1、背景:

         当前很多HK行业设备的端口映射到公网上,其中一部分老版本设备是存在安全漏洞的,由于传统行业没有设备平台的概念,无法通过设备提示用户进行升级,导致这些存在漏洞的设备在互联网上被长期攻击和控制。

         行业设备用户目前安全意识还比较低,一般都不会去主动修改HK出厂的默认弱口令,导致恶意攻击者可以利用此安全隐患,对IP大段进行扫描和识别在公网上HK的设备,并能够大批量成功登录这些使用默认口令的设备,然后进行进一步的进行攻击和破坏,并已经造成了相当大程度的影响。

2、HK设备通信框架对比:

2.1、互联网设备

2.2、传统行业设备

3、解决方案:

3.1、方案描述:

         目前HK设备使用的客户端主要分为3种类型:web客户端、移动APP和PC客户端。对于传统行业设备而言,使用web客户端等同于访问设备的http端口(即web页面),因此,在用户不升级设备的前提下是无法控制web客户端的,但是移动APP和PC客户端则不存在这样的问题,我们是可以让用户单独对它们进行升级的,因此,可以在升级版本中加入安全控制手段,间接地对传统行业设备实施安全措施。

         此方案优势在于,老设备一直都是支持远程升级接口的,因此)、让用户升级到新版移动APP。

备注:

a. 只有新版移动APP才能支持后续安全控制,所以这是必须步骤。

b. 新版移动APP支持连接HK的安全补丁服务器。

(2)、 检查补丁情况。

 

具体步骤:

a.移动APP连接HK安全补丁服务器,并检查是否存在需要更新的安全补丁。

b.如果存在则将安全补丁下载到移动端本地。

c.移动APP模拟并发送一个升级请求到设备(升级请求中携带补丁包)。

d.设备进行远程升级。

备注:

a.为保证及时性,更建议使用推送的方式。

b.对于中、低危补丁一般需要提示用户是否升级,对于紧急高危补丁是否需要提示,由公司综合评审决定。

3.3、非技术层面的措施:

(1)、为具有一定规模的客户、工程商提供免费的安全意识培训。

(2)、产品资料和文档中必须包含详细具体的安全配置建议和规则,并置放在醒目位置。

(3)、技术支持或工程商要求现场主动提示或协助用户完成安全配置(比如:修改默认口令)。

4、对公司的建议:

(1)、安全问题既不能够坐以待毙也不能掩盖了事,必须主动出击处理,否则最终伤害的还是公司和客户双方的利益。

(2)、必须制定清晰的产品安全规划和策略,有明确的目标和方向,HK的安全还在初级阶段,当前应以减少损失和修补问题为主要短期目标,而预防问题为长期目标。

(3)、主动向有经验的企业(比如:华为)求经,避免和少走弯路。

(4)、把安全作为质量保证的重要因素之一,必要时纳入绩效考核。

HK设备安全补丁升级方案的更多相关文章

  1. weblogic 升级bsu_Weblogic补丁升级之坑坑洼洼

    转至:https://blog.csdn.net/weixin_30682635/article/details/111911952 [概述] 虽然当前国内去IOE波涛汹涌,但不可否认OracleWe ...

  2. weblogic集群自动批量化补丁升级

    转至:http://blog.itpub.net/28833846/viewspace-2726722/ 一.前言介绍 Weblogic是一种基于J2EE架构的中间件,用于开发.集成.部署和管理大型分 ...

  3. oracle补丁升级

    PSU的全称是Patch Set Update,Oracle对于其产品每个季度发行一次的补丁包,包含了bug的修复.Oracle选取被用户下载数量多,且被验证过具有较低风险的补丁放入到每个季度的PSU ...

  4. 【腾讯Bugly干货分享】QFix探索之路—手Q热补丁轻量级方案

    本文来自于腾讯bugly开发者社区,非经作者同意,请勿转载,原文地址:http://dev.qq.com/topic/57ff5832bb8fec206ce2185d 导语 QFix 是手Q团队近期推 ...

