中关村水木医疗-医疗器械软件检测及研发答疑汇总（4）

1、IVD设备（嵌入式软件），在做漏洞扫描时，对仪器的USB接口（接口功能为开放性的，可接键盘或U盘等外接设备）需要做哪些软、硬件方面的防护？

回复：漏洞扫描主要用于发现系统和应用软件的弱点和漏洞，需要考虑USB接口、数据传输协议等内容。而使用USB接口的设备，需要综合考虑系统加固（SAHD）、数据去标识化与匿名化（DIDT）、数据完整性与真实性（IGAU）、数据备份与灾难恢复（DTBK）、数据存储保密性与完整性（STCF）、数据传输保密性（TXCF）、数据传输完整性（TXIG）、网络安全特征配置（CNFS）、恶意软件探测与防护（MLDP）等网络安全能力。

2、关于服务器漏洞扫描，医疗注册类产品与互联网类（或其他信息系统）的主要区别是什么？

回复：医疗注册类产品是指的CS架构的，互联网类指的是BS架构的吧？如果是这样的话，这两类漏洞扫描存在很大的区别。

1）对服务器的针对性不同：CS架构的扫描具有全部或局部的 “遍历” 性，客户端具有针对性，普通客户端的开发者一旦确定了需求，剩下的就是按需求去实现各功能的细节；而BS架构的扫描则通常通过对全部或局部进行功能遍历，以期验证自己的猜测或获得更多更详细的数据。

2）对服务端的要求不同：CS架构客户端的开发者与服务器的开发者首先需要共同协商以决定通信时采用什么协议等细节；而BS架构开发者则需要通过已有的协议或猜测、试探等方式决定采用什么技术，故扫描程序对服务器端是没有要求的。同时，扫描程序的扫描结果也常具有不可预知性。

3）对服务器的服务支持程度不同：CS客户端连接服务器的目的是为了让客户端用户能远程地使用服务器所提供的各项功能，因此，通常客户端程序要支持所有的命令，有些命令哪怕只有极少数机会被用到，客户端也必须提供支持；而BS扫描程序则只需要支持和使用所需要的最少的几个命令。

4）扫描精度不同：BS架构的网络扫描程序比CS架构的扫描程序在扫描精度、扫描详细度方面会低一些，因为本地扫描是使用你本地设备的硬件系统来扫描，扫描速度和精度取决于你设备的性能，但是很多网络扫描依靠的是浏览器和网络的速度，所以扫描精度会大大降低，但是这里面不包括云漏洞扫描。

5）扫描准确度不同：相同水准的前提下BS架构的网络扫描器的扫描准确度会高于CS架构的本地扫描器，因为本地扫描器一般是靠本地的漏洞库来进行匹配的，而网络漏洞扫描器会借助网络上多个漏洞库这就导致扫描时间会长一些但扫描精度会大大高于本地漏洞扫描。

3、网络安全相关测试的实验室和人员，需要提供怎样的资质？

回复：对于医疗器械制造商来说，网络安全测试与其他软硬件测试一样，需要满足医疗器械生产质量管理体系中机构和人员、厂房与设施、设备、培训等要求，对于第三方机构来说，医疗器械的网络安全测试需要满足国家认证认可监督管理部门的相关要求，获得资质。

4、网络安全22项能力测试与网络安全渗透测试分别属于验证和确认里面的哪些内容？

回复：网络安全22项能力在医疗器械产品的设计和研发过程中需要考虑，相关的评估和测试属于验证和确认中的内容。

网络安全渗透测试可以作为产品系统测试的一部分，整体可以放在验证与确认中。

5、漏洞扫描可以公司内部做？还是必须第三方执行？

回复：漏洞扫描可以使用漏洞扫描工具在公司内容做，但建议满足以下要求：

1）对漏扫工具进行必要且充分的验证与确认，明确漏扫工具是否能满足产品的需求。

2）商业的漏扫工具一般价格都要几十万，对于医疗器械企业，如果产品线不多的企业，不太建议自己采购。而且这些工具的开发、维护都需要成本，因此供客户免费使用的功能、病毒库的更新等都可能存在不确定性。另外，还需要考虑这些工具的知识产权等法律、法规问题。同时根据网络安全指导原则，法规也是建议由有资质的第三方检验机构进行漏洞扫描。

中关村水木医疗具备相应的网络安全资质和商业漏扫工具，可以接受网络安全的检测委托。

6、网络安全验证与确认，是企业自己评估验证？还是必须第三方？

回复：现行有效的注册、法规资料没有明确要求。个人认为企业可以自己做评估和测试，但需要满足医疗器械生产质量管理体系中关于机构和人员、厂房与设施、设备、培训等要求，配备相关硬件、具备相关能力。建议到有资质的第三方检验机构进行评估测试。

7、渗透测试和威胁建模有可以使用的工具吗？

回复：渗透测试是比较专业的测试项目，是一个从空间到面再到点的过程，测试人员模拟黑客的入侵，从外部整体切入最终落至某个威胁点并加以利用，最终对整个网络产生威胁，以此明确整体系统中的安全隐患点。对于BS架构、CS架构需要使用不同的策略和工具。

威胁建模是一个帮助识别列举潜在威胁，并确定缓解措施的优先级，让安全实践左移的过程方法。目的是为防御者提供系统分析，分析需要包含哪些控制或防御措施，考虑到系统的性质、可能的攻击者的概况、最可能的攻击向量以及攻击者最需要的资产。对威胁建模人员的要求，既需要他能积累大量安全漏洞风险相关的知识，也需要了解大量软件架构设计和技术原理，甚至需要对开发非常熟悉。目前最为广泛采纳的就是STRIDE模型。STRIDE是微软开发的用于威胁建模的方法和工具。

