梆梆资讯
喜报|梆梆安全电力物联网固件安全检测项目荣获优秀典型案例奖,致力于电力设备固件安全检测
2020-11-26
11月25日,由中关村京企云梯科技创新联盟、北京中科科技创新发展研究院、北京电子商会、北京物联网学会联合主办的《2020物联网技术行业应用高峰论坛暨年度研究报告发布会》在北京国际会议中心隆重召开。会上发布了《物联网技术行业应用年度研究(2019-2020年度)》,表彰了重点行业的12个优秀物联网应用典型案例,梆梆安全固件安全检测平台在电力行业的应用案例荣获优秀典型案例。
随着国网泛在电力物联网的建设,各类物联泛终端大量接入网络,在不断提高工业化及信息化水平的同时,也给电力网络安全防护带来极大风险。
为加强电网智能终端固件检测信息安全防护能力,落实《网络安全法》关于关键基础设施安全的具体要求,电力公司高度重视电网信息安全防御体系建设。但由于物联网行业自身的碎片化和多样性,安全体系建设变得十分困难。
(1) 安全隐患众多:由于大多数物联网设备开发者都是基于已有模块或者开源代码进行二次开发或者碎片代码适配,加上设计开发人员安全意识薄弱,导致出厂的固件存在各种各样的潜在安全隐患。
(2) 安全测试困难:由于物联网设备使用的操作系统数量多,使用的架构不统一,固件格式更是千差万别,甚至还存在很多厂商自行设定的特殊格式,这些多样性与差异化都给自动化安全检测带来了挑战。
梆梆安全的电力物联网固件安全检测项目,是基于某电力公司的实际情况,通过固件自动检测技术解决采购的多种设备的安全测试问题。电力公司在建设泛在电力物联网过程中,对电力设备的安全特别重视,但现阶段缺乏物联网终端的安全检测能力。通过梆梆安全物联网固件安全检测项目,快速检测采购设备的固件风险状况,为电力公司提供物联网设备安全准入排查的检测支持和协助。
(1)固件智能解析和信息提取
自动识别固件格式,基于格式类型智能解析,获取到固件文件中的所有文件信息和代码信息,自动提取操作系统(Linux、Android等)、CPU架构(MIPS、x86、ARM、PowerPC等)、文件系统(squashfs、cramfs、ext2、jffs2、yaffs等)等信息,这是安全分析的基础。
(2)CVE/CNNVD漏洞排查
全面识别固件软件成分,关联CVE/CNNVD漏洞库平台,覆盖13万+漏洞,全面检测软件组件风险漏洞,并提供基于国内标准定义的漏洞风险等级、漏洞类别、漏洞危害描述,便于理解和整改。
(3)代码风险深度分析
对标CWE漏洞库平台,将固件文件逆向分析,基于具体代码特征、函数信息等内容进行风险漏洞扫描,发现固件程序中真实存在的代码漏洞和缺陷。
(4)敏感信息全面扫描
如果设备明文存储用户信息,或者厂商无意泄露了内部密钥信息,都会给黑客提供便利。提前排查信息泄露风险,降低敏感信息泄露风险。
电力物联网固件安全检测项目,深入研究电力设备的特点,通过固件提取、固件解析、漏洞分析、软件成分识别等技术,全面排查电力内部设备的安全隐患,建立采购设备的安全准入机制。基于检测输出的专业安全报告,开发者可进行漏洞复查和修复,提升物联网设备的安全强度,避免固件漏洞被恶意利用导致信息泄露、设备功能故障等。
此次获评物联网技术行业应用年度研究典型案例是业界对梆梆安全物联网安全创新能力、技术实力、创新能力和发展潜力的高度认可与肯定。梆梆安全从成立之初就专注于新一代安全技术的研究,在移动安全、物联网安全领域建立了全生命周期安全防护体系,积累了非常丰富的实践经验。
未来,梆梆安全将持续保持产品与服务创新,继续研究更为广泛语言环境、应用环境下的代码安全防护技术,下一代代码质量检测技术,着手启动软件定义安全芯片、基于硬件的虚拟保护层和可靠物联网安全操控系统的研究工作,做到软件、硬件及控制等方向的多管齐下,逐步实现由软及硬、由内而外的联防联控,共同培育更加广泛的网络安全大生态。
Copyright ©2022. All Rights Reserved 京ICP证160618号 京ICP备11006574号-1