在這個網(wǎng)絡(luò)危機四伏的時代，安防行業(yè)挑戰(zhàn)嚴(yán)峻

2016年已經(jīng)過去，2017年開啟全新的篇章。安防行業(yè)2017年踏上新的征程，而回顧2016年，安防行業(yè)什么是2017年安放人仍需時刻謹(jǐn)記、付諸行動的？網(wǎng)絡(luò)安全無疑是行業(yè)共同的認(rèn)知。安防行業(yè)做為安全的把關(guān)者，自身的安全問題顯得尤為重要。而在這個網(wǎng)絡(luò)危機四伏的時代，安防行業(yè)挑戰(zhàn)嚴(yán)峻。

在互聯(lián)網(wǎng)技術(shù)高速發(fā)展的今天，因網(wǎng)絡(luò)的開放性、隱蔽性、跨地域性等特性，許多安全問題亟待解決，比如在過去的2015年，全球便發(fā)生了多起網(wǎng)絡(luò)安全事件，如美國人事管理局OPM數(shù)據(jù)泄露，規(guī)模達2570萬，直接導(dǎo)致主管引咎辭職；英寬帶運營商TalkTalk被反復(fù)攻擊，400余萬用戶隱私數(shù)據(jù)終泄露；摩根士丹利35萬客戶信息涉嫌被員工盜??；日本養(yǎng)老金系統(tǒng)遭網(wǎng)絡(luò)攻擊，上百萬份個人信息泄露等。

雖然這些數(shù)據(jù)我們時常耳聞，但安防行業(yè)人士仍然會認(rèn)為網(wǎng)絡(luò)安全問題距離我們?nèi)院苓b遠甚至無關(guān)，但“安全門”事件的爆發(fā)讓業(yè)內(nèi)人士繃緊了神經(jīng)，一個不爭的事實擺在眼前：互聯(lián)網(wǎng)技術(shù)在融入我們生活、工作、學(xué)習(xí)的方方面面的同時，網(wǎng)絡(luò)安全問題已經(jīng)是無可避免的問題。以安全防范為核心的安防行業(yè)，網(wǎng)絡(luò)安全問題的重要性已經(jīng)被提升到一個前所未有的新高度。

舉要治繁 以技術(shù)捍衛(wèi)安全

在此背景下，不僅讓安防企業(yè)在編解碼、傳輸、軟件管理平臺、存儲中下足功夫，甚至也吸引了其他行業(yè)的技術(shù)型企業(yè)的進入，新思科技（Synopsys）便是其中之一。作為電子設(shè)計自動化（EDA）和半導(dǎo)體知識產(chǎn)權(quán)（IP）領(lǐng)域的領(lǐng)導(dǎo)者，早在2014年便建立了一個專注軟件質(zhì)量和軟件安全的新部門。“通過收購靜態(tài)分析技術(shù)供應(yīng)商Coverity，我們成立了這個新的事業(yè)部，之后我們又陸續(xù)收購了五家企業(yè)（Kalistick、Codenomicon、Seeker、Protecode、Goanna）進一步強化測試的最佳化和靜態(tài)分析的技術(shù)實力?！盨ynopsys高級副總裁暨SIG總經(jīng)理Andreas Kuehlmann介紹，“我們賦予硬件設(shè)計更多的可預(yù)測性，在軟件方面，我們的戰(zhàn)略在一定的程度上也朝著同樣的方向在發(fā)展，為更多的設(shè)計師解決各種關(guān)鍵挑戰(zhàn)，從而降低成本和進度風(fēng)險。”

