引言
具備網(wǎng)絡(luò)連接功能的醫(yī)療器械運(yùn)行的網(wǎng)絡(luò)環(huán)境中��,通常信息流比較復(fù)雜,存在著許多安全方面的風(fēng)險����,網(wǎng)絡(luò)安全漏洞便是其中典型的風(fēng)險之一����。通過醫(yī)療器械中的安全漏洞滲透到醫(yī)療器械中的惡意攻擊�����,不僅可能會造成醫(yī)療器械運(yùn)行出現(xiàn)故障,同時也可能造成醫(yī)療數(shù)據(jù)的泄露��。實施漏洞管理可幫助醫(yī)療器械降低其網(wǎng)絡(luò)安全所面臨的威脅,而定期進(jìn)行漏洞評估、漏洞維護(hù)等工作�����,則是減輕醫(yī)療器械網(wǎng)絡(luò)安全威脅的有效手段。本文件的編制�����,旨在提供一種對醫(yī)療器械網(wǎng)絡(luò)安全漏洞識別與評估的方法醫(yī)療器械網(wǎng)絡(luò)安全漏洞識別與評估方法。
一����、范圍
本文件描述了醫(yī)療器械網(wǎng)絡(luò)安全漏洞識別與評估的過程��,為醫(yī)療器械注冊申請人和第三方評估機(jī)構(gòu)提供了醫(yī)療器械網(wǎng)絡(luò)安全漏洞評估的方法指南。
二��、規(guī)范性引用文件
下列文件對于本文件的應(yīng)用是必不可少的�����。凡是注日期的引用文件��,僅所注日期的版本適用于本文件�����。凡是不注日期的引用文件����,其最新版本(包括所有的修改單)適用于本文件。
GB/T 20984-2022 信息安全技術(shù)信息安全風(fēng)險評估規(guī)范
GB/T 25069-2022 信息安全技術(shù) 術(shù)語
GB/T 28458-2020 信息安全技術(shù) 網(wǎng)絡(luò)安全漏洞標(biāo)識與描述規(guī)范
三����、術(shù)語和定義����、縮略語
3.1 術(shù)語和定義
3.1.1
端口 port
連接的端點����。
注:在互聯(lián)網(wǎng)協(xié)議的語境下,端口是傳輸控制協(xié)議(TCP)連接或用戶數(shù)據(jù)報協(xié)議(UDP)
消息的邏輯信道端點�����。基于 TCP 或 UDP 的應(yīng)用協(xié)議��,通常已分配默認(rèn)端口號����,如為超文本
傳輸協(xié)議(HTTP)的端口號是 80�����。
[來源:GB/T 25069-2022,3.130]
3.1.2
訪問控制 access contral
一種確保數(shù)據(jù)處理系統(tǒng)的資源只能由經(jīng)授權(quán)實體以授權(quán)方式進(jìn)行訪問的手
段�����。
[來源:GB/T 25069-2022,3.147]
3.1.3
固件 firmware
功能上獨立于主存儲器,通常存儲在只讀存儲器(ROM)中的指令和相關(guān)
數(shù)據(jù)的有序集����。
[來源:GB/T 25069-2022,3.225]
3.1.4
過濾 filtering
依照所規(guī)定的準(zhǔn)則��,接受或拒絕數(shù)據(jù)流通過某一網(wǎng)絡(luò)的過程。
[來源:GB/T 25069-2022,3.235]
3.1.5
基于角色的訪問控制 role-based access control
一種對某一角色授權(quán)����,許可其訪問相應(yīng)對象的訪問控制方法�����。
[來源:GB/T 25069-2022,3.263]
3.1.6
威脅 threat
可能對系統(tǒng)或組織造成危害的不期望事件的潛在因素����。
[來源:GB/T 25069-2022,3.628]
3.1.7
