受访人/中兴力维硬件开发部嵌入式软件专家——顾恩超
a&s:针对近期披露的安防设备在网络安全下的威胁,您有什么看法?
顾恩超:经过此次事件,业界同仁们意识到安防产品自身安全也非常重要,今后设备自身安全会成为安防产品的一个重要考虑。
a&s:在此事之前,设计产品时,是否将网络安全防范作为重点考虑?此事之后,企业在产品研发中如何加强应对网络挑战?
顾恩超:每个厂家在开发产品时都会考虑网络安全,最简单的设定登陆密码也属于网络安全,但对安全的重视程度不尽相同。这是因为:
(1)每个厂家的技术要求不同,网络安全考虑越多意味着成本越高;
(2)网络安全本身是一个系统工程,从设备到平台任何一个环节都不能少,如设备支持数据加密而平台不支持,为了顺利对接也只能采用明文的协议;
(3)需要市场的推动,行业对安全的要求程度,决定了产品的安全级别,如专有网络则安全要求不需高。
所以此事之后每个厂家会结合自身条件制定合理的安全产品。
a&s:随着安防产品网络化和智能化之后,安防厂商任需在哪些方面注重完善自身安全性?
顾恩超:要做到安全,需要认证和加密两种利器。特别是视频监控产品一般信令和视频数据是分开的,两个链路都要认证和加密。认证就是访问时需要口令,ONVIF协议对此有明确的说明。认证有基础认证和摘要认证两种,后者更安全。
加密也重要,明文的数据很容易被截获识别,ONVIF协议对此也有明确的说明。不过加密对性能开销比较大,这也是目前未全面推广的原因。
信令加密开销小,目前基本都采用SSL标准;视频加密我国有自主知识产权的SVAC,而H264、H265还未有统一描述。
另外,产品自身的健壮性也是很重要的,不排除合法授权用户访问时做一些非法、越权的操作。设备协议处理时也要加强异常处理机制,避免缓冲区溢出导致系统崩溃的风险。
a&s:如何教育用户增强安全防范意识,如修改弱口令?
顾恩超:客户对各厂家产品了解不多,需要厂家引导,产品手册对安全配置部分应有重点说明,主要包含以下几点:
(1)产品在第一次登陆时,提示密码为出厂默认密码建议修改;
(2)修改新密码时,提示用户密码安全级别,避免弱口令;
(3)产品配置页中禁止无认证访问,禁止匿名登陆;
(4)产品如支持加密建议勾选;
(5)产品如支持ip白名单黑名单,建议设定白名单来屏蔽陌生ip访问。
a&s:您怎么看待此事对安防行业的发展?
顾恩超:这对安防行业是个警示也是个契机,正是因为这次事件的广泛关注,才引起了整个安防行业对网络安全的高度重视,今后设备厂家、平台、用户都将会不断提高产品网络安全级别,一起促进整个行业的全面发展。
中兴力维作为国际主流安防厂商,一直高度重视设备网络安全,了解这次事件后立刻组织专业团队排查自身产品安全;同时,我们也一直密切关注安防行业动态,了解行业安全标准,不断为客户提供高品质高安全的产品。感谢广大客户对力维产品的支持和厚爱。