2010年作為安防行業(yè)發(fā)展的重要分水嶺，視頻監(jiān)控行業(yè)經(jīng)歷了從模擬監(jiān)控轉(zhuǎn)向網(wǎng)絡(luò)監(jiān)控發(fā)展的變革。自此之后，許許多多的網(wǎng)絡(luò)攝像機、NVR、IP存儲服務(wù)器等產(chǎn)品的面世，意味著視頻監(jiān)控開始快速向數(shù)字化技術(shù)發(fā)展，與此同時安防行業(yè)進入高速發(fā)展時期，從模擬到數(shù)字，從單品到系統(tǒng)，從高清化、智能化、大數(shù)據(jù)到云計算等等概念接踵而至，讓安防廠商應(yīng)接不暇，并一直被網(wǎng)絡(luò)的大潮推著往前走，正因為跟上時代的潮流已經(jīng)不容易，所以目前安防工程中，網(wǎng)絡(luò)安全問題仍沒有作為第一要素，工程無論在管理標(biāo)準(zhǔn)制定、設(shè)計、施工、驗收上都缺乏明確的要求和規(guī)范，甚至可以這樣認(rèn)為，網(wǎng)絡(luò)安全對于安防行業(yè)而言仍然是一塊空白和陌生的領(lǐng)地。

自2014年起，視頻監(jiān)控產(chǎn)業(yè)中多起網(wǎng)絡(luò)攻擊事件讓安防從業(yè)人員開始關(guān)注到新的問題點——網(wǎng)絡(luò)安全。2015年注定是載入安防發(fā)展史的重要一年，也勢必會成為安防產(chǎn)業(yè)邁入網(wǎng)絡(luò)化時代的重要里程碑，與此同時用戶對產(chǎn)品的全方位安全性能提出更高的要求，如何讓技術(shù)跟進市場需求，這將是未來市場又一主陣地。無論從技術(shù)面、產(chǎn)品設(shè)計、企業(yè)經(jīng)營等層面看，“安全門”事件都將對安防行業(yè)的發(fā)展產(chǎn)生深遠的影響。

毋庸置疑，面對網(wǎng)絡(luò)信息安全的問題，沒有人可以置身度外，沒有誰又可以做到銅墻鐵壁百毒不侵！隨著網(wǎng)絡(luò)技術(shù)越來越發(fā)達，網(wǎng)絡(luò)安全問題得到越來越多人的重視?！袄鏗eartbleed安全漏洞就因為暴露了加密信息而成為設(shè)備制造商關(guān)注的安全議題?？上驳氖乾F(xiàn)在已經(jīng)有越來越多的設(shè)備制造商重視網(wǎng)絡(luò)安全和源代碼的質(zhì)量問題?！彪m然處理網(wǎng)絡(luò)安全和軟件質(zhì)量的方法有許多種，但最可靠和最直接的辦法卻是從源頭上進行扼制。Andreas Kuehlmann認(rèn)為，解決安全問題的關(guān)鍵是要找到一個能夠互補的辦法，因此新思科技通過以下四種技術(shù)，集中軟件開發(fā)的早期階段解決安全問題：

其一，靜態(tài)源代碼掃描測試（Static Analysis），也稱為白盒測試，對應(yīng)產(chǎn)品：Coverity。白盒測試能在源代碼的基礎(chǔ)上提供靜態(tài)分析，能夠在研發(fā)階段查找出代碼中難以發(fā)現(xiàn)的重大關(guān)鍵軟件缺陷和安全缺陷。目前支持的開發(fā)的語言包括C、C＋＋、Java、C＃、ObjectiveC、JavaScript、Python和PHP等，未來支持的開發(fā)語言將大大增加。通過讀取源代碼，實現(xiàn)深度分析來檢測安全漏洞；

其二，基于通訊協(xié)議的模糊測試（Dynamic Analysisor Fuzzing Testing），也稱為黑盒測試，對應(yīng)產(chǎn)品：Defensics。Defensics模擬引擎是業(yè)界第一款基于狀態(tài)的模糊測試用例生成器。它利用嘗試協(xié)議模型來智能的、精確的向軟件輸入有組織的破壞性數(shù)據(jù)，試圖使系統(tǒng)崩潰，從而發(fā)現(xiàn)系統(tǒng)的未知缺陷和漏洞。目前覆蓋大約260多種協(xié)議，包含HTTP、RTSP、SIP、TCP／IP、Wi－Fi等常用協(xié)議；

