在這個(gè)網(wǎng)絡(luò)危機(jī)四伏的時(shí)代,安防行業(yè)挑戰(zhàn)嚴(yán)峻
2016年已經(jīng)過去,2017年開啟全新的篇章。安防行業(yè)2017年踏上新的征程,而回顧2016年,安防行業(yè)什么是2017年安放人仍需時(shí)刻謹(jǐn)記、付諸行動(dòng)的?網(wǎng)絡(luò)安全無疑是行業(yè)共同的認(rèn)知。安防行業(yè)做為安全的把關(guān)者,自身的安全問題顯得尤為重要。而在這個(gè)網(wǎng)絡(luò)危機(jī)四伏的時(shí)代,安防行業(yè)挑戰(zhàn)嚴(yán)峻。
在互聯(lián)網(wǎng)技術(shù)高速發(fā)展的今天,因網(wǎng)絡(luò)的開放性、隱蔽性、跨地域性等特性,許多安全問題亟待解決,比如在過去的2015年,全球便發(fā)生了多起網(wǎng)絡(luò)安全事件,如美國人事管理局OPM數(shù)據(jù)泄露,規(guī)模達(dá)2570萬,直接導(dǎo)致主管引咎辭職;英寬帶運(yùn)營商TalkTalk被反復(fù)攻擊,400余萬用戶隱私數(shù)據(jù)終泄露;摩根士丹利35萬客戶信息涉嫌被員工盜??;日本養(yǎng)老金系統(tǒng)遭網(wǎng)絡(luò)攻擊,上百萬份個(gè)人信息泄露等。
雖然這些數(shù)據(jù)我們時(shí)常耳聞,但安防行業(yè)人士仍然會(huì)認(rèn)為網(wǎng)絡(luò)安全問題距離我們?nèi)院苓b遠(yuǎn)甚至無關(guān),但“安全門”事件的爆發(fā)讓業(yè)內(nèi)人士繃緊了神經(jīng),一個(gè)不爭的事實(shí)擺在眼前:互聯(lián)網(wǎng)技術(shù)在融入我們生活、工作、學(xué)習(xí)的方方面面的同時(shí),網(wǎng)絡(luò)安全問題已經(jīng)是無可避免的問題。以安全防范為核心的安防行業(yè),網(wǎng)絡(luò)安全問題的重要性已經(jīng)被提升到一個(gè)前所未有的新高度。
舉要治繁 以技術(shù)捍衛(wèi)安全
在此背景下,不僅讓安防企業(yè)在編解碼、傳輸、軟件管理平臺(tái)、存儲(chǔ)中下足功夫,甚至也吸引了其他行業(yè)的技術(shù)型企業(yè)的進(jìn)入,新思科技(Synopsys)便是其中之一。作為電子設(shè)計(jì)自動(dòng)化(EDA)和半導(dǎo)體知識(shí)產(chǎn)權(quán)(IP)領(lǐng)域的領(lǐng)導(dǎo)者,早在2014年便建立了一個(gè)專注軟件質(zhì)量和軟件安全的新部門?!巴ㄟ^收購靜態(tài)分析技術(shù)供應(yīng)商Coverity,我們成立了這個(gè)新的事業(yè)部,之后我們又陸續(xù)收購了五家企業(yè)(Kalistick、Codenomicon、Seeker、Protecode、Goanna)進(jìn)一步強(qiáng)化測(cè)試的最佳化和靜態(tài)分析的技術(shù)實(shí)力?!盨ynopsys高級(jí)副總裁暨SIG總經(jīng)理Andreas Kuehlmann介紹,“我們賦予硬件設(shè)計(jì)更多的可預(yù)測(cè)性,在軟件方面,我們的戰(zhàn)略在一定的程度上也朝著同樣的方向在發(fā)展,為更多的設(shè)計(jì)師解決各種關(guān)鍵挑戰(zhàn),從而降低成本和進(jìn)度風(fēng)險(xiǎn)?!?/p>