主機(jī) host
在基于傳輸控制協(xié)議/互聯(lián)網(wǎng)協(xié)議(TCP/IP)的網(wǎng)絡(luò)(如互聯(lián)網(wǎng))中��,可設(shè)定地
址的系統(tǒng)或計算機(jī)。
[來源:GB/T 25069-2022,3.803]
3.2 縮略語
CVSS:通用漏洞評分系統(tǒng)(Common Vulnerability Scoring System)
CVE:公共漏洞和暴露(Common Vulnerabilities and Exposure)
CNVD:中國國家信息安全漏洞共享平臺(China National Vulnerability
Database)
CNCVD: 中 國 國 家 網(wǎng) 絡(luò) 安 全 漏 洞 庫 ( China National Cybersecurity Vulnerability Database)
CNCVE: 中國國家通用漏洞披露(China National Common Vulnerabilities and Exposures)
四、漏洞掃描檢估過程
醫(yī)療器械網(wǎng)絡(luò)安全漏洞評估是對醫(yī)療器械的系統(tǒng)性審查��,用于發(fā)現(xiàn)存在于醫(yī)療器械網(wǎng)絡(luò)中的現(xiàn)有漏洞,確定安全漏洞的等級和威脅程度。
網(wǎng)絡(luò)安全漏洞評估主要有三個目的:
1. 評估產(chǎn)品是否存在網(wǎng)絡(luò)安全方面的漏洞。
2. 為每個漏洞確定風(fēng)險等級。
3. 根據(jù)漏洞的分布情況與風(fēng)險等級,采取相應(yīng)的措施以提升產(chǎn)品的網(wǎng)絡(luò)安全性能。
在漏洞評估的過程中,漏洞掃描是確認(rèn)隱藏在醫(yī)療器械及其環(huán)境中漏洞的實用方法,掃描結(jié)果能夠幫助醫(yī)療器械注冊申請人了解其產(chǎn)品網(wǎng)絡(luò)安全所存在的問題�����,并做出有依據(jù)性的評估����。
漏洞風(fēng)險等級的確定參考 CVSS 評分規(guī)則,即“通用漏洞評分系統(tǒng)”。 CVSS是用于評估系統(tǒng)安全漏洞嚴(yán)重程度的一個行業(yè)公開標(biāo)準(zhǔn)��。漏洞風(fēng)險等級評分為10 分—0 分����,漏洞評分越高��,表明漏洞被攻擊的復(fù)雜度越低,漏洞被利用所需要的技術(shù)能力越低��,漏洞被利用后對系統(tǒng)的影響程度越高。
漏洞評估的過程主要包括下列幾個過程:
1. 評估范圍分析
2. 確定漏洞掃描策略
3. 執(zhí)行漏洞掃描
4. 漏洞掃描檢測結(jié)果評估
5. 已知剩余漏洞的維護(hù)
4.1 評估范圍分析
對于醫(yī)療器械網(wǎng)絡(luò)安全漏洞的評估����,不僅僅是對擬注冊醫(yī)療器械產(chǎn)品的評估��,還應(yīng)綜合考慮產(chǎn)品實際使用時所處的運(yùn)行環(huán)境��,產(chǎn)品技術(shù)要求中所描述的必備軟硬件��、運(yùn)行環(huán)境也在評估的范圍之內(nèi)��。在進(jìn)行醫(yī)療器械網(wǎng)絡(luò)安全漏洞掃描評估時�����,注冊申請人根據(jù)產(chǎn)品技術(shù)要求的內(nèi)容�����,確保產(chǎn)品運(yùn)行所必需的其他醫(yī)療器械軟件、醫(yī)用中間件及醫(yī)療器械硬件產(chǎn)品處在正常的配置和運(yùn)行條件下。
