近年來(lái)，網(wǎng)絡(luò)安全事件頻發(fā)，企業(yè)及用戶紛紛投注更多的心力去維護(hù)自身的網(wǎng)絡(luò)安全。相對(duì)于各種防范措施，防范于未然，扼殺安全隱患才是最有效的辦法，而新思科技(Synopsys)的產(chǎn)品正是基于這樣的理念作為自身強(qiáng)化網(wǎng)絡(luò)安全及提升軟件質(zhì)量的關(guān)鍵……
　　在過(guò)去沒(méi)有多久的第二屆世界互聯(lián)網(wǎng)大會(huì)上，習(xí)近平主席提到，安全和發(fā)展是一體之兩翼、驅(qū)動(dòng)之雙輪。安全是發(fā)展的保障，發(fā)展是安全的目的，兩者之間相輔相成，共同促進(jìn)各行各業(yè)的繁榮與進(jìn)步。
　　在互聯(lián)網(wǎng)技術(shù)高速發(fā)展的今天，因網(wǎng)絡(luò)的開放性、隱蔽性、跨地域性等特性，許多安全問(wèn)題亟待解決，比如在過(guò)去的2015年，全球便發(fā)生了多起網(wǎng)絡(luò)安全事件，如美國(guó)人事管理局OPM數(shù)據(jù)泄露，規(guī)模達(dá)2570萬(wàn)，直接導(dǎo)致主管引咎辭職;英寬帶運(yùn)營(yíng)商TalkTalk被反復(fù)攻擊，400余萬(wàn)用戶隱私數(shù)據(jù)終泄露;摩根士丹利35萬(wàn)客戶信息涉嫌被員工盜取;日本養(yǎng)老金系統(tǒng)遭網(wǎng)絡(luò)攻擊，上百萬(wàn)份個(gè)人信息泄露等。

雖然這些數(shù)據(jù)我們時(shí)常耳聞，但安防行業(yè)人士仍然會(huì)認(rèn)為網(wǎng)絡(luò)安全問(wèn)題距離我們?nèi)院苓b遠(yuǎn)甚至無(wú)關(guān)，但“安全門”事件的爆發(fā)讓業(yè)內(nèi)人士繃緊了神經(jīng)，一個(gè)不爭(zhēng)的事實(shí)擺在眼前：互聯(lián)網(wǎng)技術(shù)在融入我們生活、工作、學(xué)習(xí)的方方面面的同時(shí)，網(wǎng)絡(luò)安全問(wèn)題已經(jīng)是無(wú)可避免的問(wèn)題。以安全防范為核心的安防行業(yè)，網(wǎng)絡(luò)安全問(wèn)題的重要性已經(jīng)被提升到一個(gè)前所未有的新高度。
　　在此背景下，不僅讓安防企業(yè)在編解碼、傳輸、軟件管理平臺(tái)、存儲(chǔ)中下足功夫，甚至也吸引了其他行業(yè)的技術(shù)型企業(yè)的進(jìn)入，新思科技(Synopsys)便是其中之一。作為電子設(shè)計(jì)自動(dòng)化(EDA)和半導(dǎo)體知識(shí)產(chǎn)權(quán)(IP)領(lǐng)域的領(lǐng)導(dǎo)者，早在2014年便建立了一個(gè)專注軟件質(zhì)量和軟件安全的新部門?！巴ㄟ^(guò)收購(gòu)靜態(tài)分析技術(shù)供應(yīng)商Coverity，我們成立了這個(gè)新的事業(yè)部，之后我們又陸續(xù)收購(gòu)了五家企業(yè)(Kalistick、Codenomicon、Seeker、Protecode、Goanna)進(jìn)一步強(qiáng)化測(cè)試的最佳化和靜態(tài)分析的技術(shù)實(shí)力?！盨ynopsys高級(jí)副總裁暨SIG總經(jīng)理AndreasKuehlmann介紹，“我們賦予硬件設(shè)計(jì)更多的可預(yù)測(cè)性，在軟件方面，我們的戰(zhàn)略在一定的程度上也朝著同樣的方向在發(fā)展，為更多的設(shè)計(jì)師解決各種關(guān)鍵挑戰(zhàn)，從而降低成本和進(jìn)度風(fēng)險(xiǎn)。”
      舉要治繁以技術(shù)捍衛(wèi)安全
