直面安全挑戰智能製造工控安全解決方案

網站內容來源http://server.it168.com/

直面安全挑戰智能製造工控安全解決方案

2016-12-12 20:04    原創  作者: 廠商投稿 編輯:
0購買

【IT168 方案】近日,世界智能製造大會在南京召開,國內外智能製造領域專家共聚一堂,為世界智能製造發展出謀划策。大會期間,工信部正式發布《智能製造發展規劃(2016-2020年)》,繪製了中國智能製造的宏偉藍圖和推進的路線圖。

中國製造業的發展質量、創新能力、品牌塑造等與發達國家有較大差距,大而不強的問題是急需破解的瓶頸。必須順應全球製造業發展趨勢,把推進智能製造作為培育中國製造業增長的新動力。

智能製造具有複雜性、系統性等特點,涉及研發設計、生產製造、倉儲物流、市場營銷、售後服務、信息諮詢等各個價值鏈環節,涉及執行設備層、控制層、管理層、企業層、雲服務層、網絡層等企業系統架構,需要進行橫向集成、縱向集成和端到端集成,智能製造生產網絡與互聯網的融合交互愈加深入。

安全挑戰

智能製造已日益成為製造業發展的重大趨勢和核心內容,要以智能製造新模式、新理念,全面革新傳統設計、製造技術和生產方式,加快網絡協同創新,推動通過虛擬加實體空間進行異地協同創新,實現資源優化整合。

信息化和工業化深度融合,控制網、生產網、管理網、互聯網互聯互通成為常態,智能製造生產網絡的集成度越來越高,越來越多採用通用協議、通用硬件和通用軟件,生產控制系統信息安全問題日益突出,面臨更加複雜的信息安全威脅。

網絡安全:與互聯網的深度融合,網絡IP化、無線化以及組網靈活化給智能製造網絡帶來更大安全風險。

數據安全:數據的開放、流動和共享使數據和隱私保護面臨前所未有的挑戰。

應用安全:網絡化協同、個性化定製等業務應用的多樣化對應用安全提出了更高要求。

控制安全:控制環境開放化使外部互聯網威脅滲透到生產控制環境。

設備安全:設備智能化使生產裝備和產品更易被攻擊,進而影響正常生產。

解決方案

依託對工業網絡和工業協議的深度認知和深入研究,威努特公司在工控安全領域積累了深厚的技術基礎,結合智能製造的現狀及特點,依據工信部《工業控制系統信息安全防護指南》指導要求,推出了覆蓋智能製造生產全流程的主動防護安全解決方案,協助智能製造企業構建生產控制網絡全面安全體系,切實保障安全智能生產。

方案聚焦於生產網絡,多種安全產品有機結合構建縱深安全防護體系,直面智能製造生產控制網絡的安全挑戰,切實保障智能製造生產網絡的網絡安全、應用安全、數據安全、控制安全和設備安全。而辦公網和互聯網的網絡安全、數據安全、應用安全,則通過傳統信息安全手段進行防護。

1) 方案架構

主動安全防護體系全面覆蓋智能製造生產全流程,涵蓋管理網絡、控制網絡和現場設備等智能製造重要組成部分,方案架構圖如下所示:

主動防護:威努特可信網關能夠深度識別和解析工業協議,構建安全白名單防護機制,識別並防範工業攻擊;通過自學習適應生產控制模式,放行正常操作指令,阻斷異常操作,確保生產控制安全。

主機加固:威努特工控主機衛士通過掃描上位機程序和進程,構建白名單安全基線,實現系統安全加固,有效防範已知未知病毒的入侵和攻擊。

安全審計:威努特工控監測審計平台基於工業協議深度解析生產網絡流量,監測和識別網絡中的入侵攻擊、異常操作、生產數據、重要操作等行為,並進行統計和分析。

漏洞識別:威努特漏洞挖掘平台針對知名的工業控制協議進行分析,採用模糊監測技術進行安全性和健壯性測試,深度挖掘工控設備存在的已知和未知漏洞,協助客戶提升自身工控安全風險評估能力。

統一管理:威努特統一安全管理平台能夠發現網絡中所有安全產品,進行統一管理、統一策略調整下發、統一日誌收集分析、統一實時的監控,極大簡化安全運維流程。

2) 方案特點

嚴格遵循工信部《工業控制系統信息安全防護指南》指導要求;

注重整體防護,技術與管理兼顧;

主動防護,抗擊安全風險;

白名單機制,符合生產控制網絡實際情況;

縱深防禦,整體安全保障;

多種安全產品有機結合,覆蓋生產製造全流程;

集中統一可視化管理,簡化運維。

3) 客戶價值

全面提高智能製造生產網絡的整體安全性,確保設備、系統、網絡的可靠性、穩定性和安全性,為安全生產保駕護航。

全面改進智能製造業務人員的安全水平和安全意識,提高安全生產管理水平、工作效率和管理效率。

全面提升智能製造網絡安全防護管理的合規性,符合國家主管部門智能製造發展規劃要求及工控安全防護要求,

協助智能製造企業建立工控安全防護規範,樹立行業標桿,形成示範效應。

小結

智能製造面臨的安全風險、入侵途徑、攻擊手段等多種多樣,具有很大的不確定性,但是智能製造的安全防護必須是確定的。確定的安全,強調的是防護動作的可預期性,產生效果的可預知性。能夠確定的告訴用戶,用戶也能確定的知道,安全設備上去之後能做什麼事情,能夠對生產控制網絡帶來哪些防護的效果。

威努特致力於為智能製造企業提供“確定的安全”,深入研究智能製造生產網絡存在的安全風險,確定安全問題出現的根源,針對癥結提供基於白名單機制的安全產品,構建智能製造工控安全的“白環境”。

工控系統來不得半點虛假,不需要概念的炒作,要談工控安全,一定得是確定的安全。

,
網站內容來源http://safe.it168.com/網站內容來源http://safe.it168.com/

【精選推薦文章】

自行創業 缺乏曝光? 下一步”網站設計“幫您第一時間規劃公司的門面形象

網頁設計一頭霧水??該從何著手呢? 找到專業技術的網頁設計公司,幫您輕鬆架站!

評比前十大台北網頁設計台北網站設計公司知名案例作品心得分享

台北網頁設計公司這麼多,該如何挑選?? 網頁設計報價省錢懶人包”嚨底家”

直面安全挑戰智能製造工控安全解決方案

銳捷解決廈門百年醫院終端管控的安全問題

網站內容來源http://server.it168.com/

銳捷解決廈門百年醫院終端管控的安全問題

2017-12-13 19:20    原創  作者: 廠商投稿 編輯:
0購買

【IT168 案例】互聯網時代,由信息泄露導致的各種悲劇和案件時有發生。在醫療領域,患者的隱私信息泄露已成為社會的巨大隱憂,不少醫院的用戶信息更是成為犯罪分子的重點盜取目標。為了更好地防範安全風險,廈門市第一醫院杏林院區(以下簡稱:杏林院區)一直在尋找克服終端安全隱患的“良藥”。

終端准入面臨多重困境

杏林院區位於廈門杏林台商投資區,創立於1898年,歷經百餘年的發展,杏林院區已經成為國內專治肺病的特長專科醫院。

在醫療行業中,網絡常分為內網和外網,其中內網為生產網,基於安全考慮通常會進行終端的准入控制,合法的終端才允許接入網絡, 因此,對終端准入的管控,自然而然地成為杏林院區防範安全風險的第一道門禁。

廈門市第一醫院杏林院林主任對於終端准入的重要性早已有所認識,且對目前主流廠商的技術有充分的認知。與客戶訪談中客戶告知我們現在常見的准入策略有認證(如802.1X認證、Web認證),但是由於認證方式引入的認證服務器單點故障,認證性能瓶頸,需要客戶端等,可靠性等問題,造成了當前醫療行業內選擇動態認證方式的不多。

