FDA网络安全--威胁建模

2025年6月27日，FDA发布最新《医疗器械网络安全：质量体系考虑因素和上市前提交内容》指南，新指南强调网络安全风险管理的重要性，在整个风险管理过程中，FDA建议使用威胁建模来为整个风险分析活动提供信息和支持，V.A.2章节Cybersecurity Risk Assessment风险评估中也明确建议风险评估应涵盖从威胁模型中得出的风险及相应的控制措施。最新版的eSTAR（新旧版本此处提交内容和要求未发生改变）中也将Threat Model作为必须提交的内容，威胁建模已成为必需内容。

相关提交实务如下图所示：

威胁建模要求如下：

①确定医疗器械系统风险和缓解措施，并告知作为网络安全风险评估一部分考虑的缓解前后风险;

②说明有关医疗设备系统或使用环境的任何假设（例如，医院网络本质上是敌对的，因此建议制造商假设对手控制网络，能够更改、丢弃和重放数据包）;

③涵盖通过供应链、制造、部署、与其他设备互作、维护/更新活动和退役活动引入的网络安全风险，否则这些风险在传统安全风险评估流程中可能会被忽视。

④在威胁建模文档中，应当附上所选用方法论的合理依据。

此处在提交实务中常见的发补项如下：

发补项分析：

此处的重点关注点在"this documentation is not adequate."对于文档不充分的整改流程见笔者的另外一篇文章《FDA最新网络安全指南解读：如何精准应对发补要求？》

如何减少此类发补：

1、建议最少使用两种威胁建模方法进行建模分析，保证威胁建模结论的充分性

2、强化数据流等关键元素的标准和突出

3、重点突出缓解措施的展示