1
您现在的位置:
首页
/
/
医疗器械网络安全漏洞识别—嵌入式系统安全扫描方案

医疗器械网络安全漏洞识别—嵌入式系统安全扫描方案

  • 分类:新闻资讯
  • 作者:苏州华克斯信息科技有限公司
  • 来源:苏州华克斯信息科技有限公司
  • 发布时间:2023-06-25
  • 访问量:0

【概要描述】

医疗器械网络安全漏洞识别—嵌入式系统安全扫描方案

【概要描述】

  • 分类:新闻资讯
  • 作者:苏州华克斯信息科技有限公司
  • 来源:苏州华克斯信息科技有限公司
  • 发布时间:2023-06-25
  • 访问量:0
详情

医疗器械网络安全漏洞识别—嵌入式系统安全扫描方案

随着互联网、大数据、云计算技术等网络技术的发展,无线、网络链接、便携式等医疗设备随之增加,越来越多的医疗器械能通过网络链接进行电子数据交换或远程控制,在提高医疗服务质量与效率的同时也面临着网络攻击的威胁。

如利用医疗器械的网络安全漏洞,从远程发送未经授权的信息,让自动注射泵释放达到致死剂量的胰岛素;远程入侵一台起搏器,让它发出一次危险的颤动;入侵护士站的电脑、窃取患者个人信息和医疗数据等。

医疗器械设计开发只能针对已知网络安全漏洞采取相应风险控制措施,上市后仍会面临潜在未知的网络安全漏洞引发的网络安全事件的威胁,可能造成医疗器械无法访问和使用、医疗数据发生泄露或遭到篡改,进而可能导致患者受到伤害或死亡以及隐私被侵犯。同时,医疗器械网络安全事件具有影响因素多、涉及面广、扩散性强和突发性高等特点,对于医疗器械上市后监测要求相对较高。

因此,对医疗器械网络安全进行评价来确保医疗器械的安全有效具有重要意义。

参考文件

医疗器械软件注册审查指导原则(2022年修订版)

医疗器械网络安全注册审查指导原则(2022年修订版)

医疗器械网络安全漏洞识别与评估方法(征求意见稿)

网络安全验证与确认作为软件验证与确认的重要组成部分,需在软件验证与确认的框架下,结合产品网络安全特性开展相关质控工作,如源代码安全审核、威胁建模、漏洞扫描、渗透测试、模糊测试等。

其中嵌入式系统/固件在医疗器械中应用最广。

相关术语:

固件firmware

功能上独立于主存储器,通常存储在只读存储器(ROM)中的指令和相关 数据的有序集。[来源:GB/T 25069-2022,3.225

漏洞扫描检估过程

医疗器械网络安全漏洞评估是对医疗器械的系统性审查,用于发现存在于医 疗器械网络中的现有漏洞,确定安全漏洞的等级和威胁程度。

网络安全漏洞评估主要有三个目的:

1.评估产品是否存在网络安全方面的漏洞。

2.为每个漏洞确定风险等级。

3.根据漏洞的分布情况与风险等级,采取相应的措施以提升产品的网络安全性能。

在漏洞评估的过程中,漏洞扫描是确认隐藏在医疗器械及其环境中漏洞的实用方法,扫描结果能够帮助医疗器械注册申请人了解其产品网络安全所存在的问题,并做出有依据性的评估。

漏洞风险等级的确定参考CVSS评分规则,即通用漏洞评分系统

CVSS是用于评估系统安全漏洞严重程度的一个行业公开标准。漏洞风险等级评分为10—0分,漏洞评分越高,表明漏洞被攻击的复杂度越低,漏洞被利用所需要的技术能力越低,漏洞被利用后对系统的影响程度越高。

嵌入式系统扫描策略

基于嵌入式软件的扫描,可以在不执行程序代码的情况下,通过静态分析程序特征以发现漏洞。

由于固件程序涉及知识产权,很少公开源代码,在这种情况下需要通过对固件进行逆向工程,再通过程序静态分析技术进行分析。

基于嵌入式软件的漏洞检测,除了应用程序外,还应包含引导加载程序、系统内核、文件系统等环境。

嵌入式系统扫描

嵌入式系统扫描基于嵌入式系统的扫描,应使用相应的工具对嵌入式软件压缩包进行扫描分析,整个分析流程主要分为四个阶段:

第一阶段:识别固件结构体系,提取出待分析的目标程序;

第二阶段:识别固件中存在的软件成分,如操作系统、中间件、应用程序等;

第三阶段:查找整个固件里如第三方库、公私钥的敏感信息;

第四阶段:通过静态分析技术对程序的汇编码进行分析,并与分析工具中内置的漏洞库、恶意代码库等数据库进行匹配,找出待测件中存在的漏洞及风险。

扫二维码用手机看

更多资讯

联系我们

联系我们

发布时间:2020-09-16 13:55:16
地址:苏州市工业园区新平街388号
          腾飞创新园塔楼A617
电话:400-028-4008
          0512-62382981

关注我们

这是描述信息

页面版权所有 -  苏州华克斯信息科技有限公司  |  Copyright - 2020 All Rights Reserved.