2010年作為安防行業(yè)發(fā)展的重要分水嶺,視頻監(jiān)控行業(yè)經(jīng)歷了從模擬監(jiān)控轉(zhuǎn)向網(wǎng)絡(luò)監(jiān)控發(fā)展的變革。自此之后,許許多多的網(wǎng)絡(luò)攝像機(jī)、NVR、IP存儲(chǔ)服務(wù)器等產(chǎn)品的面世,意味著視頻監(jiān)控開始快速向數(shù)字化技術(shù)發(fā)展,與此同時(shí)安防行業(yè)進(jìn)入高速發(fā)展時(shí)期,從模擬到數(shù)字,從單品到系統(tǒng),從高清化、智能化、大數(shù)據(jù)到云計(jì)算等等概念接踵而至,讓安防廠商應(yīng)接不暇,并一直被網(wǎng)絡(luò)的大潮推著往前走,正因?yàn)楦蠒r(shí)代的潮流已經(jīng)不容易,所以目前安防工程中,網(wǎng)絡(luò)安全問題仍沒有作為第一要素,工程無論在管理標(biāo)準(zhǔn)制定、設(shè)計(jì)、施工、驗(yàn)收上都缺乏明確的要求和規(guī)范,甚至可以這樣認(rèn)為,網(wǎng)絡(luò)安全對(duì)于安防行業(yè)而言仍然是一塊空白和陌生的領(lǐng)地。
自2014年起,視頻監(jiān)控產(chǎn)業(yè)中多起網(wǎng)絡(luò)攻擊事件讓安防從業(yè)人員開始關(guān)注到新的問題點(diǎn)——網(wǎng)絡(luò)安全。2015年注定是載入安防發(fā)展史的重要一年,也勢(shì)必會(huì)成為安防產(chǎn)業(yè)邁入網(wǎng)絡(luò)化時(shí)代的重要里程碑,與此同時(shí)用戶對(duì)產(chǎn)品的全方位安全性能提出更高的要求,如何讓技術(shù)跟進(jìn)市場(chǎng)需求,這將是未來市場(chǎng)又一主陣地。無論從技術(shù)面、產(chǎn)品設(shè)計(jì)、企業(yè)經(jīng)營等層面看,“安全門”事件都將對(duì)安防行業(yè)的發(fā)展產(chǎn)生深遠(yuǎn)的影響。
毋庸置疑,面對(duì)網(wǎng)絡(luò)信息安全的問題,沒有人可以置身度外,沒有誰又可以做到銅墻鐵壁百毒不侵!隨著網(wǎng)絡(luò)技術(shù)越來越發(fā)達(dá),網(wǎng)絡(luò)安全問題得到越來越多人的重視?!袄鏗eartbleed安全漏洞就因?yàn)楸┞读思用苄畔⒍蔀樵O(shè)備制造商關(guān)注的安全議題??上驳氖乾F(xiàn)在已經(jīng)有越來越多的設(shè)備制造商重視網(wǎng)絡(luò)安全和源代碼的質(zhì)量問題?!彪m然處理網(wǎng)絡(luò)安全和軟件質(zhì)量的方法有許多種,但最可靠和最直接的辦法卻是從源頭上進(jìn)行扼制。Andreas Kuehlmann認(rèn)為,解決安全問題的關(guān)鍵是要找到一個(gè)能夠互補(bǔ)的辦法,因此新思科技通過以下四種技術(shù),集中軟件開發(fā)的早期階段解決安全問題:
其一,靜態(tài)源代碼掃描測(cè)試(StaTIc Analysis),也稱為白盒測(cè)試,對(duì)應(yīng)產(chǎn)品:Coverity。白盒測(cè)試能在源代碼的基礎(chǔ)上提供靜態(tài)分析,能夠在研發(fā)階段查找出代碼中難以發(fā)現(xiàn)的重大關(guān)鍵軟件缺陷和安全缺陷。目前支持的開發(fā)的語言包括C、C++、Java、C#、ObjecTIveC、JavaScript、Python和PHP等,未來支持的開發(fā)語言將大大增加。通過讀取源代碼,實(shí)現(xiàn)深度分析來檢測(cè)安全漏洞;
其二,基于通訊協(xié)議的模糊測(cè)試(Dynamic Analysisor Fuzzing TesTIng),也稱為黑盒測(cè)試,對(duì)應(yīng)產(chǎn)品:Defensics。Defensics模擬引擎是業(yè)界第一款基于狀態(tài)的模糊測(cè)試用例生成器。它利用嘗試協(xié)議模型來智能的、精確的向軟件輸入有組織的破壞性數(shù)據(jù),試圖使系統(tǒng)崩潰,從而發(fā)現(xiàn)系統(tǒng)的未知缺陷和漏洞。目前覆蓋大約260多種協(xié)議,包含HTTP、RTSP、SIP、TCP/IP、Wi-Fi等常用協(xié)議;