其三，軟件成份分析（Software Composition Analysis），對應(yīng)產(chǎn)品：Protecode。針對目前軟件開發(fā)過程中90％的部分是由開源代碼和第三方組件構(gòu)成的，軟件成分分析工具Protecode能讓用戶快速精確的檢測和審計當(dāng)前代碼庫中是否使用了已有開源代碼、組件或模塊，并確認(rèn)這些開源部分是否違反開源協(xié)議，并協(xié)助用戶規(guī)避違反開源協(xié)議導(dǎo)致的法律風(fēng)險；；Protecode還能夠檢測當(dāng)前使用的開源代碼、已經(jīng)打包的二進制文件組件或模塊中是否包含已知的安全漏洞，Protecode已經(jīng)集成了多個知名缺陷庫，能夠有效防范黑客攻擊；

其四，交互式應(yīng)用程序安全性測試（Interactive Application Security Testing），對應(yīng)產(chǎn)品：Seeker。針對網(wǎng)絡(luò)應(yīng)用領(lǐng)域的互動式應(yīng)用軟件安全進行測試，通過對網(wǎng)絡(luò)應(yīng)用程序?qū)崟r操作的監(jiān)控，Seeker能夠高效分析前端頁面，中間數(shù)據(jù)處理層和后端數(shù)據(jù)庫可能存在的惡意攻擊。包括著名的OWASP Top10跨站腳本攻擊、SQL注入、目錄遍歷等真實存在的問題。

雖然這些源代碼看上去似乎微不足道，但往往正是這些漏洞導(dǎo)致非常嚴(yán)重的安全事件的發(fā)生。

深入淺出 提升設(shè)備差異性優(yōu)勢

雖然安防行業(yè)對于網(wǎng)絡(luò)安全的認(rèn)知相比IT及電信行業(yè)要顯得落后，但無論是國家政策還是行業(yè)發(fā)展，網(wǎng)絡(luò)安全是趨勢，也必然會是未來行業(yè)的硬性指標(biāo)。如果說以前的安防行業(yè)發(fā)展強調(diào)穩(wěn)定性，隨著安全性價值的挖掘，將來必然是安全性為王，在行業(yè)不斷洗牌的過程中，這點無疑將會成為安防設(shè)備商新的差異化競爭優(yōu)勢。

據(jù)觀察，無論是設(shè)備商或者是軟件供應(yīng)商，對于產(chǎn)品的安全性意識正在逐步提升。在未來，為規(guī)避更多安全事件對于企業(yè)品牌的不良影響，在產(chǎn)品開發(fā)周期的初級階段便滿足網(wǎng)絡(luò)安全問題的需求，必然會在中國安防或者全球安防的市場中迅速成長。

但對于新的事物，人們往往是一知半解，在信息化時代，時間意味著市場與商機，如何快速強化自身產(chǎn)品將成為未來搶占市場先機的重點。但是，在網(wǎng)絡(luò)安全面前，如果能靜下心來仔細研究，會發(fā)現(xiàn)其實它并不是傳言般的洪水猛獸，因為在安防之前，IT及電信行業(yè)已經(jīng)先行了一步。

Andreas Kuehlmann強調(diào)，在網(wǎng)絡(luò)安全問題面前，并不存在IT、電信、安防等行業(yè)之間的隔閡，所有網(wǎng)絡(luò)安全問題的本質(zhì)是一致的?！霸谂c客戶交談過程中，我們發(fā)現(xiàn)對于網(wǎng)絡(luò)安全問題，他們的痛點是一樣的，安防行業(yè)與IT行業(yè)并沒有存在明顯的區(qū)別。如果將這些問題還原成技術(shù)語言來闡述的話，那就是遇到軟件缺陷或者網(wǎng)絡(luò)安全漏洞，如遇到緩存區(qū)溢出、跨站攻擊、認(rèn)證繞過等問題，在技術(shù)原理上看并沒有多大的區(qū)別，只是攻擊的對象從路由器和核心交換機轉(zhuǎn)移到網(wǎng)絡(luò)攝像機與存儲設(shè)備上。”

