你能想像警察局、審訊室，或是在其他布置著警用攝像頭的場(chǎng)所，一個(gè)黑客可以監(jiān)視這一切嗎?

美國(guó)一家警用隨身攝像頭供應(yīng)商，最近被在其設(shè)備上被檢測(cè)出惡意軟件--飛客蠕蟲(chóng)病毒。而且，這款7年前就出現(xiàn)的老計(jì)算機(jī)病毒感染了這家制造商的多款攝像頭。

飛客蠕蟲(chóng)病毒自第一個(gè)變種開(kāi)始橫行以來(lái)已經(jīng)7年，其長(zhǎng)久不衰的事實(shí)證明了它是一款非常難以根除的病毒。如果未受防護(hù)的系統(tǒng)連接上了這些受到感染的設(shè)備，也很有可能被感染。也就是說(shuō)，警察局的計(jì)算機(jī)系統(tǒng)可能早已被感染。

隨著互聯(lián)網(wǎng)持續(xù)深入，日常工作和生活的各種設(shè)備制造商，遵從嚴(yán)格的安全協(xié)議這一點(diǎn)變得愈加重要。但如果產(chǎn)品是在海外制造的，制造商在保證用戶的安全方面又該承擔(dān)起哪些責(zé)任呢?

一些事實(shí)

前國(guó)家安全局承包商愛(ài)德華·斯諾登泄露的文件詳細(xì)描述了美國(guó)情報(bào)機(jī)構(gòu)攔截電子硬件設(shè)備的貨運(yùn)，植入監(jiān)視程序后再重新發(fā)往目的地的所作所為。

另一起攻擊事件中，某國(guó)一家條形碼掃描器供應(yīng)商在往至少8家公司發(fā)送的設(shè)備中植入了高級(jí)惡意軟件。據(jù)安全公司披露，這起攻擊事件很可能是該國(guó)政府支持的工業(yè)間諜行動(dòng)的一部分。

無(wú)論有意攻擊還是無(wú)意感染，這類事件都凸顯出供應(yīng)商和制造商都需要做出更多努力來(lái)保衛(wèi)他們的客戶免遭網(wǎng)絡(luò)攻擊。

但目前的事實(shí)表示，在保證產(chǎn)品安全上，制造商們做的遠(yuǎn)遠(yuǎn)不夠，攻擊者可以輕易染指這些設(shè)備。

供應(yīng)商必需配合

公司企業(yè)要做的第一步，就是要求他們的供應(yīng)商遵從與他們一致的安全標(biāo)準(zhǔn)和策略。盡管這一努力可能需要花費(fèi)時(shí)間，培養(yǎng)供應(yīng)商達(dá)到他們客戶的產(chǎn)品安全期望是一個(gè)好的開(kāi)始。只要明確告知，大多數(shù)生產(chǎn)商都會(huì)切實(shí)遵從客戶的要求。

而且，供應(yīng)商需要了解，安全是任何聯(lián)網(wǎng)產(chǎn)品都需要的特性之一。雖然將產(chǎn)品快速推向市場(chǎng)和讓產(chǎn)品具有恰當(dāng)?shù)奶匦院苊黠@是成功必需品，但保證產(chǎn)品和客戶數(shù)據(jù)的安全正逐漸成為任何開(kāi)發(fā)工作的關(guān)鍵組成部分。

管控到位以保證即將推向市場(chǎng)的產(chǎn)品的安全，很明顯是制造商的責(zé)任。

建立安全開(kāi)發(fā)過(guò)程

達(dá)到適當(dāng)?shù)陌踩^非易事，但隨著今天人們對(duì)信息技術(shù)的巨大依賴，軟件和技術(shù)供應(yīng)商需要更多的努力以保護(hù)他們的設(shè)備。如，開(kāi)發(fā)者應(yīng)該遵從安全的軟件開(kāi)發(fā)過(guò)程。

類似于SafeCODE的軟件保障評(píng)估原則和其他諸如安全成熟度模型(BSIMM)，都將對(duì)這一過(guò)程帶來(lái)極大的幫助。雖然對(duì)很多供應(yīng)商而言，這將是一個(gè)新的領(lǐng)域。畢竟對(duì)于整個(gè)產(chǎn)業(yè)來(lái)說(shuō)，并沒(méi)有像蘋(píng)果和微軟那樣在過(guò)去20年里一直遭受惡意軟件困擾，也因此沒(méi)能學(xué)到這些教訓(xùn)。

一旦公司企業(yè)創(chuàng)立了改進(jìn)產(chǎn)品安全的過(guò)程，或者作為消費(fèi)者有了檢查供應(yīng)商產(chǎn)品安全的習(xí)慣，培訓(xùn)和再培訓(xùn)就能幫助將安全理念灌輸進(jìn)開(kāi)發(fā)者的工作方式中。

當(dāng)然，即便做到每件事也不能保證絕對(duì)的網(wǎng)絡(luò)安全，不能保證攻擊者無(wú)法找到新的方法突破我們的系統(tǒng)。

安全是一種能力，更是一個(gè)對(duì)抗過(guò)程。