痛點一:動態認證型准入局限性

比如:醫院門診有非常多的啞終端,目前業界的方案都是要裝客戶端或者網頁認證,無法在諸如取號機,電視牆,LED叫號機等設備上使用。

  圖:自助機/自助打印機

  痛點二:IP+MAC綁定的局限性

和不少醫院通行的做法一樣,杏林院區開始選擇了常見的准入部署方式,即靜態IP+MAC綁定方式。然而,杏林院區逐漸發現,使用接入交換機的IP+MAC綁定的方式更帶來了多重問題:

信息收集麻煩。如果人工收集每一台接入終端的MAC地址,並且知曉其所連接的接入交換機,初始實施時還相對方便,後續的設備變更則會隨着網絡維護時間變長而信息混亂。

配置繁瑣。手工對每台接入交換機進行配置,當生產網範圍較大時,實施工作量倍增。比如mac地址的8跟B有時候長太像了十分容易出錯。

表項遺留。接入交換機上會存在大量的靜態配置,進行IP+MAC綁定關係變更時,比較容易出錯,因為同一批採購的終端可能MAC地址段相近。

在醫院中後期進行病區裝修,辦公室調整時,需要對接入交換機的IP+MAC綁定表項重新配置,如果設備跨網關遷移時,還需要重新分配IP地址。

 典型痛點三:IP地址的複雜

同時對於IP地址的管理維護,廈門市第一醫院杏林院區採用的是execl登記,為信息中心人工帶來不少麻煩。

1.IP衝突

整網800多個終端採用手工Excel維護,太繁瑣,效率低。網絡中經常出現IP地址衝突。

2.Mac地址收集難

一台設備的mac地址好的話有貼標籤,有些設備沒有貼標籤的壓根無法收集mac。

3.設備報廢

設備報廢后,因為設備也無法開機,所以ip也就跟着石沉大海。ip地址回收使用率低。

4.私設IP/欺騙嘗盡

有時候護士會看看換個ip地址是否能上網,換完IP后,直接導致跟主任醫師的IP地址衝突,導致斷網。

輕量級准入方案——針對痛點的精準“外科手術”

對於醫療行業經常遇到的終端管控這一“疑難病症”,銳捷創新推出的輕量級准入方案可以說是切中痛點的“精準外科手術”,其優勢主要體現在以下三個方面:

1.免客戶端准入

在醫院所有場景,各類取號機,電視牆,LED叫號機等無客戶端的啞終端都能做准入,簡單安全。

2.IP+MAC信息的自動收集

通過自動IP+MAC信息收集和綁定,減少廈門市第一醫院杏林院區用戶成倍的工作量,告別MAC地址手動手機,告別IPHEMAC的手動綁定,告別接入交換機的手動配置。極大減少出錯的概率。

3.可視化IP地址管理

廈門市第一醫院使用靜態IP地址。這樣的應用場景自然不可迴避的就是IP地址管理的問題。輕量級准入的IP可視化管理讓原來只能通過Excel來簡單記錄IP地址的廈門市第一醫院杏林院區有了更直觀簡單的解決辦法。

杏林醫院從7月份割接運行20多台接入設備,門診、住院部等地區近百台客戶各種類型終端,截止到目前穩定運行。

“輕量級准入方案的功能實用方便,IP地址管理清晰直觀,自動化水平高,讓內網終端接入管理變得輕鬆簡單,在減輕IT運維人員的工作壓力的同時,有效保護了醫院的數據和信息系統安全。”杏林院區的IT運維負責人對方案的評價也銳捷輕量級准入方案的最終“療效”。

,
網站內容來源http://safe.it168.com/網站內容來源http://safe.it168.com/

【精選推薦文章】

智慧手機時代的來臨,RWD網頁設計已成為網頁設計推薦首選

想知道網站建置、網站改版該如何進行嗎?將由專業工程師為您規劃客製化網頁設計及後台網頁設計

帶您來看台北網站建置台北網頁設計,各種案例分享

廣告預算用在刀口上,網站設計公司幫您達到更多曝光效益

銳捷解決廈門百年醫院終端管控的安全問題

河南移動雲的安全 雲杉高效保障建設之路

網站內容來源http://server.it168.com/

河南移動雲的安全 雲杉高效保障建設之路

2017-12-13 21:09    原創  作者: 廠商投稿 編輯:
0購買

【IT168 案例】近年來,河南移動的新型数字化業務穩步推進。河南移動雲目前規模大約在2000台服務器,承載移動自有業務及部分政務雲,目前由第三方代為運維。隨着互聯網應用的不斷豐富,視頻、雲計算、物聯網等業務的飛速發展對運營商基礎網絡設施提出了穩定、高效等更高的要求。

隨着IT系統業務種類和用戶數量的快速增長,雲平台虛擬網絡規模和複雜度也隨之增加,使得傳統網絡運維分析工具在雲數據中心虛擬環境中運維分析、故障排查等場景中的應用局限性越來越明顯。為了提高網絡管理效率和新業務響應速度、降低網絡建設和運維成本、簡化網絡結構、最大化利用網絡資源,河南移動引入了SDN。

雲杉網絡DeepFlowTM以雲平台虛擬環境數據為核心,根據業務需求對河南移動雲環境進行高性能的流量採集和基於網流的細粒度分析與控制,為河南移動雲網絡提供理想的網絡解決方案。

 一、 整體解決方案

結合市場調研及當前的私有雲平台網絡狀況分析,河南移動雲平台認識到,缺乏有效的虛擬網絡分析工具和手段將無法對虛擬網絡性能進行管理和安全管理,雲平台的持續、高效、安全運行很難無法保證。目前河南移動雲平台在虛擬網絡監控分析方面存在痛點問題,主要表現在:

1. 缺乏SDN和對接雲平台的能力:現有監控工具無法對接雲平台及基於SDN(Software-Defined Network)軟件定義網絡技術的虛擬網絡,因此無法區分項目網絡或實現對項目網絡流量採集能力;

2. 缺乏雲平台全網可視化能力:包括物理網絡、虛擬網絡以及混合網絡中端到端的可視化;包括生產網絡和業務網絡實時網絡數據以及歷史網絡數據的可視化等;

3. 缺乏雲平台東西向流量採集能力:虛擬網絡的引入或者說網絡軟件化趨勢,使得部分東西向流量直接在宿主機內部完成傳輸,無法在硬件交換機層面獲取到所有流量數據;

4. 缺乏網絡異常感知能力:對業務網絡變更、網絡故障惡化網絡異常的自動感知及告警能力;

5. 缺乏虛擬網絡取證/舉證能力:雲內關鍵業務系統訪問出現故障,無法明確區分是虛擬網絡原因還是系統本身所造成,不能快速定位故障源,也不能對歷史虛擬網絡故障提供責任舉證;

6. 缺乏實例流量採集/輸出能力:雲內關鍵業務系統數據不能實現全部流量鏡像給第三方設備進行分析的能力,如數據庫審計、DPI分析、IDS安全分析等場景;

針對以上存在的問題,雲杉網絡DeepFlowTM對接了河南移動雲平台的多維映射關係,通過流量採集、分析技術能實時的監控分析網絡運行情況,及時發現網絡及應用系統的異常行為,滿足安全管理等場景需求。

二、 客戶價值

針對以上存在的問題,雲杉網絡DeepFlowTM提供強大的網絡分析功能,保障網絡安全、高效、持續運行。實施網絡全流量分析后將對整個業務網絡深度檢查提供有力技術支撐,徹底改變以往的被動式故障處理方式,顯著提高運維管理水平。

自2007年中國移動啟動“大雲”計劃以來,移動通信網絡開始走向敏捷化、開放化和軟件化。2016年中國移動開始推進實施“大連接”戰略,並提出了旨在構建“資源可全局共享調度、容量可彈性伸縮、架構可靈活調整、能力可全面開放”的新一代網絡。河南移動積極響應集團號召,在系統可伸縮性、可擴展性、敏捷性和大規模服務能力方面與雲杉網絡等合作夥伴一起努力探索,採用SDN等先進的技術架構,創新了自身的IT架構、網絡架構、商業模式和運營模式,逐步建成了端到端的基礎設施體系和內容應用體系,進一步提升了體驗和效率,開拓了市場空間。

,
網站內容來源http://safe.it168.com/網站內容來源http://safe.it168.com/

【精選推薦文章】

如何讓商品強力曝光呢? 網頁設計公司幫您建置最吸引人的網站,提高曝光率!!

