引言
具备网络连接功能的医疗器械运行的网络环境中,通常信息流比较复杂,存在着许多安全方面的风险,网络安全漏洞便是其中典型的风险之一。通过医疗器械中的安全漏洞渗透到医疗器械中的恶意攻击,不仅可能会造成医疗器械运行出现故障,同时也可能造成医疗数据的泄露。实施漏洞管理可帮助医疗器械降低其网络安全所面临的威胁,而定期进行漏洞评估、漏洞维护等工作,则是减轻医疗器械网络安全威胁的有效手段。本文件的编制,旨在提供一种对医疗器械网络安全漏洞识别与评估的方法医疗器械网络安全漏洞识别与评估方法。
一、范围
本文件描述了医疗器械网络安全漏洞识别与评估的过程,为医疗器械注册申请人和第三方评估机构提供了医疗器械网络安全漏洞评估的方法指南。
二、规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅所注日期的版本适用于本文件。凡是不注日期的引用文件,其[敏感词]版本(包括所有的修改单)适用于本文件。
GB/T 20984-2022 信息安全技术信息安全风险评估规范
GB/T 25069-2022 信息安全技术 术语
GB/T 28458-2020 信息安全技术 网络安全漏洞标识与描述规范
三、术语和定义、缩略语
3.1 术语和定义
3.1.1
端口 port
连接的端点。
注:在互联网协议的语境下,端口是传输控制协议(TCP)连接或用户数据报协议(UDP)
消息的逻辑信道端点。基于 TCP 或 UDP 的应用协议,通常已分配默认端口号,如为超文本
传输协议(HTTP)的端口号是 80。
[来源:GB/T 25069-2022,3.130]
3.1.2
访问控制 access contral
一种确保数据处理系统的资源只能由经授权实体以授权方式进行访问的手
段。
[来源:GB/T 25069-2022,3.147]
3.1.3
固件 firmware
功能上独立于主存储器,通常存储在只读存储器(ROM)中的指令和相关
数据的有序集。
[来源:GB/T 25069-2022,3.225]
3.1.4
过滤 filtering
依照所规定的准则,接受或拒绝数据流通过某一网络的过程。
[来源:GB/T 25069-2022,3.235]
3.1.5
基于角色的访问控制 role-based access control
一种对某一角色授权,许可其访问相应对象的访问控制方法。
[来源:GB/T 25069-2022,3.263]
3.1.6
威胁 threat
可能对系统或组织造成危害的不期望事件的潜在因素。
[来源:GB/T 25069-2022,3.628]
3.1.7
主机 host
在基于传输控制协议/互联网协议(TCP/IP)的网络(如互联网)中,可设定地
址的系统或计算机。
[来源:GB/T 25069-2022,3.803]
3.2 缩略语
CVSS:通用漏洞评分系统(Common Vulnerability Scoring System)
CVE:公共漏洞和暴露(Common Vulnerabilities and Exposure)
CNVD:中国[敏感词]信息安全漏洞共享平台(China National Vulnerability
Database)
CNCVD: 中 国 国 家 网 络 安 全 漏 洞 库 ( China National Cybersecurity Vulnerability Database)
CNCVE: 中国[敏感词]通用漏洞披露(China National Common Vulnerabilities and Exposures)
四、漏洞扫描检估过程
医疗器械网络安全漏洞评估是对医疗器械的系统性审查,用于发现存在于医疗器械网络中的现有漏洞,确定安全漏洞的等级和威胁程度。
网络安全漏洞评估主要有三个目的:
1. 评估产品是否存在网络安全方面的漏洞。
2. 为每个漏洞确定风险等级。
3. 根据漏洞的分布情况与风险等级,采取相应的措施以提升产品的网络安全性能。
在漏洞评估的过程中,漏洞扫描是确认隐藏在医疗器械及其环境中漏洞的实用方法,扫描结果能够帮助医疗器械注册申请人了解其产品网络安全所存在的问题,并做出有依据性的评估。
漏洞风险等级的确定参考 CVSS 评分规则,即“通用漏洞评分系统”。 CVSS是用于评估系统安全漏洞严重程度的一个行业公开标准。漏洞风险等级评分为10 分—0 分,漏洞评分越高,表明漏洞被攻击的复杂度越低,漏洞被利用所需要的技术能力越低,漏洞被利用后对系统的影响程度越高。
漏洞评估的过程主要包括下列几个过程:
1. 评估范围分析
2. 确定漏洞扫描策略
3. 执行漏洞扫描
4. 漏洞扫描检测结果评估
5. 已知剩余漏洞的维护
4.1 评估范围分析