　　在此背景下，不僅讓安防企業(yè)在編解碼、傳輸、軟件管理平臺(tái)、存儲(chǔ)中下足功夫，甚至也吸引了其他行業(yè)的技術(shù)型企業(yè)的進(jìn)入，新思科技(Synopsys)便是其中之一。作為電子設(shè)計(jì)自動(dòng)化(EDA)和半導(dǎo)體知識(shí)產(chǎn)權(quán)(IP)領(lǐng)域的領(lǐng)導(dǎo)者，早在2014年便建立了一個(gè)專注軟件質(zhì)量和軟件安全的新部門。“通過(guò)收購(gòu)靜態(tài)分析技術(shù)供應(yīng)商Coverity，我們成立了這個(gè)新的事業(yè)部，之后我們又陸續(xù)收購(gòu)了五家企業(yè)(Kalistick、Codenomicon、Seeker、Protecode、Goanna)進(jìn)一步強(qiáng)化測(cè)試的最佳化和靜態(tài)分析的技術(shù)實(shí)力?！盨ynopsys高級(jí)副總裁暨SIG總經(jīng)理AndreasKuehlmann介紹，“我們賦予硬件設(shè)計(jì)更多的可預(yù)測(cè)性，在軟件方面，我們的戰(zhàn)略在一定的程度上也朝著同樣的方向在發(fā)展，為更多的設(shè)計(jì)師解決各種關(guān)鍵挑戰(zhàn)，從而降低成本和進(jìn)度風(fēng)險(xiǎn)。”
　　2010年作為安防行業(yè)發(fā)展的重要分水嶺，視頻監(jiān)控行業(yè)經(jīng)歷了從模擬監(jiān)控轉(zhuǎn)向網(wǎng)絡(luò)監(jiān)控發(fā)展的變革。自此之后，許許多多的網(wǎng)絡(luò)攝像機(jī)、NVR、IP存儲(chǔ)服務(wù)器等產(chǎn)品的面世，意味著視頻監(jiān)控開始快速向數(shù)字化技術(shù)發(fā)展，與此同時(shí)安防行業(yè)進(jìn)入高速發(fā)展時(shí)期，從模擬到數(shù)字，從單品到系統(tǒng)，從高清化、智能化、大數(shù)據(jù)到云計(jì)算等等概念接踵而至，讓安防廠商應(yīng)接不暇，并一直被網(wǎng)絡(luò)的大潮推著往前走，正因?yàn)楦蠒r(shí)代的潮流已經(jīng)不容易，所以目前安防工程中，網(wǎng)絡(luò)安全問(wèn)題仍沒(méi)有作為第一要素，工程無(wú)論在管理標(biāo)準(zhǔn)制定、設(shè)計(jì)、施工、驗(yàn)收上都缺乏明確的要求和規(guī)范，甚至可以這樣認(rèn)為，網(wǎng)絡(luò)安全對(duì)于安防行業(yè)而言仍然是一塊空白和陌生的領(lǐng)地。
　　自2014年起，視頻監(jiān)控產(chǎn)業(yè)中多起網(wǎng)絡(luò)攻擊事件讓安防從業(yè)人員開始關(guān)注到新的問(wèn)題點(diǎn)——網(wǎng)絡(luò)安全。2015年注定是載入安防發(fā)展史的重要一年，也勢(shì)必會(huì)成為安防產(chǎn)業(yè)邁入網(wǎng)絡(luò)化時(shí)代的重要里程碑，與此同時(shí)用戶對(duì)產(chǎn)品的全方位安全性能提出更高的要求，如何讓技術(shù)跟進(jìn)市場(chǎng)需求，這將是未來(lái)市場(chǎng)又一主陣地。無(wú)論從技術(shù)面、產(chǎn)品設(shè)計(jì)、企業(yè)經(jīng)營(yíng)等層面看，“安全門”事件都將對(duì)安防行業(yè)的發(fā)展產(chǎn)生深遠(yuǎn)的影響。
　　雖然安防行業(yè)對(duì)于網(wǎng)絡(luò)安全的認(rèn)知相比IT及電信行業(yè)要顯得落后，但無(wú)論是國(guó)家政策還是行業(yè)發(fā)展，網(wǎng)絡(luò)安全是趨勢(shì)，也必然會(huì)是未來(lái)行業(yè)的硬性指標(biāo)。如果說(shuō)以前的安防行業(yè)發(fā)展強(qiáng)調(diào)穩(wěn)定性，隨著安全性價(jià)值的挖掘，將來(lái)必然是安全性為王，在行業(yè)不斷洗牌的過(guò)程中，這點(diǎn)無(wú)疑將會(huì)成為安防設(shè)備商新的差異化競(jìng)爭(zhēng)優(yōu)勢(shì)。
