收到一位技術人的留言及中山大學校方的回覆,我認為這是有意義的討論,謹再補充說明,祈使問題更加明晰。
首先,經向監視器業者請教後,補充說明如下:
一、海康威視原本在中國市占率排名第三或第四,後獲中國政府金援支持而在一年內躍居第一名,其間還發生原市占率第一的雄邁主機遭入侵攻擊,所有ip幾乎均來自中國,無法修復而有一波換機潮,海康以其低價優勢拿走市占率。
二、目前遠端監控,需要網路固定ip來傳送,一般情況來說,監視主機均有工程用密碼可直接使用主機最大權限,然此組密碼無法遠端使用。海康發展的是p2p直接連線,宣稱只要知道機碼或轉址掃QR code即可直接連線。一開始發生的入侵,我們常會誤判是初始密碼未更改所致,但由網路所開的通訊埠可發現,許多遠程通訊或呼叫的port,是被強制開啟的,這就是存在的風險。依之前國外網友測試過一些奇怪的網路資料流,都發現海康往上海北京杭州回傳資料,這代表了那幾個通訊埠無須密碼即可通訊。
三、網路原本即沒有絕對安全,但資通安全(尤其涉及國安、校園安全、商業機密等),本來就要判讀排除有可能的危險。一般我們看到的是海康攝影機(肉眼可見,也有標註HIKVISION),但最有風險的部分是監視錄影主機(DVR、NVR),才是控制所有網路錄影、人臉辨識的關鍵。此外,許多目前的監視器主機都運用海思的控制晶片,海思是華為的旗下產品,風險更高。
在談完技術之後,針對此一議題,提出我的四大關切:
一、公部門標案應以身作則。
業界大量之所以會使用海康威視,主因即在於價格較低,才成為政府標案的首選,攻占台灣市場。台灣本就是IT的重要製造研發生產國,原也是監視器大廠所在,結果政府標案受限於價格反而到處使用中國產牌。今年初立法院審查預算時,我也發現部會贈送的年節禮品,採購的是由中國的文具廠商所製銷的產品,據此還提出主決議,要求公部門應當鼓勵台灣廠商、台灣製造。這點我首先就認為公部門應以身作則。
二、技術始終來自於人性。
技術的能力來自於運用及想像,我們都知道包括回傳訊號及紀錄的使用是「人為」的,也因此在技術上若預留(監視器最原初的目的也就是監視追查紀錄),那麼訊號的收受是否留有空間,這也正是世界各國對中國製具有通訊紀錄功能的產品存有疑慮之處,也是所謂的資安風險。
三、資通安全是國家安全。
我們再退到萬步來看,當全世界(不只美國,也不要純以美中貿易戰來看)的各種應對及禁止行為在在說明這樣的風險,台灣政府公部門至少應該好好查清楚、列明危險等級、處理方式,特別是《資通安全管理法》已通過一年了,針對基礎設施(infrastructure)的全面確認判讀,這是應為而未竟。
四、鼓勵台灣智慧技術產業。
在中國的低價競爭下,台灣原本的監視器技術優勢會受到壓制,台灣廠商也不願意再進行研發,競爭差距會變大。在此狀況下,至少我國從公部門可以開始做的是,鼓勵本土有技術能力的廠商進場,提升產業誘因,鼓勵台灣的智慧技術產業發展。
➡ 延伸資料:
☑「一家「海康威視」打趴台灣整個產業」今週刊 2018-12-26:https://pse.is/KRY8F
☑「中國引起各國高度警覺,台灣能不對中國嚴格戒備嗎?」時代力量立法院黨團 2019-04-15:https://pse.is/LEPFX
☑「中國資安疑慮,入侵高雄校園?!」 2019-09-20:https://pse.is/J6LFV
海 康 威 視 固定ip 在 陳惠敏 Facebook 的最讚貼文
收到一位技術人的留言及中山大學校方的回覆,我認為這是有意義的討論,謹再補充說明,祈使問題更加明晰。
首先,經向監視器業者請教後,補充說明如下:
一、海康威視原本在中國市占率排名第三或第四,後獲中國政府金援支持而在一年內躍居第一名,其間還發生原市占率第一的雄邁主機遭入侵攻擊,所有ip幾乎均來自中國,無法修復而有一波換機潮,海康以其低價優勢拿走市占率。
二、目前遠端監控,需要網路固定ip來傳送,一般情況來說,監視主機均有工程用密碼可直接使用主機最大權限,然此組密碼無法遠端使用。海康發展的是p2p直接連線,宣稱只要知道機碼或轉址掃QR code即可直接連線。一開始發生的入侵,我們常會誤判是初始密碼未更改所致,但由網路所開的通訊埠可發現,許多遠程通訊或呼叫的port,是被強制開啟的,這就是存在的風險。依之前國外網友測試過一些奇怪的網路資料流,都發現海康往上海北京杭州回傳資料,這代表了那幾個通訊埠無須密碼即可通訊。
三、網路原本即沒有絕對安全,但資通安全(尤其涉及國安、校園安全、商業機密等),本來就要判讀排除有可能的危險。一般我們看到的是海康攝影機(肉眼可見,也有標註HIKVISION),但最有風險的部分是監視錄影主機(DVR、NVR),才是控制所有網路錄影、人臉辨識的關鍵。此外,許多目前的監視器主機都運用海思的控制晶片,海思是華為的旗下產品,風險更高。
在談完技術之後,針對此一議題,提出我的四大關切:
一、公部門標案應以身作則。
業界大量之所以會使用海康威視,主因即在於價格較低,才成為政府標案的首選,攻占台灣市場。台灣本就是IT的重要製造研發生產國,原也是監視器大廠所在,結果政府標案受限於價格反而到處使用中國產牌。今年初立法院審查預算時,我也發現部會贈送的年節禮品,採購的是由中國的文具廠商所製銷的產品,據此還提出主決議,要求公部門應當鼓勵台灣廠商、台灣製造。這點我首先就認為公部門應以身作則。
二、技術始終來自於人性。
技術的能力來自於運用及想像,我們都知道包括回傳訊號及紀錄的使用是「人為」的,也因此在技術上若預留(監視器最原初的目的也就是監視追查紀錄),那麼訊號的收受是否留有空間,這也正是世界各國對中國製具有通訊紀錄功能的產品存有疑慮之處,也是所謂的資安風險。
三、資通安全是國家安全。
我們再退到萬步來看,當全世界(不只美國,也不要純以美中貿易戰來看)的各種應對及禁止行為在在說明這樣的風險,台灣政府公部門至少應該好好查清楚、列明危險等級、處理方式,特別是《資通安全管理法》已通過一年了,針對基礎設施(infrastructure)的全面確認判讀,這是應為而未竟。
四、鼓勵台灣智慧技術產業。
在中國的低價競爭下,台灣原本的監視器技術優勢會受到壓制,台灣廠商也不願意再進行研發,競爭差距會變大。在此狀況下,至少我國從公部門可以開始做的是,鼓勵本土有技術能力的廠商進場,提升產業誘因,鼓勵台灣的智慧技術產業發展。
➡ 延伸資料:
☑「一家「海康威視」打趴台灣整個產業」今週刊 2018-12-26:https://pse.is/KRY8F
☑「中國引起各國高度警覺,台灣能不對中國嚴格戒備嗎?」時代力量立法院黨團 2019-04-15:https://pse.is/LEPFX
☑「中國資安疑慮,入侵高雄校園?!」 2019-09-20:https://pse.is/J6LFV