8、网络安全验证与确认具体需要做那些测试。源代码安全审核，渗透测试，模糊测试等都要做吗？

回复：需要依据产品的预期用途、使用场景、产品架构、数据传输方式，以及风险级别等不同的内容进行综合判断，具体产品需要进行具体分析。

9、如果产品涉及到的“网络”只包括电子数据接口和主从机间的网络接口，是否需要漏洞安全评估呢？如何进行？

回复：医疗器械网络安全是指保护医疗器械产品自身和相关数据不受未授权活动影响的状态。如果医疗器械产品具有电子数据交换、远程访问与控制、用户访问三种功能当中一种及以上，就涉及到网络安全的问题了。电子数据接口和网络接口都是网络安全需要重点关注的外部接口，从风险分析角度考虑，存在着恶意软件和网络攻击的风险，需要进行漏洞扫描、网络安全能力评估等工作。这部分的要求比较多，请按照2022版网络安全审查指导原则的要求展开。

10、HDO的概念该怎么理解？

回复：HDO出现在IEC/TR 80001-2-2:2010：2012的3.19注释1中，是英文healthcare delivery organization的缩写，可直译为医疗交付机构，可以理解为接收和使用医疗器械产品、并有可能进行网络安全特性配置的医疗机构。

11、请问，没有数据传输功能和远程访问功能的治疗类设备（如肿瘤射频消融仪），设备也没有显示屏，只有数码管，而且不能存储数据，这种设备在网络安全适用的范围吗？

回复：如果设备没有通过网络或移动存储的电子数据交换，没有实时或非实时的远程访问与控制，也没有基于软件用户界面、电子接口等人机交互方式访问医疗数据和设备数据，则不涉及到网络安全问题。

12、指导原则中说涉及用户访问的需要考虑，但具体什么情况算用户访问的范围不太清楚，能讲解一下吗？

回复：指导原则中规定：用户（如医务人员、患者、维护人员等）访问包括基于软件用户界面、电子接口的人机交互方式。电子接口比较好理解，问题应该出现在用户界面上。个人理解，可以从用户访问的方式、获取数据的途径，以及数据安全性等方面考虑。但讨论的前提是医疗器械产品整机涉及网络安全问题，而医疗器械网络安全关注的核心是数据。因此如果用户能够通过访问产品用户界面的方式获取数据（无论医疗数据还是设备数据），例如将数据导出到本机的另一个目录下，则会导致数据保密性、完整性等风险。

13、渗透测试和模糊测试有专用工具吗？

回复：渗透测试是比较专业的测试项目，是一个从空间到面再到点的过程，测试人员模拟黑客的入侵，从外部整体切入最终落至某个威胁点并加以利用，最终对整个网络产生威胁，以此明确整体系统中的安全隐患点。对于BS架构、CS架构需要使用不同的策略和工具。

模糊测试 （fuzz testing, fuzzing）技术是安全测试技术的一种，通过构造畸形输入数据使得软件发生异常如崩溃等情况，从而发现软件中存在的安全问题。完全自动化的工具通常只能发现那些可被用标准化方式发现的特定安全漏洞（如简单的SQL注入漏洞）。模糊测试是一种介于完全的手工渗透测试与完全的自动化测试之间的安全性测试类型。它充分利用了机器的能力：随机生成和发送数据；同时，也尝试将安全专家在安全性方面的经验引入进来。

14、22项能力如果不适用需要提供证据的话，有标准模板或者参考吗？或是企业根据实际情况提供？

回复：目前没有针对22项能力的官方模板，对于不适用的项目要进行充分的分析和判断。这种能力评估建议参考系统测试的方式进行，可使用黑盒测试的方法。企业可根据实际情况进行评估，但为确保评估的公正性、充分性，建议到有资质的第三方进行评估和测试。

15、22项有没有哪几项是最低要求，必须满足的？

回复：从分类目录可以看出，医疗器械分类众多，仅大项就分成了22项，即使是同一类产品，也有很大的区别。因此，不能一概而论22项能力的最低要求，需要根据产品所属的类别、风险等级、预期用途、适用场景等综合考虑。

16、什么软件需要进行模糊测试、渗透测试、威胁建模及漏洞扫描？

回复：这几项都是对产品在网络安全方面能力的测试，涉及到网络安全问题的产品都建议进行风险评估，确定需要进行的测试项目。但即便是轻微级别的软件，仍然需要提供已知漏洞总数和已知剩余漏洞数，而这些漏洞最直接有效的方式就是通过漏洞扫描。

17、USB硬件也要做漏洞扫描吗？

回复：USB作为电子数据交换接口，需要进行漏洞扫描。需要对相应的端口及调用过程进行扫描。

18、请问设备和手机APP 通过蓝牙通信组成局域网，需要做网络完全的评估吗？

回复：设备将数据传输到本机之外的设备（例如手机），涉及到网络安全问题。需要进行网络安全的评估。

19、请问对于网络安全的风险分析与评估， 在设计阶段是否可以借鉴CVSS的风险评分方法进行风险等级及可接受性的评估？还是CVSS的方法更倾向于漏洞的评级评估？

回复：首先我们先清楚CVSS的用途。CVSS（The Common Vulnerability Scoring System通用漏洞评分系统）是一个行业标准，编写并更新。这是一个中立的评分系统，让所有企业能够使用相同的评分框架对各种软件产品（从操作系统、数据库再到 Web 应用程序）的 IT 漏洞进行评分。什么时候用到CVSS呢？是在企业发现了一个漏洞后，不知道这个漏洞的潜在影响和危害程度，使用CVSS对发现的这个漏洞进行评分。因此，CVSS只是针对漏洞的危害程度等的评估，不建议用在其他方面。