关注我们:
【公示】安全白皮书(二)
发表时间:2021-10-10 点击:845

 、九安摄像头安全流程与标准

 

九安智能基于现行的国内外法律法规行业标准客户安全需求第三方分析行业活动同行经验和具体业务安全要求 制定了一整套涉及产品安全的通用安全基线 安全编码 安全密码应用安全密钥管理安全会话管理安全认证安全测试安全事件管理等规范和标准这些规范和标准涵盖了产品安全的方方面面

1.安全基线

公司产品不仅包括自研产品 也包括第三方产品 由于各个产品 系统的安全水平会不一致为了保障产品安全水平 需要对公司交付产品的安全进行检查和加固 使之达到安全基线的要求以杜绝安全隐患 安全基线是产品研发 第三方产品采购 系统运维配置 安全加固安全测评 安全管理的依据 新产品批量生产前必须完成安全基线检查 确认符合要求后才能批量生产

2.账号管理

为防止SQL注入等攻击以及系统的稳定性管理的安全本公司系统会对用户进行一系列规则先泽包含但不限于, 对用户名进行检测判定是否存在限制特殊字符用户名系统设置密码后其他人无法登录统一由设备管理员进行添加删除修改管理

3.口令管理

通常网络环境中的安全问题大多数都是由于密码设置过于简单或者密码丢失造成的本公司系统提供一系列的口令规则限制包括不限于限制口令长度包含数字大小写特殊字符口令加密传输口令加密保存隐藏口令输入禁止口令复制多次密码错误账号锁定禁止直接读取明文口令提示口令安全强度等有效防止因口令遗失和过于简单引发的安全问题

4.设备管理

a) 设备由唯一设备ID进行标识

b) 设备由管理员设置密码统一管理其他人无法随意添加删除修改

c) 用户app通过设备ID识别设备防止数据泄漏

5.数据安全

传统的设备数据保存在本地磁盘内外网无法访问除了物理上的安全性通常没有其他的安全问题而智能设备的书存储在云端这就面临数据安全的问题本公司产品提供云端存储服务采集的数据均存储在云端为解决用户存储数据安全每个用户密码均加密存储对网络存储文件等重要资源配置有独立的访问控制策略设备端无关端口服务均已关闭

6.安全审计

为便于事故排查故障诊断设备会记录设备上发生的重要事件类型事件发生时间事件结果等信息审计数据均存储在云端非特权用户无法访问修改删除

7.供应链安全

为了解决制造安全风险 确保硬件和软件的完整性 九安智能在产品生产关键环节 包括软件提供芯片烧录 /校验软件加载生产测试等采取防篡改防植入防调包等安全管控措施以防范未授权的硬件替换 软件植入或篡改病毒感染等风险产品数据管理系统把设备需要烧录的软件下载到一个安全的制造分发系统 软件在烧录之前会经过多次完整性验证供应链用于生产的软件烧录软件加载组装和测试网络隔离于公司的办公 IT 系统和公共互联网之外

8.安全测试

为了保证九安产品的安全性 防止由于研发过程中可能会导致产品出现的各种安全问题我们在产品研发的每个阶段都进行相关安全测试确保产品的安全在产品安全测试中加强协议安全测试力度引入协议安全测试工具对产品进行网络协议安全性健壮性可靠性分析以及未知漏洞挖掘在系统安全测试中引入漏洞扫描工具 Nessus Professional 、及时跟踪 CVE 漏洞库信息 能够全面发现系统存在的各种脆弱性问题包括安全漏洞安全配置问题应用系统安全漏洞在产品发布前使用主流防病毒软件 Symantec 、Avira 等检测已知病毒木马后门等恶意代码

9.操作系统备份

为了保证设备的使用和升级的可靠性设备Flash上会对固件内容采用AB区的方式进行备份设备具备以下安全功能

a) A/B 系统升级也叫做无缝更新A/B系统升级是有两个系统FLASH上开辟两个存储空间A/B存储空间在升级过程中保证有一个可以正常运行的系统采用这种方式可以大大提升更新的成功性使用这种更新后OTA更新过程中即使用户设备掉电也能保证系统再次上电后可以正常运行

b) 由于有两份完整的固件在FLASH设备使用或升级造成工作区操作系统损坏或者异常时重启后可以自动切换到另外一个正常的分区确保可正常运行

以此保证无论如何升级包括异常断电等情况都不会导致设备异常