- N +

安防龙头海康威视发布网络安全白皮书,竞争从硬件到软件升级

导读 : [导读]数字和网络革命为安防产业带来了里程碑式的意义,但同时,针对互联网所发起的各类恶意攻击也开始蔓延到了安防领域。如何看待网络安全问题?安防企业又该如何做出应对?2018《海康威视网络安全白皮书》或许能带来些启示。图片... [...]


安防龙头海康威视发布网络安全白皮书,竞争从硬件到软件升级


[ 导读 ] 数字和网络革命为安防产业带来了里程碑式的意义,但同时,针对互联网所发起的各类恶意攻击也开始蔓延到了安防领域。如何看待网络安全问题?安防企业又该如何做出应对?2018《海康威视网络安全白皮书》或许能带来些启示。

图片来自“123rf.com.cn”

“万物互联”,正在从梦想变成现实。基于互联网基础上发展起来的物联网技术,同互联网一样,让人类生活更加美好,但也让人类社会面临新的挑战,网络安全就是挑战之一。《海康威视网络安全白皮书》(下称《白皮书》)分别从物联网安全威胁、安防产业的网络安全、产品安全声明周期、供应链安全等方面,阐述了当前安防行业的网络安全现状、挑战、业界实践以及海康威视在网络安全方面所做的努力,强调了网络安全的重要性和迫切性。

网络安全问题的基本共识

尽管安防产业近年来出现了一些信息安全问题,但需要认识到的是,网络安全问题并不仅仅存在于安防产业,而是存在于所有领域。《白皮书》归纳总结了几个网络安全问题的基本共识。

1. 安全漏洞的存在是普遍的。一个产品背后涉及几百万行代码,只要一个参数设置错误都会导致高危漏洞的出现,而目前还不能通过自动化或手动方式检测所有潜在的安全问题,所以产品出现安全问题属于正常现象。

2. 整个系统的安全需要各个环节相互配合才能完成。如要保证视频监控系统的安全,需要系统中前端设备、后端设备、平台系统、网络设备等相互配合,才能形成纵深防御体系,任何一个环节出现问题都会导致系统被攻击。

3. 留心第三方开源软件。近年来开源软件频繁曝出高危漏洞,由于这些组件很多都应用于信息系统的底层,因此这些漏洞往往成为行业或企业产品线的“通杀”漏洞。

4. 没有绝对的安全。今天被认为是安全的机制或方法,放在明天可能就是不安全的,安全的探索没有终点,任何一个产品在其生命周期内始终都会存在信息安全问题,只是无法确定问题何时爆发。

5. 用户要有安全管理意识。如果用户自身不能很好地管理和操作,纵使技术再完备,也仍无法保证系统的安全。比如目前大量在网安防设备仍在使用“弱口令”,部分安防系统在网络的出口无防火墙等安全设备。另外,用户要养成关注厂商安全公告的习惯,及时升级版本。

产品安全生命周期

《白皮书》提到,海康威视从组织架构、流程与标准、安全研发流程、供应链安全、安全合规、人员管理、交流合作七大方面来做好产品的安全性工作。

1. 组织架构

海康威视的治理架构如下:

海康威视高度重视网络安全问题,2014年成立“安全应急响应中心”,就网络安全问题建立公司统一的对外接口。2015年成立“网络与信息安全实验室”,全面推进海康威视的网络安全体系建设,先后成立产品安全委员会、网络安全部,建立安全测试室,建立和完善以组织和流程为重心的网络安全体系,特别是网络安全设计,全面提升公司产品和系统的网络安全水平。

2.流程与标准

海康威视基于现行的国内外法律法规、行业标准、客户安全需求、第三方分析、行业活动、同行经验和具体业务安全要求,制定了一整套涉及产品安全的通用安全基线、安全编码、安全密码应用、安全密钥管理、安全会话管理、安全认证、安全测试、安全事件管理等规范和标准,这些规范和标准涵盖了产品安全的方方面面。

