1 使用静态分析来管理医疗设备网络安全-德赢Vwin官网 网
0
  • 聊天消息
  • 系统消息
  • 评论与回复
登录后你可以
  • 下载海量资料
  • 学习在线课程
  • 观看技术视频
  • 写文章/发帖/加入社区
会员中心
创作中心

完善资料让更多小伙伴认识你,还能领取20积分哦,立即完善>

3天内不再提示

使用静态分析来管理医疗设备网络安全

星星科技指导员 来源:嵌入式计算设计 作者:Bill Graham 2022-10-20 10:39 次阅读

FDA认识到医疗设备需要更强大的安全性,于2014年发布了关于管理网络安全的指南。无线、联网和互联网连接设备的增长意味着医疗设备比以往任何时候都面临更大的风险。此外,与其他类别的设备不同,医疗设备处理患者安全和隐私。风险管理(包括安全强化和漏洞管理)是医疗器械软件开发的基石,静态分析在此过程中起着关键作用。

家庭医疗保健和医疗可穿戴设备正在呈指数级增长,只是医疗设备增长的一个领域。与其他医疗和物联网机会一样,这种增长也存在安全、安保和隐私问题。

FDA发布的指南相当广泛,为管理安全性提供了高级指导。它包括基于以下准则的自动化工具的有力论据:

·制造商应在医疗设备的设计和开发过程中解决网络安全问题。正如GrammaTech已经沟通了一段时间的东西一样,从一开始就建立安全性(而不是在以后的开发中添加它)是关键。

·设计和开发方法应适当地解决资产、威胁和漏洞的识别问题。静态分析与良好的软件开发流程无缝集成,专门用于检测和识别代码和二进制文件中的安全漏洞。

·制造商应评估威胁和漏洞对设备功能和最终用户/患者的影响,以及威胁和漏洞被利用的可能性。使用受污染的数据分析,供应商的工具可以在整个软件中跟踪数据源,以指示来自外部来源的潜在漏洞。

·在上市前提交中,制造商应提供与其设备网络安全相关的文档。静态分析工具提供报告,以帮助完成过程文档、测试完成和软件准备。

静态分析是安全优先设计和开发方法的重要组成部分。我建议通过四个步骤来改进现有的开发流程,优先考虑安全性并使其成为顶级要求:

1. 以“安全第一”的理念进行设计。对于高度互联的医疗设备,安全性必须是所有开发阶段的首要考虑因素。智能开发团队将安全要求、开发和测试构建到风险管理计划、计划和预算中。为了解决设备安全的潜在未知因素和风险,自动化软件工具是安全保证的重要福音。

2. 进行全系统威胁评估和分析。您的医疗设备是更大临床环境的一部分。了解系统级别的潜在安全问题至关重要。评估设备的已知和理论攻击媒介对于识别影响风险管理计划的安全风险至关重要。

3. 尽可能多地利用自动化工具。安全性增加了开发团队的负担,并且通常超出了开发人员的专业知识范围。例如,自动化静态分析可以发现传统手动和自动化技术遗漏的代码中的缺陷和安全威胁。静态分析现在是安全保证工具集中的基本组件。

4.使用二进制分析来确保第三方代码的质量和安全性。依赖第三方软件和未知质量和安全性的软件是有风险的。二进制静态分析(以及源代码和二进制分析的组合)提供了一种用于分析第三方软件的自动化技术,确保其符合整个系统的质量和安全标准。

软件安全标准强烈建议使用静态分析工具,这是有充分理由的。大部分软件开发成本来自修复代码中的问题,因此在开发周期的早期发现缺陷可以大大节省成本。静态分析通过以下方式帮助降低风险、成本、时间和金钱:

·它在单元测试之前发现缺陷。静态分析工具可以在开发人员的桌面环境中使用,并且可以在缺陷进入构建系统和开发的单元测试阶段之前防止缺陷。

·它发现测试遗漏的缺陷。单元测试,即使在要求高代码覆盖率的项目上,仍然会遗漏重要的缺陷。

·它首先防止了缺陷。实施严格的编码标准(如 MISRA C)有助于从一开始就防止代码中的许多类缺陷。在编码中实施良好的纪律,并为小的代码更改创建开发-分析-测试微循环,可以首先防止许多缺陷被创建。

·它分析未知血统(SOUP)的软件。在医疗设备软件开发中,使用第三方代码(如商用现成软件 (COTS) 和开源软件)很常见。在将其包含在设备中之前,必须仔细管理SOUP以确保安全性。静态分析工具可以分析第三方源和二进制文件,以发现软件中的缺陷和安全漏洞,否则可能无法测试。

·它加快了上市前的提交。静态分析(以及许多其他测试和生命周期管理工具)提供自动化文档,以支持测试、编码标准和质量/稳健性证据。用于满足安全认证的大部分人力是文档和证据制作。自动化(特别是静态分析)大大减少了这一负担。

静态分析和应用程序生命周期管理工具与FDA发布的有关管理医疗设备网络安全的指南非常吻合。遵循“安全第一”的思维方式和流程,制造商可以构建安全性,而不是将其作为附加组件。静态分析工具在开发中提供了切实的好处,以降低风险、成本和时间。

审核编辑:郭婷

声明:本文内容及配图由入驻作者撰写或者入驻合作网站授权转载。文章观点仅代表作者本人,不代表德赢Vwin官网 网立场。文章及其配图仅供工程师学习之用,如有内容侵权或者其他违规问题,请联系本站处理。 举报投诉
  • 互联网
    +关注

