警示 ·第十一期 | 医疗器械网络安全之安全漏洞详解版（四）

关于医疗器械网络安全漏洞的课题，围绕着漏洞扫描的目的、风险等级、工作原理、评估范围分析、漏洞扫描的策略等内容重点展开讲述。本期将接着对医疗器械网络安全漏洞自评报告的相关内容做具体讲述。

漏洞扫描工具

漏洞扫描器的工作原理是根据目标系统的操作系统平台和提供的网络服务，调用漏洞资料库中已知的各种漏洞进行逐一检测，通过对检测相应数据包的分析判断是否存在已知安全漏洞进行扫描的引擎部分。

目前常见的商用漏洞扫描工具有：Webinspect、OpenVAS、Tripwire IP360、AppScan等。医疗器械注册申请人或第三方评估机构进行漏洞扫描时应明确漏洞扫描软件工具信息、漏洞库信息（基于国家信息安全漏洞库或互认的国际信息安全漏洞库）的基本信息（包括名称、完整版本、发布日期）等。

网络安全漏洞评估报告

根据医疗器械网络安全注册审查指导原则（2022年修订版）的要求，我们建议包括CVSS漏洞等级、漏洞扫描报告、漏洞总数和剩余漏洞数、剩余漏洞的维护方案等内容。

CVSS：（Common Vulnerability Scoring System）即“通用漏洞评分系统。是一个“行业公开标准，其被设计用来评测漏洞的严重程度，并帮助确定所需反应的紧急度和重要度”。医疗器械注册申请人进行漏洞评估时应明确漏洞风险等级的评定标准，并根据CVSS的评分标准以确定发现漏洞的风险值以及被测定医疗器械产品的风险等级。

对于中等级别，强烈建议到第三方检测机构做网络安全漏洞评估报告，因为大部分单机版产品需要专业扫描工具，并且能保证漏洞库的实时更新。

漏洞总数和剩余漏洞数：可以通过访问国家信息安全漏洞库，确定外部软件环境（例如所用操作系统）的漏洞库的基本信息（如名称、完整版本、发布日期、供应商等）。个人建议，使用专用漏洞扫描工具，对外部软件环境和形成的应用程序进行漏洞扫描，确定漏洞情况。

对于经扫描后发现的已知漏洞，医疗器械注册申请人或第三方评估机构应描述在哪些端口、协议、服务为下面出现漏洞，并说明漏洞信息（包括漏洞名称、漏洞类别及对应的CVE）信息。

剩余漏洞的维护方案：根据扫描后的漏洞分布情况和已知的剩余漏洞，医械注册申请人应针对剩余漏洞的具体信息、漏洞的风险等级、出现位置、难易程度、紧迫性等方面分析剩余漏洞对于产品安全性方面的影响，来确定网络安全策略，并制定下一步的漏洞维护方案。

【常见的安全策略不限于：对于Windows操作系统，启用Windows Srver Update Services功能，以实时进行系统补丁更新……】

打赏