医疗器械软件网络安全风险分析报告

时间：2020-09-16 07:23:36　来源：小苹果范文网本文已影响人

精品文档

×××××软件

网络安全风险管理分析报告

编制：

审核：

批准：

批准日期：

一．风险项目综述

软件名称：××××××软件

软件概况：填写相关软件的功能描述

精品文档

二．风险管理分析目的

为了在软件开发的生命周期内，通过合理的评估手段与方法，降低本软件产品的网络安全风险，确保本软件产品符合《医疗器械网络安全注册技术审查指导原则》的相关规定。

三．风险管理分析成员

序号

分析人员

职位

角色

×××

四．风险管理评审输入

1.风险可接受性准则

风险管理小组对公司《风险管理控制程序》中制定的产品风险可接受性准则进行了评价，认为××××软件系统全适用。

1.1 风险的严重度水平

严重程度

代码

可能的描述

灾难性的

导致患者死亡

危重的

导致永久性损伤或危及生命的伤害

严重的

导致要求专业医疗介入的伤害或损伤

轻度的

导致不要求专业医疗介入的暂时伤害或

损伤

可忽略

不便或暂时不适

1.2 风险的概率分级

可能的概率

代码

频次

经常

≥10-3

有时

<10-3≥10-4

精品文档

偶然

<10-4≥10-5

很少

<10-5≥10-6

极少

<10-6

注：频次是指每台设备每年发生或预期发生的事件次数。

1.3 风险可接受准则

严重度

概率

代码

可忽略

轻度的

严重的

危重的

灾难性的

经常

有时

偶然

很少

极少

注： A：可接受的风险； R：合理可降低的风险； N：不可接受的风险。

五．风险管理分析方法综述

首先由研发部牵头组建风险分析小组

通过咨询公司对网络安全风险管理进行培训

根据《医疗器械网络安全注册技术审查指导原则》指定风险管理分析程序，以这个程序作为风险管理分析的依据和方法。

对每个风险项进行风险管理分析，对其威胁，脆弱性识别进行打分，以此得到康复云平台软件每个风险项的风险等级。

根据风险接收准侧得出确认本分析报告最终结论。

六．风险管理分析结果

×××××软件网络安全风险特征问题清单

特征风险

采取的措施

可能的危害

危害标识

软件故障

严格进行 BUG 管理，确保软件正常

运行

前端访问控制

Spring Security + JWT的方式进行控

制

前后端通讯数

前后端数据传输采用 HTTPS协议，有

据泄露效防范数据泄密风险

恶意代码前端提交数据过滤校验，确保恶意代

码不被执行

DDOS 网络攻依托微软 Azure 提供相关攻击抵御

击

数据库访问控使用用户名，密码方式进行访问控

制制，同时源码中对密码进行加密，杜

绝明文存储，root 用户不允许远程访

问

数据库操作限基于角色的数据访问控制，严格限制

制应用中访问角色的数据操作权限，如

Mysql 中仅允许远程用户 select,update,insert,delete 操作，杜绝删库等高危操作

数据库数据传所有数据库产品均开启 SSL加密传输

输泄露通道，有效防止数据泄露

数据库故障转所有数据库均采用一主二从的架构

移方式，主从数据库之间采用自动故障

转移的方式保证数据库服务的稳定

性

数据库的灾备所有数据库均提供相应的数据备份

服务与恢复服务，确保数据丢失或完

整性遭到破坏时能够迅速进行数据

恢复

服务器访问控服务器访问采用 SSH协议进行控制，

制拒绝用户名，密码方式访问，仅允许

公司运维人员访问，有效杜绝非法访

问

服务器的故障后端服务器采用服务集群的方式进

转移行部署，其中一台出现故障时，能够

及时将服务切换至其他服务器进行，

确保服务不中断。

精品文档

根据以上分析结果可知，×××××软件网络安全风险可控，风险等级低。

精品文档

医疗器械软件网络安全风险分析报告

最新文章

热门文章