    关注

    54

    文章

    11148

    浏览量

    103211
  • 无线
    +关注

    关注

    31

    文章

    5450

    浏览量

    173236
收藏 人收藏

    评论

    相关推荐

    常见的网络硬件设备有哪些?国产网络安全主板提供稳定的硬件支持

    随着网络技术的不断进步,网络安全问题日益严重,企业和个人对网络安全的重视程度不断加深,对于网络安全硬件设备的要求也越来越高,
    的头像 发表于 10-21 10:23 267次阅读

    如何利用IP查询技术保护网络安全

    技术? IP查询技术,简而言之,是通过分析特定IP地址的活动和行为,评估其潜在的网络威胁和安全风险。这一技术不仅关注IP地址的所在位置、历史活动记录,还深入剖析其连接模式、使用频率等
    的头像 发表于 09-09 10:10 280次阅读

    IP风险画像如何维护网络安全

    的重要工具。 什么是IP风险画像? IP风险画像是一种基于大数据分析和机器学习技术的网络安全管理工具。它通过对IP地址的网络行为、流量特征、历史记录等多维度数据进行深入
    的头像 发表于 09-04 14:43 287次阅读

    虹软科技获ISO/SAE 21434 网络安全管理体系认证

    近日,虹软正式通过ISO/SAE 21434 网络安全管理体系认证,获得国际知名认证机构DNV颁发的证书。ISO/SAE 21434是目前汽车网络安全领域最具权威性、认可度最高的国际标准,取得该认证
    的头像 发表于 08-23 18:33 1153次阅读

    专家解读 | NIST网络安全框架(3):层级配置

    和配置的主要内容,及其使用方法。 关键字:网络安全框架;CSF层级;CSF配置   一 CSF层级 在组织的系统性风险治理过程中,CSF框架可以用于识别、评估和管理网络安全风险。结合现有的管理流程,组织可以利用CSF
    的头像 发表于 06-11 10:21 433次阅读
    专家解读 | NIST<b class='flag-5'>网络安全</b>框架(3):层级配置

    专家解读 | NIST网络安全框架(1):框架概览

    本文主要探讨NIST CSF框架的起源目标、内容组成,及其在网络安全风险管理中的关键作用,通过采用该框架,组织能够更有效地实施风险识别、安全保护、威胁检测和事件响应,从而构建更加坚固和弹性的
    的头像 发表于 05-06 10:30 1352次阅读
    专家解读 | NIST<b class='flag-5'>网络安全</b>框架(1):框架概览

    艾体宝观察 | 2024,如何开展网络安全风险分析

    2024年的网络安全风险分析是一系列系统性的步骤,旨在识别、评估并减轻可能对企业产生负面影响的现有或潜在的网络安全风险。对所有系统和资源进行清点、识别潜在的弱点和威胁、确定风险影响、制定和实施
    的头像 发表于 04-22 14:15 332次阅读

    企业网络安全的全方位解决方案

    安全域划分到云端管理,全面构建企业网络安全防线 在数字化浪潮席卷全球的今天,企业网络安全已经成为商业运营中不可忽视的一部分。随着企业数字资产价值的不断攀升,
    的头像 发表于 04-19 13:57 664次阅读

    危机四伏,2024如何开展网络安全风险分析

    你是否考虑过,企业网络上所用到的每台设备,小到电脑、平板、电话、路由器,大到打印机、服务器,都可能潜藏网络安全风险,威胁企业的信息安全和业务?部门企业的业务开展所赖以支撑的物联网
    的头像 发表于 04-19 08:04 960次阅读
    危机四伏,2024如何开展<b class='flag-5'>网络安全</b>风险<b class='flag-5'>分析</b>

    普华基础软件荣获ISO/SAE 21434汽车网络安全管理体系认证证书

    基础软件在网络安全管理网络安全活动、产品研发、运维、威胁分析和风险评估等关键流程方面均达到了国际标准的要求,为智能汽车制造商和供应商提供了更加可靠的信息
    的头像 发表于 03-19 09:48 641次阅读

    家用路由器:简化网络设置和管理,保护家庭网络安全

    家用路由器以其简化网络设置和管理、保护家庭网络安全等优势,成为了家庭网络中不可或缺的重要设备。技术的不断进步和用户需求的不断升级,家用路由器
    的头像 发表于 03-16 11:23 564次阅读

    工业发展不可忽视的安全问题——OT网络安全

    在数字化时代,工业运营技术(OT)的网络安全比以往任何时候都更加重要。DataLocker,作为OT网络安全的守护者,提供了全面的加密和数据管理解决方案,确保关键基础设施免受网络威胁。
    的头像 发表于 03-09 08:04 2124次阅读
    工业发展不可忽视的<b class='flag-5'>安全</b>问题——OT<b class='flag-5'>网络安全</b>

    网络安全隔离设备StoneWall-2000原理是什么?有哪些应用?

    网络安全隔离设备是一种通过专用的硬件使两个网络在不连通的情况下进行网络间的安全数据传输和资源共享的网络设
    的头像 发表于 01-12 10:16 2659次阅读
    <b class='flag-5'>网络安全</b>隔离<b class='flag-5'>设备</b>StoneWall-2000原理是什么?有哪些应用?

    FCA汽车网络安全风险管理

    汽车工业继续在车辆上增加连接,以满足顾客对技术的贪得无厌的需求,但汽车不仅仅是某些计算机网络上的不安全端点--一些人所描绘的--汽车网络安全正在打造一个新的产品网络安全领域,打造这一新
    发表于 12-29 10:48 466次阅读
    FCA汽车<b class='flag-5'>网络安全</b>风险<b class='flag-5'>管理</b>

    网络安全测试工具有哪些类型

    工具可以分为以下几大类型: 漏洞扫描器 漏洞扫描器是一类常见的网络安全测试工具,用于检测系统、网络和应用程序中存在的各种漏洞和安全风险。这些工具通过自动化扫描和分析目标系统中的配置和代
    的头像 发表于 12-25 15:00 1279次阅读