其三,軟件成份分析(Software ComposiTIon Analysis),對(duì)應(yīng)產(chǎn)品:Protecode。針對(duì)目前軟件開發(fā)過程中90%的部分是由開源代碼和第三方組件構(gòu)成的,軟件成分分析工具Protecode能讓用戶快速精確的檢測(cè)和審計(jì)當(dāng)前代碼庫中是否使用了已有開源代碼、組件或模塊,并確認(rèn)這些開源部分是否違反開源協(xié)議,并協(xié)助用戶規(guī)避違反開源協(xié)議導(dǎo)致的法律風(fēng)險(xiǎn);;Protecode還能夠檢測(cè)當(dāng)前使用的開源代碼、已經(jīng)打包的二進(jìn)制文件組件或模塊中是否包含已知的安全漏洞,Protecode已經(jīng)集成了多個(gè)知名缺陷庫,能夠有效防范黑客攻擊;
其四,交互式應(yīng)用程序安全性測(cè)試(Interactive Application Security Testing),對(duì)應(yīng)產(chǎn)品:Seeker。針對(duì)網(wǎng)絡(luò)應(yīng)用領(lǐng)域的互動(dòng)式應(yīng)用軟件安全進(jìn)行測(cè)試,通過對(duì)網(wǎng)絡(luò)應(yīng)用程序?qū)崟r(shí)操作的監(jiān)控,Seeker能夠高效分析前端頁面,中間數(shù)據(jù)處理層和后端數(shù)據(jù)庫可能存在的惡意攻擊。包括著名的OWASP Top10跨站腳本攻擊、SQL注入、目錄遍歷等真實(shí)存在的問題。
雖然這些源代碼看上去似乎微不足道,但往往正是這些漏洞導(dǎo)致非常嚴(yán)重的安全事件的發(fā)生。
深入淺出 提升設(shè)備差異性優(yōu)勢(shì)
雖然安防行業(yè)對(duì)于網(wǎng)絡(luò)安全的認(rèn)知相比IT及電信行業(yè)要顯得落后,但無論是國家政策還是行業(yè)發(fā)展,網(wǎng)絡(luò)安全是趨勢(shì),也必然會(huì)是未來行業(yè)的硬性指標(biāo)。如果說以前的安防行業(yè)發(fā)展強(qiáng)調(diào)穩(wěn)定性,隨著安全性價(jià)值的挖掘,將來必然是安全性為王,在行業(yè)不斷洗牌的過程中,這點(diǎn)無疑將會(huì)成為安防設(shè)備商新的差異化競(jìng)爭優(yōu)勢(shì)。
據(jù)觀察,無論是設(shè)備商或者是軟件供應(yīng)商,對(duì)于產(chǎn)品的安全性意識(shí)正在逐步提升。在未來,為規(guī)避更多安全事件對(duì)于企業(yè)品牌的不良影響,在產(chǎn)品開發(fā)周期的初級(jí)階段便滿足網(wǎng)絡(luò)安全問題的需求,必然會(huì)在中國安防或者全球安防的市場(chǎng)中迅速成長。
但對(duì)于新的事物,人們往往是一知半解,在信息化時(shí)代,時(shí)間意味著市場(chǎng)與商機(jī),如何快速強(qiáng)化自身產(chǎn)品將成為未來搶占市場(chǎng)先機(jī)的重點(diǎn)。但是,在網(wǎng)絡(luò)安全面前,如果能靜下心來仔細(xì)研究,會(huì)發(fā)現(xiàn)其實(shí)它并不是傳言般的洪水猛獸,因?yàn)樵诎卜乐?,IT及電信行業(yè)已經(jīng)先行了一步。
Andreas Kuehlmann強(qiáng)調(diào),在網(wǎng)絡(luò)安全問題面前,并不存在IT、電信、安防等行業(yè)之間的隔閡,所有網(wǎng)絡(luò)安全問題的本質(zhì)是一致的?!霸谂c客戶交談過程中,我們發(fā)現(xiàn)對(duì)于網(wǎng)絡(luò)安全問題,他們的痛點(diǎn)是一樣的,安防行業(yè)與IT行業(yè)并沒有存在明顯的區(qū)別。如果將這些問題還原成技術(shù)語言來闡述的話,那就是遇到軟件缺陷或者網(wǎng)絡(luò)安全漏洞,如遇到緩存區(qū)溢出、跨站攻擊、認(rèn)證繞過等問題,在技術(shù)原理上看并沒有多大的區(qū)別,只是攻擊的對(duì)象從路由器和核心交換機(jī)轉(zhuǎn)移到網(wǎng)絡(luò)攝像機(jī)與存儲(chǔ)設(shè)備上?!?/p>
