一、 网络摄像头安全现状

网络摄像头安全问题已经引起社会的关注。2016年10月份发生在美国的大面积断网事件，导致美国东海岸地区遭受大面积网络瘫痪，其原因为美国域名解析服务提供商Dyn公司当天受到强力的DDoS攻击所致。Dyn公司称此次DDoS攻击行为来自一千万个IP来源，其中重要的攻击来源于物联网设备。这些设备遭受一种称为Mirai病毒的入侵攻击，大量设备形成了引发DDOS攻击的僵尸网络。

遭受Mirai病毒入侵的物联网设备包括大量网络摄像头，Mirai病毒攻击这些物联网设备的主要手段是通过出厂时的登录用户名和并不复杂的口令猜测。事后，一些网络摄像头厂商及时更新了登陆口令，但有些厂商的设备使用了固定用户名和口令的登录方式，没有提供口令修改功能。因此面对Mirai病毒的肆虐却无能为力。

二、 设备厂商的“觉醒”

经过DDoS攻击事件后，网络摄像头的设备厂商一定已经“觉醒”，知道对摄像头进行安全保护了。但怎样对网络摄像头进行安全保护呢?既然Mirai病毒的入侵方式是猜测用户名和口令，那就可以使用病毒猜不到的口令。通常设备厂商使用的口令也是不容易猜测的，但不知Mirai病毒制造者是怎么破解的。

考虑到无论使用多么随机的口令，如果所有设备使用同一口令的话，就容易被破解，因此有些设备商考虑使用动态更新口令的功能。只要能动态更新，就不怕被黑客猜测了。

三、 安全防护技术的“亡羊补牢”策略不可取

网络安全事件时有发生，“亡羊补牢”有时是弥补的最好方法。但如何“补”，则关系到“牢之牢”，是坚固之“牢”还是形同虚设?

目前发现黑客的攻击方法是猜测“弱口令”，那么就在更新产品中使用随机性好的口令;黑客可以通过其他手段获得口令，例如如果有一批产品使用同一个口令，则黑客通过购买一个设备来进行分析，就可以获得这个口令，无论该口令的随机性如何，都不增加黑客获得该口令的难度，这时该怎么办?改为每个设备使用单独的口令?那么黑客可以入侵服务器的数据库，窃取口令文件，然后也能成功入侵。即使通过严格的管理，让黑客无法获得口令文件，黑客也可能通过系统漏洞入侵到设备中，这是许多网络蠕虫病毒入侵传播的重要途径。因此通过简单的修改想抵挡黑客的入侵，实在太困难了。

随着网络技术在各个行业的应用，网络的重要性越来越高，同时网络黑客的技术手段也越来越高。网络黑客从早期的个人恶作剧行为，到后来的有组织行为，再到后来的有地下产业链，直到今天的网络战争，黑客已经不仅仅是地下组织，还包括国家团体。因此，黑客的攻击手段，远超过我们的想象。去年8月份美国NSA方程式组织Equation Group被黑，大量黑客工具泄露，从这些被泄露的工具就可看出，全球70%的Windows系统可以被这些工具远程入侵。这才是被泄露的部分工具。我们不知道没有泄露的工具还有哪些，有什么攻击能力，但可以想象，能阻挡最强黑客组织攻击的系统需要非常坚固的安全防护手段。

面对如此强大的黑客组织和黑客工具，资源有限的物联网设备还有防御能力吗?答案是肯定的。黑客攻击都是为了一定的目的，或者是经济目的，或者是政治目的。针对物联网设备，只要让黑客攻击所获利益不足以弥补其攻击所付的代价，这种防护就是成功的。当然，要正确评估攻击代价与攻击利益也是困难的，只能根据物联网设备的实际情况，包括设备本身的资源，设备的重要性等因素进行安全防护。

因此，对物联网设备的安全保护，不能简单地使用“亡羊补牢”的措施，发现问题后再进行弥补，同时也不必对安全防护失去信心，认为面对强大的黑客，任何防护都会失败。正确的办法是，让专业团队设计安全的解决方案。

四、 匡恩网络的安全解决方案

匡恩网络的专家团队分析认为，网络摄像头的安全防护包括3个层面：(1)防止入侵;(2)防止成为网络肉鸡;(3)防止数据被非法窃取;(4)防止数据假冒;(5)防止设备被毁。

其中，防止入侵是第一步最根本的防护。去年物联网设备参与的大规模DDOS攻击，就是因为第一步防护没做好，或者防护能力太差。防止入侵最基本的要求是使用不可猜测的口令。但口令的设置从来是一个纠结的事：太简单容易被猜测，太复杂则难记忆，难管理。对物联网设备来说，难记忆的因素可以不考虑，但让每一个设备有一个单独的口令则很难管理，一旦存储口令的文件失窃，则所有设备的第一道安全防护全部丧失。

但无论怎么防护，第一道防线可能失败，也就是说黑客可能有能力入侵到物联网设备中。那么黑客的目的是什么?从去年的DDOS事件来看，黑客入侵单个物联网设备的获利不大，而通过将这些设备控制成为网络肉鸡，形成具有网络攻击能力的僵尸网络，对黑客来说才是更有吸引力的。

当然黑客入侵的另一目的可能是获得数据(如监控数据)，伪造数据(如对重要监控数据的替换)，控制设备(如调节监控角度、精度等)，甚至让设备瘫痪。