　　毋庸置疑，面對(duì)網(wǎng)絡(luò)信息安全的問(wèn)題，沒(méi)有人可以置身度外，沒(méi)有誰(shuí)又可以做到銅墻鐵壁百毒不侵!隨著網(wǎng)絡(luò)技術(shù)越來(lái)越發(fā)達(dá)，網(wǎng)絡(luò)安全問(wèn)題得到越來(lái)越多人的重視?！袄鏗eartbleed安全漏洞就因?yàn)楸┞读思用苄畔⒍蔀樵O(shè)備制造商關(guān)注的安全議題。可喜的是現(xiàn)在已經(jīng)有越來(lái)越多的設(shè)備制造商重視網(wǎng)絡(luò)安全和源代碼的質(zhì)量問(wèn)題?！彪m然處理網(wǎng)絡(luò)安全和軟件質(zhì)量的方法有許多種，但最可靠和最直接的辦法卻是從源頭上進(jìn)行扼制。AndreasKuehlmann認(rèn)為，解決安全問(wèn)題的關(guān)鍵是要找到一個(gè)能夠互補(bǔ)的辦法，因此新思科技通過(guò)以下四種技術(shù)，集中軟件開發(fā)的早期階段解決安全問(wèn)題：
　　其一，靜態(tài)源代碼掃描測(cè)試(StaticAnalysis)，也稱為白盒測(cè)試，對(duì)應(yīng)產(chǎn)品：Coverity。白盒測(cè)試能在源代碼的基礎(chǔ)上提供靜態(tài)分析，能夠在研發(fā)階段查找出代碼中難以發(fā)現(xiàn)的重大關(guān)鍵軟件缺陷和安全缺陷。目前支持的開發(fā)的語(yǔ)言包括C、C++、Java、C#、ObjectiveC、JavaScript、Python和PHP等，未來(lái)支持的開發(fā)語(yǔ)言將大大增加。通過(guò)讀取源代碼，實(shí)現(xiàn)深度分析來(lái)檢測(cè)安全漏洞;
　　其二，基于通訊協(xié)議的模糊測(cè)試(DynamicAnalysisorFuzzingTesting)，也稱為黑盒測(cè)試，對(duì)應(yīng)產(chǎn)品：Defensics。Defensics模擬引擎是業(yè)界第一款基于狀態(tài)的模糊測(cè)試用例生成器。它利用嘗試協(xié)議模型來(lái)智能的、精確的向軟件輸入有組織的破壞性數(shù)據(jù)，試圖使系統(tǒng)崩潰，從而發(fā)現(xiàn)系統(tǒng)的未知缺陷和漏洞。目前覆蓋大約260多種協(xié)議，包含HTTP、RTSP、SIP、TCP/IP、Wi-Fi等常用協(xié)議;
　　其三，軟件成份分析(SoftwareCompositionAnalysis)，對(duì)應(yīng)產(chǎn)品：Protecode。針對(duì)目前軟件開發(fā)過(guò)程中90%的部分是由開源代碼和第三方組件構(gòu)成的，軟件成分分析工具Protecode能讓用戶快速精確的檢測(cè)和審計(jì)當(dāng)前代碼庫(kù)中是否使用了已有開源代碼、組件或模塊，并確認(rèn)這些開源部分是否違反開源協(xié)議，并協(xié)助用戶規(guī)避違反開源協(xié)議導(dǎo)致的法律風(fēng)險(xiǎn);Protecode還能夠檢測(cè)當(dāng)前使用的開源代碼、已經(jīng)打包的二進(jìn)制文件組件或模塊中是否包含已知的安全漏洞，Protecode已經(jīng)集成了多個(gè)知名缺陷庫(kù)，能夠有效防范黑客攻擊;
　　其四，交互式應(yīng)用程序安全性測(cè)試(InteractiveApplicationSecurityTesting)，對(duì)應(yīng)產(chǎn)品：Seeker。針對(duì)網(wǎng)絡(luò)應(yīng)用領(lǐng)域的互動(dòng)式應(yīng)用軟件安全進(jìn)行測(cè)試，通過(guò)對(duì)網(wǎng)絡(luò)應(yīng)用程序?qū)崟r(shí)操作的監(jiān)控，Seeker能夠高效分析前端頁(yè)面，中間數(shù)據(jù)處理層和后端數(shù)據(jù)庫(kù)可能存在的惡意攻擊。包括著名的OWASPTop10跨站腳本攻擊、SQL注入、目錄遍歷等真實(shí)存在的問(wèn)題。
　　雖然這些源代碼看上去似乎微不足道，但往往正是這些漏洞導(dǎo)致非常嚴(yán)重的安全事件的發(fā)生。