自2月27日被曝出設備存在安全漏洞后，國內最大的綜合安防監(jiān)控企業(yè)——?？低曀坪踹€未越過“安全門”。

　　這一點從?？低暿軟_擊的股價上可見一斑：過去10個交易日，該股的平均成本為26.96元，股價在成本下方運行，走勢明顯跑輸大盤。

　　時間推回至2月27日：江蘇省公安廳的一則特急通知成為?？低曄萑?ldquo;安全門”的發(fā)端。

　　這份《關于立即對全省?？低暠O(jiān)控設備進行全面清查和安全加固的通知》(以下簡稱“通知”)稱，江蘇省各級公安機關使用的?？低暠O(jiān)控設備存在嚴重安全隱患，部分設備已被境外IP地址控制，要求各部門對使用的海康威視設備進行全面清查。

　　對此，2月28日，?？低曉谄涔倬W(http：//www.hikvision.com/)先后發(fā)布針對設備安全的說明和致用戶書，指出受境外IP控制的聯(lián)網設備系存在弱口令漏洞(弱口令包括使用產品初始密碼或其他簡單密碼)，通過修改初始密碼或簡單密碼，或者升級設備固件可解決。

　　而據網絡安全公司知道創(chuàng)宇監(jiān)測統(tǒng)計，5.2萬臺海康威視監(jiān)控設備中就有多達3.5萬臺設備存在默認弱口令。

　　“境外惡意攻擊者一般會對網絡進行掃描，發(fā)現(xiàn)使用?？低暤南到y(tǒng)存在弱口令問題后會利用其中未修復的安全漏洞進行攻擊，然后植入后門軟件進行長期控制。”國內知名漏洞曝光平臺烏云網創(chuàng)始人方小頓對法治周末記者介紹說。

　　被疑信息披露違規(guī)

　　3月1日晚間，海康威視正式發(fā)布《關于部分監(jiān)控設備遭到網絡攻擊的情況說明》(以下簡稱《情況說明》)，披露其早在去年9月就應聯(lián)網產品系統(tǒng)遭到黑客惡意攻擊向公安機關報案。

　　記者也在烏云網上查詢發(fā)現(xiàn)，烏云網曾在去年多次發(fā)布?？低暤陌踩┒刺崾?。最近一次報告為2014年11月底，報告稱?？低暷骋曨l監(jiān)控平臺存在弱口令，并作出高級別危害判定;而?？低曇苍跒踉凭W確認漏洞存在，并認定漏洞危害等級為“中”。

　　“產品遭受存在漏洞并且受黑客攻擊早已有之，我們卻是因近期江蘇省公安廳的通知才意外獲知，?？低暤淖龇y道不是信息披露違規(guī)嗎?”一位不愿具名的?？低暪善蓖顿Y者質疑道。

　　公開資料顯示，海康威視于2010年在深交所掛牌上市。

　　“根據證券法和上市公司信息披露管理辦法的規(guī)定，上市公司應當真實、準確、完整、及時地披露其產品信息，不得有虛假記載、誤導性陳述或者重大遺漏。作為上市公司的?？低曈绕鋺獙赡軐ι鲜泄咀C券及其衍生品種交易價格產生較大影響的突發(fā)事件，在投資者尚未得知時立即披露，說明事件的起因、目前的狀態(tài)和可能產生的影響。”西南科技大學法學院副教授廖天虎告訴法治周末記者。

　　對此，?？低曄嚓P負責人接受媒體采訪時表示，盡管事件對公司的實際影響不大，但如果公司立即披露安全公告的話，可能對整個產業(yè)鏈的發(fā)展更好。

　　記者在《情況說明》中看到：“為保護投資者權益，保證公平信息披露，申請自3月2日開市起臨時停牌”。

　　根據深交所交易規(guī)則，公眾傳媒中出現(xiàn)上市公司尚未披露的重大信息，可能或已經對公司股票及其衍生品種的交易價格產生較大影響的，交易所可在交易時間對公司股票及其衍生品種實施停牌，直至公司披露相關公告的當日開始時復牌。

　　“安全門”事件曝出后的首個交易日(3月2日)，?？低曅脊善蓖Ｅ?，并舉行投資者說明會。

　　聯(lián)網終端漏洞普遍

　　在投資者說明會上，國家互聯(lián)網應急中心浙江分中心技術保障處副處長厲斌表示，計算機感染病毒的現(xiàn)象時有發(fā)生，而聯(lián)網視頻監(jiān)控設備相對于計算機來說更為簡單，視頻監(jiān)控設備互聯(lián)網化后必然也會面臨同樣的問題。

　　無獨有偶，中科院信息工程研究所高級工程師仇新梁在接受法治周末記者采訪時指出，此次曝出的?？低暟踩┒磫栴}，在安防產品在內的我國各項聯(lián)網基礎設施中是非常普遍的，“只是海康威視的應用比較特殊、范圍也比較廣，因而關注度高”。

