集成電(diàn)路(lù)是信息産業(yè)的(de)核心，而我國(guó)一直保守「缺芯少魂」的(de)困擾，随着「華為(wèi)芯片事(shì)件(jiàn)」的(de)聚焦，體(tǐ)現(xiàn)了中國(guó)集成電(diàn)路(lù)被美(měi)國(guó)“卡脖子(zǐ)”的(de)困境，在面臨困難的(de)同時(shí)，中國(guó)本地(dì)芯片制造企業(yè)也在奮起直追，困境中潛藏着巨大的(de)希望。

  作(zuò)為(wèi)頂尖制造産業(yè)芯片行業(yè)，信息安全是影響芯片行業(yè)業(yè)務發展的(de)關鍵要素，不僅在傳統的(de)信息系統建設上(shàng)要引領制造行業(yè)标準，在物(wù)聯網領域，更要做到安全性的(de)完整防護。

  針對(duì)于物(wù)聯網安全，斐什網絡結合國(guó)內(nèi)網先進的(de)技(jì)術理(lǐ)念，為(wèi)客戶建立一個(gè)從(cóng)威脅建模到安全響應的(de)IoT安全閉環安全解決方案，主要服務內(nèi)容包括：

  1. 安全威脅建模分析服務

       針對(duì)物(wù)聯網絡，我們基于經典的(de)STRID和(hé)DREAD模型（STRIDE利用攻擊樹進行威脅模型的(de)建立，DREAD則根據給定的(de)威脅，定義出相(xiàng)應的(de)風(fēng)險），針對(duì)物(wù)聯網應用的(de)特點，對(duì)各場(chǎng)景下(xià)的(de)不同物(wù)聯網信息系統進行了安全威脅專項建模，使得物(wù)聯網每一構成部分所面臨的(de)威脅得到顯現(xiàn)以及準确的(de)識别及評價。

  2. 網絡安全架構分析服務

      目前，大多數物(wù)聯網網絡的(de)架構是基于傳統廣域網的(de)基礎架構進行部署，而物(wù)聯網網絡安全架構服務則基于分層理(lǐ)念，我們在每一層對(duì)物(wù)聯網絡關鍵元素及節點之間(jiān)的(de)網絡拓撲以及物(wù)聯網絡與其他(tā)公衆網絡彙聚的(de)網絡邊界進行有(yǒu)針對(duì)性的(de)脆弱性分析，并提出切實有(yǒu)效的(de)整改意見。

  3. 安全開(kāi)發規範設計(jì)服務

      基于對(duì)物(wù)聯網應用安全開(kāi)發規範的(de)廣泛需求，我們将傳統的(de)，成熟的(de)應用安全開(kāi)發貴發與物(wù)聯網應用的(de)安全需求進行了可落地(dì)的(de)有(yǒu)機(jī)融合，針對(duì)相(xiàng)關新需求所對(duì)應的(de)規範條目進行分點梳理(lǐ)，融合美(měi)國(guó)CERT TOP 10的(de)安全代碼最佳實踐，結合物(wù)聯網領域的(de)經驗和(hé)特性，形成一套完善、系統化(huà)、實用的(de)物(wù)聯網安全開(kāi)發規範，并結合客戶需求進行融合落地(dì)，使之針對(duì)各個(gè)客戶的(de)需求更具有(yǒu)匹配性，能夠更好(hǎo)地(dì)指導客戶的(de)物(wù)聯網産品或平台的(de)開(kāi)發。

  4. 設備專項滲透測試服務

      滲透測試是對(duì)物(wù)聯網設備及物(wù)聯網平台的(de)信息安全情況最客觀、最直接的(de)評估方式，主要是模拟黑(hēi)客的(de)攻擊方法對(duì)系統和(hé)應用系統進行非破壞性質的(de)攻擊性測試，目的(de)是侵入系統，獲取系統控制權并将入侵的(de)過程和(hé)細節産生(shēng)報告給到用戶，由此證實、預知設備及平台存在的(de)安全威脅和(hé)風(fēng)險，并能及時(shí)提醒安全管理(lǐ)員(yuán)完善安全策略。

  5. 設備安全響應機(jī)制服務

      斐什網絡為(wèi)用戶提供白金(jīn)級全天候應急響應服務，客戶可以根據初步判斷及安全事(shì)件(jiàn)相(xiàng)關程度，通(tōng)過不限于電(diàn)話(huà)、郵件(jiàn)等方式聯絡安全服務人(rén)員(yuán)，服務人(rén)員(yuán)進行快速的(de)響應服務，在必要的(de)時(shí)候，提供現(xiàn)場(chǎng)服務。

  通(tōng)過如上(shàng)的(de)手段，我們可以在威脅建模階段，梳理(lǐ)與預知物(wù)聯網面臨的(de)主要威脅，并提出解決方案，降低(dī)系統部署後的(de)風(fēng)險；在網絡架構分析階段，針對(duì)物(wù)聯網系統架構和(hé)協議(yì)進行深度分析，消除網絡層面的(de)隐患；在安全開(kāi)發階段，制定安全開(kāi)發規範，規避代碼層的(de)漏洞與風(fēng)險；在安全測試階段，通(tōng)過全面測試，消除系統弱點；最後，使用應急響應服務作(zuò)為(wèi)關鍵補充內(nèi)容，支撐用戶物(wù)聯網系統的(de)穩定運行。