战胜黑客 改善安防系统信息安全脆弱性

　　在过去没有多久的第二届世界互联网大会上，习近平主席提到，安全和发展是一体之两翼、驱动之双轮。安全是发展的保障，发展是安全的目的，两者之间相辅相成，共同促进各行各业的繁荣与进步。

　　在互联网技术高速发展的今天，因网络的开放性、隐蔽性、跨地域性等特性，许多安全问题亟待解决，比如在过去的2015年，全球便发生了多起网络安全事件，如美国人事管理局OPM数据泄露，规模达2570万，直接导致主管引咎辞职;英宽带运营商TalkTalk被反复攻击，400余万用户隐私数据终泄露;摩根士丹利35万客户信息涉嫌被员工盗取;日本养老金系统遭网络攻击，上百万份个人信息泄露等。

　　虽然这些数据我们时常耳闻，但安防行业人士仍然会认为网络安全问题距离我们仍很遥远甚至无关，但“安全门”事件的爆发让业内人士绷紧了神经，一个不争的事实摆在眼前：互联网技术在融入我们生活、工作、学习的方方面面的同时，网络安全问题已经是无可避免的问题。以安全防范为核心的安防行业，网络安全问题的重要性已经被提升到一个前所未有的新高度。

　　Synopsys高级副总裁& SIG事业部总经理 Andreas Kuehlmann

　　举要治繁 以技术捍卫安全

　　在此背景下，不仅让安防企业在编解码、传输、软件管理平台、存储中下足功夫，甚至也吸引了其他行业的技术型企业的进入，新思科技(Synopsys)便是其中之一。作为电子设计自动化(EDA)和半导体知识产权(IP)领域的领导者，早在2014年便建立了一个专注软件质量和软件安全的新部门。“通过收购静态分析技术供应商Coverity，我们成立了这个新的事业部，之后我们又陆续收购了五家企业(Kalistick、Codenomicon、Seeker、Protecode、Goanna)进一步强化测试的最佳化和静态分析的技术实力。” Synopsys高级副总裁暨SIG总经理Andreas Kuehlmann介绍，“我们赋予硬件设计更多的可预测性，在软件方面，我们的战略在一定的程度上也朝着同样的方向在发展，为更多的设计师解决各种关键挑战，从而降低成本和进度风险。”

　　2010年作为安防行业发展的重要分水岭，视频监控行业经历了从模拟监控转向网络监控发展的变革。自此之后，许许多多的网络摄像机、NVR、IP存储服务器等产品的面世，意味着视频监控开始快速向数字化技术发展，与此同时安防行业进入高速发展时期，从模拟到数字，从单品到系统，从高清化、智能化、大数据到云计算等等概念接踵而至，让安防厂商应接不暇，并一直被网络的大潮推着往前走，正因为跟上时代的潮流已经不容易，所以目前安防工程中，网络安全问题仍没有作为第一要素，工程无论在管理标准制定、设计、施工、验收上都缺乏明确的要求和规范，甚至可以这样认为，网络安全对于安防行业而言仍然是一块空白和陌生的领地。

　　自2014年起，视频监控产业中多起网络攻击事件让安防从业人员开始关注到新的问题点——网络安全。2015年注定是载入安防发展史的重要一年，也势必会成为安防产业迈入网络化时代的重要里程碑，与此同时用户对产品的全方位安全性能提出更高的要求，如何让技术跟进市场需求，这将是未来市场又一主阵地。无论从技术面、产品设计、企业经营等层面看，“安全门”事件都将对安防行业的发展产生深远的影响。

　　Synopsys SIG事业部亚太区高级销售总监 Geok Cheng Tan

　　毋庸置疑，面对网络信息安全的问题，没有人可以置身度外，没有谁又可以做到铜墙铁壁百毒不侵!随着网络技术越来越发达，网络安全问题得到越来越多人的重视。“例如Heartbleed安全漏洞就因为暴露了加密信息而成为设备制造商关注的安全议题。可喜的是现在已经有越来越多的设备制造商重视网络安全和源代码的质量问题。”虽然处理网络安全和软件质量的方法有许多种，但最可靠和最直接的办法却是从源头上进行扼制。Andreas Kuehlmann认为，解决安全问题的关键是要找到一个能够互补的办法，因此新思科技通过以下四种技术，集中软件开发的早期阶段解决安全问题：