針對(duì)視頻監(jiān)控以視頻流為主的特點(diǎn),新思科技的產(chǎn)品在電信及IT行業(yè)所用的協(xié)議上進(jìn)行擴(kuò)展,涵蓋了視頻、存儲(chǔ)等協(xié)議,并創(chuàng)造性提供私有協(xié)議的萬能包”,能夠保證產(chǎn)品對(duì)私有協(xié)議進(jìn)行自構(gòu)建,為用戶進(jìn)行模糊測(cè)試,滿足更多需求。
Synopsys SIG亞太區(qū)高級(jí)銷售總監(jiān)Geok-Cheng Tan補(bǔ)充,“在軟件開發(fā)部分,我們的產(chǎn)品面對(duì)的是源碼,無論是視頻流還是存儲(chǔ),其核心程序都是一行一行的代碼,在檢測(cè)代碼上,產(chǎn)品面向的依然是同樣的缺陷和隱患?!?/p>
雖然在技術(shù)原理上沒有過多的區(qū)別,但要將新的技術(shù)嵌入監(jiān)控設(shè)備中,這必然也需經(jīng)歷較長的開發(fā)周期與測(cè)試階段,這也是眾多從業(yè)人員的疑慮,但這一切難題全都在新思科技的產(chǎn)品中得到解決,其“深入淺出”的產(chǎn)品理念得到眾多行業(yè)用戶的認(rèn)可。
“因?yàn)槲覀冎耙呀?jīng)滿足了電信及IT行業(yè)的用戶需求,所以能夠支持的開發(fā)語言、開發(fā)環(huán)境基本完全滿足視頻監(jiān)控所有用戶的需求。新思科技提供的網(wǎng)絡(luò)安全及軟件質(zhì)量測(cè)試產(chǎn)品及解決方案,能夠更早的應(yīng)對(duì)可能出現(xiàn)在視頻監(jiān)控行業(yè)的網(wǎng)絡(luò)安全問題。而當(dāng)視頻監(jiān)控行業(yè)出現(xiàn)網(wǎng)絡(luò)安全問題的時(shí)候,新思科技的產(chǎn)品也可以幫助企業(yè)快速發(fā)現(xiàn)并確認(rèn)自家產(chǎn)品中是否包含同樣的網(wǎng)絡(luò)安全問題,并協(xié)助研發(fā)人員定位、修改。Andreas Kuehlmann提出,“如果用戶需要進(jìn)行網(wǎng)絡(luò)安全測(cè)試,只需通過點(diǎn)對(duì)點(diǎn)的設(shè)備直連,選擇好可以互通的通信協(xié)議,利用半自動(dòng)化工具進(jìn)行異常的報(bào)文攻擊,便能實(shí)現(xiàn)檢測(cè)。”
Geok-Cheng Tan介紹,對(duì)于用戶而言,這樣的方式十分簡便,并不需要很深的技術(shù)積累,只需簡單培訓(xùn)便能使用。
“如果用戶想通過代碼檢測(cè)提升自身的軟件質(zhì)量,用戶只需將我們的產(chǎn)品部署到軟件的開發(fā)環(huán)境中,便能實(shí)現(xiàn)無縫嫁接。雖然是專業(yè)和頂尖的技術(shù),但因?yàn)槲覀儺a(chǎn)品部署方式的簡便,可以實(shí)現(xiàn)無縫嫁接到軟件的開發(fā)界面中,所以我們讓使用者感受起來卻是非常便利,這就是我們強(qiáng)調(diào)的‘深入淺出’的理念?!?/p>
先天優(yōu)勢(shì) 贏得用戶信任
“沒有網(wǎng)絡(luò)安全就沒有國家安全,沒有信息化就沒有現(xiàn)代化”,網(wǎng)絡(luò)安全、有序發(fā)展的重要性已經(jīng)成為互聯(lián)網(wǎng)發(fā)展戰(zhàn)略頂層設(shè)計(jì)的指引。安全問題已經(jīng)不再是行業(yè)的問題,已經(jīng)上升到國家上層建筑領(lǐng)域。從這個(gè)角度中看,外商的進(jìn)入,無論從網(wǎng)絡(luò)安全的角度或者從以政府用戶為主的安防行業(yè),都顯得困難重重。