对于医疗器械网络安全漏洞的评估,不仅仅是对拟注册医疗器械产品的评估,还应综合考虑产品实际使用时所处的运行环境,产品技术要求中所描述的必备软硬件、运行环境也在评估的范围之内。在进行医疗器械网络安全漏洞扫描评估时,注册申请人根据产品技术要求的内容,确保产品运行所必需的其他医疗器械软件、医用中间件及医疗器械硬件产品处在正常的配置和运行条件下。
同时注册申请人在进行网络安全漏洞扫描评估时,要确保医疗器械运行在产品技术要求所规定的典型运行环境中,包括硬件配置、外部软件环境、必备软件、网络条件等。
4.2 漏洞扫描策略
在进行网络安全漏洞扫描之前,首先需要确定产品的结构和组成,根据不同的产品结构和组成类型,从而确定相应的扫描检测评估方法。如果产品运行在通用计算平台上,使用 Windows 或 Linux 等通用操作系统,且是基于网络的部署方式(包括局域网和广域网),在漏洞扫描时使用基于网络的扫描方式。由于很多基于网络的漏洞扫描工具只支持进行某种协议的漏洞扫描,在进行基于网络的漏洞扫描时,医疗器械注册申请人或第三方评估机构需结合被扫描对象的应用特点及使用环境,恰当地选择扫描工具。如果产品是单机部署,则在漏洞扫描时使用基于主机的扫描方式。基于主机的扫描,主要是对系统和应用程序漏洞扫描,需要使用专业的安全工具进行扫描,
同时根据不同的检测目标,在扫描工具上进行不同的配置,如 Windows、Linux的区别等。
如果产品属于嵌入式软件,即通常所说的固件,系统软件和应用软件运行在嵌入式平台上,此类软件设计时需要在通用计算机平台上搭建专门的开发环境,使用专门的开发工具来开发应用程序,通过交叉编译,将程序烧录到目标平台上,这种情况需要对固件文件进行检测评估。
4.2.1 网络部署扫描策略
基于网络的漏洞扫描是从外部攻击者的角度对目标网络和系统进行扫描,应探测目标网络设备、操作系统、数据库及应用服务中存在的漏洞,以及目标系统是否使用了某些协议或开放了某些服务并存在相应的漏洞。基于广域网或局域网的扫描,漏洞扫描工具应可以获取可访问的 IP 地址接入其对应的网络中,对于混合部署方式,漏洞扫描工具应分别接入其相应的网络中进行扫描。医疗器械注册申请人或第三方评估机构在进行漏洞扫描前,需要了解被扫描对象所在网络部署情况,对于基于网络的漏洞扫描,需要获得被测试方的授权。
4.2.2 主机扫描策略
基于主机的漏洞扫描主要是从用户的角度检测医疗器械的漏洞,这类医疗器械通常内置应用软件,并需要通过用户登录的方式进行使用,基于主机的扫描可以发现系统软件、中间件、注册表、用户配置、端口及开放服务等方面存在的漏洞。
对于部分不含有网络连接或远程访问与控制的医疗器械(常见如体外诊断类医疗器械),但存在非网络接口的其他电子接口(如串口、并口、USB 口、视频接口、音频接口,含调试接口、转接接口)或通过存储媒介(如光盘、移动硬盘、U 盘)进行数据交换,这种情况不对传输协议进行扫描,而是对相应的端口及调用过程进行扫描。
4.2.3 嵌入式系统扫描策略
基于嵌入式软件的扫描,可以在不执行程序代码的情况下,通过静态分析程序特征以发现漏洞。
由于固件程序涉及知识产权,很少公开源代码,在这种情况下需要通过对固件进行逆向工程,再通过程序静态分析技术进行分析。
基于嵌入式软件的漏洞检测,除了应用程序外,还应包含引导加载程序、系统内核、文件系统等环境。
4.3 执行扫描
4.3.1 网络部署扫描和主机扫描
应按照产品技术要求描述的内容,使被测产品运行在典型使用环境中。不论是基于 B/S 架构,还是基于 C/S 架构,应对客户端和服务器端分别进行扫描,并且针对不同的用户权限等级分别进行扫描。
在进行漏洞扫描之前,医疗器械注册申请人应开放所有使用的端口,开放所有的安全策略(如关闭防火墙等),确保扫描工具与被测对象之间处于一种无过滤的通信状态,以扫描到完整目标程序。
漏洞扫描通常分为以下三个阶段:
[敏感词]阶段:发现目标主机或网络
漏洞扫描工具探测到目标主机或网络。
第二阶段:搜寻扫描目标
当扫描工具发现目标后进一步搜集目标信息,包括操作系统类型、开放的端口、运行的服务、使用的协议类型等。如果目标处于网络环境中,还应进一步发现该网络的拓扑结构、服务器、交换机/路由器以及连接的其他设备(如打印机)等信息。
第三阶段:扫描测试
根据搜集到的信息,由漏洞扫描工具向搜寻到的目标发送请求信息、返回分析信息,从而最终确定是否存在安全漏洞。 4.3.2 嵌入式系统扫描基于嵌入式系统的扫描,应使用相应的工具对嵌入式软件压缩包进行扫描分析,整个分析流程主要分为四个阶段:
[敏感词]阶段:识别固件结构体系,提取出待分析的目标程序;
第二阶段:识别固件中存在的软件成分,如操作系统、中间件、应用程序等;
第三阶段:查找整个固件里如第三方库、公私钥的敏感信息;