　　其一，静态源代码扫描测试(Static Analysis)，也称为白盒测试，对应产品：Coverity。白盒测试能在源代码的基础上提供静态分析，能够在研发阶段查找出代码中难以发现的重大关键软件缺陷和安全缺陷。目前支持的开发的语言包括C、C++、Java、C#、Objective C、JavaScript、Python和PHP等，未来支持的开发语言将大大增加。通过读取源代码，实现深度分析来检测安全漏洞;

　　其二，基于通讯协议的模糊测试(Dynamic Analysis or Fuzzing Testing)，也称为黑盒测试，对应产品：Defensics。Defensics模拟引擎是业界第一款基于状态的模糊测试用例生成器。它利用尝试协议模型来智能的、精确的向软件输入有组织的破坏性数据，试图使系统崩溃，从而发现系统的未知缺陷和漏洞。目前覆盖大约260多种协议，包含HTTP、RTSP、SIP、TCP/IP、Wi-Fi等常用协议;

　　其三，软件成份分析(Software Composition Analysis)，对应产品：Protecode。 针对目前软件开发过程中90%的部分是由开源代码和第三方组件构成的，软件成分分析工具Protecode能让用户快速精确的检测和审计当前代码库中是否使用了已有开源代码、组件或模块，并确认这些开源部分是否违反开源协议，并协助用户规避违反开源协议导致的法律风险;Protecode还能够检测当前使用的开源代码、已经打包的二进制文件组件或模块中是否包含已知的安全漏洞，Protecode已经集成了多个知名缺陷库，能够有效防范黑客攻击;

　　其四，交互式应用程序安全性测试(Interactive Application Security Testing)，对应产品：Seeker。针对网络应用领域的互动式应用软件安全进行测试，通过对网络应用程序实时操作的监控，Seeker能够高效分析前端页面，中间数据处理层和后端数据库可能存在的恶意攻击。包括著名的OWASP Top10跨站脚本攻击、SQL注入、目录遍历等真实存在的问题。

　　虽然这些源代码看上去似乎微不足道，但往往正是这些漏洞导致非常严重的安全事件的发生。

　　深入浅出 提升设备差异性优势

　　虽然安防行业对于网络安全的认知相比IT及电信行业要显得落后，但无论是国家政策还是行业发展，网络安全是趋势，也必然会是未来行业的硬性指标。如果说以前的安防行业发展强调稳定性，随着安全性价值的挖掘，将来必然是安全性为王，在行业不断洗牌的过程中，这点无疑将会成为安防设备商新的差异化竞争优势。

　　据观察，无论是设备商或者是软件供应商，对于产品的安全性意识正在逐步提升。在未来，为规避更多安全事件对于企业品牌的不良影响，在产品开发周期的初级阶段便满足网络安全问题的需求，必然会在中国安防或者全球安防的市场中迅速成长。

　　但对于新的事物，人们往往是一知半解，在信息化时代，时间意味着市场与商机，如何快速强化自身产品将成为未来抢占市场先机的重点。但是，在网络安全面前，如果能静下心来仔细研究，会发现其实它并不是传言般的洪水猛兽，因为在安防之前，IT及电信行业已经先行了一步。

　　Andreas Kuehlmann强调，在网络安全问题面前，并不存在IT、电信、安防等行业之间的隔阂，所有网络安全问题的本质是一致的。“在与客户交谈过程中，我们发现对于网络安全问题，他们的痛点是一样的，安防行业与IT行业并没有存在明显的区别。如果将这些问题还原成技术语言来阐述的话，那就是遇到软件缺陷或者网络安全漏洞，如遇到缓存区溢出、跨站攻击、认证绕过等问题，在技术原理上看并没有多大的区别，只是攻击的对象从路由器和核心交换机转移到网络摄像机与存储设备上。”

　　针对视频监控以视频流为主的特点，新思科技的产品在电信及IT行业所用的协议上进行扩展，涵盖了视频、存储等协议，并创造性提供私有协议的“万能包”，能够保证产品对私有协议进行自构建，为用户进行模糊测试，满足更多需求。

　　Synopsys SIG亚太区高级销售总监Geok-Cheng Tan补充，“在软件开发部分，我们的产品面对的是源码，无论是视频流还是存储，其核心程序都是一行一行的代码，在检测代码上，产品面向的依然是同样的缺陷和隐患。”

　　虽然在技术原理上没有过多的区别，但要将新的技术嵌入监控设备中，这必然也需经历较长的开发周期与测试阶段，这也是众多从业人员的疑虑，但这一切难题全都在新思科技的产品中得到解决，其“深入浅出”的产品理念得到众多行业用户的认可。