Geok-Cheng Tan坦言,在談到政府安全管控問題時(shí),不僅僅是中國,全球各國政府都會(huì)對(duì)此保持謹(jǐn)慎的態(tài)度,但新西蘭、新加坡、印度政府已經(jīng)采用了新思科技的解決方案,正因?yàn)榧夹g(shù)的領(lǐng)先性,新思科技對(duì)中國市場(chǎng)依然保持積極樂觀的態(tài)度?!暗谝?,技術(shù)的領(lǐng)先性,中國安防行業(yè)與IT、電信行業(yè)一樣越來越國際化,安防客戶迫切希望用到全球最領(lǐng)先的技術(shù)與產(chǎn)品,讓自身的產(chǎn)品與方案在全球都更具競(jìng)爭力。第二,產(chǎn)品的隔離性,我們提供的產(chǎn)品具有個(gè)性化,以測(cè)試為主,與‘去IOE’不同,新思科技的產(chǎn)品并不需要聯(lián)網(wǎng),用戶可以在自己的局域網(wǎng)中便能完成測(cè)試,針對(duì)不同國家特殊國情,新思科技的產(chǎn)品涵蓋了公有云與私有云版本。第三,網(wǎng)絡(luò)安全問題越來越熱,由于技術(shù)及產(chǎn)品組合的優(yōu)越性,新思科技都遙遙領(lǐng)先于市場(chǎng),在用戶的選擇面上,有先天的優(yōu)勢(shì)。”
與硬件銷售不同,軟件服務(wù)的評(píng)價(jià)除了軟件自身的體驗(yàn)之外,售后服務(wù)也是評(píng)價(jià)產(chǎn)品優(yōu)劣的重要指標(biāo)。目前,新思科技在全球擁有上千個(gè)辦事處,在中國北京、上海、武漢等地都有設(shè)立為客戶提供完整的產(chǎn)品和技術(shù)支援的服務(wù)點(diǎn),通過本地化的服務(wù)形成比其他安全解決方案供應(yīng)商更優(yōu)良的服務(wù)支援。
通過企業(yè)的收購,目前新思科技已經(jīng)具備最完整的安全檢測(cè)技術(shù)及方案,這便是其與其他解決方案供應(yīng)商最大的不同之處?!拔覀兲峁I(yè)的服務(wù),因而包含中國本地和中國以外的客戶都能利用我們的專業(yè)服務(wù)來提高產(chǎn)品質(zhì)量,無論是檢驗(yàn)還是定制協(xié)議,我們都會(huì)盡全力幫助客戶將技術(shù)融合到他們的產(chǎn)品之中,確??蛻舻耐顿Y回報(bào)率(ROI)。針對(duì)本地化服務(wù),我們已經(jīng)在武漢成立了專門的研發(fā)團(tuán)隊(duì),我們確信中國軟件安全市場(chǎng)將會(huì)持續(xù)快速增長。”Geok-Cheng Tan說。
對(duì)于視頻監(jiān)控市場(chǎng)未來的發(fā)展,Andreas Kuehlmann表示視頻監(jiān)控市場(chǎng)將持續(xù)洗牌,安全性將成為未來行業(yè)重要的指標(biāo),也將對(duì)企業(yè)的發(fā)展提出更多的要求,促進(jìn)行業(yè)的進(jìn)一步洗牌。安全的話題值得所有企業(yè)認(rèn)真對(duì)待,目前所有的安全漏洞除了來自開發(fā)的源代碼之外,也有部分來源第三方供應(yīng)商軟件,所以在軟件供應(yīng)鏈中,對(duì)應(yīng)用于供應(yīng)鏈中的軟件監(jiān)控正變得越來越重要。“我們的軟件驗(yàn)收(Software Signoff)策略推動(dòng)形式驗(yàn)證閘到軟件開發(fā)流程中,進(jìn)而確保軟件供應(yīng)鏈或開發(fā)過程都能滿足安全需求?!?/p>
如果說智能與互聯(lián)是未來行業(yè)發(fā)展的趨勢(shì),那么安全便是二者的基礎(chǔ),當(dāng)下,安防行業(yè)在安全的投入模式開始發(fā)生變化,從單純的購買產(chǎn)品及服務(wù)開始轉(zhuǎn)向設(shè)立各種各樣的組織以及聯(lián)盟去直面網(wǎng)絡(luò)安全問題,直面一個(gè)熟悉而又陌生的新安防生態(tài)。