近日,各大媒體報道稱,大量家庭攝像頭遭入侵并借此非法牟利。同時,國家質(zhì)檢總局發(fā)布關(guān)于智能攝像頭的質(zhì)量安全風(fēng)險警示表示,已檢測的40批次中,32批次樣品存在質(zhì)量安全隱患,不僅可能導(dǎo)致用戶監(jiān)控視頻被泄露,還存在智能攝像頭被惡意控制等危害。
據(jù)悉,其中有28批次的數(shù)據(jù)傳輸沒有加密,20批次的初始的密碼安全性較弱,有18批次在身份鑒別方面不能夠提供登陸失敗的處理功能。
企業(yè)發(fā)聲:力證安全呼吁用戶放心使用
對于國家質(zhì)檢總局發(fā)布的報告,相關(guān)知名家用智能攝像機(jī)制造廠商“按捺不住”,紛紛發(fā)表聲明以證自家的攝像機(jī)“沒問題”。
央視報道出來后,360安全團(tuán)隊、360智能攝像機(jī)產(chǎn)品團(tuán)隊高度重視,針對攝像頭可能存在的安全漏洞,組織安全技術(shù)人員逐一排查并公布了具體檢測結(jié)果。
海康威視旗下品牌螢石也出示了安全認(rèn)證。ISO27001是全球信息安全權(quán)威標(biāo)準(zhǔn)之一,要求企業(yè)必須滿足高規(guī)格高要求的信息安全體系,確保企業(yè)以及用戶的信息安全,以權(quán)威、嚴(yán)格著稱。目前,獲得該認(rèn)證的國內(nèi)企業(yè)主要涉及銀行、保險證券、數(shù)據(jù)處理中心、電信等行業(yè)。
在安全方面小蟻在聲明中表示,將會堅持最嚴(yán)格的“六重隱私安全保障”,讓用戶放心。無論是在訪問攝像機(jī)觀看視頻直/重播、服務(wù)器訪問還是云儲存功能上,傳輸數(shù)據(jù)都是嚴(yán)格加密的;同時后臺使用動態(tài)秘密加密,防止陌生人盜用并且嚴(yán)格保護(hù)用戶信息;另外,小蟻智能攝像機(jī)不存在統(tǒng)一的初始用戶名與密碼,還可設(shè)置多重“強(qiáng)密碼”進(jìn)行高級別的隱私保護(hù)。
除上述企業(yè)外,雄邁、漢邦高科等企業(yè)也發(fā)表了聲明,力證產(chǎn)品的安全性,呼吁用戶放心使用。雄邁提出“三大安全保障”,漢邦高科則以國密技術(shù)佐證產(chǎn)品品質(zhì)。國密即國家密碼局認(rèn)定的國產(chǎn)密碼算法,即商用密碼,主要用于對不涉及國家秘密內(nèi)容但又具有敏感性的內(nèi)部信息、行政事務(wù)信息、經(jīng)濟(jì)信息等進(jìn)行加密保護(hù),安全系數(shù)高。
除了上述發(fā)表聲明的企業(yè),零狐還采訪到了杭州蠻??萍夹U牛云平臺負(fù)責(zé)人鄭驛以及中維世紀(jì)科技有限公司李春生從行業(yè)內(nèi)部的角度對此次事件進(jìn)行了分析。
鄭驛認(rèn)為,家用監(jiān)控產(chǎn)生安全問題的原因,一是因?yàn)樗骄W(wǎng)環(huán)境下的風(fēng)險相對較小致使廠家對設(shè)備安全性的不重視;二是因?yàn)閿?shù)據(jù)傳輸通道及數(shù)據(jù)儲存上的未加密,當(dāng)監(jiān)控設(shè)備暴露在公網(wǎng)上,數(shù)據(jù)就很容易被別人捕獲。
中維世紀(jì)則認(rèn)為,此次事件的爆發(fā)勢必會影響產(chǎn)品的市場需求,但暴露問題才能更好的解決問題,行業(yè)、企業(yè)也為因此對產(chǎn)品進(jìn)行改造升級,反倒有利于行業(yè)健康和可持續(xù)發(fā)展。
企業(yè)怎樣解除家用監(jiān)控的隱私安全隱患?
鄭驛表示企業(yè)應(yīng)該從以下三個方面來進(jìn)行把控:
全鏈路數(shù)據(jù)加密:針對整個數(shù)據(jù)傳輸鏈路進(jìn)行高規(guī)格的數(shù)據(jù)加密,保證即使數(shù)據(jù)被別人竊取,也無法查看,尤其是針對一些用戶帳戶等信息,采用HTTPS的方式進(jìn)行數(shù)據(jù)安全傳輸,以保證數(shù)據(jù)安全;
弱密碼提示:針對弱密碼進(jìn)行用戶提示,提醒用戶盡量設(shè)置復(fù)雜密碼,提醒修改出廠密碼;
用戶引導(dǎo):通過各種渠道對用戶進(jìn)行安全性方面的引導(dǎo)和安全性知識普及,讓用戶在使用產(chǎn)品的過程中提高隱私安全防范意識。
有較多企業(yè)做了檢測并獲得了證書,這些檢測證是否權(quán)威?
企業(yè)為獲得渠道銷售商和終端用戶認(rèn)可促進(jìn)銷售,給自身產(chǎn)品增加信任背書,找一些機(jī)構(gòu)或單位進(jìn)行產(chǎn)品檢測和認(rèn)證,都是較為常用的手段。有勝于無,對受眾而言這些檢測證還是具備一定信任作用的。
至于檢測證是否權(quán)威,中維世紀(jì)認(rèn)為關(guān)鍵在于兩個方面:一是檢測標(biāo)準(zhǔn)是否權(quán)威;二是檢測機(jī)構(gòu)是否權(quán)威。
比如是否參照和對標(biāo)GB/T22239-2008《信息安全技術(shù)、信息系統(tǒng)安全等級保護(hù)基本要求》等國家相關(guān)標(biāo)準(zhǔn),或是國際上公眾認(rèn)可的美標(biāo)、歐標(biāo)等相應(yīng)標(biāo)準(zhǔn),這些標(biāo)準(zhǔn)相對權(quán)威。另外,檢測實(shí)施方和檢測證出具方是否是國家或國際指定的檢測機(jī)構(gòu),如果不是就很難保證檢測證的權(quán)威性。
如果檢測證采用的檢測標(biāo)準(zhǔn)權(quán)威,檢測機(jī)構(gòu)同樣權(quán)威,那么檢測證就相對是權(quán)威的,否則就很難證明其權(quán)威性。
最后,兩家企業(yè)就購買監(jiān)控的角度給用戶提出了建議:在選擇產(chǎn)品時應(yīng)優(yōu)先購買權(quán)威機(jī)構(gòu)安全認(rèn)證,值得信賴的監(jiān)控品牌產(chǎn)品;留意權(quán)威部門所發(fā)布的相關(guān)產(chǎn)品質(zhì)量信息;盡量設(shè)置復(fù)雜密碼,切記修改初始密碼;在使用監(jiān)控配套軟件時選擇廠家指定的軟件。