同時注冊申請人在進(jìn)行網(wǎng)絡(luò)安全漏洞掃描評估時����,要確保醫(yī)療器械運(yùn)行在產(chǎn)品技術(shù)要求所規(guī)定的典型運(yùn)行環(huán)境中,包括硬件配置��、外部軟件環(huán)境��、必備軟件����、網(wǎng)絡(luò)條件等�����。
4.2 漏洞掃描策略
在進(jìn)行網(wǎng)絡(luò)安全漏洞掃描之前�����,首先需要確定產(chǎn)品的結(jié)構(gòu)和組成,根據(jù)不同的產(chǎn)品結(jié)構(gòu)和組成類型��,從而確定相應(yīng)的掃描檢測評估方法��。如果產(chǎn)品運(yùn)行在通用計算平臺上�����,使用 Windows 或 Linux 等通用操作系統(tǒng),且是基于網(wǎng)絡(luò)的部署方式(包括局域網(wǎng)和廣域網(wǎng))����,在漏洞掃描時使用基于網(wǎng)絡(luò)的掃描方式�����。由于很多基于網(wǎng)絡(luò)的漏洞掃描工具只支持進(jìn)行某種協(xié)議的漏洞掃描�����,在進(jìn)行基于網(wǎng)絡(luò)的漏洞掃描時��,醫(yī)療器械注冊申請人或第三方評估機(jī)構(gòu)需結(jié)合被掃描對象的應(yīng)用特點及使用環(huán)境�����,恰當(dāng)?shù)剡x擇掃描工具。如果產(chǎn)品是單機(jī)部署��,則在漏洞掃描時使用基于主機(jī)的掃描方式��?�;谥鳈C(jī)的掃描��,主要是對系統(tǒng)和應(yīng)用程序漏洞掃描����,需要使用專業(yè)的安全工具進(jìn)行掃描,
同時根據(jù)不同的檢測目標(biāo)�����,在掃描工具上進(jìn)行不同的配置�����,如 Windows��、Linux的區(qū)別等。
如果產(chǎn)品屬于嵌入式軟件�����,即通常所說的固件�����,系統(tǒng)軟件和應(yīng)用軟件運(yùn)行在嵌入式平臺上,此類軟件設(shè)計時需要在通用計算機(jī)平臺上搭建專門的開發(fā)環(huán)境����,使用專門的開發(fā)工具來開發(fā)應(yīng)用程序����,通過交叉編譯�����,將程序燒錄到目標(biāo)平臺上�����,這種情況需要對固件文件進(jìn)行檢測評估��。
4.2.1 網(wǎng)絡(luò)部署掃描策略
基于網(wǎng)絡(luò)的漏洞掃描是從外部攻擊者的角度對目標(biāo)網(wǎng)絡(luò)和系統(tǒng)進(jìn)行掃描,應(yīng)探測目標(biāo)網(wǎng)絡(luò)設(shè)備��、操作系統(tǒng)、數(shù)據(jù)庫及應(yīng)用服務(wù)中存在的漏洞�����,以及目標(biāo)系統(tǒng)是否使用了某些協(xié)議或開放了某些服務(wù)并存在相應(yīng)的漏洞。基于廣域網(wǎng)或局域網(wǎng)的掃描��,漏洞掃描工具應(yīng)可以獲取可訪問的 IP 地址接入其對應(yīng)的網(wǎng)絡(luò)中,對于混合部署方式��,漏洞掃描工具應(yīng)分別接入其相應(yīng)的網(wǎng)絡(luò)中進(jìn)行掃描。醫(yī)療器械注冊申請人或第三方評估機(jī)構(gòu)在進(jìn)行漏洞掃描前����,需要了解被掃描對象所在網(wǎng)絡(luò)部署情況�����,對于基于網(wǎng)絡(luò)的漏洞掃描,需要獲得被測試方的授權(quán)�����。
4.2.2 主機(jī)掃描策略
基于主機(jī)的漏洞掃描主要是從用戶的角度檢測醫(yī)療器械的漏洞,這類醫(yī)療器械通常內(nèi)置應(yīng)用軟件��,并需要通過用戶登錄的方式進(jìn)行使用,基于主機(jī)的掃描可以發(fā)現(xiàn)系統(tǒng)軟件��、中間件����、注冊表、用戶配置、端口及開放服務(wù)等方面存在的漏洞�����。
