■本报记者 胡军
　　2月27日，江苏省公安厅的一则紧急通知引发了消费者对于家庭监控安全的普遍关注。这则名为《关于立即对全省海康威视监控设备进行全面清查和安全加固的通知》发布于当天上午11时。据海康威视方面相关负责人证实，该事件属实，造成信息安全漏洞的主要原因是由于客户对初始密码未进行更改，导致出现安全漏洞，进而遭到攻击。“警用级的监控设备和系统都可能出现安全隐患，何况家用的民用级，听了有点让人毛骨悚然。”从网上获知这一消息后，北京消费者戴先生平添了不少担忧，“现在很多家庭或为防盗，或为老人孩子安装了远程的监控系统，这么不安全，家庭隐私怎么办？”

家用远程监控存安全漏洞

　　2013年底，在朋友的推荐下，北京消费者戴先生选择了“家用云服务器+远程监控”的家用远程监控系统，使用效果一直颇为理想。“家里是老人带孩子，还有保姆，不是说对保姆不放心，而是觉得有个监控可以随时了解到情况，而且先小人后君子，保姆知道有监控也不是坏事。”说起自己使用家用远程监控系统的体验，戴先生表示非常满意，“但是，看了这个新闻以后，心里非常不踏实，那可是警用级的啊。”
　　据了解，近年来，由于远程监控设备的价格逐年下降，不少家庭已经购买并安装了监控摄像头。有些家里有小孩子、请了保姆的，都希望能够看看上班时间家里的实时影像，家用监控设备受到了不少家庭的欢迎。而且，九成以上消费者都会要求有远程监控功能。
　　调查发现，目前市场主流的远程监控系统分为两种：一种是通过服务商来实现的，简单来说就是家中的监控画面通过网络传输到服务商，再由客户登录服务商的页面进行查看；一种是家庭自建存储服务器，通过手机等客户端远程登录监控。“看过《尼基塔》等一些美国大片的消费者，稍加留意就能发现，影片中的高级黑客可以随意侵入家用、公用、警用甚至更高级别的监控系统，获取或修改影像资料。”说起家庭远程监控系统的安全性，从事信息安全系统研发多年的福建罗先生认为漏洞百出，“虽然在现实中实现起来并不容易，但是想攻破没有采取特殊加密技术保护的家用系统还是很容易的。”
　　目前，大多数的厂商设置的后台初始默认密码都是admin、888888等，许多消费者或为疏忽或为省事，并不修改初始密码，即使修改密码，也设置为较为简单易记的。因此，不管是自建服务器，还是通过服务商的服务器，监控后台管理系统均将接入网络，一旦服务商的服务器或自建服务器出现漏洞，黑客便可以通过默认密码以非授权方式进入后台查看监控画面，甚至下载、删除监控记录，对于整个安防系统和个人隐私都是极大的潜在威胁。此次由江苏省公安厅下发给各市公安局科技信息处的《通知》内容显示，江苏省互联网应急中心通报该省各级公安机关使用的海康威视监控设备存在严重安全隐患，部分设备已经被境外IP地址控制。

漏洞破解就在眨眼之间

　　在前两年流行的《尼基塔》等美国电视连续剧中，黑客级技术人员可以通过特殊的破解手段，任意进入其看中的监控系统，甚至进行脸部识别等搜索功能。在普通消费者看来，这些影片所展示的破解技术几近科幻。但事实上，远程监控系统的破解确实不难。记者曾经在某国家级信息安全实验室亲眼目睹了工作人员对一个家庭监控系统进行的模拟攻击。一般情况下，普通工程师在两分钟左右即可顺利破解家用系统密码，成功操作摄像头，直接获取远程摄像头的影像，并且可对监控系统服务器上原有影像数据进行任意编辑和处理。
　　“虽然演示的可能都是极端情况，是有计划、有目标的攻击，而不是普通黑客进行的扫荡式攻击，但是，不排除黑客批量攻击后植入木马，从而牢牢控制这些监控终端，随时根据需要获取监控系统的影像资料。”对于消费者的担忧，资深网络工程师李先生认为不必过度担忧。但是，他建议消费者应通过正规渠道购买监控设备，并经常更新软件补漏洞。
　　据业内人士介绍，市场上销售的不少远程监控系统，其实远程功能都是靠远程协助软件来实现，最终还是要通过服务商的服务器，比如微软等大公司都有类似的远程协助服务。但是，一旦服务商出现了漏洞，黑客很容易对数据进行破解，最终导致消费者个人隐私信息的批量泄露。从安全角度来看，网络远程监控还不如早期的视频监控系统，早期的监控系统最终都是将所有监控信息存储到一个终端机中，尤其是使用录像带的系统，因为没有网络接口，只能实现本地查看。
　　目前，在安防界，除了一流厂商能自主研发系统平台外，大多数企业都是在其他平台上进行微创新或直接抄袭。这就导致了一个问题：一旦主流平台方案出现漏洞，整个业界的监控系统就会大面积地出现同样的问题，从而成为行业性系统漏洞。

●提示
安全监控更需安全意识

　　显而易见，一旦家用远程监控系统的漏洞被不法分子控制或利用，就可以用一个静止的画面或固定录像来替代真实现场环境，以蒙骗监控者，从而从容作案而不留下影像痕迹。
　　对于家用远程监控系统的安全漏洞，业内人士表示不必大惊小怪，这种现象在IT业比比皆是，检测和保护手段永远落后于研发和攻击手段。目前，系统的安全漏洞主要是两方面造成：一方面是厂商方面的技术能力能否保证及时介入以修复漏洞，控制风险，是否能定期升级产品固件等，为消费者提供高效、专业的服务，为监控数据的安全护航；另一方面是消费者要提高安全管理意识，采取设定复杂密码的策略，并尽量避免接入互联网。一定要开启远程访问时，建议更改访问的网址，防止黑客在获取相同品牌监控设备的技术要点之后，攻破使用该设备的所有用户，减少风险存在的可能。
　　“网络化已经成为安防行业发展的一个重要趋势，不管是服务商提供的服务器还是自建服务器，都要关注如何解决网络监控隐患问题。当然，安防厂商作为源头更要加强相关技术的研发和管理，切实把握好前端。同时，作为实际使用者，消费者应该加强安全意识，对密码管理要有意识地强化。”对于监控领域爆发的安全问题，从事IT研发近20年的北京某信息安全公司负责人李先生希望消费者不要理解过激，“其实这是一个行业发展的问题，也是互联网时代不可回避的问题。”
　　专家也提醒消费者，不必对这些监控设备过分担忧。首先，应购买正规企业的监控服务，因为这些正规公司会进行软件更新，及时消除漏洞造成的威胁；其次，家庭用户尽量不要轻易连接网络，确实需要远程实时监控的，应该在家庭宽带上进行访问地址锁定、MAC地址锁定等相应的设置，提高安全系数；第三，要经常更换管理员密码，降低被破解的几率；最后，不要轻信破解软件等不明软件，切忌盲目下载到家用服务器上，以免误中木马等病毒。 （胡军）