一、医疗器械中需进行漏洞扫描的产品类型

根据《医疗器械网络安全注册审查指导原则（2022年修订版）》及相关行业标准，以下类型医疗器械需进行漏洞扫描：

1. 1. 具有网络连接或数据交换功能的设备
   • 远程控制或数据传输设备：如电子输注泵、远程监测设备等，需通过Wi-Fi、蓝牙或网络传输数据，存在被黑客攻击风险。
   • 云端或服务器依赖型设备：如基于云平台的医疗影像系统、数据库服务器等，需确保云端及本地网络环境的安全性。
2. 2. 嵌入式软件及固件产品
   • 包括医疗设备内置操作系统（如Linux、Windows嵌入式版）、固件（如呼吸机、输液泵的底层控制程序）等，需通过逆向工程和静态分析检测漏洞。
3. 3. 单机版但含外部接口的设备
   • 如无网络功能但通过USB、串口等接口传输数据的设备（如部分体外诊断设备），需扫描接口调用过程及存储介质的安全性。
4. 4. 依赖第三方软件或中间件的设备
   • 如使用MySQL、Redis等开源数据库的医疗系统，需评估第三方组件的漏洞风险。

不适用场景：无电子数据传输或交换的纯机械器械（如传统血压计）无需漏洞扫描。

关键判断依据：

• 是否具有网络接口？ (以太网、Wi-Fi、蓝牙、蜂窝网络、NFC等)
• 是否包含软件或可编程固件？
• 是否处理、存储或传输受保护的健康信息或其他敏感数据？
• 设备功能失效或被篡改是否可能直接或间接导致患者伤害？ (影响患者安全)

二、法规及标准依据

1. 1. 核心法规
   • 《医疗器械网络安全注册审查指导原则（2022年修订版）》：明确要求中高风险医疗器械需进行漏洞扫描，并提供评估报告。
   • 《医疗器械软件注册审查指导原则》：界定软件定义及技术考量，要求软件网络安全能力符合22项标准。
   • 《医疗器械生产质量管理规范》及相关附录： 要求建立风险管理体系，网络安全风险是重要组成部分。
2. 2. 漏洞分级标准
   • CVSS（通用漏洞评分系统）：根据漏洞的攻击复杂度、影响程度评分（0-10分），划分风险等级（如≥7.0为高危）。
3. 3. 评估标准
   • GB/T 30276-2020（漏洞管理规范）、GB/T 28458-2020（漏洞标识与描述）等国家标准，规范漏洞识别与评估流程。