想要讓你的商品在網路上成為最夯、最多人討論的話題?

網頁設計公司推薦更多不同的設計風格,搶佔消費者視覺第一線

不管是台北網頁設計公司台中網頁設計公司,全省皆有專員為您服務

想知道最厲害的台北網頁設計公司推薦台中網頁設計公司推薦專業設計師”嚨底家”!!

河南移動雲的安全 雲杉高效保障建設之路

威脅聚焦:快速追蹤BadRabbit勒索軟件

網站內容來源http://server.it168.com/

威脅聚焦:快速追蹤BadRabbit勒索軟件

2017-10-25 23:54    原創  作者: 思科 編輯:
0購買

【IT168 技術】2017 年 10 月 24 日,思科 Talos 接到警報,網絡上出現了一種大規模的勒索軟件攻擊活動,影響到了東歐和俄羅斯的很多組織。與以前一樣,我們迅速行動起來,評估局勢並確保保護客戶不受此勒索軟件和其他新出現的威脅影響。

最近幾個月來已經出現了好幾次大規模的勒索軟件攻擊活動。這次的勒索軟件與 Nyetya 存在一些相似之處,也是以 Petya 勒索軟件為基礎,但是對大部分代碼進行了改寫。這次傳播的病毒似乎沒有我們最近發現的供應鏈攻擊那麼複雜。

傳播

Talos 進行了評估,確信攻擊者通過 “路過式下載” 方法傳播了一種虛假 Flash Player 更新,並通過此更新入侵系統。攻擊者將被入侵的網站重定向至 BadRabbit,受影響的網站很多,主要位於俄羅斯、保加利亞和土耳其。

當用戶訪問被入侵的網站時,系統會重定向至 1dnscontrol[.]com 這一託管該惡意文件的網站。在下載實際的惡意文件之前,攻擊者會向靜態 IP 地址 (185.149.120[.]3) 發送一個 POST 請求。我們發現該請求發布到了 “/scholasgoogle” 靜態路徑,並向用戶提供代理、引用站點、Cookie 和域名。在發布 POST 請求之後,系統從 1dnscontrol[.]com 的兩個不同路徑 /index.php 和 /flash_install.php 下載了植入程序。儘管使用了兩個路徑,但卻只下載了一個文件。根據當前信息,在服務器 1dnscontrol[.]com 被入侵之前,該惡意軟件似乎已經活動了大約六小時。我們觀察到的首次下載時間大約在 UTC 時間 2017 年 10 月 24 日早上 8:22。

植入程序 (630325cac09ac3fab908f903e3b00d0dadd5fdaa0875ed8496fcbb97a558d0da) 需要用戶協助實施感染,而未使用任何漏洞攻擊包來直接入侵系統。該植入程序包含 BadRabbit 勒索軟件。該植入程序安裝之後,它會使用一個 SMB 組件來進行內部擴散和進一步感染。其做法似乎是組合使用隨附的弱憑證列表和與 Nyetya 所用的類似的 mimikatz 版本。下面是我們觀察到的用戶名/密碼組合的列表。請注意,這與 1995 年臭名昭着的 “黑客” 存在重合。

▲我們觀察到的密碼列表

   儘管已經製作初步報告,但是我們目前沒有任何證據表明攻擊者利用了 EternalBlue 漏洞攻擊包來傳播感染。然而,我們的研究還在繼續,如果獲得更多信息,我們將及時公布。

 技術詳情

該惡意軟件包含一個負責提取和執行蠕蟲負載的植入程序。這個負載包含以下存儲於資源中的附加二進制文件(使用 zlib 壓縮):

●若干與 DiskCryptor 關聯的合法二進制文件(2 個驅動程序 x86/x64 和 1 個客戶端);

●2 個類似於 mimikatz 的二進制文件 (x86/x64),與 Nyetya 中發現的樣本相似。這是一種常見的開源工具,用於通過幾種不同的方法從計算機內存中恢復用戶憑證。

該植入程序向 C:\Windows\ 目錄植入若干文件。攻擊者利用 Nyetya 攻擊活動中相同的方法執行那些類似於 mimikatz 的二進制文件。負載和憑證竊取程序之間使用指定管道命令進行通信,下面是一個這種管道命令的示例:

C:\WINDOWS\561D.tmp \\.\pipe\{C1F0BF2D-8C17-4550-AF5A-65A22C61739C}

然後,該惡意軟件使用 RunDLL32.exe 執行惡意軟件並繼續進行惡意操作。隨後,該惡意軟件使用如下屏幕截圖所示的參數創建一個預定任務:

除了上述預定任務,該惡意軟件還會再創建一個負責重啟系統的預定任務。這第二個任務不會立即執行,而是按照計劃稍後執行。

如果感覺這些預定任務的名稱看起來很熟悉,那是因為它們引用了《權利的遊戲》的內容,具體而言它們與裏面那些龍的名字是一致的。該惡意軟件還在受感染用戶的桌面上創建了一個名為 DECRYPT 的文件。如果受害者執行此文件,系統會显示一封如下所示的勒索信。

為了揭示這類威脅在全球的傳播速度有多快,我們繪製了下圖,從中可以看出,在用於傳播那個在受害者系統上植入惡意軟件的虛假 Adobe Flash 更新的域中,其中一個域就存在非常活躍的 DNS 相關活動。

該惡意軟件修改了被感染系統硬盤的主啟動記錄 (MBR),將啟動過程重定向到惡意軟件製作者代碼中,從而显示勒索信。系統重啟之後显示的勒索信如下,與今年其他重大攻擊中發現的其他勒索軟件變體(即 Petya)所显示的勒索信非常相似。

以下是 TOR 網站显示的付款頁面:

結論

這次攻擊活動又一次證明了,勒索軟件可以如何高效地使用 SMB 等輔助傳播方法進行快速傳播。在此例中,初始攻擊媒介不是複雜的供應鏈攻擊,而是利用被入侵的網站實現的 “路過式下載” 基本攻擊。這正在迅速成為威脅形勢的新常態。威脅傳播速度越快,留給防禦者的響應時間就越短,勢必造成巨大的危害。無論攻擊者是想謀取錢財,還是想蓄意破壞,勒索軟件都是首選威脅方式。只要還有牟利或造成破壞的可能,這類威脅就會繼續肆虐。

這類威脅也擴大了需要處理的另一重要問題,那就是對用戶進行宣傳教育。在此次攻擊中,用戶需要協助攻擊者實現初步感染。如果用戶不安裝那個 Flash 更新,就不會幫助完成這個攻擊過程,該惡意軟件就會保持良性狀態,不會對該地區造成嚴重破壞。一旦用戶幫助完成了初步感染,該惡意軟件就可以利用現有的方法(例如 SMB)在整個網絡內傳播病毒,而無需用戶交互。

防護

●高級惡意軟件防護(AMP )– 解決方案可以有效防止執行威脅發起者使用的惡意軟件。

●CWS 和 WSA Web–掃描功能可以阻止訪問惡意網站,並檢測這些攻擊中所用的惡意軟件。

●網絡安全設備–(例如 NGFW、NGIPS 和 Meraki MX)可以檢測與此威脅相關的惡意活動。

●AMP ThreatGrid–可幫助識別惡意二進制文件,使所有思科安全產品都有內置保護措施。

●Umbrella–我們的安全互聯網網關 (SIG),可阻止用戶連接惡意域、IP 和 URL(無論用戶是否位於公司網絡上)。

此次沒有發現攻擊者以郵件作為攻擊媒介。如果該惡意軟件在您網絡的這些系統之間傳輸,將會受到阻止。

思科 Talos 簡介

思科 Talos 團隊由業界領先的網絡安全專家組成,他們分析評估黑客活動,入侵企圖,惡意軟件以及漏洞的最新趨勢。包括 ClamAV 團隊和一些標準的安全工具書的作者中最知名的安全專家,都是思科 Talos 的成員。這個團隊同時得到了 Snort、ClamAV、Senderbase.org 和 Spamcop.net 社區的龐大資源支持,使得它成為網絡安全行業最大的安全研究團隊,也為思科的安全研究和安全產品服務提供了強大的後盾支持。

網站內容來源http://safe.it168.com/網站內容來源http://safe.it168.com/

【精選推薦文章】

自行創業 缺乏曝光? 下一步”網站設計“幫您第一時間規劃公司的門面形象

網頁設計一頭霧水??該從何著手呢? 找到專業技術的網頁設計公司,幫您輕鬆架站!

