“视讯行业从未有过的安全事件”:这是对2月27日,海康威视爆出产品安全漏洞后最客观的产业评价。
事件经过
2月27日,首先是在百度贴吧,有吧主贴出一张头部为《关于立即对全省海康威视监控设备进行全面清查和安全加固的通知》的江苏省公安厅内部文件截图。此后,该截图被海康威视方面证实为真实的。
江苏省公安厅文件称“海康威视生产的监控设备存在严重安全隐患,部分设备已经被境外IP地址控制,要求各地立即进行全面清查,并开展安全加固,消除安全漏洞。”这一定性的主要看点在于,第一设备存在严重安全隐患;第二部分设备被境外IP控制。即,不仅是发现了设备自身的安全问题、后门;更为重要的是已经有设备被非法控制,而且IP来自境外。
对此,海康威视官方及时发布了声明,并指出所谓漏洞主要是“弱口令问题”。即设备所使用的原始的、统一的口令,没有在用户实际使用中被更改为具有更高安全度的口令。因为原始口令基本是“123456、888888、admin”等简单组合或者简单意思的名词,所以极容易被黑客等获取和利用。同时,海康威视亦指出“所有暴露在互联网环境下的设备都会面临黑客攻击的风险”。
另据新闻消息称,国内知名漏洞报告平台乌云网和360旗下补天平台在2014-2015年数次报告了海康威视安防产品的漏洞,其中部分漏洞被标注为高级别危害漏洞。上海证券报亦报道,有未经证实的资料表明,此前海康威视已经因为安全漏洞遭到中石化封杀:中石化方面暂停采购和使用海康威视的视频监控等设备。
海康威视是谁
海康威视“黑天鹅”事件对行业影响颇大。这不仅是因为此次事件被公开报道,其中涉及了“境外IP”这样的敏感词汇。更源于海康威视自身在安防视讯领域的地位。
据数据显示,海康威视2014年度实现营业总收入172.33亿元,实现利润总额52.06亿元。海康威视是国内最强的安全监控厂商,产业链漫长。国际数据显示,海康威视安全产品2013年的国际排名主要是,监控摄像机第1位,NVR第1位,DVR第1位,VMS平台管理软件第3位。一定意义上,海康威视是一家具有全球影响力的公司。
另一方面,从产品价值看,海康威视产品客户多集中在政府、能源、基础设施、公安、大型会展活动等领域,这些市场都是全球安防市场的“顶尖价值”市场。海康威视同类产品和服务的毛利润基本居于国内行业顶尖位置,远高于国内安防行业平均水平。
所以,此次海康威视的“黑天鹅”事件,被认为是“高端品牌、高端市场、高端产品”出了问题。这将导致整个安防产业对产品信息安全的重新审视。海康威视“黑天鹅”某种意义上或意味着国内安防视讯行业进入一个崭新的“发展阶段”。
“安防”行业应直面产业价值的转变
安防系统是负责安全工作的。安防系统出了问题,就如同一个国家的军队和警察联合叛变。海康威视“黑天鹅”事件,已经在呼唤安防行业新的价值思维。
传统安防产业,过去15年国内的安防产业发展都是以“功用”研发为核心的。从早期模仿欧美、日韩企业的产品,到中期建立自己的研发体系和品牌实力,再到08年之后与国际巨头一起向智慧型产品、高清视频产品、自动识别分析产品发起冲锋的“全球同步”发展,安防信息和电子产业进步颇大。
但是,进步不能掩盖国内安防产业的发展缺陷。对国际巨头的追赶过程,导致国内安防企业在产品功用研究等硬实力上略有余力,但是在系统后期服务和统筹安全性等软实力方面并未能达到国际巨头的先进水平。
尤其是随着2010年以来,安防硬件市场逐步出现技术过剩危机。市场竞争焦点向软件设计和后期服务转变。客户应用亦从单一产品、单个系统应用向综合产品体系、连网系统应用转变。产品应用风险从单一设备稳定性、可靠性,向系统联网下应用体系的安全性转变。这些变化使得国内安防产业面临崭新发展问题。
此次海康威视黑天鹅事件,充分说明哪怕国内行业领先企业,对以上三个转变,尤其是产品在系统网络中的安全性和后期服务建设依然重视不足、挖掘不够。
海康威视黑天鹅事件将推动行业转型
安防视讯产品的设计必须从功用为主,向信息安全为主靠拢;行业服务提供商,必须从事前一次性产品提供、向产品全生命期安全维护服务过渡。此次海康黑天鹅事件的特点即是,并非一次性产品质量问题、亦并非简单的产品使用问题,而是复杂的产品应用体系中,外界恶意介入与多方安全意识、服务能力不到位引发的系统性问题。
目前,单纯硬件的安防视讯产品已经进入技术过剩阶段;产品应用也已经进入智慧化连网应用阶段。这意味着安防企业所面临的行业内涵和外延都已发生革命性的变化。
内涵方面,单纯追求产品技术指标领先或者成本领先的方式都已经难以成为企业的长期竞争力,安防企业必须积极跨过溢价价值营销的门槛。外延方面,单一保障产品自身的内在安全性,已经不符合客户的客观需求;安防视讯产品应用的智慧网络化,使得安防企业必须保障产品在多变的“应用生态”下的安全性。
这两点变化,前者将使得安防企业更重视品牌在销售活动中的导向作用;后者将使得安防企业必须建立起产品应用的安全生态:提升后期服务能力、产品安全性能追踪能力、软件系统长期维护能力;同时,与行业内更多的上下游企业、系统应用服务商、软件应用企业、安全技术企业形成跨领域的生态合作,确立“从单一产品安全向系统生态安全”转变的产业战略。
简单讲,即未来的安防视讯产业,只有好的产品,并不能满足客户的安全需求,亦不可能成为行业领袖:好的服务和生态能力将是更关键的竞争点。
“亡羊补牢,为时未晚”:海康威视黑天鹅事件应该给予整个安防视讯行业巨大的启迪,甚至应该给予整个信息化行业巨大的启迪,尤其是应该推动信息化行业本土安全战略的进一步发展。这对于海康威视而言,这既是一次“劫难”,也是一次“在深刻自我批评基础上的前进机会”。
海康威视针对“设备安全”的说明: