5G時代，萬物皆互聯。在數據流動性空前增強、攻擊表面急劇擴大的5G時代，物聯網呈現出“爆炸式”的發展態勢，如何有效保障物聯網安全已經成為當務之急。

　　8月5日上午，第八屆互聯網安全大會(簡稱“ISC 2020”)正式拉開帷幕。本屆ISC首次采用云端峰會的形式進行，聯結世界范圍內的頂級安全智囊、專家、學者及政要，聚焦5G時代“數字產業化，產業數字化”新形勢下網絡安全領域的新對話、新探討與新碰撞。期間，360智慧生活集團軟件中臺部總經理孫浩發表了關于物聯網安全的主題演講，并表示，物聯網安全不僅需要與使用場景高度結合，更需要良好的研發規范和安審流程作保障。

　　眾所周知，近年來隨著智能電視、智能音箱、智能掃地機器人等智能家居設備的普及，物聯網安全已經變得和每個人息息相關。從漠不關心到密切關注，物聯網設備的安全性甚至已經成為很多用戶購買決策的關鍵因素之一。

　　攝像機網絡安全問題凸顯

　　作為覆蓋范圍最廣、聯網率最高、數據敏感性最強且具備一定運算能力的物聯網產品，攝像機的安全問題非常具有代表性。今年6月，澎湃新聞連發三篇報道，揭示了偷拍相關黑色產業鏈，在此之前，央視也報道了大量攝像機被破解，IP地址被公開叫賣的問題。

　　統計數據顯示，2019年新增暴露的攝像機IP數量已經超過1500萬——這還僅僅是部分掃描數據。從變化趨勢來看，近兩年的攝像機公網暴露情況是直線增長的，隨著C端智能攝像機的進一步普及，這個數據還將維持高增長趨勢。可以說，攝像機的安全問題已經得到了整個社會的廣泛關注。

　　“公網暴露和開放的端口數量，是攝像機網絡安全風險的一個基礎。”孫浩表示，圍繞攝像頭常見的安全漏洞可以分為三大類：第一類是命令注入漏洞，可以借此執行系統命令或者運行任意程序，2016年10月，美國東海岸甚至因此造成了持續數小時的大規模斷網;第二類是授權問題，可以訪問未授權或者通過某個隱藏入口直接訪問對應的設備;第三類是服務器存在訪問控制缺陷，例如2018年4月HK云服務器發現訪問控制缺陷，任意人可以通過該漏洞實現查看攝像、回放錄像、添加賬戶共享等操作。

　　然而，影響最大的安全漏洞還要數弱密碼問題。孫浩表示，“弱密碼之前在攝像機、路由器上都很常見，攝像機上尤其突出，因為多數用于公共安防的攝像機需要和NVR等設備做集成部署，所以多數攝像機都是使用的默認密碼，在互聯網上只要搜索一下就能夠得到主流設備廠商的默認用戶名和密碼。如果攝像機暴露在公網，通過弱密碼一碰，很容易就能夠控制攝像機，壓根不需要什么復雜的操作。”

　　由于弱密碼這類漏洞的破解技術含量非常低，這類的網絡攻擊已經大規模的工具化、產業化。售賣破解工具、售賣已經破解的IP地址和密碼、將已經破解的設備做成一個可以在線查看的APP，諸如此類違法黑產行為，甚至已經形成了一條完整的產業鏈。在此基礎上，攝像機安全漏洞，尤其是弱密碼帶來的風險，已經愈演愈烈。

　　安全滲透服務是物聯網安全的最后一道防線

　　“由于安全意識不夠或者嫌麻煩，而未對核心數據傳輸進行加密處理，就可能會被不法分子利用。”孫浩表示，“漏洞的產生還與寫程序的人有關，為了調試方便在開發時開個特殊端口，然而量產的時候忘記關了，這就可能成為一個常見的授權漏洞。”

