从中央网络安全和信息化领导小组办公室（中央网信办）获悉，中国首届国家网络安全宣传周于24日正式启动。

首届国家网络安全宣传周是我国第一次举办全国范围的网络安全主题宣传活动，不仅国家有关职能部门共同参与主办，各省、自治区、直辖市也将同期举办相关主题活动，在全国掀起网络安全宣传的高潮。

宣传周以“共建网络安全，共享网络文明”为主题，将围绕金融、电信、电子政务、电子商务等重点领域和行业网络安全问题，针对社会公众关注的热点问题，举办网络安全体验展等系列主题宣传活动，营造网络安全人人有责、人人参与的良好氛围。

为此，笔者将带领大家来探讨一下安防领域的网络安全。本文将从安防领域的子系统——“视频监控系统”入手。

早在今年3月份，中央电视台就报道了家庭监控器存在较高安全隐患的问题，黑客利用漏洞攻破网络监视系统，窃取用户隐私。不仅家庭网络监视系统，公共场所、银行、办公室、监狱等的网络监控系统同样存在隐私泄露的风险。伴随技术的发展，网络监控逐渐取代模拟监控越来越多应用到各个领域。

笔者在网络安全领域权威的漏洞信息库WooYun乌云网、绿盟科技以及国家信息安全漏洞共享平台了解到，有关安防系统的“监控摄像头”的漏洞信息就达180条之多，而这仅仅是安防系统中存在被入侵或者泄露漏洞的冰山一角。在这些漏洞信息库里可以看到，不乏海康、海尔、汉邦高科等主流厂商的漏洞信息。

在这些漏洞中，有弱口令、绕过认证、明文传输、注入漏洞、跨站攻击、拒绝服务攻击、linux平台自身缺陷等。

为证实这些描述，笔者将从弱口令和系统平台两个方面做一个浅析。

1、弱口令

目前，大多数的厂商设置的后台默认密码都是admin、888888等，用户或者监控管理方为了便捷管理，不修改默认密码，也有修改成简单密码方便记忆的。一旦监控后台管理系统接入如网络，黑客便可以通过默认密码以非授权方式进入后台查看监控画面，甚至下载，删除监控记录。而这些对于整个安防系统和个人隐私都是一种潜在的威胁。

如下笔者以汉邦高科的的默认密码做测试（注：此处仅作测试，隐私部门已做模糊处理）

从搜索引擎中可以搜索到，汉邦高科的管理后台多大69000个。随机挑选20个后台测试，直接用默认口令登陆成功的可达70%以上。

同样，在乌云网中的描述，海康威视监控后台99%存在弱口令（WooYun-2013-25026）。

2、平台漏洞

早期，视频监控系统中所有的监控都会接入到一个终端机里面。以前的古老录像机是不带网络接口的，只能本地查看。现在的录像机都带网络接口，里面运行的是一个mini的linux系统。同时对应的管理平台通常都会使用struts2等框架。在网络安全界，Linux系统、struts2都爆出了众所周知的漏洞。

在安防界，除了一流厂商能自主研发系统平台外，大多数企业都在这些平台上进行微创新或直接抄袭。这就导致了一个问题：当主流平台方案出来产生了漏洞，业界的监控系统就基本成全是漏洞了。所以，在多数情况下，这些监控设备一旦接入网络，就给黑客入侵提供了机会。

在首届网络安全宣传周来临之际，笔者给出几点防范方案。

厂商方面：及时介入以修复漏洞、控制风险。安防厂商应定期升级产品固件、修复漏洞等，为用户提供高效、专业的服务，为监控数据安全护航。

监控管理方：培养操作人员的安全管理意识，设定复杂密码策略，尽量避免接入互联网。一定要开启远程访问时，建议更改访问的网址，防止黑客在获取相同品牌监控设备的技术要点之后，可以攻破使用该设备的所有用户，减少风险存在的可能。

网络化已经成为安防行业发展的趋势，如何解决网络监控隐患问题，安防厂商作为源头必将要加强相关技术研发和管理，切实将用户利益放在首位。监控系统管理方也应该树立安全意识，力保监控系统，乃至整个安防系统的稳定运行。

而针对网络监控的技术人才缺乏，企业单打独斗，管理理念等问题，需要行业各个环节共同努力。无论政府部门，协会，还是安防企业，作为行业的细胞，都应该为推动网络监控的发展共同努力。