評比前十大台北網頁設計台北網站設計公司知名案例作品心得分享

台北網頁設計公司這麼多,該如何挑選?? 網頁設計報價省錢懶人包”嚨底家”

威脅聚焦:快速追蹤BadRabbit勒索軟件

IOT安全:Logitech Harmony Hub安全性分析

網站內容來源http://server.it168.com/

IOT安全:Logitech Harmony Hub安全性分析

2018-05-15 09:31    來源:安全客  作者: Joel Hopwood 編輯:
0購買

  一、前言

FireEye的Mandiant Red Team最近在Logitech Harmony Hub物聯網(IoT)設備上發現了一些漏洞,這些漏洞可以被攻擊者利用,通過SSH渠道獲得目標設備的root訪問權限。Harmony Hub是一款家庭控制系統,用來連接並控制用戶家庭環境中的各種設備。在本地網絡中利用這些漏洞后,攻擊者可以控制連接到Hub的設備,也可以利用Hub做為執行節點,攻擊本地網絡中的其他設備。由於Harmony Hub所支持的設備較多,包括智能門鎖、智能恆溫器以及其他智能家居設備等,因此這些漏洞會給用戶帶來極高的風險。

FireEye在2018年1月向Logitech披露了這些漏洞,Logitech積極響應,與FireEye一起溝通協作,發布固件更新(4.15.96)解決了這些問題。

Red Team發現了如下幾個漏洞:

1、未驗證證書有效性;

2、不安全的更新過程;

3、生產固件鏡像中遺留開發者(developer)調試符號;

4、空的root用戶密碼。

Red Team組合使用了這幾個漏洞,最終獲得了Harmony Hub的管理員訪問權限。在本文中我們介紹了這些漏洞的發現及分析過程,與大家分享了對消費者設備進行嚴格安全測試的必要性:現如今公眾對設備越來越信任,而這些設備不僅連接到家庭網絡中,也會透露關於公眾日常生活的各種細節,此時安全形勢也更加嚴峻。

  二、設備分析

設備準備

已公開的一些研究報告表明,Harmony Hub的測試點上存在一個UART(universal asynchronous receiver/transmitter,通用異步收發傳輸器)接口。我們將跳線連接到這些測試點上,這樣就能使用TTL轉USB串行線路連接到Harmony Hub。初步分析啟動過程后,我們發現Harmony Hub會通過U-Boot 1.1.4啟動,運行一個Linux內核,如圖1所示。

▲圖1: 從UART接口獲得的啟動日誌

  在啟動過程後續階段中,控制台不再輸出任何信息,因為內核並沒有配備任何控制台接口。我們在U-Boot中重新配置了內核啟動參數,想查看完整的啟動過程,但並沒有恢復出有用的信息。此外,由於設備將UART接口配置成僅傳輸模式,因此我們不能通過該接口與Harmony Hub進一步交互,因此我們將研究重點轉移到了Harmony Hub所運行的Linux操作系統上,想進一步了解整個系統以及其上運行的相關軟件。

  固件恢復及提取

Harmony Hub可以使用配套的Android或者iOS應用通過藍牙來進行初始化配置。我們使用hostapd創建了一個無線網絡,在Android測試設備上安裝了Burp Suite Pro CA證書,以捕捉Harmony移動應用發往互聯網以及發往Harmony Hub的通信流量。一旦初始化配對完成,Harmony應用就會搜索本地網絡中的Harmony Hub,使用基於HTTP的API與Harmony Hub通信。

一旦成功連接,Harmony應用就會向Harmony Hub的API發送兩個不同的請求,以便Harmony Hub檢查是否存在更新,如:2所示。

▲ 圖2:使Harmony Hub檢查更新的請求報文

  Harmony Hub會向Logitech服務器發送當前的固件版本,以確定是否存在更新(如圖3所示)。如果需要更新,Logitech服務器會發送一個響應包,其中包含新固件版本所對應的一個URL(如圖4所示)。由於我們使用了自簽名的證書來捕捉Harmony Hub發送的HTTPS流量,因此我們可以順利觀察到這個過程(Harmony Hub會忽略無效的SSL證書)。

▲圖3:Harmony Hub檢查固件更新

▲圖4. 服務器返回的響應包中包含更新固件的URL

  我們獲取了這個固件並檢查了相關文件。剝離好幾個壓縮層后,我們可以在harmony-image.squashfs文件中找到固件。固件所使用的文件系統鏡像為SquashFS文件系統,採用lzma壓縮算法(這是嵌入式設備常用的壓縮格式)。然而,廠商經常使用老版本的squashfstools,這些版本與最新的squashfstools並不兼容。我們使用了firmware-mod-kit中的unsqashfs_all.sh腳本,自動化探測unsquashfs的正確版本,以便提取文件系統鏡像,如圖5所示。

▲圖5. 使用firmware-mod-kit提取文件系統

  提取文件系統內容后,我們檢查了Harmony Hub搭載的操作系統的某些詳細配置信息。經過檢查后,我們發現這個生產鏡像中包含大量的調試信息,比如沒有刪掉的內核模塊等,如圖6所示。

▲圖6. 文件系統中未刪掉的Linux內核對象

  檢查/etc/passwd后,我們發現root用戶並沒有設置密碼(如圖7所示)。因此,如果我們可以啟用dropbear SSH服務器,我們就能通過SSH接口獲取Harmony Hub的root訪問權限,無需使用密碼。

▲圖7. /etc/passwd文件显示root用戶未設置密碼

  我們發現,如果文件系統中存在/etc/tdeenable文件,則會在初始化階段中啟用dropbear SSH服務器,如圖8所示。

▲圖8. 如果存在/etc/tdeenable,/etc/init.d/rcS腳本則會啟用dropbear SSH服務器

  劫持更新過程

在初始化過程中,Harmony Hub會在Logitech API上查詢GetJson2Uris地址,獲取各種過程所需的一個URL列表(如圖9所示),其中包括檢查固件更新所使用的URL以及獲取更新所需的額外軟件包信息的URL。

▲圖9. 發送請求獲取各種過程所需的URL地址

  我們攔截並修改了服務器返回的響應數據包中的JSON對象,將其中的GetUpdates成員指向我們自己的IP地址,如圖10所示。

▲圖10. 修改過的JSON對象

  與固件更新過程類似,Harmony Hub會向GetUpdates所指定的端點發送一個POST請求,請求中包含設備內部軟件包的當前版本信息。HEOS軟件包對應的請求如圖11所示。

▲圖11. 包含系統中“HEOS”軟件包當前版本信息的JSON請求對象

  如果POST請求正文中的sysBuild參數與服務器已知的當前版本不匹配,服務器就會響應一個初始數據包,其中包含新軟件包版本信息。由於某些不知名的原因,Harmony Hub忽略了這個初始響應包,發送了第二個請求。第二個響應包中包含多個URL地址,這些地址指向了新的軟件包,如圖12所示。

▲圖12. 包含軟件更新包的JSON響應數據

  我們下載了響應數據包中列出的.pkg文件,檢查后發現這些文件其實是ZIP壓縮文件。壓縮文件的文件結果比較簡單,如圖13所示。

▲圖13. .pkg壓縮文檔結構

  其中,manifest.json文件可以告訴Harmony Hub在更新過程中如何處理壓縮文檔的內容,如圖14所示。

▲圖14. manifest.json文件內容

  manifest文件中installer參數所指定了一個腳本,如果壓縮文件中存在該腳本,那麼Harmony Hub在更新過程中就會執行這個腳本。我們修改了這個腳本,如圖15所示,修改后該腳本會創建/etc/tdeenable文件,前面提到過,這樣啟動過程就會啟用SSH接口。