　　“我們的每一款新硬件、每一個固件在發版前，都需要按照流程做安全滲透審查。”孫浩指出，安全滲透服務是物聯網安全的最后一道防線。目前，360的安全滲透審查大致分為五個方面：首先是硬件安全，查看有無遺留的物理接口——這里主要是調試接口、產測接口，能不能防物理攻擊，比如之前門鎖的小黑盒，需要能防電磁沖擊，做好屏蔽和ESD防護;再者是系統安全，查看有無危險的端口遺留，OTA更新對固件有無校驗，有無系統漏洞等;其次是應用層安全，查看應用安裝、運行通信有無風險;然后是通信安全，主要針對各種協議進行分析，檢查有無身份驗證和數據傳輸問題;最后是云端安全，主要檢查有沒有遭受注入攻擊的風險，確保認證安全和業務安全。

　　“當然，內部的安全審查只是一方面，我們深刻的認識到未知攻，焉知防，所以我們也在積極的將我們的IoT產品放到更大的平臺上接受挑戰、攻擊。” 從2017年開始，360推出了“IoT安全守護計劃”，每年的黑客馬拉松挑戰賽中，都將360 IoT產品攻防作為重要參賽題目。國際方面，360于2018年在拉斯維加斯的DEFCON大會上舉辦了“黑客踢館賽”——攝像機、門鎖、路由器等均作為參賽項目接受挑戰，3天吸引了全球百余名黑客前來瘋狂破解，但最終所有的參賽設備以“0”漏洞完美收官。事實上，自2014年起，360 IoT產品還參與過不少非360舉辦的黑客比賽，其防護能力經受住了重重考驗。

　　不過，孫浩也坦承，“即便我們的產品本身沒有安全問題，但是因為簡單好用，被不法分子用于非法用途，這其實也是目前面臨一個非常突出的問題。作為廠商，我們目前正在積極行動，通過專門的優化和部署，盡可能的保障設備被合法使用。”

　　以360攝像機為例，360實施了以下舉措：一是針對家人分享功能，設定10人的分享上限，超出需求的特殊場景需要人工確認審批;對頻繁分享、取消的異常行為也進行了識別，做二次驗證或者禁止。另外，為了避免賬號共用，目前360計劃借鑒金融平臺的設備安全認證能力，打通內部數據，完善賬號的異地登錄、可信設備管理等功能。

　　“物聯網最大的特點是萬物互聯，設備互聯互通，單個設備的數據維度是有限的，所以物聯網安全需要多維度的數據融合。”為此，360在去年發布了新一代家庭防火墻·路由器——內置BNI流解析引擎，可以識別聯網設備，并對設備行為進行識別，能夠通過特征標識識別設備和應用行為，通過協議識別、特征提取等判斷設備的安全情況。此外，去年10月，360基于設備識別引擎，還上線了攝像機檢測功能，通過手機就可以識別檢測同網絡下的攝像機設備，目前累計使用已經超過2000萬次。

　　總結起來，孫浩認為就是一句話：“物聯網安全是一種能力，更是一種態度，這不僅需要良好的研發規范和安審流程做保障，更需要與使用場景進行深入結合。”其實，這也是360公司董事長兼CEO周鴻祎“用戶至上、體驗為王”產品理念的一種體現——做產品一定要先分析用戶是怎么想的，然后想方設法滿足用戶的需求，唯有如此才能給用戶帶來驚喜感，使之真切感受到產品背后的價值。

　　事實上，360智慧生活集團戰略管理部總經理張修路也曾提出類似的觀點，強調要用產品說話，全方位滿足用戶的實際需求和潛在需求。無論是攝像機、路由器，還是智能門鈴、兒童手表、掃地機器人等硬件產品，360智慧生活所秉持的都是以用戶為中心的理念，想用戶所想，急用戶所急，做用戶所需。

　　目前，ISC 2020依然在如火如荼進行中。我們看到，互聯網、大數據、人工智能等新一代信息技術，在不斷創新聚變的同時，也對物聯網安全的宏觀環境、業務需求有了進一步挑戰，共同建設物聯網安全生態已經成為IoT廠商共識。未來，相信360將攜手客戶、生態企業及業界專家，共同把物聯網生態安全建設推進到新的高度。

　　原標題：

　　360攝像頭賬號密碼分享?別想了，官方有這些舉措