语言选择
投资者关系

回顾2018,展望2019 |大华网络安全迈向新征程

大华一贯将网络安全和隐私保护作为公司最高纲领,并成立网络安全委员会作为最高决策组织,从公司战略层面全面规划、统筹指导、监督实施。组建专业的安全团队,拥有各类网络安全人员百余人,负责公司安全战略的全面落地。设立专项资金投入,保障安全流程、安全技术、安全解决方案、安全测试和应急响应等领域扎实推进、稳步提升。


安全软件开发流程

2018年,大华持续推进安全软件开发生命周期(sSDLC)的建设,开展全面且深入的安全活动成熟度评估,推动安全活动融入IPD流程,通过对开发流程的规范和软件工程的控制,进一步建立健全了适合大华的安全研发管控体系。

典型的安全活动包括:

√ 实施面向研发中心全员的安全需求理解、安全设计方法、安全编码规范、安全测试方法、安全工具使用等培训

√ 基于GDPR合规与德国TÜV莱茵隐私保护认证,建立隐私需求

√ 基于安全基线,建立安全需求

√ 针对IPC、NVR、智能锁、云等产品系列与服务进行威胁建模和威胁消减,不断加强安全设计能力

√ 执行严格的代码静态分析和缺陷修复

√ 覆盖所有版本的安全测试和渗透测试,进行全面的安全扫描、安全功能验证和攻击渗透验证

√ 产品发布前安全检查,包含安全需求和安全设计的一致性、数据合规性、安全测试和渗透测试的完备性,以及产品安全指导文档


安全基线

大华致力于为用户提供良好的功能体验的同时,享受默认安全的保障,为此大华持续在网络安全大力投入,组建专业安全团队,不断提升产品安全性能。

大华启动“安全基线”构建以来,一直秉承透明、开放、专业、负责、持续升级的理念,让用户更加直观地感受到大华产品的安全能力。客户安全需求调研、行业安全动态跟踪、安全标准与法规遵从、产品威胁建模分析、关键安全技术预研等活动既是支撑 “安全基线”构建和演进的基石,也是检验标准。经过基线1.0系列的探索调研、迭代升级和落地反馈,已打造出“AAA+CIA+S”的安全布局,形成了覆盖硬件安全、系统安全、应用安全、网络安全和数据安全等一系列安全实践。其中,AAA代表认证(Authentication)、授权(Authorization)、安全审计(Audit),CIA代表保密性(Confidentiality)、完整性(Integrity)、可用性(Availability),S为专项安全(Special)。“安全基线”已成为大华安全企业标准,作为支撑大华sSDLC的标准库,保障所有产品共享安全成果。

2019年,大华“安全基线”即将迎来2.0版本的全面升级,大华产品也将以更加安全和规范的品质服务用户。


隐私基线

大数据时代,信息呈现出爆炸式的增长趋势,数据无疑成为企业和个人最重要的资产。企业和个人越来越关注数据安全和隐私保护,各国也相继颁发了有关个人数据保护的法律法规。

大华非常重视数据安全和隐私保护,中国《信息安全技术 个人信息安全规范》、欧盟GDPR颁布以来,大华一直采取积极且务实的态度和策略应对。大华作为全球视频监控领域首批通过德国TÜV莱茵针对IoT产品数据安全和隐私保护认证的企业,IPC和NVR产品率先获取认证,软件平台DSS和智能服务器IVS随后也开展了认证。

在积极开展认证的同时,为进一步全面提升产品的隐私保护水平,更好地帮助客户实现合规,大华结合内部产品安全要求、个人信息安全规范、GDPR法规和莱茵标准等,制定了《大华个人数据及隐私保护标准要求》,在用户同意、隐私友好设置、默认隐私保护与设计、数据安全等方面进行了明确的规范,并作为隐私基线导入sSDLC流程。


威胁建模

威胁建模,作为sSDLC的核心活动,是安全设计核心原则之一,是产品安全提升的关键举措。

大华确立了“STRIDE模型+攻击树模型”相结合的威胁建模工程方法,并先后针对IPC、NVR、智能锁、云等产品系列与服务进行威胁建模。通过威胁建模活动,能够在软件生命周期早期识别安全威胁、减小攻击面,进而反哺安全需求、指导源代码分析、辅助安全设计和渗透测试。