三、漏洞扫描实施步骤

1. 1. 准备阶段：
   • 扫描范围： 哪些设备/IP/端口/服务？
   • 扫描频率： 定期（如季度、半年）和触发式（如重大漏洞披露、系统变更后）。
   • 扫描类型： 认证扫描（需登录凭证，覆盖更深层漏洞）vs. 非认证扫描（仅检查网络服务）。综合使用效果更佳。
   • 扫描深度/激进程度： 平衡覆盖率和稳定性（避免扫描导致设备宕机）。
   • 扫描工具选择： 选择成熟商业工具或开源工具。关键： 必须选择支持医疗设备协议（如DICOM, HL7, POCT）且经过验证对医疗设备安全的工具（如Claroty, Medigate, Tenable.ot, Rapid7 Nexpose/InsightVM，以及专精医疗的如CyberMDX）。避免使用可能使设备崩溃的通用企业扫描器。
   • 建立资产清单： 明确所有需要扫描的设备、软件组件、操作系统、网络服务、第三方库等。维护准确的SBOM至关重要。
   • 风险评估： 识别关键资产、威胁场景、潜在影响（尤其是患者安全）。确定扫描的优先级（高风险设备优先）。
   • 制定扫描策略和计划：
   • 获取授权和安排窗口期： 必须获得医院IT部门和临床部门的授权，安排在非高峰或维护时段进行，并制定回滚计划。
   • 环境准备： 最好在测试环境（与生产环境一致的镜像）中进行。若必须在生产环境扫描，需极其谨慎。
2. 2. 执行扫描：
   • 配置扫描器： 根据策略设置扫描参数（目标、端口、策略文件、认证信息等）。
   • 运行扫描： 启动扫描任务，密切监控进程和设备状态。
   • 记录： 详细记录扫描时间、范围、配置、操作人员等信息。
3. 3. 分析评估：
   • 结果收集与整理： 获取扫描报告。
   • 漏洞验证： 关键步骤！ 扫描结果可能存在误报（False Positive）和漏报（False Negative）。手动验证关键漏洞（特别是高危漏洞）是否真实存在。
   • 风险评估： 结合漏洞本身的严重性（CVSS评分是参考）、设备/组件的上下文（如是否暴露在网络上、是否影响关键功能/患者安全）、现有防护措施，评估该漏洞对特定设备的实际风险。并非所有扫描出的漏洞都需要立即修复，但所有漏洞都需要评估。
   • 优先级排序： 根据实际风险（考虑可利用性、影响、缓解措施）对需要修复的漏洞进行排序。
4. 4. 修复与缓解：
   • 打补丁： 首选方案。需与设备制造商协调，获取经测试验证的官方补丁。
   • 配置加固： 关闭不必要端口/服务、修改默认口令、加强访问控制等。
   • 网络隔离/分段： 将设备放入更安全的网络区域，限制访问。
   • 补偿性控制： 部署防火墙规则、入侵检测/防御系统等。
   • 制定修复/缓解计划：
   • 实施变更： 严格按照变更管理流程执行修复/缓解措施，先在测试环境验证。
   • 验证有效性： 修复/缓解后，重新扫描或进行针对性测试，确认漏洞已修复或风险已降至可接受水平。
5. 5. 报告与沟通：
   • 向制造商报告： 发现设备固有漏洞应及时报告制造商。
   • 向监管机构报告： 如果漏洞构成严重风险且无法有效缓解，可能需要按法规要求（如FDA的eMDR报告、MDR的严重事件报告）上报。
   • 向信息共享组织报告： 如H-ISAC等。
   • 生成报告： 记录扫描结果、验证情况、风险评估结论、采取的措施及验证结果。
   • 内部沟通： 向管理层、安全团队、IT运维团队、临床工程部门报告。
   • 外部沟通：
6. 6. 持续监控与改进：
   • 订阅漏洞情报： 关注CISA、NVD、制造商公告、安全研究社区等发布的医疗设备相关漏洞信息。
   • 定期审查扫描策略： 根据设备变化、威胁态势、法规更新调整扫描范围、频率和方法。
   • 融入生命周期： 在设计阶段就考虑安全性（安全设计），在开发中进行静态/动态代码分析，在验证确认阶段进行渗透测试（漏洞扫描是其一部分），在上市后持续进行漏洞扫描和监控。

关键注意事项：

• 医疗设备的特殊性： 许多医疗设备使用嵌入式系统、专有操作系统或老旧系统，对扫描的稳定性要求极高。务必使用医疗设备安全的专用扫描器或模式。
• 患者安全至上： 任何扫描或修复操作都必须优先考虑对患者诊疗的潜在影响。
• 厂商协作： 与医疗设备制造商建立良好沟通渠道，获取安全公告、补丁和支持至关重要。
• 纵深防御： 漏洞扫描是重要一环，但必须结合安全设计、网络分段、访问控制、入侵检测、员工培训等构成完整防御体系。
• 文档化： 所有流程、策略、扫描活动、结果、评估、决策、修复行动都必须详细记录，以满足法规审计要求。

四、漏洞类型及整改方法例举

既然软件漏洞数量如此之多，如何对发现的漏洞进行整改修复也是医疗器械企业特别关注的。因此，我们对于医疗器械在网络安全漏洞扫描中常见的漏洞及整改修复方法进行了整理，具体如下表所示：

五、对于研发的建议

避免软件在漏洞扫描中出现严重问题，对于研发人员的建议如下：

1、需要开发人员在软件开发策划设计时对开发工具和现成软件进行调研，查看是否存在漏洞，尽可能使用最新的操作系统版本且实时对系统进行补丁修复。

2、系统关闭不使用的TCP/UDP端口、远程服务访问端口等。

3、如果使用到数据库（如：MySQL、Redis），保证数据库版本是最新的或是已升级补丁的，如果是漏扫后发现数据库漏洞，后期整改难度比较大。

4、强烈建议到专业的第三方检测评估机构进行漏洞扫描，可以在发现漏洞的同时更有能力帮助企业提供整改方案，确保产品网络安全的合规性。

六、总结

在强监管和日益严峻的网络安全威胁下，对联网或含软件的医疗器械进行专业、谨慎且持续的漏洞扫描已成为制造商和医疗机构的刚性需求。其核心依据是各国法规对医疗器械全生命周期网络安全风险管理的要求。实施的关键在于结合医疗设备的特殊性，采用合适的工具和方法，融入风险管理流程，并始终将患者安全和业务连续性放在首位。