隨著安防監(jiān)控的大力普及,信息安全問題越來越受各行各業(yè)的重視,同樣作為“安防產(chǎn)品”亦不例外,作為一家國內(nèi)主流的安防廠家——景陽科技,自成立以來,就一直非常重視研發(fā)產(chǎn)品的信息安全,在產(chǎn)品的安全設(shè)計、檢測機制、安全防護等方面都投入了大量的研發(fā)力量。
打鐵還需自身硬:嚴(yán)格的安全設(shè)計和檢測機制
據(jù)景陽科技副總經(jīng)理兼研發(fā)總監(jiān)楊超峰博士介紹:
第一,安全設(shè)計方面。針對嵌入式編程語言容易出現(xiàn)的各種內(nèi)存安全問題和漏洞,景陽研發(fā)團隊有嚴(yán)格的安全設(shè)計和審核機制,在軟件代碼編寫完成后,會先后經(jīng)過代碼掃描工具進行漏洞掃描和經(jīng)理人員的代碼審核才允許提交。
第二,網(wǎng)絡(luò)安全掃描。使用端口掃描工具Nmap掃描設(shè)備系統(tǒng)開放端口,所有對外開放端口必須進行登記和說明,確保設(shè)備的網(wǎng)絡(luò)系統(tǒng)安全。
第三,WEB漏洞掃描。使用AppScan、Fiddler、WinHex等工具對WEB應(yīng)用程序、WEB服務(wù)端進行掃描,確保高危漏洞為零,有效保證WEB應(yīng)用層的信息安全。尤其是IBM的AppScan產(chǎn)品,是一個領(lǐng)先的Web應(yīng)用安全測試工具,RationalAppScan可自動化Web應(yīng)用的安全漏洞評估工作,能掃描和檢測所有常見的Web應(yīng)用安全漏洞。(下圖為AppScan掃描報告)
打鐵還需自身硬 淺析景陽安防產(chǎn)品信息安全
第四,病毒掃描。在軟件應(yīng)用層方面,軟件包、補丁包、文檔等發(fā)布前必須經(jīng)過主流防病毒軟件(如Symantec、OfficeScan、Mcafee、AviraAntiVir、卡巴斯基等)的掃描,防病毒軟件不產(chǎn)生告警,保證設(shè)備的軟件應(yīng)用安全。
安全防護“三板斧”:傳輸、認(rèn)證、保護機制
由于監(jiān)控設(shè)備被不法分子控制的危害性極大,除了嚴(yán)格的安全設(shè)計和檢測機制,還在傳輸、認(rèn)證、保護等機制方面,苦練內(nèi)功,練就了“三板斧”:
第一把斧:更安全的傳輸機制
據(jù)景陽科技副總經(jīng)理楊超峰博士介紹,為更安全的傳輸機制:景陽產(chǎn)品在研發(fā)過程中,主要在以下3方面進行了努力:
1)使用安全性更高的SSH進行交互,禁止使用不安全的傳輸協(xié)議telnet和ftp;2)支持HTTPS。由于HTTPS是在HTTP基礎(chǔ)上加入了SSL協(xié)議,雖然加強了安全性,但是導(dǎo)致了性能開銷加大,訪問速度下降,景陽為此進行了大量的性能優(yōu)化工作,在確保安全性的同時也保證了訪問速度。3)支持SDK加密傳輸。
第二把斧:完善的認(rèn)證機制和信息安全措施
越來越多的行業(yè)外的人認(rèn)識到了安防設(shè)備自身安全的重要性。不僅是國家機關(guān)、單位,個人安防產(chǎn)品也應(yīng)加強管理,防止出現(xiàn)個人隱私泄露。景陽科技為給監(jiān)控安全加上“金鐘罩”,還備有完善的認(rèn)證機制,即:1)所有登錄系統(tǒng)的口令設(shè)置時必須進行復(fù)雜度檢查,不允許設(shè)置弱口令,口令至少8位,且需包含數(shù)字、小寫字符、大寫字符和特殊字符中的三種;2)系統(tǒng)中任何位置都不會出現(xiàn)明文口令,所有關(guān)鍵信息(如:Email地址、用戶名、密碼等)均進行了加密存儲;3)認(rèn)證模塊支持防在線暴力破解機制,連續(xù)輸入錯誤的密碼將會對用戶進行鎖定。
第三把斧:完整性保護機制
此外,軟件還支持完整性保護機制,在升級過程中可以對產(chǎn)品的軟件(包含軟件包/補丁包)進行完整性驗證,避免用戶使用異常的軟件包。
雖然已經(jīng)通過上述“三把斧”,加強了設(shè)備安全性,但據(jù)透露,景陽科技不僅僅滿足于止,還會持續(xù)研究相關(guān)技術(shù)將設(shè)備的安全性,提升到更高的臺階,后續(xù)將會在產(chǎn)品中導(dǎo)入相關(guān)技術(shù),例如:全數(shù)據(jù)加密傳輸,尤其是音視頻數(shù)據(jù)的加密傳輸,進一步保證關(guān)鍵的安全性;禁止所有人員(包括維護人員和開發(fā)人員)通過SSH訪問設(shè)備,通過新的技術(shù)解決方案來提供配套的維護服務(wù)。
最后網(wǎng)絡(luò)信息安全是整個系統(tǒng)的問題,不僅僅在于是某個設(shè)備或者某個方面。景陽一方面在積極研發(fā)各項網(wǎng)絡(luò)安全技術(shù),確保安防設(shè)備本身的安全性和可靠性;另一方面在設(shè)計整體解決方案時,將會根據(jù)不同行業(yè)的網(wǎng)絡(luò)環(huán)境,深入考慮項目網(wǎng)絡(luò)架構(gòu)及網(wǎng)絡(luò)設(shè)備的整體安全,為用戶提供全方位的安全措施。
目前作為國內(nèi)主流的監(jiān)控設(shè)備生產(chǎn)商景陽科技,不僅致力于設(shè)備功能的完善,同時加強最基本的安全性問題,杜絕“蟻穴”,護千里的“堤壩”于永固。