HK设备安全补丁升级方案

1、背景:

         当前很多HK行业设备的端口映射到公网上,其中一部分老版本设备是存在安全漏洞的,由于传统行业没有设备平台的概念,无法通过设备提示用户进行升级,导致这些存在漏洞的设备在互联网上被长期攻击和控制。

         行业设备用户目前安全意识还比较低,一般都不会去主动修改HK出厂的默认弱口令,导致恶意攻击者可以利用此安全隐患,对IP大段进行扫描和识别在公网上HK的设备,并能够大批量成功登录这些使用默认口令的设备,然后进行进一步的进行攻击和破坏,并已经造成了相当大程度的影响。

2HK设备通信框架对比:

2.1、互联网设备

image

2.2、传统行业设备

image

3、解决方案:

3.1、方案描述:

         目前HK设备使用的客户端主要分为3种类型:web客户端、移动APPPC客户端。对于传统行业设备而言,使用web客户端等同于访问设备的http端口(即web页面),因此,在用户不升级设备的前提下是无法控制web客户端的,但是移动APPPC客户端则不存在这样的问题,我们是可以让用户单独对它们进行升级的,因此,可以在升级版本中加入安全控制手段,间接地对传统行业设备实施安全措施。

         此方案优势在于,老设备一直都是支持远程升级接口的,因此同样兼容老版本的设备

3.2、详细步骤和示意图(移动APP为例):

1)、让用户升级到新版移动APP

image

备注:

a. 只有新版移动APP才能支持后续安全控制,所以这是必须步骤。

b. 新版移动APP支持连接HK的安全补丁服务器。

2)、 检查补丁情况。

image 

具体步骤:

a.移动APP连接HK安全补丁服务器,并检查是否存在需要更新的安全补丁。

b.如果存在则将安全补丁下载到移动端本地。

c.移动APP模拟并发送一个升级请求到设备(升级请求中携带补丁包)。

d.设备进行远程升级。

备注:

a.为保证及时性,更建议使用推送的方式。

b.对于中、低危补丁一般需要提示用户是否升级,对于紧急高危补丁是否需要提示,由公司综合评审决定。

3.3、非技术层面的措施:

1)、为具有一定规模的客户、工程商提供免费的安全意识培训。

2)、产品资料和文档中必须包含详细具体的安全配置建议和规则,并置放在醒目位置。

3)、技术支持或工程商要求现场主动提示或协助用户完成安全配置(比如:修改默认口令)。

4、对公司的建议:

1)、安全问题既不能够坐以待毙也不能掩盖了事,必须主动出击处理,否则最终伤害的还是公司和客户双方的利益。

2)、必须制定清晰的产品安全规划和策略,有明确的目标和方向,HK的安全还在初级阶段,当前应以减少损失和修补问题为主要短期目标,而预防问题为长期目标。

3)、主动向有经验的企业(比如:华为)求经,避免和少走弯路。

4)、把安全作为质量保证的重要因素之一,必要时纳入绩效考核。

posted on 2015-02-28 14:15  Fish_Ou  阅读(516)  评论(0编辑  收藏  举报