战胜黑客 改善安防系统信息安全脆弱性

2016-03-03 19:10:16编辑:鲁迪 关键字:安防技术  新思科技  软件质量
    近年来,网络安全事件频发,企业及用户纷纷投注更多的心力去维护自身的网络安全。相对于各种防范措施,防范于未然,扼杀安全隐患才是最有效的办法,而新思科技(Synopsys)的产品正是基于这样的理念作为自身强化网络安全及提升软件质量的关键……

  在过去没有多久的第二届世界互联网大会上,习近平主席提到,安全和发展是一体之两翼、驱动之双轮。安全是发展的保障,发展是安全的目的,两者之间相辅相成,共同促进各行各业的繁荣与进步。

  在互联网技术高速发展的今天,因网络的开放性、隐蔽性、跨地域性等特性,许多安全问题亟待解决,比如在过去的2015年,全球便发生了多起网络安全事件,如美国人事管理局OPM数据泄露,规模达2570万,直接导致主管引咎辞职;英宽带运营商TalkTalk被反复攻击,400余万用户隐私数据终泄露;摩根士丹利35万客户信息涉嫌被员工盗取;日本养老金系统遭网络攻击,上百万份个人信息泄露等。

  虽然这些数据我们时常耳闻,但安防行业人士仍然会认为网络安全问题距离我们仍很遥远甚至无关,但“安全门”事件的爆发让业内人士绷紧了神经,一个不争的事实摆在眼前:互联网技术在融入我们生活、工作、学习的方方面面的同时,网络安全问题已经是无可避免的问题。以安全防范为核心的安防行业,网络安全问题的重要性已经被提升到一个前所未有的新高度。

  Synopsys高级副总裁& SIG事业部总经理 Andreas Kuehlmann

  举要治繁 以技术捍卫安全

  在此背景下,不仅让安防企业在编解码、传输、软件管理平台、存储中下足功夫,甚至也吸引了其他行业的技术型企业的进入,新思科技(Synopsys)便是其中之一。作为电子设计自动化(EDA)和半导体知识产权(IP)领域的领导者,早在2014年便建立了一个专注软件质量和软件安全的新部门。“通过收购静态分析技术供应商Coverity,我们成立了这个新的事业部,之后我们又陆续收购了五家企业(Kalistick、Codenomicon、Seeker、Protecode、Goanna)进一步强化测试的最佳化和静态分析的技术实力。” Synopsys高级副总裁暨SIG总经理Andreas Kuehlmann介绍,“我们赋予硬件设计更多的可预测性,在软件方面,我们的战略在一定的程度上也朝着同样的方向在发展,为更多的设计师解决各种关键挑战,从而降低成本和进度风险。”

  2010年作为安防行业发展的重要分水岭,视频监控行业经历了从模拟监控转向网络监控发展的变革。自此之后,许许多多的网络摄像机、NVR、IP存储服务器等产品的面世,意味着视频监控开始快速向数字化技术发展,与此同时安防行业进入高速发展时期,从模拟到数字,从单品到系统,从高清化、智能化、大数据到云计算等等概念接踵而至,让安防厂商应接不暇,并一直被网络的大潮推着往前走,正因为跟上时代的潮流已经不容易,所以目前安防工程中,网络安全问题仍没有作为第一要素,工程无论在管理标准制定、设计、施工、验收上都缺乏明确的要求和规范,甚至可以这样认为,网络安全对于安防行业而言仍然是一块空白和陌生的领地。

  自2014年起,视频监控产业中多起网络攻击事件让安防从业人员开始关注到新的问题点——网络安全。2015年注定是载入安防发展史的重要一年,也势必会成为安防产业迈入网络化时代的重要里程碑,与此同时用户对产品的全方位安全性能提出更高的要求,如何让技术跟进市场需求,这将是未来市场又一主阵地。无论从技术面、产品设计、企业经营等层面看,“安全门”事件都将对安防行业的发展产生深远的影响。

  Synopsys SIG事业部亚太区高级销售总监 Geok Cheng Tan

  毋庸置疑,面对网络信息安全的问题,没有人可以置身度外,没有谁又可以做到铜墙铁壁百毒不侵!随着网络技术越来越发达,网络安全问题得到越来越多人的重视。“例如Heartbleed安全漏洞就因为暴露了加密信息而成为设备制造商关注的安全议题。可喜的是现在已经有越来越多的设备制造商重视网络安全和源代码的质量问题。”虽然处理网络安全和软件质量的方法有许多种,但最可靠和最直接的办法却是从源头上进行扼制。Andreas Kuehlmann认为,解决安全问题的关键是要找到一个能够互补的办法,因此新思科技通过以下四种技术,集中软件开发的早期阶段解决安全问题:

  其一,静态源代码扫描测试(Static Analysis),也称为白盒测试,对应产品:Coverity。白盒测试能在源代码的基础上提供静态分析,能够在研发阶段查找出代码中难以发现的重大关键软件缺陷和安全缺陷。目前支持的开发的语言包括C、C++、Java、C#、Objective C、JavaScript、Python和PHP等,未来支持的开发语言将大大增加。通过读取源代码,实现深度分析来检测安全漏洞;

  其二,基于通讯协议的模糊测试(Dynamic Analysis or Fuzzing Testing),也称为黑盒测试,对应产品:Defensics。Defensics模拟引擎是业界第一款基于状态的模糊测试用例生成器。它利用尝试协议模型来智能的、精确的向软件输入有组织的破坏性数据,试图使系统崩溃,从而发现系统的未知缺陷和漏洞。目前覆盖大约260多种协议,包含HTTP、RTSP、SIP、TCP/IP、Wi-Fi等常用协议;

  其三,软件成份分析(Software Composition Analysis),对应产品:Protecode。 针对目前软件开发过程中90%的部分是由开源代码和第三方组件构成的,软件成分分析工具Protecode能让用户快速精确的检测和审计当前代码库中是否使用了已