對于部分不含有網(wǎng)絡(luò)連接或遠(yuǎn)程訪問與控制的醫(yī)療器械(常見如體外診斷類醫(yī)療器械)�����,但存在非網(wǎng)絡(luò)接口的其他電子接口(如串口��、并口、USB 口�����、視頻接口、音頻接口�����,含調(diào)試接口、轉(zhuǎn)接接口)或通過存儲媒介(如光盤����、移動硬盤、U 盤)進(jìn)行數(shù)據(jù)交換�����,這種情況不對傳輸協(xié)議進(jìn)行掃描,而是對相應(yīng)的端口及調(diào)用過程進(jìn)行掃描�����。
4.2.3 嵌入式系統(tǒng)掃描策略
基于嵌入式軟件的掃描,可以在不執(zhí)行程序代碼的情況下�����,通過靜態(tài)分析程序特征以發(fā)現(xiàn)漏洞����。
由于固件程序涉及知識產(chǎn)權(quán)����,很少公開源代碼��,在這種情況下需要通過對固件進(jìn)行逆向工程�����,再通過程序靜態(tài)分析技術(shù)進(jìn)行分析。
基于嵌入式軟件的漏洞檢測��,除了應(yīng)用程序外,還應(yīng)包含引導(dǎo)加載程序����、系統(tǒng)內(nèi)核、文件系統(tǒng)等環(huán)境����。
4.3 執(zhí)行掃描
4.3.1 網(wǎng)絡(luò)部署掃描和主機(jī)掃描
應(yīng)按照產(chǎn)品技術(shù)要求描述的內(nèi)容,使被測產(chǎn)品運(yùn)行在典型使用環(huán)境中��。不論是基于 B/S 架構(gòu),還是基于 C/S 架構(gòu)�����,應(yīng)對客戶端和服務(wù)器端分別進(jìn)行掃描,并且針對不同的用戶權(quán)限等級分別進(jìn)行掃描��。
在進(jìn)行漏洞掃描之前����,醫(yī)療器械注冊申請人應(yīng)開放所有使用的端口�����,開放所有的安全策略(如關(guān)閉防火墻等),確保掃描工具與被測對象之間處于一種無過濾的通信狀態(tài),以掃描到完整目標(biāo)程序����。
漏洞掃描通常分為以下三個階段:
第一階段:發(fā)現(xiàn)目標(biāo)主機(jī)或網(wǎng)絡(luò)
漏洞掃描工具探測到目標(biāo)主機(jī)或網(wǎng)絡(luò)����。
第二階段:搜尋掃描目標(biāo)
當(dāng)掃描工具發(fā)現(xiàn)目標(biāo)后進(jìn)一步搜集目標(biāo)信息��,包括操作系統(tǒng)類型、開放的端口��、運(yùn)行的服務(wù)、使用的協(xié)議類型等����。如果目標(biāo)處于網(wǎng)絡(luò)環(huán)境中�����,還應(yīng)進(jìn)一步發(fā)現(xiàn)該網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)、服務(wù)器����、交換機(jī)/路由器以及連接的其他設(shè)備(如打印機(jī))等信息��。
第三階段:掃描測試
根據(jù)搜集到的信息����,由漏洞掃描工具向搜尋到的目標(biāo)發(fā)送請求信息��、返回分析信息��,從而最終確定是否存在安全漏洞��。 4.3.2 嵌入式系統(tǒng)掃描基于嵌入式系統(tǒng)的掃描,應(yīng)使用相應(yīng)的工具對嵌入式軟件壓縮包進(jìn)行掃描分析�����,整個分析流程主要分為四個階段:
第一階段:識別固件結(jié)構(gòu)體系����,提取出待分析的目標(biāo)程序����;
第二階段:識別固件中存在的軟件成分��,如操作系統(tǒng)����、中間件��、應(yīng)用程序等;
