新闻动态
您的软件安全性如何衡量?
Rick Anderson, Arlen Baker
最近几个月,风河在网站上提供了一个免费的软件安全评估功能。该项功能对任何人都是开放的,其中会针对您的软件系统提出10个非常简短的安全性相关问题,而且只需回答“是/否”。
每个问题都专注于安全性的某个特定方面,而且由Wind River Helix Security Framework(安全性框架)来清晰准确地呈现出来。这个框架是建立在CIA(Confidentiality, Integrity和Availability)这个三位一体的基础之上,这就是行业标准的机密性、完整性和可用性。其中评估的问题很多,典型的功能包括威胁检测、访问限制、数据加密、引导过程和数据隔离等。
对于这些评估,我们已经获得了大量的反馈。事实上,其中包括一些非常有启发性的结论,表明大多数软件系统在提高安全性方面还有很多工作要做。不幸的是,已往采用的那些评估方法也略显繁琐。公平地说,在过去的几年里,人们对如何保护软件系统的理解虽然有所改善,但对这些系统进行保护的实际行动还没有真正展开。
我们在线评估中的第一个问题就是,关于您的系统是否具备能力,检测出它的行为已经超越其预期的功能。53%的受访者回答“是”,这意味着47%的系统不具备这一重要功能。构建系统以支持一个认证方案,这是快速检测设备攻击的重要步骤。定义内存区域,并且在初始化进程之后不做改变,就可以在这些区域进行消息摘要计算。此后,在这个设备投入运行后,这些基准值就可用于对照计算。这些计算发现的任何变化都表明系统可能受到了攻击。
保护软件系统最关键的一个方面是持续监控系统中使用的第三方软件安全补丁,通常称为“公共漏洞和暴露(CVE)”,此项监控功能需要专用资源来持续扫描安全威胁并进行修复。56%的受访者表示,他们的软件系统不具备这种功能。幸运的是,我们有一个专门的团队来监控我们自己的产品,也包括我们在产品中使用的第三方软件包。这个团队也会在“零日威胁”一经发现立刻予以介入。如果希望了解正在进行的更新,我们的安全中心链接是一个很好的常备入口。我们的CVE数据库允许您输入产品和版本并查看所有已知的脆弱点,提供问题的描述、受影响产品的列表、与威胁相关的关键日期、优先级和其他详细信息,如补丁链接。
59%的受访者表示,他们的静态数据并未进行加密保护。而在现代化的系统中,这项工作实现起来既轻松又快捷。安全引擎的可用性(例如,可信平台模块、配置安全单元、SEC引擎等)可用于提供基于硬件的解决方案,以确保用户数据在设备上的安全。FIPS(联邦信息处理标准)140-2是验证加密硬件有效性的良好基准,并提供系统安全的外部证据。
您的系统对于操作系统关键功能配备了访问限制功能吗?对于这个问题,我们收到答复为“是”的比例最高,达到了63%。这符合最小特权的安全准则,即一个实体应该被限制只能访问其完成任务所需的资源。如果系统的某个组件受到攻击,这项准则将最大限度地降低对整个系统的损害。当恶意软件试图访问未授权的系统功能时,使用此方法也可以检测到攻击。
如果你还没有做过风河网站免费提供的这个简短评估,建议您花几分钟时间做做看,了解一下自己的安全状况。风河也非常乐意为您提供这方面的帮助!在风河看来,安全永远是最重要的!