3. 安全研发流程

海康威视结合广泛的研发活动,参考业界最佳安全实践,如OpenSAMM, BSIMM, CSDL, MSDL以及用户反馈,在研发流程中融入了安全设计、安全开发、安全测试等安全活动,制定了符合海康威视的产品研发安全管理流程(HSDLC: Hikivision Secure Development Life-cycle),保证安全活动的有效落地,提升产品健壮性,增强隐私保护,为客户提供更安全的产品和解决方案。

4. 供应链安全

供应链用于生产的软件烧录、软件加载、组装和测试网络隔离于公司的办公IT系统和公共互联之外

5. 安全合规

海康威视支持主流国际标准,并为这些标准的制定积极做出贡献。截至2016年底,海康威视已经加入了数十个国内外行业标准组织,并参与行业安全标准的制定及推广中,从而进一步开放核心安全技术,与不同行业的专家和国家标准机构合作,共同完善物联网相关的安全标准体系。

6. 人员管理

海康威视对个业务的网络安全关键岗位进行了识别,并明确定义了产品安全关键岗位,对产品安全关键岗位上的员工,公司有严格的要求和规范。公司要求每个员工对自己做的事情及其产生的结果负责,网络安全问题一旦发生,无论是有意还是无意,海康威视都会以行为和结果为主要依据进行问责

7. 交流合作

海康威视与思科、安永、IBM、Synopsys等全球合作伙伴进行合作和交流,通过接纳利益相关方的反馈,吸收安全领域先进技术和管理经验,系统地转换为未来改进的目标,不断提升公司的信息安全能力,为客户和用户提供更安全的产品和解决方案。

产品安全研究

1. 漏洞挖掘

海康威视网络与信息安全实验室致力于互联网相关的安全研究与实践,覆盖渗透测试、代码审计、逆向分析、漏洞研究、移动端安全、协议安全、无线安全等多个领域,旨在先于黑客发现并及时解决问题。

在漏洞挖掘方面,海康威视的核心竞争力有嵌入式设备漏洞挖掘、协议漏洞挖掘、无线安全硬件测试环境、Web安全等。

2. 安全态势感知

由终端与设备、通信与网络、平台与应用构成的庞大的物联网系统,不但需要每个层面的多重安全防护,还需要端云协同的智能大数据安全分析能力。实现整网的智能安全态势感知、可视化和安全防护,必将是物联网安全的发展方向。

态势感知是在大规模系统环境中,对能够引起系统状态发生变化的安全要素进行获取、理解、显示以及预测未来的发展趋势。

3. 蜜罐技术

蜜罐技术本质上是一种对攻击方进行欺骗的技术,通过布置一些作为诱饵的主机、网络服务或者信息,诱使攻击方对它们实施攻击,从而可以对攻击行为进行捕获和分析,了解攻击方所使用的工具与方法,推测攻击意图和动机。

据了解,这是海康威视首次发布网络安全白皮书,说明随着安防行业在数字化和网络化的深入,网络安全对安防企业而言越来越重要,而安防企业间的竞争也将从单纯的硬件技术领域扩散到软件领域。未来,能实现软件硬件“两手抓,两手都硬”的企业,或许才能成为安防行业的佼佼者。

近年来,人工智能正快速渗透到安防行业的各个环节,安防也是目前AI公司争战的主战场。紧跟“新科技、新理念、新政策”,高度重视人工智能在安防行业的应用落地,并推出《安防创新百人会》栏目。

我们将采访100家安防产业链上下游企业,同时,将于2018年5月25日在北京举办“GIIS·安防AI创新千人峰会”,本栏目所采访企业也将是大会重要参与方。

如果您有合适的企业推荐,或者想加入“安防AI创新学习群”(余凯、孙剑、徐立、浦世亮、陈宁等行业大咖都在群里),均可联系记者李论(微信:lilun18846810390)。




返回列表
上一篇:区块链安全入门笔记:冷钱包、热钱包、公钥、私钥、助记词
下一篇:首个国家级5G新媒体平台开建