偶酷网新闻移动版

　　摄像头安全漏洞的第三类来源则是源于生产端的粗放生产。据公安部第三研究所调研，摄像头端网络安全防护能力最弱，存在大量由于嵌入式系统裁剪不当、各类通信端口开放过多带来的风险；而且设备安全态势不可知，造成安全漏洞修补不及时的问题。

　　404实验室所监测到的攻击行为中，有很大一部分便属于对这类“生产型漏洞”的攻击，只需要找到一处固件漏洞，便可进行大范围攻击，而无关监控摄像头的品牌，因为他们所使用的往往是同一家作坊。

　　例如，2016年12月，多款Sony品牌智能摄像头型号后门账号漏洞被发现。其部分摄像头原固件中包含两个经过硬编码且永久开启的账号，可用来开启远程登录访问并完全操控。该漏洞被CNVD评级为“高危”，影响Sony公司近80款摄像头产品。

　　C端市场混战

　　安全隐患现状不仅是技术问题，也是市场低水平竞争的恶果。

　　过去十年，中国是监控摄像头数量增长最快的国家。根据现有安装规划，中国摄像头数量将在未来三年攀升至6.26亿个。美国平均每千人配备约96个监控摄像头，英国为75个，而中国摄像头密度较高的城市，目前每千人配备的摄像头数量不到40个。

　　但事实上，中国监控摄像头领域存在着两个格局迥异的市场，一个以B端客户为主，另一个市场以家庭、小商户等C端客户为主。两个市场成熟阶段不同、参与主体不同，其对待安全问题的姿态也差异明显。

　　B端市场得益于天网工程、智慧交通等工程，以及各行业对摄像头的需求，历经十年发展，处于相对成熟阶段。目前形成海康威视、大华股份、宇视科技三家龙头企业主导的市场格局，三家占据50%左右的市场份额，在全球视频监控厂商排名中也位列第一、第二和第七。随着市场集中度的提高，近两年，B端市场上的安防龙头厂商纷纷组建安全团队，在安全措施上投入大量成本。原因在于，一是B端市场客户本身就对于产品安全性的诉求强烈；二是B端市场进入相对成熟的阶段，安防龙头企业做大后，一旦出现安全问题容易演化成黑天鹅事件；三是近年来中国安防龙头企业纷纷开始海外业务扩张，海外市场对于安全问题的重视倒逼企业提高安全标准。

　　C端市场则是另一幅景象。C端市场随着智能家居等新概念于2015年前后兴起，产品主要用于家庭看护，以高性价比、科技感为特点。这一市场正处于发展初期，数千家企业参与其中混战，近年来在低价摄像头市场上的竞争激烈，导致部分品牌在安全成本方面的投入存在压力，加剧安全隐患。

　　一名行业人士介绍，C端市场需求巨大，其公司旗下的一款智能摄像头曾出现上线3秒售罄的情形。各方仍在争夺新增市场份额，市场规模每年以50%以上速度增长，市场竞争维度主要是功能、性价比和产品颜值。

　　需求巨大、缺乏行业准入门槛的C端摄像头市场吸引大量厂商参与其中，按其背景可分为三类势力：传统安防厂商的C端产品、互联网企业的智能硬件设备，以及数量众多的贴牌山寨厂商。

　　前瞻产业研究院在一份行业报告中认为，视频安防低端的设备技术含量较低，进入门槛也较低，从事这类硬件生产的企业因为规模小、技术含量低，在技术升级和价格战压力下生存不易。

　　“B端客户的安全敏感性非常高，在招标选择厂商时会对安全标准有着很高的要求。但C端客户是价格敏感性客户，更在乎产品的性价比。”上述传统安防厂商安全总监告诉《财经》记者。

　　但一家生产智能摄像头的互联网企业则表示，其实他们在摄像头的安全保障方面比传统厂商更有优势。

　　传统安防厂商的安全能力长板在于生产端的供应链管理，互联网企业的安全能力长板在于网络安全维护能力，问题在于智能摄像头的安全问题要补短板，而非拼长板，因为漏洞既发生于软件，也可能潜藏在硬件中。

　　监控摄像头市场存在两种生产模式，一是海康威视、大华股份等巨头厂商通过自有供应链体系生产，二是大多数互联网企业和中小厂商选择通过代工厂生产。两种生产模式有不同的安全短板，自有供应链体系往往在生产环节安全系数较高，网络安全防护能力较弱；而互联网企业的优势在于网络安全防护能力较强，通过代工厂生产却缺乏对于生产环节安全问题的把控。

　　至于山寨贴牌厂商，则在生产端和网络端均存在安全短板。

　　360 ADLAB（攻防实验室）曾发布《国内智能家庭摄像头安全状况评估报告》，认为许多智能摄像头存在用户隐私泄露、未加密数据传输等九大风险。国内市场价格竞争激烈，安全成本的增加会直接削弱其价格竞争优势，一些山寨厂商对安全性甚至完全不加考虑，这些都是国内智能设备在安全方面出现如此乱象的主要原因。

　　安全攻防战

　　“我们一款摄像头产品，代码多达上百万行，没有任何漏洞，怎么可能？”一名杭州的安防从业者认为，安全隐患和漏洞不可避免，企业也无奈。

　　“安全漏洞会永远不断出现，与黑产的较量是永久性博弈。”在上述网络安全从业人士看来，摄像头安全现状的破局，取决于厂商、用户、监管部门等各方的重视和投入程度，以及各方能否形成一套协同应急机制。

　　杨卫告诉《财经》记者，技威时代发现旗下应用被黑产利用后，立刻对所有端口和数据进行排查，并对应用更新迭代，告别已被破解的传统“ID+密码”管理设备的模式。此外，已成立安全项目小组，负责网络、账号、数据等方面的安全防护。

　　在B端市场上能够得到的另一个启发是，2015年2月27日，江苏省公安厅曾发出特急通知，称江苏省各级公安机关使用的海康威视监控设备存在严重安全隐患，部分设备已经被境外IP地址控制。海康威视事后澄清，是由于用户使用弱口令所致。此事曾引发安防行业震动，几家龙头厂商在事发后都加强对安全问题的重视和投入，包括组建网络安全团队、强制取消弱口令使用、建立安全事故紧急应对体系等措施。

　　对于用户安全意识的提高，高胜建议，用户应定期修改摄像头关联的应用账号密码，尽量不要将摄像头直接联网或置于私密区域。不使用时，要遮挡镜头或关闭电源，非必要时禁用录音功能。

　　这一行业目前还缺乏市场准入和安全标准。