針對視頻監(jiān)控以視頻流為主的特點，新思科技的產(chǎn)品在電信及IT行業(yè)所用的協(xié)議上進行擴展，涵蓋了視頻、存儲等協(xié)議，并創(chuàng)造性提供私有協(xié)議的萬能包”，能夠保證產(chǎn)品對私有協(xié)議進行自構(gòu)建，為用戶進行模糊測試，滿足更多需求。

Synopsys SIG亞太區(qū)高級銷售總監(jiān)Geok－Cheng Tan補充，“在軟件開發(fā)部分，我們的產(chǎn)品面對的是源碼，無論是視頻流還是存儲，其核心程序都是一行一行的代碼，在檢測代碼上，產(chǎn)品面向的依然是同樣的缺陷和隱患?！?/p>

雖然在技術(shù)原理上沒有過多的區(qū)別，但要將新的技術(shù)嵌入監(jiān)控設(shè)備中，這必然也需經(jīng)歷較長的開發(fā)周期與測試階段，這也是眾多從業(yè)人員的疑慮，但這一切難題全都在新思科技的產(chǎn)品中得到解決，其“深入淺出”的產(chǎn)品理念得到眾多行業(yè)用戶的認(rèn)可。

“因為我們之前已經(jīng)滿足了電信及IT行業(yè)的用戶需求，所以能夠支持的開發(fā)語言、開發(fā)環(huán)境基本完全滿足視頻監(jiān)控所有用戶的需求。新思科技提供的網(wǎng)絡(luò)安全及軟件質(zhì)量測試產(chǎn)品及解決方案，能夠更早的應(yīng)對可能出現(xiàn)在視頻監(jiān)控行業(yè)的網(wǎng)絡(luò)安全問題。而當(dāng)視頻監(jiān)控行業(yè)出現(xiàn)網(wǎng)絡(luò)安全問題的時候，新思科技的產(chǎn)品也可以幫助企業(yè)快速發(fā)現(xiàn)并確認(rèn)自家產(chǎn)品中是否包含同樣的網(wǎng)絡(luò)安全問題，并協(xié)助研發(fā)人員定位、修改。Andreas Kuehlmann提出，“如果用戶需要進行網(wǎng)絡(luò)安全測試，只需通過點對點的設(shè)備直連，選擇好可以互通的通信協(xié)議，利用半自動化工具進行異常的報文攻擊，便能實現(xiàn)檢測。”

Geok－Cheng Tan介紹，對于用戶而言，這樣的方式十分簡便，并不需要很深的技術(shù)積累，只需簡單培訓(xùn)便能使用。

“如果用戶想通過代碼檢測提升自身的軟件質(zhì)量，用戶只需將我們的產(chǎn)品部署到軟件的開發(fā)環(huán)境中，便能實現(xiàn)無縫嫁接。雖然是專業(yè)和頂尖的技術(shù)，但因為我們產(chǎn)品部署方式的簡便，可以實現(xiàn)無縫嫁接到軟件的開發(fā)界面中，所以我們讓使用者感受起來卻是非常便利，這就是我們強調(diào)的‘深入淺出’的理念。”

先天優(yōu)勢 贏得用戶信任

“沒有網(wǎng)絡(luò)安全就沒有國家安全，沒有信息化就沒有現(xiàn)代化”，網(wǎng)絡(luò)安全、有序發(fā)展的重要性已經(jīng)成為互聯(lián)網(wǎng)發(fā)展戰(zhàn)略頂層設(shè)計的指引。安全問題已經(jīng)不再是行業(yè)的問題，已經(jīng)上升到國家上層建筑領(lǐng)域。從這個角度中看，外商的進入，無論從網(wǎng)絡(luò)安全的角度或者從以政府用戶為主的安防行業(yè)，都顯得困難重重。

