夜雨聆风
网路安全|1 如何识别软件类型
如何识别软件类型
先不要直接问“用 Nessus 还是 BurpSuite”,而是先问问题。
1. 看部署形态
|
|
|
|---|---|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
2. 看是否存在电子接口
网络安全指导原则中,医疗器械电子接口既包括网络接口,也包括非网络电子数据交换接口。例如 USB、串口、存储媒介、调试接口等;网络接口还要关注网络形式、接口形式、数据协议、远程访问方式、端口和带宽等。
要问企业:
|
|
|
|---|---|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
3. 看数据类型
指导原则把医疗器械相关数据分为医疗数据和设备数据;医疗数据与医疗活动相关,可能含敏感医疗数据和个人信息;设备数据用于设备运行、维护与升级,不得含个人信息。注册申请人需基于数据类型、功能和用途考虑网络安全要求。
|
|
|
|
|---|---|---|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
4. 看是否有远程访问或控制
如果有远程维护、远程升级、远程控制,要单独提高关注等级。指导原则指出,远程维护与升级可能带来未授权访问、医疗数据被访问或篡改、电子接口遭受网络攻击等风险,需要明确实现方法、接口情况、设备数据内容、设备数据与医疗数据隔离方法、网络安全保证措施,并提供研究和风险管理资料。
扫描方式不是按工具决定,而是按软件类型、电子接口、数据流和攻击面决定。