第三階段:查找整個固件里如第三方庫����、公私鑰的敏感信息����;
第四階段:通過靜態(tài)分析技術(shù)對程序的匯編碼進(jìn)行分析,并與分析工具中內(nèi)置的漏洞庫�����、惡意代碼庫等數(shù)據(jù)庫進(jìn)行匹配,找出待測件中存在的漏洞及風(fēng)險。
五、漏洞掃描結(jié)果評估
醫(yī)療器械注冊申請人或第三方評估機(jī)構(gòu)在對醫(yī)療器械產(chǎn)品完成掃描檢測后����,應(yīng)對本次掃描測試的情況進(jìn)行描述����,記錄測試過程中的信息,說明漏洞分布情況����,并輸出漏洞信息和評估結(jié)果。
5.1 概況說明
概況說明應(yīng)體現(xiàn)本次漏洞評估的醫(yī)療器械產(chǎn)品的信息(如名稱、型號、完整版本����、必備軟硬件、運(yùn)行環(huán)境等)��、漏洞掃描主機(jī)風(fēng)險等級、操作系統(tǒng)����、系統(tǒng)版本、插件版本、掃描時間����,基于網(wǎng)絡(luò)和主機(jī)掃描的 IP 地址�����、主機(jī)名,基于嵌入式軟件的指令集架構(gòu)����、固件大小、固件中文件數(shù)量等內(nèi)容�����。
5.2 漏洞信息
5.2.1 漏洞分布
醫(yī)療器械注冊申請人或第三方評估機(jī)構(gòu)在漏洞掃描結(jié)束后�����,應(yīng)輸出網(wǎng)絡(luò)安全漏洞的分布情況,明確已知漏洞總數(shù)和已知剩余漏洞數(shù)(按照 CVSS 的漏洞等級)����。
5.2.2 漏洞概況
對于經(jīng)掃描后發(fā)現(xiàn)的已知漏洞����,醫(yī)療器械注冊申請人或第三方評估機(jī)構(gòu)應(yīng)描述在哪些端口、協(xié)議����、服務(wù)下出現(xiàn)了漏洞����,并說明漏洞的信息�����,包括漏洞名稱、漏洞類別及對應(yīng)的 CVE 信息等�����。
5.2.3 已知剩余漏洞詳情
對于經(jīng)掃描后發(fā)現(xiàn)已知的剩余漏洞����,醫(yī)療器械注冊申請人或第三方評估機(jī)構(gòu)應(yīng)描述剩余漏洞的詳情��,包括漏洞名稱����、漏洞的詳細(xì)描述、CVE 編號�����、CNNVD編號、CNVD 編號����、CVSS 評分等。
對于掃描漏洞結(jié)果可進(jìn)行人工校驗,結(jié)合漏洞出現(xiàn)的位置��,分析其訪問路徑����、觸發(fā)條件�����、權(quán)限需求、交互條件給予人工賦值,根據(jù)賦值結(jié)果�����,對漏洞的被利用性����、影響程度和環(huán)境因數(shù)進(jìn)行分級��,以重新確定漏洞風(fēng)險等級。
5.3 關(guān)聯(lián)信息
醫(yī)療器械注冊申請人或第三方評估機(jī)構(gòu)在評估結(jié)束后��,在輸出的評估結(jié)果中還應(yīng)該輸出在測試過程中的一些關(guān)聯(lián)信息��,如掃描工具信息、被測對象信息��、CVSS 評分標(biāo)準(zhǔn)�����。
5.3.1 掃描工具信息
醫(yī)療器械注冊申請人或第三方評估機(jī)構(gòu)進(jìn)行漏洞評估時應(yīng)明確漏洞掃描軟件工具信息�����、漏洞庫信息(基于國家信息安全漏洞庫或互認(rèn)的國際信息安全漏洞庫)的基本信息(名稱、完整版本��、發(fā)布日期����、供應(yīng)商等)
5.3.2 被測對象信息
