企业新闻

【专家视点】战胜黑客 改善安防系统信息安全脆弱性

2016-03-02 13:57:07 | 来源:中培企业IT培训网

近年来,网络安全事件频发,企业及用户纷纷投注更多的心力去维护自身的网络安全。相对于各种防范措施,防范于未然,扼杀安全隐患才是最有效的办法,而新思科技(Synopsys)的产品正是基于这样的理念作为自身强化网络安全及提升软件质量的关键……
  在过去没有多久的第二届世界互联网大会上,习近平主席提到,安全和发展是一体之两翼、驱动之双轮。安全是发展的保障,发展是安全的目的,两者之间相辅相成,共同促进各行各业的繁荣与进步。
  在互联网技术高速发展的今天,因网络的开放性、隐蔽性、跨地域性等特性,许多安全问题亟待解决,比如在过去的2015年,全球便发生了多起网络安全事件,如美国人事管理局OPM数据泄露,规模达2570万,直接导致主管引咎辞职;英宽带运营商TalkTalk被反复攻击,400余万用户隐私数据终泄露;摩根士丹利35万客户信息涉嫌被员工盗取;日本养老金系统遭网络攻击,上百万份个人信息泄露等。

虽然这些数据我们时常耳闻,但安防行业人士仍然会认为网络安全问题距离我们仍很遥远甚至无关,但“安全门”事件的爆发让业内人士绷紧了神经,一个不争的事实摆在眼前:互联网技术在融入我们生活、工作、学习的方方面面的同时,网络安全问题已经是无可避免的问题。以安全防范为核心的安防行业,网络安全问题的重要性已经被提升到一个前所未有的新高度。
  在此背景下,不仅让安防企业在编解码、传输、软件管理平台、存储中下足功夫,甚至也吸引了其他行业的技术型企业的进入,新思科技(Synopsys)便是其中之一。作为电子设计自动化(EDA)和半导体知识产权(IP)领域的领导者,早在2014年便建立了一个专注软件质量和软件安全的新部门。“通过收购静态分析技术供应商Coverity,我们成立了这个新的事业部,之后我们又陆续收购了五家企业(Kalistick、Codenomicon、Seeker、Protecode、Goanna)进一步强化测试的最佳化和静态分析的技术实力。”Synopsys高级副总裁暨SIG总经理AndreasKuehlmann介绍,“我们赋予硬件设计更多的可预测性,在软件方面,我们的战略在一定的程度上也朝着同样的方向在发展,为更多的设计师解决各种关键挑战,从而降低成本和进度风险。”
      举要治繁以技术捍卫安全
  在此背景下,不仅让安防企业在编解码、传输、软件管理平台、存储中下足功夫,甚至也吸引了其他行业的技术型企业的进入,新思科技(Synopsys)便是其中之一。作为电子设计自动化(EDA)和半导体知识产权(IP)领域的领导者,早在2014年便建立了一个专注软件质量和软件安全的新部门。“通过收购静态分析技术供应商Coverity,我们成立了这个新的事业部,之后我们又陆续收购了五家企业(Kalistick、Codenomicon、Seeker、Protecode、Goanna)进一步强化测试的最佳化和静态分析的技术实力。”Synopsys高级副总裁暨SIG总经理AndreasKuehlmann介绍,“我们赋予硬件设计更多的可预测性,在软件方面,我们的战略在一定的程度上也朝着同样的方向在发展,为更多的设计师解决各种关键挑战,从而降低成本和进度风险。”
  2010年作为安防行业发展的重要分水岭,视频监控行业经历了从模拟监控转向网络监控发展的变革。自此之后,许许多多的网络摄像机、NVR、IP存储服务器等产品的面世,意味着视频监控开始快速向数字化技术发展,与此同时安防行业进入高速发展时期,从模拟到数字,从单品到系统,从高清化、智能化、大数据到云计算等等概念接踵而至,让安防厂商应接不暇,并一直被网络的大潮推着往前走,正因为跟上时代的潮流已经不容易,所以目前安防工程中,网络安全问题仍没有作为第一要素,工程无论在管理标准制定、设计、施工、验收上都缺乏明确的要求和规范,甚至可以这样认为,网络安全对于安防行业而言仍然是一块空白和陌生的领地。
