陸寶華 畢 寧

從“?？低暋笔录窗踩庾R(shí)與責(zé)任

陸寶華 畢 寧

乙未伊始，?？低暤囊曨l監(jiān)控系統(tǒng)被入侵事件被曝光，江蘇省公安廳及時(shí)發(fā)電，指出當(dāng)前使用的杭州?？低暠O(jiān)控設(shè)備存在“嚴(yán)重安全隱患”，部分設(shè)備已被境外IP地址控制，通知要求各地加固相應(yīng)系統(tǒng)。

細(xì)查之，此事件的主要責(zé)任方并不是設(shè)備提供方?？低?，而是由于使用者的安全意識(shí)薄弱，設(shè)置弱口令所致。此次事件中涉及到許多重要部門與行業(yè)，雖然視頻監(jiān)控系統(tǒng)并不會(huì)直接影響到信息系統(tǒng)的安全，但是，通過(guò)監(jiān)控系統(tǒng)卻能夠清晰的查看到某行業(yè)、某部門的日常工作情況，甚至對(duì)一些清晰度較高的系統(tǒng)，一些敏感的操作也是可以記錄的。在這里，必須說(shuō)明，海康威視也是有責(zé)任的，如果在軟件中設(shè)定了弱口令不能登錄的強(qiáng)制要求，也就不會(huì)出現(xiàn)這樣的問題了。由此事件，不能不讓我們對(duì)國(guó)內(nèi)許多單位從業(yè)人士的安全意識(shí)感到擔(dān)憂。

實(shí)際上，視頻監(jiān)控系統(tǒng)由于漏洞而被入侵已經(jīng)不是首次被發(fā)現(xiàn)，2014年，知道創(chuàng)宇信息技術(shù)有限公司的技術(shù)團(tuán)隊(duì)就已經(jīng)發(fā)現(xiàn)了存在于?？低曇曨l監(jiān)控系統(tǒng)中的安全漏洞，并應(yīng)央視的要求，在CCTV13新聞?lì)l道的節(jié)目中播出，考慮到社會(huì)影響，并未將細(xì)節(jié)進(jìn)行公布。一年過(guò)去了，在此次?？低暿录校覀冇謱?duì)2014年曾曝出過(guò)的漏洞進(jìn)行了遠(yuǎn)程掃描，發(fā)現(xiàn)仍有相當(dāng)多數(shù)的系統(tǒng)沒有修復(fù)這些漏洞。

聯(lián)想到2014年曾曝出的“心臟出血”漏洞，根據(jù)我們作出的全球漏洞統(tǒng)計(jì)情況，不能不說(shuō)，我國(guó)從事信息化行業(yè)的人士在安全意識(shí)方面存在著極大的問題。在“心臟出血”漏洞事件中，美國(guó)受到影響的比率要遠(yuǎn)大于我國(guó)(美國(guó)占受影響總IP數(shù)34%還要多，而中國(guó)僅為1%多一點(diǎn)，還不及越南7%)，而一天后的漏洞修復(fù)率卻也是遠(yuǎn)大于我國(guó)的。美國(guó)達(dá)50%，而我國(guó)還不到20%。而我國(guó)IT化的程度肯定要大大的高于越南。這事件本身就說(shuō)明了美國(guó)人甚至是越南人的安全意識(shí)比我們要強(qiáng)得多。OpenSSL是基于SSL安全協(xié)議的開源組件，應(yīng)用極其廣泛，是用來(lái)保證登錄網(wǎng)絡(luò)進(jìn)行認(rèn)證安全的協(xié)議實(shí)現(xiàn)，在沒有發(fā)現(xiàn)“心臟出血”漏洞之前，大家當(dāng)然認(rèn)為使用這個(gè)安全組件能夠?qū)崿F(xiàn)安全登錄，對(duì)于保障信息安全是極為重要的。而這個(gè)重要的安全組件在美國(guó)用的人很多，而我國(guó)用的人相對(duì)要少得多，這就是“心臟出血”漏洞影響美國(guó)人的比率遠(yuǎn)大于我國(guó)的原因；同樣，美國(guó)人在發(fā)現(xiàn)此漏洞之后，第一時(shí)間內(nèi)就有相當(dāng)多數(shù)的人對(duì)漏洞進(jìn)行了修補(bǔ)，而在我國(guó)，積極修補(bǔ)漏洞的人數(shù)相對(duì)于美國(guó)來(lái)講就低得多。

