医疗器械网络安全漏洞自评报告

1 前言

1.1 目的

        《医疗器械网络安全注册审查指导原则（2022年修订版）》明确规定了漏洞评估的要求：提供网络安全漏洞自评报告，明确漏洞扫描所用软件工具、漏洞库（基于国家信息安全漏洞库或互认的国际信息安全漏洞库）的基本信息（如名称、完整版本、发布日期、供应商等），按照CVSS漏洞等级明确申报医疗器械已知漏洞总数和已知剩余漏洞数，列明已知剩余漏洞的内容、对产品的影响及综合剩余风险，确保产品综合剩余风险均可接受。

1.2 参考资料

        《医疗器械网络安全注册审查指导原则（2022年修订版）》

        国家互联网应急中心（CNCERT/CC，www.cert.org.cn）

        国家信息安全漏洞共享平台（CNVD，www.cnvd.org.cn）

        美国国家计算机通用漏洞数据库（NVD，https://nvd.nist.gov）

        GB/T 30279-2020信息安全技术 网络安全漏洞分类分级指南

2 环境和说明

2.1 自评环境

        描述实际的网络环境。

2.2 漏洞扫描工具

        Nessus是一款广泛使用的网络漏洞扫描工具，由Tenable Network Security公司开发。它主要用于帮助组织评估其计算机系统和网络的安全性。Nessus可以自动执行漏洞扫描，识别和评估目标系统中的安全漏洞和弱点，例如操作系统、应用程序、服务和网络设备中的已知漏洞、配置错误、弱密码和未经授权的访问等问题。此外，Nessus还提供了丰富的报告功能，可以生成详细的漏洞报告和安全建议，帮助管理员和安全团队理解并解决系统中存在的安全问题  。

        Nessus的历史始于1998年，由法国计算机安全专家Renaud Deraison创建。初衷是为了帮助企业发现和修复网络系统中的漏洞，提高网络安全性。在早期开发过程中，Renaud Deraison面临了许多技术和法律上的挑战，例如如何高效地扫描大规模网络、如何准确地识别和分类漏洞等。随着时间的推移，Nessus逐渐成为网络安全领域的重要工具，被广泛应用于企业、政府和组织的安全审计和漏洞管理中。Nessus的功能和性能不断得到改进和扩展ÿ