▲圖15. 修改后的update.sh文件

  我們創建了帶有.pkg擴展名的一個惡意壓縮文檔,使用本地web服務器託管該文檔。當下一次Harmony Hub根據被篡改的GetJson2URIs響應包中給出的URL地址來檢查更新時,我們返回經過修改的響應包,指向這個更新文件。Harmony Hub會接收我們提供的惡意軟件更新包,重啟Harmony Hub后就會啟用SSH接口。這樣我們就可以使用root用戶名以及空密碼來訪問該設備,如圖16所示。

▲圖16. 重啟後設備啟用了SSH接口

  三、總結

隨着科技逐步融入我們的日常生活中,我們也在不知不覺中越來越信任各種設備。Harmony Hub與許多物聯網設備一樣,採用了通用處理器架構,因此攻擊者可以輕鬆將惡意工具添加到被攻破的Harmony Hub上,進一步擴大攻擊活動的影響力。Logitech與我們的團隊積極合作,發布了4.15.96固件解決了這些漏洞。如果用戶對某些設備非常信任,那麼這些設備的開發者就應該保持警惕,移除讓用戶處於危險境地的潛在攻擊因素。Logitech在與Red Team的研究工作中發表過一則聲明,在此我們也想與大家一起分享:

“Logitech非常重視客戶的安全及隱私。2018年1月下旬,FireEye發現了可能影響Logitech Harmony Hub產品的一些漏洞,如果某個惡意黑客已經獲取Hub用戶網絡的訪問權限,就可以利用這些漏洞。我們非常感謝FireEye等專業安全研究公司在挖掘探索IoT設備上這類漏洞所付出的努力。

在FireEye將這些研究成果告知我們后,我們第一時間啟動了內部調查,並且馬上開始研發固件以解決這些問題。4月10日,我們發布了固件更新,全部解決了這些漏洞。如果還有客戶沒有將固件更新到4.15.96版,我們建議您檢查MyHarmony軟件,同步基於Hub的遠程設備並接收該固件。用戶可以查看此鏈接了解關於固件更新的完整說明。

基於Hub的產品包括: Harmony Elite、Harmony Home Hub、Harmony Ultimate Hub、harmony Hub, Harmony Home Control、Harmony Pro、Harmony Smart Control、Harmony Companion、Harmony Smart Keyboard、Harmony Ultimate以及Ultimate Home”。

,
網站內容來源http://safe.it168.com/網站內容來源http://safe.it168.com/

【精選推薦文章】

智慧手機時代的來臨,RWD網頁設計已成為網頁設計推薦首選

想知道網站建置、網站改版該如何進行嗎?將由專業工程師為您規劃客製化網頁設計及後台網頁設計

帶您來看台北網站建置台北網頁設計,各種案例分享

廣告預算用在刀口上,網站設計公司幫您達到更多曝光效益

IOT安全:Logitech Harmony Hub安全性分析

助力平安城市 新華三安防監控解決方案解讀

助力平安城市 新華三安防監控解決方案解讀

2019-05-08 11:06    原創  作者: 高博 編輯:
0購買

大家應該都有看過警匪片,在影視片段中警察通過視頻監控能夠對城市的各個角落進行全局監控,並對犯罪分子進行實時追蹤。為城市治安防控以及案件偵破提供了極大便利。而在現實生活中,視頻監控系統也的確有着非常重要的作用。

如果仔細觀察就不難發現,監控系統已經無處不在,而這些無處不在的視頻監控組成了一張監控網絡,安防監控已經發展為智慧城市、平安城市等項目中不可或缺的一部分。

但在對安防監控系統使用的同時,我們也要對系統進行全面的考量。高效、易用、穩定、可靠都是對安防監控最為基本的要求,也正是基於監控行業的需求和發展趨勢,新華三深度分析了監控行業的特性和未來的發展,並創新性的推出了監控專用的網絡產品,同時推出了專用的安防監控行業解決方案。

不得不提的是,新華三推出的新一代MS安防交換機能夠支持20%的硬件冗餘、智能的緩存調度、10KV的端口防雷、寬溫(-20°-60°)特性、以及萬兆的性能設計,此外還獲得了公安三所的相關認證。最為重要的一點在於其能夠支持新華三的鷹視網管平台的相關特性。從而完美搭配安防監控場景對於高清、穩定、流暢、可控的訴求。而新華三也正是基於最先進的網絡設備及管理系統,為不同的客戶打造出了最為穩定、可靠、易用、高效的且完全適應場景化的視頻監控網解決方案。

在新華三的安防監控網解決方案中,最為核心的部分當屬鷹視統一管理平台,其能夠對安防監控網絡設備進行整體管控,解決了安防監控網絡看不清、控不住、管不了的難題!其主要功能主要包含以下幾點:

  ●全網掃描,自動納管:主動發包探測網絡中所有在線IP終端納入資產數據庫;

●私接仿冒,識別監控:識別IP終端類型,核查備案發現是否有私接仿冒行為;

 ●有線無線,一網打盡:只要網絡IP可達,接入網絡的終端就可以納入鷹視管控;

●違規終端,下線隔離:可以異常告警,也可以將違規終端下線隔離。

  多場景化應用

為了滿足不同場景的實際需求,新華三安防監控解決方案支持豐富的場景化應用,從智慧城市、平安城市到智能交通、園區監控、景區監控,乃至樓宇監控、电子警察,甚至特種監控,新華三安防監控解決方案都能夠完美支持。

譬如在雪亮工程、商貿聯鎖、酒店聯鎖、多分支園區、中小學等分支結構的使用場景中,新華三能夠提供多分支的安防監控場景方案。

其整網基礎架構主要基於MS監控交換機網絡設備組建而成,核心MS4500系列交換機穩定可靠,滿足了整網高可靠的要求。分支匯聚節點MS4300系列全光口交換機,作為分支節點的核心可帶200路攝像頭,同時光口組網可滿足分支節點下遠距離組網的需求;此外配合鷹視管理軟件,可做到全網掃描、自動納管,私接仿冒、識別監控,有線無線、一網打盡,違規終端、下線隔離的精細化、安全化、可視化的安防監控網解決方案。

當然,除了分支機構的使用場景外,在面對高層商廈、新建樓宇以及高層酒店等多樓層的安防監控場景中,新華三安防監控解決方案同樣適用。

和分支機構場景下的解決方案一樣,其整網基礎架構同樣是基於MS監控交換機網絡設備組建而成。其核心MS4500系列交換機搭載接入交換機(採用無管理設備,上電及組網,方便快捷),同時有POE設備為可受電攝像頭供電,解決了攝像頭供電難的問題;同時配合鷹視管理軟件,從而完成對多樓層的安防監控。

寫在最後

根據介紹,目前,新華三安防監控解決方案已落地園區、公安、交通等行業,並得到用戶的高度認可和肯定。由此不難看出,新華三通過專業的安防監控網絡設備配合專業的鷹視網管平台打造的安防監控解決方案,能夠真正滿足用戶的實際需求,為用戶安防保駕護航!

,
網站內容來源http://safe.it168.com/網站內容來源http://safe.it168.com/

【精選推薦文章】

如何讓商品強力曝光呢? 網頁設計公司幫您建置最吸引人的網站,提高曝光率!!

想要讓你的商品在網路上成為最夯、最多人討論的話題?

網頁設計公司推薦更多不同的設計風格,搶佔消費者視覺第一線

不管是台北網頁設計公司台中網頁設計公司,全省皆有專員為您服務

想知道最厲害的台北網頁設計公司推薦台中網頁設計公司推薦專業設計師”嚨底家”!!