同樣，在其他的安全漏洞曝出時(shí)，根據(jù)Zoomeye的統(tǒng)計(jì)分析，我國(guó)的網(wǎng)絡(luò)修復(fù)率也遠(yuǎn)低于美國(guó)，如當(dāng)“破殼”漏洞發(fā)生后，一天內(nèi)，美國(guó)人的修復(fù)率達(dá)50%，而我國(guó)則達(dá)不到20%。20天后，還有相當(dāng)數(shù)量的受影響設(shè)備沒有修復(fù)。

大家都知道，在與美國(guó)相比，我們?cè)谡w的安全水平上要遠(yuǎn)低于人家，芯片和操作系統(tǒng)都是人家生產(chǎn)的，如果在安全意識(shí)上我們?nèi)圆患訌?qiáng)，那么我們?cè)谡w的網(wǎng)絡(luò)空間安全的劣勢(shì)不就更大了嗎？安全意識(shí)的提高，對(duì)我們網(wǎng)絡(luò)安全空間相對(duì)弱勢(shì)國(guó)家來(lái)說(shuō)，尤為重要。這一點(diǎn)是不言而喻的。

安全保障是一個(gè)有機(jī)的整體，是由一個(gè)一個(gè)的有機(jī)單元構(gòu)成的，如果這些單元的安全沒有解決好，光是在領(lǐng)導(dǎo)層重視，還是無(wú)法將安全水平提升上去。

安全意識(shí)的提高，必須與安全責(zé)任相結(jié)合，與責(zé)任人的利益相結(jié)合。一個(gè)沒有責(zé)任的主體是不會(huì)有很強(qiáng)的責(zé)任意識(shí)的。在我國(guó)，法律、法規(guī)文件中寫明，網(wǎng)絡(luò)空間的安全是“誰(shuí)主管誰(shuí)負(fù)責(zé)、誰(shuí)運(yùn)營(yíng)誰(shuí)負(fù)責(zé)”，這樣的規(guī)定是非?；\統(tǒng)的，沒有將責(zé)任主體進(jìn)行真正的細(xì)化和明確，誰(shuí)應(yīng)該負(fù)什么樣的責(zé)任并不明確，發(fā)生了安全事件后，也沒有相關(guān)的單位對(duì)責(zé)任人進(jìn)行依法、依規(guī)的追究；許多安全事件均是不了了之，沒有人來(lái)承擔(dān)相應(yīng)的責(zé)任，似乎發(fā)生安全事件是正常情形，甚至一些人對(duì)此麻木不仁。2014年，發(fā)生的多起安全事件，如攜程信用卡數(shù)據(jù)泄露、12306撞庫(kù)、大大小小的拖庫(kù)事件，沒有哪個(gè)主體承擔(dān)過(guò)相應(yīng)的責(zé)任。筆者認(rèn)為，這是導(dǎo)致從業(yè)人員安全意識(shí)薄弱的一個(gè)重要原因。

針對(duì)于此，國(guó)家應(yīng)該出臺(tái)相應(yīng)的規(guī)定，對(duì)于安全事件的責(zé)任主體進(jìn)行明確，各個(gè)單位也應(yīng)該對(duì)相關(guān)的責(zé)任人進(jìn)行責(zé)任認(rèn)定并應(yīng)該規(guī)定相應(yīng)的罰責(zé)。如果能像消防那樣對(duì)責(zé)任主體進(jìn)行明確，相關(guān)人員的安全意識(shí)必然會(huì)大大的提高。同時(shí)還應(yīng)該規(guī)定安全事件連帶責(zé)任的追究細(xì)則，包括產(chǎn)品本身的安全問題導(dǎo)致的安全事件，還要考慮到安全服務(wù)的連帶責(zé)任，包括測(cè)評(píng)、集成整改及其他安全服務(wù)的責(zé)任。

當(dāng)然對(duì)于安全事件還應(yīng)該進(jìn)行分析，明確這個(gè)事件是否屬于不可抗力，對(duì)于不可抗力的事件應(yīng)該有明確的規(guī)定，應(yīng)該是免責(zé)的。建議國(guó)家相關(guān)的主管單位，應(yīng)該組織相應(yīng)的專家進(jìn)行研究，拿出一個(gè)科學(xué)的、切實(shí)可行的具有法規(guī)效力的規(guī)定來(lái)。

隨著Internet不斷滲透到各個(gè)領(lǐng)域，信息安全已經(jīng)影響到各個(gè)行業(yè)的有序發(fā)展，一個(gè)安全漏洞的出現(xiàn)就可以威脅全局的安全，特別是人們?cè)诖罅μ岢f(wàn)物互聯(lián)，智慧城市的今天，尤其更要重視。此次工控行業(yè)的海康威視的監(jiān)控設(shè)備被境外IP所盯上，就已經(jīng)為我們鳴響了警鐘。