國家也需制定相應的法律法規來懲治黑客盜取隱私的違法行為,通過法律手段抑制這類不法行為。

來源:煙臺三和網絡系統有限公司
煙臺三和網絡系統有限公司
王鋼
經營模式 :
經銷批發
所在地區 :
山東省 煙臺市 芝罘區 芝罘屯路12號科技市場115室

地址:山東煙臺科技市場115室

Tel:(86) 0535-6655824

Fax:(86)0535-6666862

http://www.bnbqz.com