警示 · 第八期 | 医疗器械网络安全之安全漏洞详解版（一）

在医疗器械的网络安全注册申报资料中，网络安全漏洞评估是也是其中一项能力证明，这次就带大家全面快捷的了解一下网络安全漏洞的相关知识。

由于内容比较多且会重点讲述，所以网络安全漏洞的内容将会分多期讲述。本文重在描述医疗器械网络安全漏洞的目的、风险等级、工作原理等内容。

医疗器械网络安全漏洞评估是对医疗器械的系统性审查，用于发现存在医疗器械网络中的现有漏洞，确定安全漏洞的等级和威胁程度。

网络安全漏洞评估的目的

1. 评估产品是否存在网络安全方面的扫描

2. 为每个漏洞确定风险等级

医疗器械网络安全注册审查指导原则（2022年修订版）明确规定了漏洞评估要求：如图示

（图示为制作图，方便了解内容）

漏洞风险等级的确定参考CVSS评分规则，即“通用漏洞评分系统”。

CVSS是由FITST（Forum of Incident Response and Security Teams，事件响应和安全团队论坛）维护的开放式行业标准，其发布为信息安全产业从业人员交流网络中所存在的系统漏洞的特点与影响提供了一个开放式的评价方法。

CVSS是用于评估系统安全漏洞严重程度的一个行业公开标准。其主要目的是帮助人们建立衡量漏洞严重程度的标准，使得人们可以比较漏洞的严重程度，从而确定处理它们的优先级。

CVSS得分基于一系列维度上的测量结果，这些测量维度被称为量度（Metrics）。漏洞的最终得分最大为10，最小为0。漏洞评分越高，表面漏洞被攻击的复杂度越低，漏洞被利用所需要的技术能力越低，漏洞被利用后对系统的影响程度越高。

对于轻微级别，需要提供依据CVSS的漏洞等级和漏洞数，而对于中等和严重级别，需要提供网络安全漏洞自评报告。

3.根据漏洞的分布情况与风险等级，采取相应的措施及提升产品的网络安全性能。

漏洞扫描的工作原理

网络安全漏洞扫描是通过对目标软件的探测，发现存活的目标主机或网络，收集其操作系统类型、运行的服务、开放的端口、使用的协议类型、运行的其他应用程序、设备信息等信息后，与漏洞扫描工具中的实时漏洞库进行匹配，如果满足匹配条件，则视为漏洞存在并根据CVSS3.0标准赋予对应的漏洞等级，最终给出产品的网络安全漏洞结果报告。

此外，还可以通过模拟黑客的进攻手法，对目标主机系统进行攻击性的安全漏洞扫描（如弱口令扫描），如果模拟攻击成功，则视为漏洞存在。

网络安全漏洞扫描主要是通过扫描发现指定的远程或本地计算机系统网络或应用层上潜在的及已知的漏洞、发现可利用漏洞的一种安全检测手段。

漏洞扫描只会以一种非侵略性的方式，仔细地分析定位系统的所有漏洞。使用漏洞扫描工具不需要提供源代码，不会对软件进行攻击行为。

如果您有相关的业务需求，也可随时联系我们，我们也将竭诚为您服务。