附录1 海康威视产品及系统安全策略.doc

附录1 海康威视产品及系统安全策略 海康威视高度重视设备互联网应用的网络安全和信息安全，并于2014年3月已完成海康威视安全响应中心（Hikvision Security Response Center）的建设，致力于用户安全保障和安全服务的不断发展。目前已经完成和正在推动的工作主要包括： 一、海康威视通过聘请专业信息安全顾问团队，组建专业团队，已建立一系列机制，促进产品及系统安全的持续改进。 在产品设计开发阶段引入业界知名的代码静态审查软件，找到并修复代码中存在的多种严重问题； 在产品测试中加强安全测试力度，引入协议抗攻击测试，特殊溢出攻击测试，Web平台安全测试，业务流安全测试等； 成立了专门的渗透测试团队负责保障应用层面的安全，该团队按照产品安全生命开发周期参与到产品的规划、设计、开发、测试等环节中，覆盖系统平台、视频设备、手机/PC客户端等等，产品发布前会对产品进行渗透测试，提前保障产品安全。此外，公司还会定期邀请知名安全公司以及众测平台做渗透测试，进一步增强了应用层的安全保障； 应急响应中心成立专项应急响应小组，建立包括针对网络防攻击、信息泄密处理流程等应急预案；同时和国内领先互联网安全公司进行紧密合作，对制定的应急预案进行定期演练，确保遇到突发事件第一时间处理。 二、设备安全策略提升，目前已建立4重安全保障机制”，可有效规避网络应用带来的安全、隐私风险。 1、密码提醒、保护机制； 初始密码未修改自动提醒功能。当设备未进行初始密码的修改时，本地登录、IE以及客户端远程登录，均会弹出提示窗口，提示用户修改设备的初始密码，以保证设备应用的安全性； 用户密码安全性提示功能。用户输入密码后，会根据密码复杂度，提示复杂度“低、中、高”等选项，提醒用户注意密码复杂度； 用户登录锁定功能。当多次尝试输入用户名、密码出错时，设备会自动将该用户名锁定一段时间，有效避免恶意软件通过暴力破解密码的方式进行入侵； IP、MAC地址绑定功能。可将用户名与指定的IP、MAC地址进行绑定，绑定后仅该IP或MAC的主机可访问设备。 2、设备中增加保护程序psh，使得用户本地登录或远程登录设备时，设备的终端控制台自动进入安全防护模式；在安全防护模式下，可以终止或挂起进程的相关操作将被屏蔽，防止保护程序psh被恶意退出，同时，保护程序psh接收终端输入的命令字符串长度在一限定值内，防止栈溢出攻击； 3、传输加密机制：海康威视产品支持https加密，支持创建私有证书，创建证书请求以及上传已签名证书等，网络登录、配置等通过加密传输，可有效解决传输安全性问题； 4、码流加密机制：海康威视产品支持AES等码流加密算法，即使实时码流被截获，也会因为无密钥无法解码，从根本上解决了设备网络应用隐私安全问题； 三、继续加大互联网应用安全投入。目前针对互联网视频监控，已构建萤石云系统，并已经建立较为完善的互联网安全机制。提供通过随机验证码、用户手机绑定、码流加密、后台数据分析、信息推送等方式，为家庭和小微企业提供安全可靠的互联网视频应用服务。 设备添加机制：采用1对1添加方式，最大限制保证合法用户的使用权限；并通过随机验证码的方式，防止对设备的恶意添加访问； 短信验证机制：设备添加、使用过程中所有涉及用户操作的关键步骤都设置短信验证机制，有效防止恶意窃取隐私行为。 终端绑定管理：由用户指定终端绑定后，即使用户的账号密码被盗，也不会泄露用户的视频和图片信息； 消息推送：设备升级补丁信息、设备异常信息等自动消息推送； 运维管理：萤石云系统已部署入侵防御系统、高性能防火墙、安全审计系统等，购买漏洞扫描服务，检测网络状态，及时发现异常；及时获取视频监控系统平台软件版本的补丁列表以及网络应用服务器、数据库管理系统、应用程序和其它库文件补丁和最新版本发布情况，并及时更新。 四、加强与公安厅、网警总队的沟通、联系，关注于视频监控系统安全提升。从前端安全、网络安全、主机安全、应用安全、运维安全管理等多方面，提供相关安全保障建议，减少和规避系统安全风险。 附录2：海康威视安全响应中心介绍 组织简介： 海康威视安全响应中心（Hikvision Security Response Center）是一个负责接受、处理和公开披露海康威视产品和解决方案相关的安全漏洞的平台。海康威视非常重视自身安全，也一直致力于保障用户安全，我们也希望通过此平台加强与业界的合作和交流。 基本原则： 一、海康威视非常重视自身产品和业务的安全问题，我们承诺，对每一位报告者反馈的问题都有专人进行跟进、分析和处理，并及时给予答复。 二、海康威视支持负责任的漏洞披露和处理过程，我们承诺，对于每位保护用户利益，帮助海康威视提升安全质量的用户，我们将给予感谢和回馈。 三、海康威视反对和谴责一切以漏洞测试为借口，利用安全漏洞进