你能想像警察局、審訊室，或是在其他布置著警用攝像頭的場所，一個黑客可以監(jiān)視這一切嗎?

美國一家警用隨身攝像頭供應(yīng)商，最近被在其設(shè)備上被檢測出惡意軟件--飛客蠕蟲病毒。而且，這款7年前就出現(xiàn)的老計算機病毒感染了這家制造商的多款攝像頭。

飛客蠕蟲病毒自第一個變種開始橫行以來已經(jīng)7年，其長久不衰的事實證明了它是一款非常難以根除的病毒。如果未受防護(hù)的系統(tǒng)連接上了這些受到感染的設(shè)備，也很有可能被感染。也就是說，警察局的計算機系統(tǒng)可能早已被感染。

隨著互聯(lián)網(wǎng)持續(xù)深入，日常工作和生活的各種設(shè)備制造商，遵從嚴(yán)格的安全協(xié)議這一點變得愈加重要。但如果產(chǎn)品是在海外制造的，制造商在保證用戶的安全方面又該承擔(dān)起哪些責(zé)任呢?

一些事實

前國家安全局承包商愛德華·斯諾登泄露的文件詳細(xì)描述了美國情報機構(gòu)攔截電子硬件設(shè)備的貨運，植入監(jiān)視程序后再重新發(fā)往目的地的所作所為。

另一起攻擊事件中，某國一家條形碼掃描器供應(yīng)商在往至少8家公司發(fā)送的設(shè)備中植入了高級惡意軟件。據(jù)安全公司披露，這起攻擊事件很可能是該國政府支持的工業(yè)間諜行動的一部分。

無論有意攻擊還是無意感染，這類事件都凸顯出供應(yīng)商和制造商都需要做出更多努力來保衛(wèi)他們的客戶免遭網(wǎng)絡(luò)攻擊。

但目前的事實表示，在保證產(chǎn)品安全上，制造商們做的遠(yuǎn)遠(yuǎn)不夠，攻擊者可以輕易染指這些設(shè)備。

供應(yīng)商必需配合

公司企業(yè)要做的第一步，就是要求他們的供應(yīng)商遵從與他們一致的安全標(biāo)準(zhǔn)和策略。盡管這一努力可能需要花費時間，培養(yǎng)供應(yīng)商達(dá)到他們客戶的產(chǎn)品安全期望是一個好的開始。只要明確告知，大多數(shù)生產(chǎn)商都會切實遵從客戶的要求。

而且，供應(yīng)商需要了解，安全是任何聯(lián)網(wǎng)產(chǎn)品都需要的特性之一。雖然將產(chǎn)品快速推向市場和讓產(chǎn)品具有恰當(dāng)?shù)奶匦院苊黠@是成功必需品，但保證產(chǎn)品和客戶數(shù)據(jù)的安全正逐漸成為任何開發(fā)工作的關(guān)鍵組成部分。

管控到位以保證即將推向市場的產(chǎn)品的安全，很明顯是制造商的責(zé)任。

建立安全開發(fā)過程

達(dá)到適當(dāng)?shù)陌踩^非易事，但隨著今天人們對信息技術(shù)的巨大依賴，軟件和技術(shù)供應(yīng)商需要更多的努力以保護(hù)他們的設(shè)備。如，開發(fā)者應(yīng)該遵從安全的軟件開發(fā)過程。

類似于SafeCODE的軟件保障評估原則和其他諸如安全成熟度模型(BSIMM)，都將對這一過程帶來極大的幫助。雖然對很多供應(yīng)商而言，這將是一個新的領(lǐng)域。畢竟對于整個產(chǎn)業(yè)來說，并沒有像蘋果和微軟那樣在過去20年里一直遭受惡意軟件困擾，也因此沒能學(xué)到這些教訓(xùn)。

一旦公司企業(yè)創(chuàng)立了改進(jìn)產(chǎn)品安全的過程，或者作為消費者有了檢查供應(yīng)商產(chǎn)品安全的習(xí)慣，培訓(xùn)和再培訓(xùn)就能幫助將安全理念灌輸進(jìn)開發(fā)者的工作方式中。

當(dāng)然，即便做到每件事也不能保證絕對的網(wǎng)絡(luò)安全，不能保證攻擊者無法找到新的方法突破我們的系統(tǒng)。

安全是一種能力，更是一個對抗過程。