助力平安城市 新華三安防監控解決方案解讀

開創萬兆組網時代 新華三商用萬兆解決方案解讀

開創萬兆組網時代 新華三商用萬兆解決方案解讀

2019-05-10 14:51    原創  作者: 高博 編輯:
0購買

隨着網絡技術的不斷髮展,越來越多的終端設備紛紛接入網絡,用戶對於高速網絡的需求越來越高。網絡速率也從10兆到百兆再到千兆一步步得以提升。我們享受了高速網絡所帶來的極大便利,但這些還遠遠不夠……

由於物聯網技術的大量延伸應用,以及企業業務對網絡需求的不斷提升,傳統的全千兆組網已經略顯吃力,由此對於萬兆組網的呼聲越來越高。針對用戶痛點問題,新華三認為商用全萬兆網絡的時代已經來臨,並正式推出商用萬兆解決方案。

為了不滿足不同場景下的真實需求,面向不同應用場景新華三推出多場景下的商用萬兆解決方案,從而最大化的滿足用戶需求。

 S6520-SI+S5130S-LI——開創中小場景萬兆組網時代

針對中小場景,新華三推出了H3C S6520-SI全萬兆交換機產品,共包含S6520-16S-SI(16SFP+)、S6520-24S-SI(24SFP+)兩種分銷款型,能夠為用戶提供大容量的交換服務;此外該產品定位於高速無線設備接入、匯聚,數據中心萬兆服務器接入、高速率園區網匯聚等應用場景。

在產品性能層面,H3C S6520-SI全萬兆交換機產品配備高速率的全萬兆接入端口,並支持全面的路由協議,此外還能夠提供多種認證方式等多重安全策略,為了滿足用戶的組網需求,H3C S6520-SI全萬兆交換機產品支持智能彈性架構,最多能夠支持9台設備堆疊並進行彈性擴展,並對產品的可靠性以及性能進行了提升。

除此之外,H3C S6520-SI全萬兆交換機產品還能夠搭配S5130S-LI系列全千兆網管接入交換機,從而打造全萬兆高性價比解決方案。

 S7000E+S5130S-SI——定位中小企業

除了中小場景下的應用,新華三還自主研發了H3C S7000E高端多業務路由交換機產品,該產品主要定位於中小型企業網絡核心層路由交換機。根據不同需求,用戶能夠對增強版主控、標準版主控以及各類板卡進行相關搭配,能夠配置多種端口形態的萬兆板卡。

和H3C S6520-SI一樣,H3C S7000E路由交換機同樣支持豐富的功能特性,其支持IRF2(第二代智能彈性架構—橫向虛擬化)功能,並能夠對組合的模塊化主機進行靈活配置,而H3C S7000E增強版主控還自帶隨板AC功能,能夠幫助企業組成便捷的有線無線一體化組網模式。而在安全防護層面,H3C S7000E能夠為用戶提供全方位的安全保障,從而幫助用戶抵禦多種網絡安全威脅。

當然,根據組網需要,H3C S7000E路由交換機需要搭載接入交換機進行使用,譬如通過搭載H3C S5130S-SI,為用戶打造高性能的全萬兆解決方案。根據介紹,H3C S5130S-SI是H3C自主開發的第二代二層萬兆上行以太網交換機產品,是為要求具備高性能、高端口密度、高上行速率且易於安裝的網絡環境而設計的第二代智能型可網管交換機。主要定位於對安全防禦能力要求較高的企事業單位萬兆上行辦公網使用。

  寫在最後

通過全方位的介紹不難發現,新華三商用萬兆解決方案能夠滿足用戶多場景下的使用需求,那新華三萬兆商用解決方案究竟能夠為用戶帶來哪些優勢呢?通過總結,其優勢主要體現在以下幾點:

首先,新華三商用萬兆解決方案能夠為用戶提供更高的帶寬,高帶寬可以讓用戶的網絡更快速的連接服務器,更順暢的訪問外網資源;其次能夠為用戶的網絡開闢更寬的“車道”,避免網絡擁塞和網絡卡頓,滿足高速無線設備接入、匯聚;在網絡傳輸層面,能夠做到更快速的網絡收斂,讓用戶的網絡性能更強、速度更快;最後,對於常存在突發大流量的組網需求,萬兆解決方案處理起來高併發流量更是不在話下。

網站內容來源http://safe.it168.com/網站內容來源http://safe.it168.com/

【精選推薦文章】

自行創業 缺乏曝光? 下一步”網站設計“幫您第一時間規劃公司的門面形象

網頁設計一頭霧水??該從何著手呢? 找到專業技術的網頁設計公司,幫您輕鬆架站!

評比前十大台北網頁設計台北網站設計公司知名案例作品心得分享

台北網頁設計公司這麼多,該如何挑選?? 網頁設計報價省錢懶人包”嚨底家”

開創萬兆組網時代 新華三商用萬兆解決方案解讀

等保2.0正式發布,如何做到標準合規?

等保2.0正式發布,如何做到標準合規?

2019-05-16 15:48    來源:廠商稿  作者: 廠商動態 編輯:
0購買

     等級保護制度是我國在網絡安全領域的基本制度、基本國策,是國家網絡安全意志的體現。《網絡安全法》出台後,等級保護制度更是提升到了法律層面,等保2.0在1.0的基礎上,更加註重全方位主動防禦、動態防禦、整體防控和精準防護,除了基本要求外,還增加了對雲計算、移動互聯、物聯網、工業控制和大數據等對象全覆蓋。等保2.0標準的發布,對加強中國網絡安全保障工作,提升網絡安全保護能力具有重要意義。

從等保基本要求的結構來看,從等保1.0到等保2.0試行稿,再到等保2.0最新稿,變化過程如下:

 

等保2.0充分體現了“一个中心三重防禦“的思想,一个中心指“安全管理中心”,三重防禦指“安全計算環境、安全區域邊界、安全網絡通信”,同時等保2.0強化可信計算安全技術要求的使用。

 

控制項的變化來看,等保2.0更加精簡,但實質上內涵更加豐富完善。

等保2.0第三級安全要求結構:

 

為幫助大家更好地理解等保2.0的變化,以等保三級為例,以下是1.0到2.0各控制點變化情況(紅色字體為新增內容、綠色字體為控制點名稱做了變化、灰色字體為已刪除控制點)。

在各類變化當中,特別值得關注的一個變化是等保二級以上,從1.0的管理制度中把“安全管理中心”獨立出來進行要求,包括“系統管理、審計管理、安全管理、集中管控“等,這是為了滿足等保2.0的核心變化——從被動防禦轉變為主動防禦、動態防禦。完善的網絡安全分析能力、未知威脅的檢測能力將成為等保2.0的關鍵需求。部署安全設備但不知道是否真的安全、不知道發生什麼安全問題、不知道如何處置安全的“安全三不知”將成為歷史。

   銳捷網絡近幾年陸續推出的大數據安全平台RG-BDS、動態防禦系統RG-DDP、沙箱RG-Sandbox、雲端安服中心等產品能極大地加強整網的“主動安全分析能力”,及時掌握網絡安全狀況,對層出不窮的“未知威脅與突發威脅”起到關鍵的檢測和防禦作用.這些產品和其它安全產品、網絡產品等一起結合AI、大數據、雲計算等技術構築了銳捷網絡的“動態安全”體系架構,為用戶提供一個具備動態響應、持續進化的符合等保2.0標準的整網安全保障體系。

 

,
網站內容來源http://safe.it168.com/網站內容來源http://safe.it168.com/

【精選推薦文章】

智慧手機時代的來臨,RWD網頁設計已成為網頁設計推薦首選

想知道網站建置、網站改版該如何進行嗎?將由專業工程師為您規劃客製化網頁設計及後台網頁設計

帶您來看台北網站建置台北網頁設計,各種案例分享

廣告預算用在刀口上,網站設計公司幫您達到更多曝光效益

等保2.0正式發布,如何做到標準合規?

華為智能安防,過去三個月做了什麼?

華為智能安防,過去三個月做了什麼?

