数智资源网
首页 首页 大数据 查看内容

听说能看懂20%的安防人 未来将主导这个行业

木马童年 2020-8-1 03:10 9 0

2016年已经过去,2017年开启全新的篇章。安防行业2017年踏上新的征程,而回顾2016年,安防行业什么是2017年安放人仍需时刻谨记、付诸行动的?网络安全无疑是行业共同的认知。安防行业做为安全的把关者,自身的安全问 ...

2016年已经过去,2017年开启全新的篇章。安防行业2017年踏上新的征程,而回顾2016年,安防行业什么是2017年安放人仍需时刻谨记、付诸行动的?网络安全无疑是行业共同的认知。安防行业做为安全的把关者,自身的安全问题显得尤为重要。而在这个网络危机四伏的时代,安防行业挑战严峻。此文即是一篇针对安防行业面对网络安防问题的探讨文章,据说能看懂20%的安防人,未来将主导这个行业。你能看懂多少?

在互联网技术高速发展的今天,因网络的开放性、隐蔽性、跨地域性等特性,许多安全问题亟待解决,比如在过去的2015年,全球便发生了多起网络安全事件,如美国人事管理局OPM数据泄露,规模达2570万,直接导致主管引咎辞职;英宽带运营商TalkTalk被反复攻击,400余万用户隐私数据终泄露;摩根士丹利35万客户信息涉嫌被员工盗取;日本养老金系统遭网络攻击,上百万份个人信息泄露等。

虽然这些数据我们时常耳闻,但安防行业人士仍然会认为网络安全问题距离我们仍很遥远甚至无关,但“安全门”事件的爆发让业内人士绷紧了神经,一个不争的事实摆在眼前:互联网技术在融入我们生活、工作、学习的方方面面的同时,网络安全问题已经是无可避免的问题。以安全防范为核心的安防行业,网络安全问题的重要性已经被提升到一个前所未有的新高度。

举要治繁 以技术捍卫安全

在此背景下,不仅让安防企业在编解码、传输、软件管理平台、存储中下足功夫,甚至也吸引了其他行业的技术型企业的进入,新思科技(Synopsys)便是其中之一。作为电子设计自动化(EDA)和半导体知识产权(IP)领域的领导者,早在2014年便建立了一个专注软件质量和软件安全的新部门。“通过收购静态分析技术供应商Coverity,我们成立了这个新的事业部,之后我们又陆续收购了五家企业(Kalistick、Codenomicon、Seeker、Protecode、Goanna)进一步强化测试的最佳化和静态分析的技术实力。”Synopsys高级副总裁暨SIG总经理Andreas Kuehlmann介绍,“我们赋予硬件设计更多的可预测性,在软件方面,我们的战略在一定的程度上也朝着同样的方向在发展,为更多的设计师解决各种关键挑战,从而降低成本和进度风险。”

2010年作为安防行业发展的重要分水岭,视频监控行业经历了从模拟监控转向网络监控发展的变革。自此之后,许许多多的网络摄像机、NVR、IP存储服务器等产品的面世,意味着视频监控开始快速向数字化技术发展,与此同时安防行业进入高速发展时期,从模拟到数字,从单品到系统,从高清化、智能化、大数据云计算等等概念接踵而至,让安防厂商应接不暇,并一直被网络的大潮推着往前走,正因为跟上时代的潮流已经不容易,所以目前安防工程中,网络安全问题仍没有作为第一要素,工程无论在管理标准制定、设计、施工、验收上都缺乏明确的要求和规范,甚至可以这样认为,网络安全对于安防行业而言仍然是一块空白和陌生的领地。

自2014年起,视频监控产业中多起网络攻击事件让安防从业人员开始关注到新的问题点——网络安全。2015年注定是载入安防发展史的重要一年,也势必会成为安防产业迈入网络化时代的重要里程碑,与此同时用户对产品的全方位安全性能提出更高的要求,如何让技术跟进市场需求,这将是未来市场又一主阵地。无论从技术面、产品设计、企业经营等层面看,“安全门”事件都将对安防行业的发展产生深远的影响。

毋庸置疑,面对网络信息安全的问题,没有人可以置身度外,没有谁又可以做到铜墙铁壁百毒不侵!随着网络技术越来越发达,网络安全问题得到越来越多人的重视。“例如Heartbleed安全漏洞就因为暴露了加密信息而成为设备制造商关注的安全议题。可喜的是现在已经有越来越多的设备制造商重视网络安全和源代码的质量问题。”虽然处理网络安全和软件质量的方法有许多种,但最可靠和最直接的办法却是从源头上进行扼制。Andreas Kuehlmann认为,解决安全问题的关键是要找到一个能够互补的办法,因此新思科技通过以下四种技术,集中软件开发的早期阶段解决安全问题:

其一,静态源代码扫描测试(Static Analysis),也称为白盒测试,对应产品:Coverity。白盒测试能在源代码的基础上提供静态分析,能够在研发阶段查找出代码中难以发现的重大关键软件缺陷和安全缺陷。目前支持的开发的语言包括C、C++、Java、C#、ObjectiveC、JavaScript、Python和PHP等,未来支持的开发语言将大大增加。通过读取源代码,实现深度分析来检测安全漏洞;

