ITTIA SDL符合IEC/ISO 62443标准

ITTIA SDL符合IEC/ISO 62443标准

 

ITTIA的安全实践和功能为物联网边缘设备制造商提供了先进的集成软件开发方法，并注入基于零信任的原则，使物联网边缘设备制造商能够减轻不可预测性。从产品概念到最终使用，ITTIA坚持安全的设计开发方法，ITTIA DB提供了一个完整的解决方案来保护物联网设备上的数据。

 

 

 

 

ITTIA的数据管理威胁解决方案

一般来说，设备必须对数据收集和共享开放权限，这就是危险所在。由于嵌入式系统的安全要求是在设备的整个生命周期中保护敏感数据，因此安全存储和传输变得至关重要。所以，设备内部数据管理、数据保护风险、攻击分类、系统漏洞等方面需要多维度的安全技术。

ITTIA提供的安全特性包括数据加密、认证、ITTIA DB安全专家代理库(SEAL)和咨询。从业务的角度来看，ITTIA对与客户沟通机密数据安全政策和实践持开放态度。

SQL注入是较常见的数据库攻击之一。将恶意代码注入设备和执行恶意查询就是两个例子。SQL控制劫持是一种攻击形式，它会改变设备上运行的程序的正常控制流，通常导致黑客注入SQL代码。

 

 

 

SQL代码执行是攻击者向嵌入式设备提供代码的一种方法，例如web脚本和SQL注入，这些代码不是设备应用程序的原生代码。这些攻击会导致各种各样的问题，包括违反完整性，这是设备数据库上新代码的常规副作用。这种攻击可能导致不合法的配置设置、数据甚至固件更新的更改。在极端情况下，这种效应甚至可能导致敏感信息的泄露。

 

 

 

 ITTIA安全开发生命周期概述

在嵌入式世界中，至关重要的是，一个组织可以部署他们的解决方案，并且知道他们所依赖的是在安全方面的前沿技术。为了确保这种信心程度，ITTIA在整个产品开发过程中嵌入了安全意识和实践。这是通过ITTIA安全开发生命周期(ITTIA SDL)实现的。

 

·       安全规划——安安全规划和培训

·       威胁模型——安识别和优先考虑产品安全风险

·       安全设计——安全考虑是通过设计内置的

·       安全编码——安静态分析和编码标准

·       安全测试——漏洞和渗透测试

·       事件响应——安漏洞处理和通信

 

 

 

安全规划

规划阶段对于获得产品、开发环境和人员的安全需求的概况是至关重要的。安全规划包括对开发人员进行安全设计和编码的实践培训。它还包括定义跨越特性、验证和工具的整体产品安全需求。建立了明确的角色，确保安全开发与验证活动之间的分离。最后，计划的一部分是验证系统和开发基础设施是否满足严格的安全需求。

 

 

威胁模型

安全威胁建模可以让我们能够识别潜在的安全风险，并使我们更好地了解产品的攻击面和威胁边界。威胁模型随着在产品版本中添加、修改或删除功能而不断发展。

我们的开发人员利用威胁建模工具来生成有关安全风险的信息。这些信息使我们能够创建和实现解决这些风险的策略，并减少产品的攻击面。它还可以作为参考，以不断调整产品的安全测试。

 

 

安全设计

如果在功能开发的早期阶段对安全性考虑进行审查和确定，那么产品安全性将得到显著增强。所有新产品要求都包括对安全影响和实践的审查。

保护数据管理系统中的敏感数据免受意外泄露和更改是至关重要的。我们使用并提供各种加密标准，以防止未经授权的访问和修改数据。我们专有的安全专家代理还可以用于在部署前对系统进行正常设备数据管理行为的培训。然后，系统能够做出反应并阻止任何不熟悉的访问数据的尝试。

当考虑在我们的产品中使用任何第三方软件时，我们执行严格的标准。任何提议的第三方软件使用都会在选择之前进行审查，以确保它们符合系统的安全要求。第三方软件也包括在我们的安全事件响应策略中。

 

 

安全编码

我们在开发过程中使用静态分析工具来分析代码中可能导致漏洞的弱点，例如，危险输入和缓冲区溢出等。我们的产品API是为了在使用我们的软件库的应用程序代码中加强安全实践而设计的。API检查应用程序是否为每种数据库类型绑定了正确大小的缓冲区。我们遵循编程语言的编码标准，并通过代码分析工具检查这些标准。所有开发都被执行并存储在安全的源代码控制存储库中。这也允许我们的软件开发人员执行同行评审，以帮助加强代码的质量和安全性。

 

 

安全测试

我们的安全漏洞测试增强了产品对潜在攻击的恢复能力。我们将功能健壮性测试与测试常见的攻击和扫描的工具结合起来。我们的安全渗透测试团队利用各种工具实现各种场景，以模拟潜在攻击者的行动，目标是发现产品中的编码和操作弱点。模糊测试用于确保我们的功能和接口在注入无效、畸形或不可预测的输入和压力时具有恢复能力。

 

 

事件响应

任何安全开发生命周期的关键组件是拥有一个文档完备的安全事件响应策略。我们的安全事件响应策略确保客户和组织可以向我们报告潜在的漏洞。我们还积极监控和评估公开报告的众所周知的漏洞。如果我们的产品被证实易受安全事故的影响，我们的安全响应团队将努力尽快提供纠正措施。我们团队还将确保通过所有适当渠道有效沟通事件状态和补救措施。

 

 

报告安全漏洞

如果在我们的任何产品中发现安全漏洞，您可以尽快向我们报告。ITTIA已经建立了一个电子邮件地址，用于报告漏洞。请将漏洞的完整描述、复现说明和产品信息发送到security@ittia.com。请包括所有相关的细节，如软件和硬件的配置。

 

 

开始

在软件开发过程中，ITTIA专业人员帮助客户识别和优先考虑与各个应用程序相关的所需边缘设备的数据安全，并提供有关ITTIA数据库安全特性和安全实践的培训。