  自2014年起,视频监控产业中多起网络攻击事件让安防从业人员开始关注到新的问题点——网络安全。2015年注定是载入安防发展史的重要一年,也势必会成为安防产业迈入网络化时代的重要里程碑,与此同时用户对产品的全方位安全性能提出更高的要求,如何让技术跟进市场需求,这将是未来市场又一主阵地。无论从技术面、产品设计、企业经营等层面看,“安全门”事件都将对安防行业的发展产生深远的影响。
  虽然安防行业对于网络安全的认知相比IT及电信行业要显得落后,但无论是国家政策还是行业发展,网络安全是趋势,也必然会是未来行业的硬性指标。如果说以前的安防行业发展强调稳定性,随着安全性价值的挖掘,将来必然是安全性为王,在行业不断洗牌的过程中,这点无疑将会成为安防设备商新的差异化竞争优势。
  毋庸置疑,面对网络信息安全的问题,没有人可以置身度外,没有谁又可以做到铜墙铁壁百毒不侵!随着网络技术越来越发达,网络安全问题得到越来越多人的重视。“例如Heartbleed安全漏洞就因为暴露了加密信息而成为设备制造商关注的安全议题。可喜的是现在已经有越来越多的设备制造商重视网络安全和源代码的质量问题。”虽然处理网络安全和软件质量的方法有许多种,但最可靠和最直接的办法却是从源头上进行扼制。AndreasKuehlmann认为,解决安全问题的关键是要找到一个能够互补的办法,因此新思科技通过以下四种技术,集中软件开发的早期阶段解决安全问题:
  其一,静态源代码扫描测试(StaticAnalysis),也称为白盒测试,对应产品:Coverity。白盒测试能在源代码的基础上提供静态分析,能够在研发阶段查找出代码中难以发现的重大关键软件缺陷和安全缺陷。目前支持的开发的语言包括C、C++、Java、C#、ObjectiveC、JavaScript、Python和PHP等,未来支持的开发语言将大大增加。通过读取源代码,实现深度分析来检测安全漏洞;
  其二,基于通讯协议的模糊测试(DynamicAnalysisorFuzzingTesting),也称为黑盒测试,对应产品:Defensics。Defensics模拟引擎是业界第一款基于状态的模糊测试用例生成器。它利用尝试协议模型来智能的、精确的向软件输入有组织的破坏性数据,试图使系统崩溃,从而发现系统的未知缺陷和漏洞。目前覆盖大约260多种协议,包含HTTP、RTSP、SIP、TCP/IP、Wi-Fi等常用协议;
  其三,软件成份分析(SoftwareCompositionAnalysis),对应产品:Protecode。针对目前软件开发过程中90%的部分是由开源代码和第三方组件构成的,软件成分分析工具Protecode能让用户快速精确的检测和审计当前代码库中是否使用了已有开源代码、组件或模块,并确认这些开源部分是否违反开源协议,并协助用户规避违反开源协议导致的法律风险;Protecode还能够检测当前使用的开源代码、已经打包的二进制文件组件或模块中是否包含已知的安全漏洞,Protecode已经集成了多个知名缺陷库,能够有效防范黑客攻击;
  其四,交互式应用程序安全性测试(InteractiveApplicationSecurityTesting),对应产品:Seeker。针对网络应用领域的互动式应用软件安全进行测试,通过对网络应用程序实时操作的监控,Seeker能够高效分析前端页面,中间数据处理层和后端数据库可能存在的恶意攻击。包括著名的OWASPTop10跨站脚本攻击、SQL注入、目录遍历等真实存在的问题。
  虽然这些源代码看上去似乎微不足道,但往往正是这些漏洞导致非常严重的安全事件的发生。

标签: 网络安全