威胁建模是一个持续循环的动态模型,2019年大华将继续推进新一轮的建模活动,以适应不断发现的新型威胁与攻击。


安全测试

产品安全质量越来越引起客户和终端用户的关注。把控好产品网络安全质量,大华股份一直在持续努力。

安全测试作为sSDLC核心活动,贯穿于项目研发周期,从需求、设计、编码、测试、漏洞管理等多环节、多维度、全视角跟进产品安全质量;延展产品全生命周期质量管控。分解多项活动目标,从安全测试策略准入、安全需求验证、安全测试基线验证、滥用用例检证、基于威胁建模的攻击面分析、产品定制安全测试用例、隐私数据和个人敏感数据检证、法律/法规合规性验证、漏洞自动扫描、病毒扫描、开源软件及第三方组件漏洞验证等多方面活动项保障产品安全质量。

以蓝队Blue Team思维和视角将安全测试工作落地产品研发,通用和定制相结合的模式、因地制宜的针对项目进行活动定制和落地赋能。安全测试团队从系统安全、业务安全、管理安全等多维度进行安全质量保障。构建成熟的“网络安全”活动体系,规范化、标准化的文档在过程改进和知识分享体系,进行研发典型问题根因回溯总结。


渗透测试

为了保障发布产品的安全质量,大华公司内部按照业界通用标准和规范,参考外部第三方安全评测组织的模式;从红队Red Team角度上,按照规范化、标准化、流程化、公开和公正的检证机构要求,成立不参与项目干系方、独立于产品线研发的“内部网络安全实验室”;作为专业化的内部独立第三方渗透测评团队,把控产品安全质量发布的最后一关。

循序渐进的运用多种渗透测试方法,对产品进行黑盒测试、灰盒测试、白盒测试、逆向分析、Fuzzing测试、业务场景分析、基于威胁建模的攻击面分析、漏洞案例分析等方法和工具,建立IoT攻击模式库、典型产品渗透测试基线、云安全测试基线等贴近产品多形态的渗透测试方法和模式。有效的工作管控做到公司产品渗透测试全覆盖。

渗透测试团队技能紧跟安全事态和威胁发展流向,实时保持跟外部国内外安全测评机构/公司的交流、参加业内知名安全会议,引入优秀实践和关键案例。


漏洞管理及应急响应

大华产品安全事件响应中心(Product Security Incident Response Team,简称PSIRT)负责接受、处理和公开披露大华产品和解决方案相关的安全漏洞,同时大华PSIRT是公司对漏洞信息进行披露的唯一出口。做好产品漏洞管理,负责任披露产品安全威胁/漏洞,及时向客户和终端用户提供修复建议和方案。

大华PSIRT具有一整套规范的、完整的漏洞处理和应急响应处理流程和模板,按照公司统一要求对产品漏洞进行全生命周期管理。漏洞作为关键信息安全资产做到有效管控,面向客户进行负责任披露,得到客户和终端用户的广泛认可;按照负责任披露和信息有效公开模式,保障客户/终端用户的知情权、增进产品安全满意度。

满足客户对产品安全定制化服务等级需求,对安全事件24小时快速应急响应,端对端的向客户披露安全问题/漏洞、实时通报安全事件进展。对安全事件做好技术分析和根因排查,做好漏洞分析和问题回溯;利用安全事件/漏洞的根因分析报告,迭代改善sSDLC安全需求引入,阶段性的提升网络安全成熟度模型。


关键安全技术

网络攻防是一个不断博弈的过程,没有永恒的安全。为了应对不断升级的攻击技术和方法,顺应行业安全发展趋势和需求,大华安全团队持续深耕关键安全技术,通过外部交流合作、内部预研攻关等方式,先后在多项安全领域取得突破,并在主打产品系列逐步试点落地。


2019展望

2019年,大华将切实推进安全战略全面落地,提升sSDLC体系成熟度、加大安全合规力度、循环深化威胁建模、持续集成安全测试平台、深度定制渗透测试工具、完善应急响应体系。大华将进一步打通到最终客户的安全链路,持续为用户提供更加安全的产品和解决方案。大华也将以更为积极开放的心态,欢迎各类客户及专业人士与我们开展深入的网络安全探讨和交流。