编制医疗器械网络安全漏洞自评报告要点解析

轻轻吹着走

医疗器械网络安全注册审查指导原则（2022年修订版）明确规定了漏洞评估的要求：

项目	轻微级别	中等级别	严重级别
CVSS漏洞等级	★	★	★
已知漏洞总数和已知剩余漏洞数	★	★	★
网络安全漏洞自评报告	★	★
网络安全漏洞评估报告	☆	★
已知剩余漏洞的维护方案	★

对于轻微级别，需要提供依据CVSS的漏洞等级和漏洞数，而对于中等和严重级别，需要提供网络安全漏洞自评报告。
水木医疗根据目前开展工作和积累经验情况，与大家一起展开讨论CVSS相关内容，以及网络安全漏洞自评报告需要的内容。
1.什么是CVSS？
CVSS，全称Common Vulnerability Scoring System，即“通用漏洞评分系统”，是一个“行业公开标准，其被设计用来评测漏洞的严重程度，并帮助确定所需反应的紧急度和重要度”，CVSS是安全内容自动化协议（SCAP）的一部分，通常CVSS同CVE一同由美国国家漏洞库（NVD）发布并保持数据的更新。
2.如何确定漏洞等级？
CVSS 由三个指标组组成：基本、时间和环境，每个指标组由一组指标组成，如图 1 所示。



图 1：CVSS 指标组

我们可以根据产品实际情况，对每个指标进行分析，例如对于攻击向量，我们可以按照下表的方式进行分析、赋值，最后根据赋值情况确定CVSS等级。
表 1：攻击向量


3.基于WEB或通用操作系统的产品，如何确定已知漏洞总数和已知剩余漏洞数？
如果产品是安装在通用计算机，并且运行在windows、Linux等通用系统上的产品，无论是BS架构或者CS架构，都可以使用一些漏洞扫描器或漏洞扫描工具，对主机系统、应用软件、数据库服务器系统进行漏洞扫描，确定漏洞总数和剩余漏洞数。
4.嵌入式软件如何确定已知漏洞总数和已知剩余漏洞数？
此类软件一般需要建立开发环境，安装操作系统与交叉编译器，配置开发主机的参数，开发应用程序，然后再烧写内核、根文件系统和应用程序，发布产品。
由此可以看出，除了个别产品使用TCP/IP协议等可与漏洞扫描工具建立连接外，绝大多数产品都无法使用漏洞扫描工具进行漏洞扫描。因此，需要从必备软件、外部软件环境方面考虑漏洞问题。
可以通过访问国家信息安全漏洞库，确定外部软件环境（例如所用操作系统）的漏洞库的基本信息（如名称、完整版本、发布日期、供应商等）。个人建议，使用专用漏洞扫描工具，对外部软件环境和形成的应用程序进行漏洞扫描，确定漏洞情况。
5.什么是必备软件？什么是外部软件环境？
《医疗器械软件注册审查指导原则（2022年修订版）》规定，将医疗器械软件正常运行所必需的其他的医疗器械软件及医用中间件称为必备软件，而将其正常运行所必需的系统软件、通用应用软件、通用中间件、支持软件统称为外部软件环境。
必备软件作为医疗器械软件单独注册，明确相互接口关系及技术特征即可。外部软件环境不含必备软件，亦非医疗器械软件。
6.网络安全漏洞自评报告需要包括哪些内容？
根据医疗器械网络安全注册审查指导原则（2022年修订版）的要求，我们建议包括CVSS漏洞等级、漏洞扫描报告、漏洞总数和剩余漏洞数、剩余漏洞的维护方案等内容，实例如下：




7.漏洞扫描工具有哪些？
目前有很多漏洞扫描工具，大家可以到网络上找到一些资源，例如“OpenVAS、Tripwire IP360、Nessus 、Comodo HackerProof、Nexpose community、Vulnerability Manager Plus、Nikto 、Wireshark 、Aircrack-ng 、Retina”等。
只不过需要注意的是，先确定产品是基于WEB的，还是基于主机的产品，因为很多漏洞扫描工具只支持进行例如https， httpd，HTTP等协议的漏洞扫描。如果需要进行主机系统和应用程序漏洞扫描，建议到正规第三方检测平台，使用专业的网络安全工具进行扫描。
8.需要第三方检测机构做网络安全漏洞评估报告吗？
对于严重级别，需要。
对于中等级别，强烈建议到第三方检测机构做网络安全漏洞评估报告，因为大部分单机版产品需要专业扫描工具，并且能保证漏洞库的实时更新。
9.已知剩余漏洞的维护方案包括哪些内容？
对于已知的剩余漏洞，需要制定维护方案，确保产品综合剩余风险均可接受。维护方案建议包括但不限于以下内容：

• 已知剩余漏洞的具体信息；
  
• 网络安全策略，明确安全防范的重点和对象、网络安全工具配置、培训等；
  
• 病毒防治方案，包括安装防护工具、定期扫描电脑病毒、即时安装补丁程序等。
  

佑福

大佬，能不能给份模板

程芳金

大人，此事必有蹊跷！

金瑜

鼎力支持！！