医疗器械网络安全漏洞自评报告

1 前言

1.1 目的

        《医疗器械网络安全注册审查指导原则（2022年修订版）》明确规定了漏洞评估的要求：提供网络安全漏洞自评报告，明确漏洞扫描所用软件工具、漏洞库（基于国家信息安全漏洞库或互认的国际信息安全漏洞库）的基本信息（如名称、完整版本、发布日期、供应商等），按照CVSS漏洞等级明确申报医疗器械已知漏洞总数和已知剩余漏洞数，列明已知剩余漏洞的内容、对产品的影响及综合剩余风险，确保产品综合剩余风险均可接受。

1.2 参考资料

        《医疗器械网络安全注册审查指导原则（2022年修订版）》

        国家互联网应急中心（CNCERT/CC，www.cert.org.cn）

        国家信息安全漏洞共享平台（CNVD，www.cnvd.org.cn）

        美国国家计算机通用漏洞数据库（NVD，https://nvd.nist.gov）

        GB/T 30279-2020信息安全技术 网络安全漏洞分类分级指南

2 环境和说明

2.1 自评环境

        描述实际的网络环境。

2.2 漏洞扫描工具

        Nessus是一款广泛使用的网络漏洞扫描工具，由Tenable Network Security公司开发。它主要用于帮助组织评估其计算机系统和网络的安全性。Nessus可以自动执行漏洞扫描，识别和评估目标系统中的安全漏洞和弱点，例如操作系统、应用程序、服务和网络设备中的已知漏洞、配置错误、弱密码和未经授权的访问等问题。此外，Nessus还提供了丰富的报告功能，可以生成详细的漏洞报告和安全建议，帮助管理员和安全团队理解并解决系统中存在的安全问题  。

        Nessus的历史始于1998年，由法国计算机安全专家Renaud Deraison创建。初衷是为了帮助企业发现和修复网络系统中的漏洞，提高网络安全性。在早期开发过程中，Renaud Deraison面临了许多技术和法律上的挑战，例如如何高效地扫描大规模网络、如何准确地识别和分类漏洞等。随着时间的推移，Nessus逐渐成为网络安全领域的重要工具，被广泛应用于企业、政府和组织的安全审计和漏洞管理中。Nessus的功能和性能不断得到改进和扩展，适应了不断变化的网络安全威胁和需求  。

        Nessus提供了多种功能，包括但不限于：

• 自动化的漏洞扫描和评估
• 操作系统、应用程序、服务和网络设备的全面扫描
• 详细的漏洞报告和安全建议的生成
• 定期更新漏洞数据库，以涵盖最新发现的漏洞
• 合规性扫描和配置审计，帮助组织符合特定的安全标准和法规要求

        Nessus的用户群体广泛，包括企业、政府机构、金融机构等。这些组织利用Nessus的高级扫描技术和强大的漏洞库，进行全面的安全评估和漏洞扫描，及时发现和修复漏洞，提高网络安全性，保护重要的信息和基础设施  。

        综上，本次自评漏洞扫描工具详情信息可参见下表（描述工具版本、发布日期、供应商等信息）。

2.3 CVSS漏洞等级

        根据《GB/T 30279-2020信息安全技术 网络安全漏洞分类分级指南》，CVSS（Common Vulnerability Scoring System，通用漏洞评分系统）的漏洞等级是通过一个数值分数来表示的，这个分数反映了漏洞的严重性。CVSS 分数通常在 0.0 到 10.0 之间，分数越高，表示漏洞的严重性越大。CVSS 分数通常被分为几个等级，用以表示漏洞的严重程度：

        0.0 - 3.9（低严重性）：这个分数范围内的漏洞通常被认为是低严重性的，可能对安全的影响较小。

        4.0 - 6.9（中等严重性）：这个范围的分数表示漏洞的严重性为中等，可能会对系统的安全产生一定的影响。

        7.0 - 8.9（高严重性）：这个分数区间的漏洞被认为是高严重性的，可能会对系统的安全产生重大影响，需要优先考虑修复。

        9.0 - 10.0（极高风险）：这个分数段的漏洞具有极高风险，可能会对系统安全造成灾难性影响，需要立即采取行动进行修复。

        CVSS 分数的计算基于多个因素，包括攻击向量、攻击复杂性、所需权限、用户交互、影响范围、机密性影响、完整性影响和可用性影响等。这些因素共同决定了漏洞的最终评分。