第四阶段:通过静态分析技术对程序的汇编码进行分析,并与分析工具中内置的漏洞库、恶意代码库等数据库进行匹配,找出待测件中存在的漏洞及风险。
五、漏洞扫描结果评估
医疗器械注册申请人或第三方评估机构在对医疗器械产品完成扫描检测后,应对本次扫描测试的情况进行描述,记录测试过程中的信息,说明漏洞分布情况,并输出漏洞信息和评估结果。
5.1 概况说明
概况说明应体现本次漏洞评估的医疗器械产品的信息(如名称、型号、完整版本、必备软硬件、运行环境等)、漏洞扫描主机风险等级、操作系统、系统版本、插件版本、扫描时间,基于网络和主机扫描的 IP 地址、主机名,基于嵌入式软件的指令集架构、固件大小、固件中文件数量等内容。
5.2 漏洞信息
5.2.1 漏洞分布
医疗器械注册申请人或第三方评估机构在漏洞扫描结束后,应输出网络安全漏洞的分布情况,明确已知漏洞总数和已知剩余漏洞数(按照 CVSS 的漏洞等级)。
5.2.2 漏洞概况
对于经扫描后发现的已知漏洞,医疗器械注册申请人或第三方评估机构应描述在哪些端口、协议、服务下出现了漏洞,并说明漏洞的信息,包括漏洞名称、漏洞类别及对应的 CVE 信息等。
5.2.3 已知剩余漏洞详情
对于经扫描后发现已知的剩余漏洞,医疗器械注册申请人或第三方评估机构应描述剩余漏洞的详情,包括漏洞名称、漏洞的详细描述、CVE 编号、CNNVD编号、CNVD 编号、CVSS 评分等。
对于扫描漏洞结果可进行人工校验,结合漏洞出现的位置,分析其访问路径、触发条件、权限需求、交互条件给予人工赋值,根据赋值结果,对漏洞的被利用性、影响程度和环境因数进行分级,以重新确定漏洞风险等级。
5.3 关联信息
医疗器械注册申请人或第三方评估机构在评估结束后,在输出的评估结果中还应该输出在测试过程中的一些关联信息,如扫描工具信息、被测对象信息、CVSS 评分标准。
5.3.1 扫描工具信息
医疗器械注册申请人或第三方评估机构进行漏洞评估时应明确漏洞扫描软件工具信息、漏洞库信息(基于[敏感词]信息安全漏洞库或互认的国际信息安全漏洞库)的基本信息(名称、完整版本、发布日期、供应商等)
5.3.2 被测对象信息
医疗器械注册申请人或第三方评估机构进行漏洞评估时应记录被测对象在扫描过程中被识别到的端口信息(端口号、协议类型、服务类型、状态),被识别 到 开 放 的 服 务 ( 如 Server/lanmanserver 、ComputerBrowser/Browser Workstation/lanmanworkstation 等),被识别到安装的软件的信息(软件名称、版本号),必要时记录被测对象的 MAC 地址信息、主机名、域信息等。
5.3.3 CVSS 评分标准
医疗器械注册申请人或第三方评估机构进行漏洞评估时应明确漏洞风险等级的评定标准,根据 CVSS 的评分标准以确定发现漏洞的风险值以及被测医疗器械产品的风险级别。
六、已知剩余漏洞的维护方案
根据扫描后的漏洞分布情况和已知的剩余漏洞,医疗器械注册申请人应针对剩余漏洞的具体信息、漏洞的风险等级、漏洞出现的位置、漏洞修复的难易程度、漏洞修复的紧迫性等方面,综合分析剩余漏洞对产品安全性方面的影响,确定网络安全策略,制定下一步的漏洞维护方案。
常用的安全策略有(不限于):
对于存在弱口令的系统,通过培训或提示用户进行密码修改,或者使用策略来强制限制密码长度和复杂性,以加强入网访问控制。
在产品的使用上设置不同的用户级别和权限等,以加强基于角色的访问控制。
对于 Windows 操作系统,启用 Windows Server Update Services 功能,以实时进行系统补丁更新。
对于一些不使用的服务,可以通过关闭该服务以达到安全目的。
使用白名单机制,仅对授权的用户开放网络资源,以加强网络之间的访问控制。
在产品使用终端加强对用户的培训,特别是使用权限、网络配置方面等方面,确保产品的使用是在预期的使用环境,并按照预期的方法进行使用。
参考文献
[1]GB/T 30276-2020 信息安全技术网络安全漏洞管理规范[S]
[2]GB/T 28458-2020 信息安全技术—网络安全漏洞标识与描述规范[S]
[3]GB/T 30279-2020 信息安全技术网络安全漏洞分类分级指南[S]
[4]ISO/IEC 29147:2018, Information Technology - Security Techniques -Vulnerability Disclosure [S]
[5]ISO/IEC 30111:2013, Information Technology - Security Techniques -Vulnerability Handling Processes [S]
Website
0769-83110798
E-mail