醫(yī)療器械注冊申請人或第三方評估機(jī)構(gòu)進(jìn)行漏洞評估時應(yīng)記錄被測對象在掃描過程中被識別到的端口信息(端口號�����、協(xié)議類型、服務(wù)類型����、狀態(tài)),被識別 到 開 放 的 服 務(wù) ( 如 Server/lanmanserver ��、ComputerBrowser/Browser Workstation/lanmanworkstation 等)�����,被識別到安裝的軟件的信息(軟件名稱、版本號),必要時記錄被測對象的 MAC 地址信息、主機(jī)名����、域信息等����。
5.3.3 CVSS 評分標(biāo)準(zhǔn)
醫(yī)療器械注冊申請人或第三方評估機(jī)構(gòu)進(jìn)行漏洞評估時應(yīng)明確漏洞風(fēng)險等級的評定標(biāo)準(zhǔn)�����,根據(jù) CVSS 的評分標(biāo)準(zhǔn)以確定發(fā)現(xiàn)漏洞的風(fēng)險值以及被測醫(yī)療器械產(chǎn)品的風(fēng)險級別��。
六、已知剩余漏洞的維護(hù)方案
根據(jù)掃描后的漏洞分布情況和已知的剩余漏洞�����,醫(yī)療器械注冊申請人應(yīng)針對剩余漏洞的具體信息��、漏洞的風(fēng)險等級����、漏洞出現(xiàn)的位置��、漏洞修復(fù)的難易程度����、漏洞修復(fù)的緊迫性等方面����,綜合分析剩余漏洞對產(chǎn)品安全性方面的影響��,確定網(wǎng)絡(luò)安全策略�����,制定下一步的漏洞維護(hù)方案。
常用的安全策略有(不限于):
? 對于存在弱口令的系統(tǒng)��,通過培訓(xùn)或提示用戶進(jìn)行密碼修改����,或者使用策略來強(qiáng)制限制密碼長度和復(fù)雜性����,以加強(qiáng)入網(wǎng)訪問控制。
? 在產(chǎn)品的使用上設(shè)置不同的用戶級別和權(quán)限等�����,以加強(qiáng)基于角色的訪問控制。
? 對于 Windows 操作系統(tǒng)�����,啟用 Windows Server Update Services 功能����,以實時進(jìn)行系統(tǒng)補(bǔ)丁更新����。
? 對于一些不使用的服務(wù)�����,可以通過關(guān)閉該服務(wù)以達(dá)到安全目的��。
? 使用白名單機(jī)制����,僅對授權(quán)的用戶開放網(wǎng)絡(luò)資源��,以加強(qiáng)網(wǎng)絡(luò)之間的訪問控制�����。
? 在產(chǎn)品使用終端加強(qiáng)對用戶的培訓(xùn)����,特別是使用權(quán)限����、網(wǎng)絡(luò)配置方面等方面��,確保產(chǎn)品的使用是在預(yù)期的使用環(huán)境�����,并按照預(yù)期的方法進(jìn)行使用����。
參考文獻(xiàn)
[1]GB/T 30276-2020 信息安全技術(shù)網(wǎng)絡(luò)安全漏洞管理規(guī)范[S]
[2]GB/T 28458-2020 信息安全技術(shù)—網(wǎng)絡(luò)安全漏洞標(biāo)識與描述規(guī)范[S]
[3]GB/T 30279-2020 信息安全技術(shù)網(wǎng)絡(luò)安全漏洞分類分級指南[S]
[4]ISO/IEC 29147:2018, Information Technology - Security Techniques -Vulnerability Disclosure [S]
[5]ISO/IEC 30111:2013, Information Technology - Security Techniques -Vulnerability Handling Processes [S]
京公網(wǎng)安備11010802046783號