集成電路是信息産業的(de)核心,而我國一直保守「缺芯少魂」的(de)困擾,随著(zhe)「華爲芯片事件」的(de)聚焦,體現了(le)中國集成電路被美(měi)國“卡脖子”的(de)困境,在面臨困難的(de)同時(shí),中國本地芯片制造企業也(yě)在奮起直追,困境中潛藏著(zhe)巨大(dà)的(de)希望。
作爲頂尖制造産業芯片行業,信息安全是影(yǐng)響芯片行業業務發展的(de)關鍵要素,不僅在傳統的(de)信息系統建設上要引領制造行業标準,在物(wù)聯網領域,更要做(zuò)到安全性的(de)完整防護。
針對(duì)于物(wù)聯網安全,斐什(shén)網絡結合國内網先進的(de)技術理(lǐ)念,爲客戶建立一個(gè)從威脅建模到安全響應的(de)IoT安全閉環安全解決方案,主要服務内容包括:
1. 安全威脅建模分(fēn)析服務
針對(duì)物(wù)聯網絡,我們基于經典的(de)STRID和(hé)DREAD模型(STRIDE利用(yòng)攻擊樹進行威脅模型的(de)建立,DREAD則根據給定的(de)威脅,定義出相應的(de)風險),針對(duì)物(wù)聯網應用(yòng)的(de)特點,對(duì)各場(chǎng)景下(xià)的(de)不同物(wù)聯網信息系統進行了(le)安全威脅專項建模,使得(de)物(wù)聯網每一構成部分(fēn)所面臨的(de)威脅得(de)到顯現以及準确的(de)識别及評價。
2. 網絡安全架構分(fēn)析服務
目前,大(dà)多(duō)數物(wù)聯網網絡的(de)架構是基于傳統廣域網的(de)基礎架構進行部署,而物(wù)聯網網絡安全架構服務則基于分(fēn)層理(lǐ)念,我們在每一層對(duì)物(wù)聯網絡關鍵元素及節點之間的(de)網絡拓撲以及物(wù)聯網絡與其他(tā)公衆網絡彙聚的(de)網絡邊界進行有針對(duì)性的(de)脆弱性分(fēn)析,并提出切實有效的(de)整改意見。
3. 安全開發規範設計服務
基于對(duì)物(wù)聯網應用(yòng)安全開發規範的(de)廣泛需求,我們将傳統的(de),成熟的(de)應用(yòng)安全開發貴發與物(wù)聯網應用(yòng)的(de)安全需求進行了(le)可(kě)落地的(de)有機融合,針對(duì)相關新需求所對(duì)應的(de)規範條目進行分(fēn)點梳理(lǐ),融合美(měi)國CERT TOP 10的(de)安全代碼最佳實踐,結合物(wù)聯網領域的(de)經驗和(hé)特性,形成一套完善、系統化(huà)、實用(yòng)的(de)物(wù)聯網安全開發規範,并結合客戶需求進行融合落地,使之針對(duì)各個(gè)客戶的(de)需求更具有匹配性,能夠更好地指導客戶的(de)物(wù)聯網産品或平台的(de)開發。
4. 設備專項滲透測試服務
滲透測試是對(duì)物(wù)聯網設備及物(wù)聯網平台的(de)信息安全情況最客觀、最直接的(de)評估方式,主要是模拟黑(hēi)客的(de)攻擊方法對(duì)系統和(hé)應用(yòng)系統進行非破壞性質的(de)攻擊性測試,目的(de)是侵入系統,獲取系統控制權并将入侵的(de)過程和(hé)細節産生報告給到用(yòng)戶,由此證實、預知設備及平台存在的(de)安全威脅和(hé)風險,并能及時(shí)提醒安全管理(lǐ)員(yuán)完善安全策略。
5. 設備安全響應機制服務
斐什(shén)網絡爲用(yòng)戶提供白金級全天候應急響應服務,客戶可(kě)以根據初步判斷及安全事件相關程度,通(tōng)過不限于電話(huà)、郵件等方式聯絡安全服務人(rén)員(yuán),服務人(rén)員(yuán)進行快(kuài)速的(de)響應服務,在必要的(de)時(shí)候,提供現場(chǎng)服務。
通(tōng)過如上的(de)手段,我們可(kě)以在威脅建模階段,梳理(lǐ)與預知物(wù)聯網面臨的(de)主要威脅,并提出解決方案,降低系統部署後的(de)風險;在網絡架構分(fēn)析階段,針對(duì)物(wù)聯網系統架構和(hé)協議(yì)進行深度分(fēn)析,消除網絡層面的(de)隐患;在安全開發階段,制定安全開發規範,規避代碼層的(de)漏洞與風險;在安全測試階段,通(tōng)過全面測試,消除系統弱點;最後,使用(yòng)應急響應服務作爲關鍵補充内容,支撐用(yòng)戶物(wù)聯網系統的(de)穩定運行。