　　“因为我们之前已经满足了电信及IT行业的用户需求，所以能够支持的开发语言、开发环境基本完全满足视频监控所有用户的需求。新思科技提供的网络安全及软件质量测试产品及解决方案，能够更早的应对可能出现在视频监控行业的网络安全问题。而当视频监控行业出现网络安全问题的时候，新思科技的产品也可以帮助企业快速发现并确认自家产品中是否包含同样的网络安全问题，并协助研发人员定位、修改” 。Andreas Kuehlmann提出，“如果用户需要进行网络安全测试，只需通过点对点的设备直连，选择好可以互通的通信协议，利用半自动化工具进行异常的报文攻击，便能实现检测。”

　　Geok-Cheng Tan介绍，对于用户而言，这样的方式十分简便，并不需要很深的技术积累，只需简单培训便能使用。

　　“如果用户想通过代码检测提升自身的软件质量，用户只需将我们的产品部署到软件的开发环境中，便能实现无缝嫁接。虽然是专业和顶尖的技术，但因为我们产品部署方式的简便，可以实现无缝嫁接到软件的开发界面中，所以我们让使用者感受起来却是非常便利，这就是我们强调的‘深入浅出’的理念。”

　　先天优势 赢得用户信任

　　“没有网络安全就没有国家安全，没有信息化就没有现代化”，网络安全、有序发展的重要性已经成为互联网发展战略顶层设计的指引。安全问题已经不再是行业的问题，已经上升到国家上层建筑领域。从这个角度中看，外商的进入，无论从网络安全的角度或者从以政府用户为主的安防行业，都显得困难重重。

　　Geok-Cheng Tan坦言，在谈到政府安全管控问题时，不仅仅是中国，全球各国政府都会对此保持谨慎的态度，但新西兰、新加坡、印度政府已经采用了新思科技的解决方案，正因为技术的领先性，新思科技对中国市场依然保持积极乐观的态度。“第一，技术的领先性，中国安防行业与IT、电信行业一样越来越国际化，安防客户迫切希望用到全球最领先的技术与产品，让自身的产品与方案在全球都更具竞争力。第二，产品的隔离性，我们提供的产品具有个性化，以测试为主，与‘去IOE’不同，新思科技的产品并不需要联网，用户可以在自己的局域网中便能完成测试，针对不同国家特殊国情，新思科技的产品涵盖了公有云与私有云版本。第三，网络安全问题越来越热，由于技术及产品组合的优越性，新思科技都遥遥领先于市场，在用户的选择面上，有先天的优势。”

　　与硬件销售不同，软件服务的评价除了软件自身的体验之外，售后服务也是评价产品优劣的重要指标。目前，新思科技在全球拥有上千个办事处，在中国北京、上海、武汉等地都有设立为客户提供完整的产品和技术支援的服务点，通过本地化的服务形成比其他安全解决方案供应商更优良的服务支援。

　　通过企业的收购，目前新思科技已经具备最完整的安全检测技术及方案，这便是其与其他解决方案供应商最大的不同之处。“我们提供专业的服务，因而包含中国本地和中国以外的客户都能利用我们的专业服务来提高产品质量，无论是检验还是定制协议，我们都会尽全力帮助客户将技术融合到他们的产品之中，确保客户的投资回报率(ROI)。针对本地化服务，我们已经在武汉成立了专门的研发团队，我们确信中国软件安全市场将会持续快速增长。” Geok-Cheng Tan说。

　　对于视频监控市场未来的发展，Andreas Kuehlmann表示视频监控市场将持续洗牌，安全性将成为未来行业重要的指标，也将对企业的发展提出更多的要求，促进行业的进一步洗牌。安全的话题值得所有企业认真对待，目前所有的安全漏洞除了来自开发的源代码之外，也有部分来源第三方供应商软件，所以在软件供应链中，对应用于供应链中的软件监控正变得越来越重要。“我们的软件验收(Software Signoff)策略推动形式验证闸到软件开发流程中，进而确保软件供应链或开发过程都能满足安全需求。”

　　如果说智能与互联是未来行业发展的趋势，那么安全便是二者的基础，当下，安防行业在安全的投入模式开始发生变化，从单纯的购买产品及服务开始转向设立各种各样的组织以及联盟去直面网络安全问题，直面一个熟悉而又陌生的新安防生态。