2019-05-30 23:29    來源:廠商稿  作者: 廠商動態 編輯:
0購買

  對於經常出差的我來說,總會遇到各種囧事。記得上個月,當我到達重慶江北機場,順着空氣中的火鍋味欣喜地到達酒店時,瞬間我就懵了:我例行開密碼時,發現行李箱打不開!仔細一看,眼前行李箱不是我的,雖然外觀和我的一模一樣。

  已是半夜,我依然心急火燎地去了機場派出所,隨後按照值班民警給出的流程,先去旅客服務中心調監控。至今還記得在看視頻的一幕幕,當從不同方位和角度看到拿着我行李箱的老兄從容地走出航站樓,我還是深吸一口氣:這位老兄沒有轉機。

  之後重慶機場派出所的值班民警很給力,依照監控信息開始找線索,並在次日上午10點就聯繫到了拿錯箱子的那位老兄,當時的我百感交集,如果有兩面錦旗,一面送給盡心儘力的值班民警,另一面就要送給重慶機場的智能安防系統。

  如今,無論是專業人士還是普通的老百姓,都能夠感受到智能安防帶來的便捷,比如智能安防系統能自動對違法行為進行識別(哪怕是初步的篩選),就可以大大地提高對違法行為的響應時間。

  對於我們普通老百姓而言,當然就是更安全、更便捷的生活:你會發現你的快遞不會失蹤,到得也更快;生活中的不文明行為會更少;你的家變得更加安心,哪怕是你不在的時候。

  隨着安防與AI、網絡技術的不斷結合,安防市場由注重密度、廣度、清晰度向智能化升級,我們可以進而再暢想下,在智能化,雲化的時代下,什麼樣的安防系統讓我們的城市和企業更加智慧安全?

  不妨看華為的戰略的和做法,華為提出的理念是“全棧雲、全智能、全場景”的智能安防,在產品和核心技術上,通過前瞻的設計幫助安防客戶向智能化演進;在市場、渠道建設和生態構建上,從2月到5月,華為在全國各地舉行了主題為“輕雲直上 視界大開”智能安防新品發布暨渠道專場招募會近20場,覆蓋了北京、南京、杭州、福州、四川、廣州等重點省會城市。華為用先進的技術能力,優質健康的政策吸引更多生態夥伴共同推進安防產業向智能演進。

  用前瞻解耦架構 快速精準出擊

  從規模來看,安防行業已經成為在全球範圍內超過200億美金,中國市場超過500億人民幣的大市場,同時,這個市場仍以年均12.4%的增速持續增長。

  作為剛需,安防廣泛應用於平安城市、智能交通、智能樓宇、環保、金融、醫療等行業。據中安協發布的《中國安防行業“十三五”(2016-2020年)發展規劃》指出,“十三五”期間,安防行業將向規模化、自動化、智能化轉型升級,且到2020年,安防企業總收入將達到8000億元左右,年增長率達10%以上。

  從產業發展來看,傳統安防主要聚焦於硬件,產品的耦合性高,靈活性不足,後期的更新和運維成本高昂,而且當硬件發展到一定階段后,真正決定用戶體驗的是內部軟件。

  傳統的安防系統,存在“建而不聯、聯而不用、用而不深”等現象,現有業務為煙囪式架構,無法靈活適配軟、硬件需求,大量社會價值圖像信息尚未有效整合共享,深層應用較少。

  在“看得廣、看得遠、看得清”的基礎上,智能安防要滿足客戶“看得懂”的需求,在海量的視頻數據下,提升有效視頻信息的搜索效率,對視頻數據實施有效的挖掘和分析才是重點。

  在智能化進程中,華為智能安防產品線成為華為公司戰略的主要方向之一,依託多年在視頻解碼算法、網絡傳輸、雲存儲及大數據智能分析方面的技術積累,華為推出全系列智能安防產品,率先實現了架構的開放解耦,並搭載業界領先的AI芯片,用超大算力支撐架構開放帶來的需求變化,使得產品可演進、可升級。

  在技術上,視頻安防也成為華為人工智能最先進應用、業務場景最明確的領域,也是同時匯聚雲計算、大數據、AI的技術聖地,使得智能安防不僅會充分釋放原有市場需求,並且也將再度拓寬安防市場空間。

  向全智能演進 露出高手潛質

  對於智能安防而言,首先要通過智能攝像機提取出有效數據,華為智能安防攝像機與以往的安防攝像機相比有很大不同,華為稱之為“軟件定義攝像機”。

  實際上,軟件定義消除了傳統攝像機以硬件為核心而產生的應用痛點和局限性,加載了不同算法的軟件定義攝像機不僅可以實現不同的功能,最重要的是可以自主學習,藉助算法商店能夠在線升級;軟件定義攝像機可以實現靈活組網,具有社會屬性,實現互助式進化,即協同與算力共享。

  另外,華為軟件定義智能攝像機支持夜間、運動中識別人臉、車輛等目標,可自動識別陰霾、雨霧等複雜天氣,滿足園區、醫院、社區等公共場所監控需要的同時,解決傳統安防系統視頻利用率低、數據不可控等問題。

  從成都到廣州,在近20場發布會中,華為”五星”系列軟件定義攝像機贏得與會人員追捧,每一款產品都具有其獨特的產品優勢,搭載業界最強算力的AI芯片,具備按需定義、分層智能、持續演進的核心特性,賦予攝像機全新生命力。以華為“星像”為例,其每秒200張人臉/幀的計算量,可實現對人群密集區域的實時特徵充分提取、特徵比對等功能。

  除了軟件定義攝像機這個先鋒隊之外,華為希望將智能推向全境。

  為此華為發布視頻雲、智能數據平台和智能指揮平台等方面,為客戶提供更多、更自主的選擇。華為的視頻雲平台CloudIVS系列產品可實現視頻圖像接入、存儲轉發、視頻圖像分析、特徵檢索等功能。可實時特徵提取,實時比對,就近二次解析、特徵檢索,實現本地業務快速閉環,全雲共享,跨域協同。

  未來,華為智能安防將投入千億級研發力量,集結華為在“聯接、存儲、雲計算、芯片、智能、安全”等各個領域最先進的技術,實現華為的獨特價值。

  在我看來,依託首創“軟件定義攝像機(SDC)+智能視頻雲平台+智能大數據雲平台+智能指揮平台”新方案作支撐, 將數據貫穿端雲,將安全深入骨髓,打造出“全棧雲、全智能,全場景”智能安防解決方案助力客戶向智能演進。

  用開放心態 做生態沃土

  在這個“硬件為王,智能初入”的行業,只有擁有足夠的開放度和包容度才可能與時俱進,通過廣泛而強大的生態形成合力,華為希望構建平安城市,推動安防產業全面走向智能化。

  第一,華為正構建開放的生態體系,期望1+1>2,把華為已有的優勢快速整合成能夠被最終用戶所需要的解決方案,給客戶更多空間和靈活度去按需定義應用場景。

  無論是軟件定義攝像機的進化,還是視頻雲平台,華為不遺餘力地打造開放平台,邀請更多的合作夥伴實現方案和業務的互補,進一步推動可視化和智能化的實現。

  第二,在活動中,“華為只做黑土地”的生態原則給了合作夥伴定心丸,華為智能安防渠道招募計劃及政策,同樣受到合作夥伴的一致認可,在近20場智能安防新品發布暨渠道招募,已有大規模渠道夥伴加入華為智能安防大家庭。

  對於分銷合作夥伴來講,華為智能安防提供更優質更完善的解決方案,讓合作夥伴更快的匹配客戶需求,更好的服務客戶;對於ISV來說,華為立足於做好基礎的支撐平台,為各類合作夥伴提供充足養分和陽光,讓專業ISV的各類視頻應用在肥沃的黑土地上生根發芽,百花齊放,結出甜美誘人的果實。

  今年3月初華為發布的“2019年合作夥伴產品銷售拓展激勵計劃”中,智能安防產品的激勵名額和總獎勵金額成為排頭兵。加入到華為智能安防生態體系中的夥伴,當單項目智能安防產品總金額和項目包含的攝像機數量滿足條件時,就有機會獲得頗為豐厚的項目激勵。

  第三,明確清晰的邊界,是華為建設生態圈的承諾,客戶、夥伴、華為各有各的定位和價值,華為提供可靠、高效、端到端的平台,上面承載合作夥伴的各種應用,華為始終堅持與合作夥伴互為依存,打造“客戶+夥伴+華為”命運共同體。

