如何防护华为旗下海思芯片可能的漏洞,避免

转自搜狐网内容：

近日有安全研究人员发现，华为旗下的海思芯片（HiSilicon）出现安全漏洞，黑客可直接存取这些采用海思芯片的产品数据，当中包括网络摄录机。

香港《经济日报》2月6日报道，据俄罗斯安全研究人员VladislavYarmak指出，海思的SoC芯片系统韧体有后门漏洞，允许黑客取得最高访问权限，进而掌控及存取装置的数据。黑客只要连接特定的端口TCP，并请求Telnet连接，就可以利用简单的root账号，及密码如或其他5个简单的固定密码登入，甚至拥有最高用户权限，控制装置。

据了解，该芯片应用在数百万的装置上，包括：监视器、数码录像机（DVR）及网络摄录机（NVR）等。Yarmak同时亦公布了这些监视器、DVR及NVR等装置的后门启动程序，并发出概念性验证攻击程序，提醒用户并让他们确认，自己的装置是否存有相关漏洞。

他表示，要海思修补漏洞或是不切实际的想法，建议用户考虑自行限制装置的访问权限，或改用其它未含漏洞的产品。

其后海思在其官方网站上发表声明，已立即调查报告中提到的安全问题，证实海思的SoC芯片并非存有漏洞，否认相关指控。而且谴责研究人员没有明确说明产品型号及设备供货商，就推断该漏洞是由海思芯片引入。

为了要解决如上漏洞，广州迅为技术工程师给出个人建议：

关闭不必要的端口，关闭不必要的上网。

以下是具体的加强监控系统安全的措施建议：

(一)防范建议

A.网络通用防护建议

1）关闭非必须的服务，对必须的服务，采用IP地址白名单，只允许可信地址进行通信；

2）定期审查与视频设备相关的通信历史记录和日志，检查视频设备是否有和境外IP地址通信，是否有主动与异常IP建立连接发送数据，从而确认是否存在已被攻陷的设备；

3）视频设备通常是作为肉机和跳板，因此在政务外网办公区也要监控设备的网络连接，发现异常连接，设备就可能已经被黑客攻陷，并利用其在内网进一步渗透，或已被黑客植入木马而变为肉鸡；

4）定期修改设备登录密码，并增加密码复杂度，如果使用证书登录，需及时更新证书；定期审视，并删除无用账号；

5）及时升级设备到最新固件；

6）定期进行漏洞扫描，并及时修复所发现漏洞；

7）建议使用专用终端管理视频设备，安装防病毒软件并及时升级病毒库；

8）针对视频网络部署专用安全防护设备，配置严格的安全策略；

B.针对视频监控系统攻击防护建议

1.2.1前端接入区防护

前端摄像头防护较弱，并且暴露在外，易被仿冒和劫持，黑客很容易以摄像头为突破口攻入视频专网。

1）对前端摄像头做一次全网漏洞和弱口令扫描，及时做好自身安全加固，并建议更新全网终端管理密码；

2）检查视频安全网关的策略配置，阻断非视频相关协议应用；

3）对前端摄像头流量进行监控，及时发现流量异常终端；

4）审视合法资产库是否已全网同步到网络准入设备，以做到无漏报无误报。

1.2.2边界防护区防护

边界防护区是保护视频专网外联的门户，门户防守不严，黑客可以堂而皇之的登堂入室。

1）部署防火墙设备，设置访问控制策略，及时关闭非必要端口，仅允许特定的地址访问，屏蔽境外IP的访问；

2）定期审视边界防护的安全策略，做到策略无冗余无漏洞；

3）对已授权访问账号，更新账号密码，如果是证书认证，则更新证书；

4）加强外联流量监控，及时识别非法外联终端设备；

1.2.3视频监控平台区防护

1）对视频监控平台内的终端主机，服务器进行全网漏洞扫描，识别风险资产，及时升级补丁，安装防病毒软件，及时更新病毒库；

2）对视频监控平台内的特权账号进行审核，清理闲置账号，并审视用户权限，做到权限最小化；

3）对视频监控平台内的认证信息进行更新，如用密码认证，则更新密码，如用证书认证，则更新证书；

4）启用“用户行为审计功能”，严密监控用户访问行为，及时发现异常访问行为；

5）及时分析网络流量，用户行为，告警日志，以发现未知威胁；

6）对于关键信息资产，及时做好备份。

(二)防范措施

A.防范策略

2.1.1联系各厂家深度巡检及安全加固

深度巡检提前识别风险，并加固。

1、2.1.2用户、厂家、运营商安排专人值守

安排专人值守，如有问题及时上报及响应处理；

2、2.1.3加强各单位用户网络安全防范意识

发文知会各用户：收发邮件时，注意识别真伪。

B.视频监控云平台防范措施

2.2.1服务：最小化服务，排查服务器是否安装了非产品自带的服务，并完成卸载。特别注意telnet服务，若有安装必须要卸载。

2.2.2端口：最小化服务端口，特别注意禁用23、、端口

2.2.3密码：修改默认密码，避免弱口令存在

2.2.4防火墙：限制访问IP和端口，使用白名单控制，例如：

如果不需要外网SSH登录，防火墙上禁掉SSH端口

IP白名单管理，防火墙限制摄像机、客户端等白名单IP可以访问

C.视频监控前端防范措施

2.3.1关闭摄像机SSH、SFTP

2.3.2修改摄像机SSH、SFTP密码

转载请注明：http://www.abuoumao.com/hyfz/4149.html