　　據悉，?？低曄蛉珖嗍∈械墓膊块T提供產品和服務，借助安防產業(yè)的高度景氣，過去9年間，?？低晿I(yè)績增加了20多倍。

　　“開發(fā)過程中缺乏必要的安全環(huán)節(jié)，應用之前缺少嚴格的安全評估，使用過程中缺少必要的監(jiān)控，安全管理基本空白，都是導致漏洞出現(xiàn)的必然。”仇新梁坦言，“最擔心的是通過這些漏洞可能使一些基礎設施被橫向攻擊，并被控制”。

　　方小頓則認為，國內的安防產品的漏洞問題由來已久，主要原因在于社會和國家對信息化依賴越來越高。

　　“所有暴露在互聯(lián)網環(huán)境下的設備都會面臨黑客攻擊的風險，很多用戶缺乏安全意識，在安全上考慮不足也導致容易出現(xiàn)安全漏洞。”方小頓補充道。

　　一位江蘇省公安廳的人士告訴法治周末記者，被黑客攻擊的江蘇某市安裝海康威視設備的場所，每天的監(jiān)控資料都被傳至境外，除了弱口令問題外，其聯(lián)網監(jiān)控設備自身也是存在設計缺陷的。

　　對此，360攻防實驗室也曾發(fā)布報告稱，部分?？低曉O備存在的高危漏洞，已被蠕蟲病毒控制，只由用戶修改密碼并不能解決根本問題，需要?？低晱S家更新固件。

　　“如果生產企業(yè)生產的安防產品存在明顯的安全漏洞，造成使用者或消費者財產損失或其他損害的，根據產品質量法等相關規(guī)定，應由廠家承擔相應的經濟賠償責任，同時生產廠商應及時為用戶提供免費的修補安防產品安全漏洞的技術服務。”廖天虎談道。

　　催化重視信息安全

　　按照?？低暪倬W公告的內容，江蘇省公安廳的通知發(fā)布后，“觸動聯(lián)網設備用戶對弱口令修改、系統(tǒng)漏洞修補的認知和重視，已經并將繼續(xù)推動所有?？低曈脩艨焖俨扇”匾穆┒葱扪a措施，也促使?？低晫Ξa品安全問題的進一步重視和投入”。

　　厲斌認為，解決視頻監(jiān)控設備等終端互聯(lián)網化、智能化后產生的安全漏洞問題時，需要企業(yè)和用戶的共同努力，由于網絡攻擊的手段和來源的多樣性，決定了解決此類問題不可能一勞永逸，除了產品制造廠商需要重視產品安全問題，及時發(fā)布漏洞修復工具、病毒查殺工具外，用戶也應提升網絡安全意識、加強自我保護，主動更新固件。

　　“安防產品生產企業(yè)應能夠提供有效的安全策略和手段，有穩(wěn)定的人才隊伍，做到專業(yè)化和職業(yè)化，為用戶提供行之有效的工具和服務，解決用戶實際問題。”仇新梁建議，政府也要提供正確的扶持政策，提高安全投入比例和追責制度，尤其是針對基礎設施相關的信息系統(tǒng)，組建真正專業(yè)的安全咨詢和評估國家隊。

　　呂述望：安防國產化太慢

　　“目前國內針對公眾使用的與網絡連接的安防產品，都是接入美國互聯(lián)網的，受制于此，這類安防產品的國產化進程比較緩慢。”近日，中科院信息安全國家重點實驗室教授呂述望接受法治周末記者采訪時坦言，?？低?ldquo;安全門”事件將對我國聯(lián)網安防產品的國產化進程產生深遠影響。

　　在國家對網絡和信息安全高度重視的當下，扮演政府、企業(yè)、社區(qū)“守門人”角色的安防行業(yè)，實現(xiàn)自主可控異常重要。

　　西南科技大學法學院副教授廖天虎認為，政府和企業(yè)在涉及信息安全問題的硬件設備和軟件的采購中應考慮優(yōu)先使用國產產品。

　　據悉，目前我國的安防視頻監(jiān)控體統(tǒng)國家標準為《安全防范視頻監(jiān)控聯(lián)網系統(tǒng)信息傳輸、交換、控制技術要求》(GB 28181)。

　　“但這一標準下，視頻監(jiān)控圖像信息互聯(lián)共享及擴容維護困難的問題仍未解決，安防行業(yè)上游的核心技術長久以來也多被外國廠商壟斷。”一位不愿具名的業(yè)內人士告訴記者。

　　呂述望指出，在此背景下，國內安防產品的生產企業(yè)要想實現(xiàn)突圍，必須依托我們國家的信息安全建設，針對公眾的產品接入網絡就一定要由公眾網絡來做，與其他國家網絡互連要經授權，重視領網建設和數(shù)據主權問題。

　　公開數(shù)據顯示，有74.1%的網民在過去半年內遇到網絡信息安全事件。有專家估計，中國每年因網絡信息安全問題造成的經濟損失高達數(shù)百億美元。

　　在今年的全國兩會上，中國移動[微博]廣東公司總經理鐘天華代表建議，加快制定網絡信息安全法，從監(jiān)管主體、設施安全、運行安全、信息安全、法律責任等方面規(guī)范網絡信息安全。

　　呂述望則透露，列入今年立法計劃的網絡安全法中，會涉及信息安全的問題。