  立足開放、明晰邊界、營造生態圈口碑,讓越來越多的企業願意走進華為的生態圈,打造共贏、穩健的生態環境這也是未來華為智能安防後續渠道建設的重點方向。

  總結來看,未來安防產業的走向可以概括為六個字——“預測、預警、預防”,圍繞這個目標,華為將解耦進行到底,將智能推向全境,將數據貫穿端雲,驅動着整個產業的平台架構、商業模式、用戶體驗、業務形態等各個方面產生顛覆性的變革。

  與此同時,華為希望扮演好“黑土地”的角色,通過開放的生態以最適合的服務與產品,匹配用戶最迫切的需求,讓合作夥伴、客戶可以在這片精心培育的沃土上播種、耕耘,促進安防行業從“洞見”時代進入智能“預見”的時代。

  【彩蛋】

  5月30-31日,“2019華為智能安防生態聯盟同略會”在杭州千島湖召開,匯聚各路安防合作夥伴共同探討智能時代下安防生態戰略建設,領航千億藍海市場。

,
網站內容來源http://safe.it168.com/網站內容來源http://safe.it168.com/

【精選推薦文章】

如何讓商品強力曝光呢? 網頁設計公司幫您建置最吸引人的網站,提高曝光率!!

想要讓你的商品在網路上成為最夯、最多人討論的話題?

網頁設計公司推薦更多不同的設計風格,搶佔消費者視覺第一線

不管是台北網頁設計公司台中網頁設計公司,全省皆有專員為您服務

想知道最厲害的台北網頁設計公司推薦台中網頁設計公司推薦專業設計師”嚨底家”!!

華為智能安防,過去三個月做了什麼?

一文讀懂 | 等保標準演變史(1.0~2.0)

一文讀懂 | 等保標準演變史(1.0~2.0)

2019-05-14 16:22    原創  作者: 山石網科 編輯:
0購買

 摘要:

  在業界呼聲極高的等保2.0,於2019年5月13日正式發布。山石網科資深專家第一時間為您分析解讀,等保2.0發生了哪些重要變化?

  進入等保2.0時代,我們應重點對雲計算、移動互聯、物聯網、工業控制以及大數據安全等進行全面安全防護,確保關鍵信息基礎設施安全。

隨着雲計算、移動互聯、大數據、物聯網、人工智能等新技術不斷湧現,計算機信息系統的概念已經不能涵蓋全部,特別是互聯網快速發展帶來大數據價值的凸顯。雲計算、大數據、工業控制系統、物聯網、移動互聯等新技術的不斷拓展已經成為產業結構升級的堅實基礎,而其中網絡和信息系統作為新興產業的承載者,構建起了整個經濟社會的神經中樞,保證其安全性不言而喻。

由於業務目標的不同、使用技術的不同、應用場景的不同等因素,不同的等級保護對象會以不同的形態出現,表現形式有基礎信息網絡、信息系統、雲計算平台、大數據平台、物聯網系統、工業控制系統等。形態不同的保護對象面臨的威脅有所不同,安全保護需求也會有所差異。現有的標準體系需要提升台階,去適應新技術的發展,等級保護的相關標準也需要跟上新技術的變化。“等保1.0”的標準體系在適用性、時效性、易用性、可操作性上需要進一步擴充和完善,因此“等保2.0“應運而生。

等級保護2.0安全框架

  針對等級保護對象特點建立安全技術體系和安全管理體系,構建具備相應等級安全保護能力的網絡安全綜合防禦體系。應依據國家網絡安全等級保護政策和標準,開展組織管理、機制建設、安全規劃、通報預警、應急處置、態勢感知、能力建設、監督檢查、技術檢測、隊伍建設、教育培訓和經費保障等工作。

  • 名稱的變化

首先安全的內涵由早期面向數據的信息安全,過度到面向信息系統的信息保障(信息系統安全),並進一步演進為面向網絡空間的網絡安全。網絡安全(cybersecurity)以其更豐富的內涵逐步取待信息安全成為安全領域共識,《中華人民共和國網絡安全法》明確規定“國家實行網絡安全等級保護制度“,相關法律條文和標準也需保持一致性,“等保2.0“與時俱進的將原標準的”信息系統安全等級保護“改為”網絡安全等級保護“,例如《信息系統安全等級保護基本要求》改為《網絡安全等級保護基本要求》。

等保2.0對定級指南、基本要求、實施指南、測評過程指南、測評要求、設計技術要求等標準進行修訂和完善,以滿足新形勢下等級保護工作的需要,其中《信息安全技術 網絡安全等級保護測評要求》、《信息安全技術 網絡安全安全等級保護基本要求》、《信息安全技術 網絡安全等級保護安全設計要求》已於2019年5月10日發布,並將在2019年12月1日實施。

  • 等級保護對象的演變

在開展網絡安全等級保護工作中應首先明確等級保護對象。

 等保1.0定義等級保護對象為:信息安全等級保護工作直接作用的具體信息和信息系統。隨着雲計算平台、物聯網、工業控制系統等新形態的等級保護對象不斷湧現,原定義內涵局限性日益顯現。

等保2.0定義等級保護對象為:包括基礎信息網絡、雲計算平台/系統、大數據應用/平台/資源、物聯網、工業控制系統和採用移動互聯技術的系統等。

  • 內容的變化(以基本要求為例)

 等保1.0:安全要求

  等保2.0:安全通用要求和安全擴展要求

• 安全通用要求

• 雲計算安全擴展要求

• 移動互聯安全擴展要求

• 物聯網安全擴展要求

• 工業控制系統安全擴展要求

等保2.0安全通用要求是普適性要求,是不管等級保護對象形態如何,必須滿足的要求;針對雲計算、移動互聯、物聯網和工業控制系統,除了滿足安全通用要求外,還需滿足的補充要求稱為安全擴展要求。

雲計算安全擴展要求針對雲計算的特點提出特殊保護要求。雲計算環境主要增加的內容包括“基礎設施的位置”、“虛擬化安全保護”、“鏡像和快照保護”、“雲服務商選擇”和“雲計算環境管理”等方面。

針對移動互聯環境主要增加的內容包括“無線接入點的物理位置”、“移動終端管控”、“移動應用管控”、“移動應用軟件採購”和“移動應用軟件開發”等方面。

物聯網安全擴展要求針對物聯網的特點提出特殊保護要求。對物聯網環境主要增加的內容包括“感知節點的物理防護”、“感知節點設備安全”、“感知網關節點設備安全”、“感知節點的管理”和“數據融合處理”等方面。

工業控制系統安全擴展要求針對工業控制系統的特點提出特殊保護要求。對工業控制系統主要增加的內容包括“室外控制設備防護”、“工業控制系統網絡架構安全”、“撥號使用控制”、“無線使用控制”和“控制設備安全”等方面。

  • 控制措施分類結構的變化

以基本要求為例,充分體現一个中心,三重防禦的思想(和GB/T 25070保持一致,與設計要求融合)。

  • 總結一下

1、等級保護的基本要求、測評要求和設計技術要求統一框架,構建“一个中心,三重防護“的體系框架;

2、通用安全要求+新型應用安全擴展要求,將雲計算、移動互聯、物聯網、工業控制系統等列入標準規範;

基於此,進入等保2.0時代,我們應重點對雲計算、移動互聯、物聯網、工業控制以及大數據安全等進行全面安全防護,確保關鍵信息基礎設施安全。

網站內容來源http://safe.it168.com/網站內容來源http://safe.it168.com/

【精選推薦文章】

自行創業 缺乏曝光? 下一步”網站設計“幫您第一時間規劃公司的門面形象

網頁設計一頭霧水??該從何著手呢? 找到專業技術的網頁設計公司,幫您輕鬆架站!

評比前十大台北網頁設計台北網站設計公司知名案例作品心得分享

台北網頁設計公司這麼多,該如何挑選?? 網頁設計報價省錢懶人包”嚨底家”

一文讀懂 | 等保標準演變史(1.0~2.0)