Geok－Cheng Tan坦言，在談到政府安全管控問題時，不僅僅是中國，全球各國政府都會對此保持謹(jǐn)慎的態(tài)度，但新西蘭、新加坡、印度政府已經(jīng)采用了新思科技的解決方案，正因為技術(shù)的領(lǐng)先性，新思科技對中國市場依然保持積極樂觀的態(tài)度。“第一，技術(shù)的領(lǐng)先性，中國安防行業(yè)與IT、電信行業(yè)一樣越來越國際化，安防客戶迫切希望用到全球最領(lǐng)先的技術(shù)與產(chǎn)品，讓自身的產(chǎn)品與方案在全球都更具競爭力。第二，產(chǎn)品的隔離性，我們提供的產(chǎn)品具有個性化，以測試為主，與‘去IOE’不同，新思科技的產(chǎn)品并不需要聯(lián)網(wǎng)，用戶可以在自己的局域網(wǎng)中便能完成測試，針對不同國家特殊國情，新思科技的產(chǎn)品涵蓋了公有云與私有云版本。第三，網(wǎng)絡(luò)安全問題越來越熱，由于技術(shù)及產(chǎn)品組合的優(yōu)越性，新思科技都遙遙領(lǐng)先于市場，在用戶的選擇面上，有先天的優(yōu)勢?！?/p>

與硬件銷售不同，軟件服務(wù)的評價除了軟件自身的體驗之外，售后服務(wù)也是評價產(chǎn)品優(yōu)劣的重要指標(biāo)。目前，新思科技在全球擁有上千個辦事處，在中國北京、上海、武漢等地都有設(shè)立為客戶提供完整的產(chǎn)品和技術(shù)支援的服務(wù)點，通過本地化的服務(wù)形成比其他安全解決方案供應(yīng)商更優(yōu)良的服務(wù)支援。

通過企業(yè)的收購，目前新思科技已經(jīng)具備最完整的安全檢測技術(shù)及方案，這便是其與其他解決方案供應(yīng)商最大的不同之處?！拔覀兲峁I(yè)的服務(wù)，因而包含中國本地和中國以外的客戶都能利用我們的專業(yè)服務(wù)來提高產(chǎn)品質(zhì)量，無論是檢驗還是定制協(xié)議，我們都會盡全力幫助客戶將技術(shù)融合到他們的產(chǎn)品之中，確?？蛻舻耐顿Y回報率（ROI）。針對本地化服務(wù)，我們已經(jīng)在武漢成立了專門的研發(fā)團隊，我們確信中國軟件安全市場將會持續(xù)快速增長?！盙eok－Cheng Tan說。

對于視頻監(jiān)控市場未來的發(fā)展，Andreas Kuehlmann表示視頻監(jiān)控市場將持續(xù)洗牌，安全性將成為未來行業(yè)重要的指標(biāo)，也將對企業(yè)的發(fā)展提出更多的要求，促進行業(yè)的進一步洗牌。安全的話題值得所有企業(yè)認(rèn)真對待，目前所有的安全漏洞除了來自開發(fā)的源代碼之外，也有部分來源第三方供應(yīng)商軟件，所以在軟件供應(yīng)鏈中，對應(yīng)用于供應(yīng)鏈中的軟件監(jiān)控正變得越來越重要。“我們的軟件驗收（Software Signoff）策略推動形式驗證閘到軟件開發(fā)流程中，進而確保軟件供應(yīng)鏈或開發(fā)過程都能滿足安全需求?！?/p>

如果說智能與互聯(lián)是未來行業(yè)發(fā)展的趨勢，那么安全便是二者的基礎(chǔ)，當(dāng)下，安防行業(yè)在安全的投入模式開始發(fā)生變化，從單純的購買產(chǎn)品及服務(wù)開始轉(zhuǎn)向設(shè)立各種各樣的組織以及聯(lián)盟去直面網(wǎng)絡(luò)安全問題，直面一個熟悉而又陌生的新安防生態(tài)。