网络安全漏洞自评

逸影 · 发表于 2024-1-29 16:41:39

欢迎您注册蒲公英

您需要登录才可以下载或查看，没有帐号？立即注册

x

嵌入式软件，有个type-C口连接电脑，用于烧入软件和导出设备中的数据，这种需要做漏洞扫描吗？要做的话该怎么做

Dorisqdz · 发表于 2024-1-29 16:55:03

有数据交换的软件，都需要做网络安全漏洞扫描。
自己做自评报告是可以的。

逸影 · 发表于 2024-1-29 20:20:29

Dorisqdz 发表于 2024-1-29 16:55
有数据交换的软件，都需要做网络安全漏洞扫描。
自己做自评报告是可以的。

工程师不知道怎么做，有没有什么方案？

香菜不是菜 · 发表于 2024-1-30 09:32:55

找一个开源的漏洞扫描软件，扫一次看看结果可接受就ok了吧？

13983032162 · 发表于 2024-1-30 09:44:14

香菜不是菜发表于 2024-1-30 09:32
找一个开源的漏洞扫描软件，扫一次看看结果可接受就ok了吧？

同问，就是找不到开源的免费漏洞扫描软件啊，不知道有没有推荐一下，谢谢。

痛苦的小QA · 发表于 2024-1-30 10:06:43

嵌入式的没有网口、操作系统这种基本上网上的那些软件都扫不了，都是做软件代码的静态分析。你可以去网上找这个文件看看：人工智能医疗器械创新合作平台出的征求意见稿《医疗器械网络安全漏洞识别与评估方法》

yxsyzxcyl · 发表于 2024-1-30 10:11:07

我觉得不用做，这个“数据交换”是指正常使用状态，维修保养时应该不适用的。嵌入式留下的物理烧录口，用户是不允许访问的。
通常漏洞扫描软件都是用来应付连接互联网或者蓝牙这样的，物理的通讯口压根不适用。就像计算机一样，我要是拆开外壳直接绕过加密烧入信息，就像维修人员拆下芯片烧录BIOS或者升级主板固件信息，这压根不是网络安全的管辖范围。
而且很多嵌入式芯片加密级别很低，低端产品线都未必有熔断功能。
建议把产品的这个物理烧录口封闭起来，只有自己厂家才知道如何打开和重新关闭，不适用网络安全就行了。

苦练叉腰肌 · 发表于 2024-1-30 13:19:24

我没想过这个问题，我的理解是，大部分医药行业的软件都是漏洞百出的吧，能过漏洞扫描吗？

Auroraszo · 发表于 2024-1-30 14:32:23

天融信漏扫系统可以试试