  5. 11.2.0.3.7 PSU补丁升级

    说明:这是新上线主机,还没有建库的.如果库已经存在,那么最后还要进行刷库操作呢! 环境:SUSE Linux Enterprise Server 11 sp1 (x86_64) 要求将数据库从11.2 ...

  6. Flutter项目之app升级方案

    题接上篇的文章的项目,还是那个空货管理app.本篇文章用于讲解基于Flutter的app项目的升级方案. 在我接触Flutter之前,做过一个比较失败的基于DCloud的HTML5+技术的app,做过 ...

  7. Android数据库无缝升级方案

    软件迭代过程中,业务不断更新,也要求软件持续更新.相应地,数据库更新升级也是不可避免的一个环节.Android作为客户端应用,数据库升级相对于服务端来说会麻烦一些.常见的升级方式有: 1.删除旧表和数 ...

  8. WAS7.0安装补丁升级程序无法替换文件 java/docs/autorun.inf解决办法

    OS:Win7 64bit WAS版本:WASND_7.0_Windows_x64_C1G2JML.zip WAS补丁升级程序版本:7.0.0.13-WS-UPDI-WinAMD64 异常信息: Ca ...

  9. 【转】:Oracle Linux6.9下安装Oracle 11.2.0.4.0及psu补丁升级

    为方便截图,本文操作都在vmware虚拟机上完成. 目录: 1.操作系统安装 2.数据库安装 3.PSU补丁升级卸载   part1 操作系统安装 Oracle (Enterprise) Linux ...

随机推荐

  1. 列表CListCtrl类使用

    CListCtrl是列表控件类,列表控件的每一行叫做一个item,每一列叫做一个subitem.每一行和每一列都有个ID号,可以确定唯一的单元格. 最近使用了这个控件,有心得总结如下: (Dialog ...

  2. 蛮力法解决0_1背包问题新思路-——利用C语言位域类型

    废话不说了,直接上代码 #include<stdio.h> #include<math.h> #define N 5 //物品种类数目 #define CAPACITY 6 / ...

  3. Python获取指定文件夹下的文件名

    本文采用os.walk()和os.listdir()两种方法,获取指定文件夹下的文件名. 一.os.walk() 模块os中的walk()函数可以遍历文件夹下所有的文件. os.walk(top, t ...

  4. OSI & TCP/IP 参考模型

    OSI参考模型的结构 OSI划分七层结构的基本原则 网中各结点都具有相同的层次: 不同结点的同等层具有相同的功能: 同一结点内相邻层之间通过接口通信: 每一层可以使用下层提供的服务,并向其上层提供服务 ...

  5. Elasticsearch安全问题

    本节内容: 背景 修改默认的 Elasticsearch 集群名称 不要暴露 Elasticsearch 在公网上 不要以 root 身份运行 Elasticsearch 定期对 Elasticsea ...

  6. Zabbix监控实例

    本节内容: zabbix web添加主机 定义Items 创建graph 创建template 一.zabbix web添加主机 1. 进入zabbix web界面,点击配置—>主机—>创 ...

  7. Django实战(19):自定义many-to-many关系,实现Atom订阅

    记得有人跟我说过,rails的has_many :through是一个”亮点“,在Django看来,该功能简直不值一提.rails中的many-to-many关联中,还需要你手工创建关联表(写 mig ...

  8. 成为IT经理必备的十大能力 不只是技术!

    对于一个IT从业者,让你谋得工作的也许是技术能力,但有助于提升职业生涯的却是软技能.步步高升的人都是那些发表文章.在会议上积极发言以及关注客户的员工(程序员).与此同时,通常情况下,企业CIO或多或少 ...

  9. 磁盘清理-安全转移C盘中软件的缓存文件

    C盘飘红啦~~~ 安装软件时,默认会安装到C盘,并不会特意去改(尤其C盘是固态硬盘时).或者,根本就没有给你修改的机会. 可是啊,有些软件的缓存数据目录会比较大,实在太占C盘空间.想移出去,但又不想重 ...

  10. Java拾遗补缺

    JDK9的lib目录下已经不再包含dt.jar和tool.jar.