2.4 漏洞库

        CVE（Common Vulnerabilities and Exposures，通用漏洞披露）是一个由MITRE公司管理和维护的漏洞数据库。每个漏洞在CVE中都有一个唯一的编号，例如CVE-2021-44228，这个编号的格式是由CVE字母、披露年份和一个4到5位数的数字组成。截至2022年12月，已经有超过190,453个CVE记录，涵盖了计算机系统的各个领域，包括协议实现漏洞、软件实现漏洞、硬件漏洞等。

        CVE的记录通常比较简短，只是简要地描述漏洞，而关于漏洞的更多细节则收录在其他数据库中，例如美国国家漏洞数据库（NVD）、中国国家漏洞数据库（CNVD）、CERT/CC漏洞注释数据库以及由供应商和其他组织维护的各种列表。通过CVE ID，用户可以跨不同的系统来识别同一个安全缺陷。

        CVE漏洞信息由CVE组织机构的网站承载，这个组织最初由麻省理工学院在1999年建立，是一个非营利性组织。网站上的CVE信息是公开的，可以在法律许可的前提下免费使用。每个漏洞都被分配一个称为CVE标识符的编号，编号格式为“CVE-年份-编号”。CVE的发布主体是CVE编号机构（CVE Numbering Authority，CNA），目前大约有100个CNA，由来自世界各地的IT供应商、安全公司和安全研究组织组成。任何机构或个人都可以向CNA提交漏洞报告，CNA对应的组织往往也会鼓励人们寻找漏洞，以增强产品的安全性。

        CVE的主要作用是为漏洞赋予唯一编号并标准化漏洞描述，这样IT人员、安全研究人员可以基于相同的语言理解漏洞信息、确定修复漏洞的优先级并努力解决漏洞。不同的系统之间可以基于CVE编号交换信息，安全产品或安全工具开发者可以将CVE作为基线，评估产品的漏洞检测覆盖范围。CVE编号是这些信息的串联者，基于CVE编号可以快速检索到漏洞信息。

        用Nessus工具扫描出来的带CVE编号的漏洞，通过在国家信息安全漏洞共享平台（CNVD）中检索可以得到更详细的信息。

        本次自评漏洞扫描所用漏洞库详情信息可参见下表。

漏洞库	检索网站
国家信息安全漏洞共享平台（CNVD）	www.cnvd.org.cn

3 漏洞验证

3.1 漏洞扫描结果

        漏洞处置前，使用Nessus漏洞扫描结果如下：

        附Nessus扫描结果截图就好

3.2 漏洞总数及漏洞等级

        基于扫描结果，在CNVD 平台导入检索到CVE编号，统计漏洞数量总数为xx，对应的漏洞等级详情见下表。

漏洞等级	漏洞数
超危	xx
高危	xx
中危	xx
低危	xx

4 漏洞处置

4.1 漏洞处置

        举个例子：

4.1.1 CNNVD-202005-435

4.1.1.1 漏洞基本信息

漏洞名称	PHP 加密问题漏洞	厂商	Php
CVE编号	CVE-2020-7069	危害等级	中危
CVSS v3.0	Base Score 6.5	漏洞类型	加密问题
收录时间	2020-05-11	更新时间	2022-11-22

4.1.1.2 漏洞简介

        PHP（PHP：Hypertext Preprocessor，PHP：超文本预处理器）是PHPGroup和开放源代码社区的共同维护的一种开源的通用计算机脚本语言。该语言主要用于Web开发，支持多种数据库及操作系统。

        PHP 7.2.0版本、7.3.0版本和7.4.0版本中存在加密问题漏洞，该漏洞源于网络系统或产品未正确使用相关密码算法，导致内容未正确加密、弱加密、明文存储敏感信息等。

4.1.1.3 解决方案

        升级至PHP 7.2.34、7.3.23、7.4.11或更高版本。

4.2 漏洞扫描结果

        漏洞处置后，使用Nessus漏洞扫描结果如下：

        附Nessus扫描结果截图就好

        其中剩余漏洞总数为：

漏洞等级	漏洞数
超危	xx
高危	xx
中危	xx
低危	xx

        剩余漏洞：CNNVD-xxxx-xxxxx（详细信息参考4.1章节）

5 剩余漏洞分析

        剩余漏洞CNNVD-xxxx-xxxxx的分析说明。

        综上分析且处理后无高危及以上漏洞，所以产品综合剩余风险可接受。