1
您現在的位置:
首頁
/
/
醫療器械網絡安全漏洞識别—嵌入式系統安全掃描方案

醫療器械網絡安全漏洞識别—嵌入式系統安全掃描方案

  • 分類:新聞資訊
  • 作者:蘇州華克斯信息科技有限公司
  • 來源:蘇州華克斯信息科技有限公司
  • 發(fā)布時(shí)間:2023-06-25
  • 訪問量:0

【概要描述】

醫療器械網絡安全漏洞識别—嵌入式系統安全掃描方案

【概要描述】

  • 分類:新聞資訊
  • 作者:蘇州華克斯信息科技有限公司
  • 來源:蘇州華克斯信息科技有限公司
  • 發(fā)布時(shí)間:2023-06-25
  • 訪問量:0
詳情

醫療器械網絡安全漏洞識别—嵌入式系統安全掃描方案

随著(zhe)互聯網、大數據、雲計算技術等網絡技術的發(fā)展,無線、網絡鏈接、便攜式等醫療設備随之增加,越來越多的醫療器械能(néng)通過(guò)網絡鏈接進(jìn)行電子數據交換或遠程控制,在提高醫療服務質量與效率的同時(shí)也面(miàn)臨著(zhe)網絡攻擊的威脅。

如利用醫療器械的網絡安全漏洞,從遠程發(fā)送未經(jīng)授權的信息,讓自動注射泵釋放達到緻死劑量的胰島素;遠程入侵一台起(qǐ)搏器,讓它發(fā)出一次危險的顫動;入侵護士站的電腦、竊取患者個人信息和醫療數據等。

醫療器械設計開(kāi)發(fā)隻能(néng)針對(duì)已知網絡安全漏洞采取相應風險控制措施,上市後(hòu)仍會(huì)面(miàn)臨潛在未知的網絡安全漏洞引發(fā)的網絡安全事(shì)件的威脅,可能(néng)造成(chéng)醫療器械無法訪問和使用、醫療數據發(fā)生洩露或遭到篡改,進(jìn)而可能(néng)導緻患者受到傷害或死亡以及隐私被侵犯。同時(shí),醫療器械網絡安全事(shì)件具有影響因素多、涉及面(miàn)廣、擴散性強和突發(fā)性高等特點,對(duì)于醫療器械上市後(hòu)監測要求相對(duì)較高。

因此,對(duì)醫療器械網絡安全進(jìn)行評價來确保醫療器械的安全有效具有重要意義。

參考文件

醫療器械軟件注冊審查指導原則(2022年修訂版)

醫療器械網絡安全注冊審查指導原則(2022年修訂版)

醫療器械網絡安全漏洞識别與評估方法(征求意見稿)

網絡安全驗證與确認作爲軟件驗證與确認的重要組成(chéng)部分,需在軟件驗證與确認的框架下,結合産品網絡安全特性開(kāi)展相關質控工作,如源代碼安全審核、威脅建模、漏洞掃描、滲透測試、模糊測試等。

其中嵌入式系統/固件在醫療器械中應用最廣。

相關術語:

固件firmware

功能(néng)上獨立于主存儲器,通常存儲在隻讀存儲器(ROM)中的指令和相關 數據的有序集。[來源:GB/T 25069-2022,3.225

漏洞掃描檢估過(guò)程

醫療器械網絡安全漏洞評估是對(duì)醫療器械的系統性審查,用于發(fā)現存在于醫 療器械網絡中的現有漏洞,确定安全漏洞的等級和威脅程度。

網絡安全漏洞評估主要有三個目的:

1.評估産品是否存在網絡安全方面(miàn)的漏洞。

2.爲每個漏洞确定風險等級。

3.根據漏洞的分布情況與風險等級,采取相應的措施以提升産品的網絡安全性能(néng)。

在漏洞評估的過(guò)程中,漏洞掃描是确認隐藏在醫療器械及其環境中漏洞的實用方法,掃描結果能(néng)夠幫助醫療器械注冊申請人了解其産品網絡安全所存在的問題,并做出有依據性的評估。

漏洞風險等級的确定參考CVSS評分規則,即通用漏洞評分系統

CVSS是用于評估系統安全漏洞嚴重程度的一個行業公開(kāi)标準。漏洞風險等級評分爲10—0分,漏洞評分越高,表明漏洞被攻擊的複雜度越低,漏洞被利用所需要的技術能(néng)力越低,漏洞被利用後(hòu)對(duì)系統的影響程度越高。

嵌入式系統掃描策略

基于嵌入式軟件的掃描,可以在不執行程序代碼的情況下,通過(guò)靜态分析程序特征以發(fā)現漏洞。

由于固件程序涉及知識産權,很少公開(kāi)源代碼,在這(zhè)種(zhǒng)情況下需要通過(guò)對(duì)固件進(jìn)行逆向(xiàng)工程,再通過(guò)程序靜态分析技術進(jìn)行分析。

基于嵌入式軟件的漏洞檢測,除了應用程序外,還(hái)應包含引導加載程序、系統内核、文件系統等環境。

嵌入式系統掃描

嵌入式系統掃描基于嵌入式系統的掃描,應使用相應的工具對(duì)嵌入式軟件壓縮包進(jìn)行掃描分析,整個分析流程主要分爲四個階段:

第一階段:識别固件結構體系,提取出待分析的目标程序;

第二階段:識别固件中存在的軟件成(chéng)分,如操作系統、中間件、應用程序等;

第三階段:查找整個固件裡(lǐ)如第三方庫、公私鑰的敏感信息;

第四階段:通過(guò)靜态分析技術對(duì)程序的彙編碼進(jìn)行分析,并與分析工具中内置的漏洞庫、惡意代碼庫等數據庫進(jìn)行匹配,找出待測件中存在的漏洞及風險。

掃二維碼用手機看

更多資訊

聯系我們

聯系我們

發(fā)布時(shí)間:2020-09-16 13:55:16
地址:蘇州市工業園區新平街388号
          騰飛創新園塔樓A617
電話:400-028-4008
          0512-62382981

關注我們

這(zhè)是描述信息

頁面(miàn)版權所有 -  蘇州華克斯信息科技有限公司  |  Copyright - 2020 All Rights Reserved.