关键设备软件安全测试​解决方案

业务背景

行业变革与安全挑战

  • 信息技术在关键设备中的广泛应用,深刻改变了产品形态和关键设备建设发展模式。
  • 软件安全作为信息化设备的基本特性,对工业和国防体系的能力具有基础性、全局性影响。
  • 即便经过常规测试验证,设备仍可能存在大量可被利用的安全漏洞,攻击者可借此控制设备,严重威胁正常任务执行。

政策法规与合规要求

  • 国家已出台多份软件安全工作指南和相关标准,探索并实施关键设备软件安全测试工作。
  • 相关实施措施、要求及规范已明确,涵盖测试流程、技术指标和管理要求,并已上升至法律层面,全面推广强制实施,促进关键设备软件安全性得到实质性保障。

解决方案介绍

关键设备软件安全测试系统旨在全面覆盖软件安全测试的核心领域,为关键设备的研制与验证提供全方位的技术支撑。系统具备高度可扩展性,可灵活集成更多测试工具,其核心功能模块包括: • 符合性试验平台:涵盖代码安全审计、配置核查、代码成分分析及电磁安全检查等工具,确保基础合规。 • 脆弱性试验平台:集成资产探测、漏洞扫描、软件/协议模糊测试、无线扫描、二进制安全分析及自动化渗透测试等工具,深度挖掘潜在隐患。 • 生存性试验平台:评估系统在极端或异常条件下的持续运行能力。 通过上述多维度的测试能力,本系统能够精准识别并评估关键设备中的潜在安全风险,筑牢软件安全防线。

装备网络安全试验

优势亮点

代码安全审计工具

代码安全审计工具支持对软件的代码等要素进行详细检查,以确保其符合相关的安全标准和要求。该工具运用多种安全规则和技术手段,对被审查对象进行深度分析,查找可能存在的安全隐患,检查代码是否遵循安全编码规范GB/T 34943、GB/T 34944、GB/T 34946。支持代码安全审计试验项目。

代码成分分析工具

代码成分分析工具主要针对环境安全缺陷检查第三方软件的安全可靠,通过同源分析与特征匹配技术,对C/C++、Java等主流编程语言所编软件进行代码成分分析与安全检测,提供软件开源代码引用率及第三方组件漏洞分析与审计功能,识别装备安全问题并提供安全分析和修补建议,满足主流编程语言所编软件的代码成分分析需求。支持代码安全审计试验项目。

软件模糊测试工具

该方案并非单点工具,而是覆盖需求、设计、开发、集成、测试、质控的完整研发链路。通过需求Agent、设计Agent、开发软件应用灰盒模糊测试工具专注于发现系统或软件中尚未公开的未知安全漏洞,采用模糊测试(Fuzzing)等先进技术手段,深入挖掘隐藏较深、传统检测方法难以发现的安全问题。其核心原理是通过自动生成大量非标准、半有效或异常输入数据,并将其注入目标系统,模拟真实攻击场景和复杂操作行为,观察程序在异常输入下的响应,从而触发潜在的崩溃、异常或逻辑缺陷,暴露可能被攻击者利用的安全隐患。Agent、集成Agent、测试Agent等分工协作,平台将AI从“编码辅助工具”升级为“研发全流程助手”,更适合企业建设体系化的软件工厂能力。

协议模糊测试工具

协议黑盒模糊测试工具是发现系统或软件中未知安全缺陷的核心技术手段,专注于通过主动探测方式识别尚未公开、未被记录的安全隐患。工具具备广泛的适用性,可应用于网络设备、通信设备、物联网终端、嵌入式系统、协议实现、文件解析工具以及各类网络API接口等多种测试对象。

二进制安全分析工具

利用二进制反编译、成分分析与特征匹配技术,在无源代码的情况下,对C/C++、Java等主流编程语言所编软件,且针对不同指令集架构下的二进制文件进行安全分析,扫描组件成分与安全漏洞,实现对不同编程语言、不同指令集架构下二进制文件的安全分析需求,同时支持对被测装备中多种CPU构架软件的二进制文件进行安全检测,识别代码安全问题并提供安全分析和修补建议。支持漏洞扫描试验项目。

业务场景

该方案适合工业自动化、嵌入式软件、高安全高可靠行业、研发测试密集型行业以及大型研发组织的数字化转型场景。

01
工控领域安全测试场景

在工业控制领域,主要面向关键设备软件安全测试,围绕工业安全标准要求、等保 2.0 开展协议模糊测试、固件安全、漏洞扫描、渗透测试等,保障工业系统防攻击、防篡改、稳定运行,满足安全生产与行业合规要求。

02
航空航天安全测试场景

面向机载、星载、飞控、导航、地面测控等系统,围绕 DO-178C 等适航与安全标准,开展代码审计、固件安全、协议与总线安全、故障注入等测试,保障软件高可靠、防篡改、抗攻击,满足适航审定与信息安全合规要求。

03
国防军工安全测试场景

针对指挥控制、武器装备、通信数据链、情报侦察、军用网络等系统,覆盖嵌入式软件、固件、协议、密钥与敏感数据安全测试。通过代码审计、模糊测试、渗透测试等手段,保障装备防篡改、防劫持、防泄密,满足定型、列装、保密与等保合规要求。

04
软件供应链安全开源治理场景

在软件生命全周期中,符合软件供应链治理要求,能够对软件全生命周期进行开源安全治理,并生成SBOM清单,第三方组件漏洞扫描报告、许可证合规报告、自主可控测评报告。

客户案例

中国电子科技集团某所

针对关键设备研制过程中日益突出的软件安全问题,客户需建立一套具备国产自主知识产权、覆盖从源代码到系统层的软件安全自动化测试体系。泛联新安为其提供了“软件安全自动测试系统”交钥匙解决方案。该系统深度融合了代码安全审计、代码成分分析、漏洞扫描、漏洞挖掘、渗透测试等六项关键能力,解决了异构安全工具的手动协调难题,实现了从代码编写到实际渗透测试的全流程自动化安全验证,满足了对关键设备的高可靠性、高安全性的严苛试验要求。

赋能成果
测试效率显著提升
通过流程自动化与工具集成,消除了手动协调异构工具的效率瓶颈,将安全测试周期与研发的快速迭代节奏完美匹配,极大减少了测试人员的手动工作量和等待时间。
漏洞发现率大幅提高
实现了对每一行代码和每一处功能集成的全覆盖检查,通过静态深度分析与动态验证的结合,显著提高了交付前的安全漏洞发现率,确保深层次或跨模块缺陷无处遁形。
合规审计便捷化
提供一站式测试数据管理与报告生成功能,自动整合多工具链结果并生成软件安全测试报告,极大地简化了关键设备项目中的安全合规证明与审计工作。
安全状态实时可控
实现了对软件安全状态的清晰、实时追溯与掌握,确保了研制过程满足软件安全测试的严苛标准。
服 务 热 线