其二,基于通讯协议的模糊测试(Dynamic Analysisor Fuzzing Testing),也称为黑盒测试,对应产品:Defensics。Defensics模拟引擎是业界第一款基于状态的模糊测试用例生成器。它利用尝试协议模型来智能的、精确的向软件输入有组织的破坏性数据,试图使系统崩溃,从而发现系统的未知缺陷和漏洞。目前覆盖大约260多种协议,包含HTTP、RTSP、SIP、TCP/IP、Wi-Fi等常用协议;

其三,软件成份分析(Software Composition Analysis),对应产品:Protecode。针对目前软件开发过程中90%的部分是由开源代码和第三方组件构成的,软件成分分析工具Protecode能让用户快速精确的检测和审计当前代码库中是否使用了已有开源代码、组件或模块,并确认这些开源部分是否违反开源协议,并协助用户规避违反开源协议导致的法律风险;;Protecode还能够检测当前使用的开源代码、已经打包的二进制文件组件或模块中是否包含已知的安全漏洞,Protecode已经集成了多个知名缺陷库,能够有效防范黑客攻击;

其四,交互式应用程序安全性测试(Interactive Application Security Testing),对应产品:Seeker。针对网络应用领域的互动式应用软件安全进行测试,通过对网络应用程序实时操作的监控,Seeker能够高效分析前端页面,中间数据处理层和后端数据库可能存在的恶意攻击。包括著名的OWASP Top10跨站脚本攻击、SQL注入、目录遍历等真实存在的问题。

虽然这些源代码看上去似乎微不足道,但往往正是这些漏洞导致非常严重的安全事件的发生。

深入浅出 提升设备差异性优势

虽然安防行业对于网络安全的认知相比IT及电信行业要显得落后,但无论是国家政策还是行业发展,网络安全是趋势,也必然会是未来行业的硬性指标。如果说以前的安防行业发展强调稳定性,随着安全性价值的挖掘,将来必然是安全性为王,在行业不断洗牌的过程中,这点无疑将会成为安防设备商新的差异化竞争优势。

据观察,无论是设备商或者是软件供应商,对于产品的安全性意识正在逐步提升。在未来,为规避更多安全事件对于企业品牌的不良影响,在产品开发周期的初级阶段便满足网络安全问题的需求,必然会在中国安防或者全球安防的市场中迅速成长。

但对于新的事物,人们往往是一知半解,在信息化时代,时间意味着市场与商机,如何快速强化自身产品将成为未来抢占市场先机的重点。但是,在网络安全面前,如果能静下心来仔细研究,会发现其实它并不是传言般的洪水猛兽,因为在安防之前,IT及电信行业已经先行了一步。

Andreas Kuehlmann强调,在网络安全问题面前,并不存在IT、电信、安防等行业之间的隔阂,所有网络安全问题的本质是一致的。“在与客户交谈过程中,我们发现对于网络安全问题,他们的痛点是一样的,安防行业与IT行业并没有存在明显的区别。如果将这些问题还原成技术语言来阐述的话,那就是遇到软件缺陷或者网络安全漏洞,如遇到缓存区溢出、跨站攻击、认证绕过等问题,在技术原理上看并没有多大的区别,只是攻击的对象从路由器和核心交换机转移到网络摄像机与存储设备上。”

针对视频监控以视频流为主的特点,新思科技的产品在电信及IT行业所用的协议上进行扩展,涵盖了视频、存储等协议,并创造性提供私有协议的万能包”,能够保证产品对私有协议进行自构建,为用户进行模糊测试,满足更多需求。

Synopsys SIG亚太区高级销售总监Geok-Cheng Tan补充,“在软件开发部分,我们的产品面对的是源码,无论是视频流还是存储,其核心程序都是一行一行的代码,在检测代码上,产品面向的依然是同样的缺陷和隐患。”

虽然在技术原理上没有过多的区别,但要将新的技术嵌入监控设备中,这必然也需经历较长的开发周期与测试阶段,这也是众多从业人员的疑虑,但这一切难题全都在新思科技的产品中得到解决,其“深入浅出”的产品理念得到众多行业用户的认可。

安防行业 网络安全 互联网技术 数据泄露 运营商 用户隐私
0
为您推荐
HIVE数据仓库完美实战课程,资源教程下载

HIVE数据仓库完美实战课程,资源教程下载

课程名称【快速掌握HIVE视频教程】HIVE数据仓库完美实战课程课程目录├第一周:hive基…...

廖雪峰-2019大数据分析精品资料价值1980元,资源教程下载

廖雪峰-2019大数据分析精品资料价值1980元,资源教程

课程介绍:廖雪峰大神历时3个月打磨出来的《数据分析必备技能》的视频学习资料,由浅…...

尚硅谷-大数据项目之电商数仓教程下载

尚硅谷-大数据项目之电商数仓教程下载

课程介绍:本课程以国内电商巨头实际业务应用场景为依托,对电商数仓的常见实战指标以…...

小码哥李明杰Java版《恋上数据结构与算法》 ,资源教程下载

小码哥李明杰Java版《恋上数据结构与算法》 ,资源教

课程目录01-学前须知01-为什么要学习数据结构与算法02-编程语言的选择03-课程大纲04-…...