- 1、本文档共5页,可阅读全部内容。
- 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
医疗器材软件网络安全风险剖析优选报告
医疗器材软件网络安全风险剖析优选报告
医疗器材软件网络安全风险剖析优选报告
优选文档
×××××软件
网络安全风险管理剖析报告
编制:
审察:
同意:
同意日期:
一.风险项目综述
软件名称:××××××软件
软件概略: 填写有关软件的功能描绘
.
优选文档
二.风险管理剖析目的
为了在软件开发的生命周期内, 经过合理的评估手段与方法, 降低本软件产品的网络安全风险,保证本软件产品切合《医疗器材网络安全注册技术审察指导原则》的有关规定。
三.风险管理剖析成员
序号
剖析人员
职位
角色
1
×××
×××
×××
2
×××
×××
×××
4
×××
×××
×××
5
×××
×××
×××
四.风险管理评审输入
1.风险可接受性准则
风险管理小组对企业 《风险管理控制程序》 中拟订的产品风险可接受性准则进行了评论,以为××××软件系统全合用。
1.1 风险的严重度水平
严重程度
代码
可能的描绘
灾害性的
S1
致使患者死亡
危重的
S2
致使永远性损害或危及生命的损害
严重的
S3
致使要求专业医疗介入的损害或损害
轻度的
S4
致使不要求专业医疗介入的临时损害或
S5
损害
可忽视
不便或临时不适
1.2 风险的概率分级
可能的概率
代码
频率
常常
P1
≥10-3
有时
P2
10-3≥10-4
.
优选文档
有时
P3
10-4≥10-5
极少
P4
10-5≥10-6
极少
P5
10-6
注:频率是指每台设施每年发生或预期发生的事件次数。
1.3 风险可接受准则
严重度
概率
代码
可忽视
轻度的
严重的
危重的
灾害性的
S5
S4
S3
S2
S1
常常
P1
R
R
N
N
N
有时
P2
A
R
R
N
N
有时
P3
A
R
R
R
N
极少
P4
A
A
R
R
R
极少
P5
A
A
A
A
R
注: A:可接受的风险; R:合理可降低的风险; N:不行接受的风险。
五.风险管理剖析方法综述
第一由研发部牵头组建风险剖析小组
经过咨询企业对网络安全风险管理进行培训
依据《医疗器材网络安全注册技术审察指导原则》 指定风险管理剖析程序, 以这个程序作为风险管理剖析的依照和方法。
对每个风险项进行风险管理剖析, 对其威迫,柔弱性辨别进行打分, 以此获得痊愈云平台软件每个风险项的风险等级。
依据风险接收准侧得出确认本剖析报告最后结论。
六.风险管理剖析结果
×××××软件网络安全风险特点问题清单
特点风险
采纳的举措
可能的危害
危害表记
软件故障
严格进行 BUG 管理,保证软件正常
/
运转
前端接见控制
Spring Security + JWT的方式进行控
/
制
前后端通信数
前后端数据传输采纳 HTTPS协议,有
/
.
据泄漏效防备数据泄密风险
歹意代码前端提交数据过滤校验, 保证歹意代
码不被履行
DDOS 网络 攻依靠微软 Azure 供给有关攻击抵抗
击
数据库接见控使用用户名,密码方式进行接见控
制制,同时源码中对密码进行加密, 杜
绝明文储存,root 用户不同意远程访
问
数据库操作限鉴于角色的数据接见控制, 严格限制
制应用中接见角色的数据操作权限, 如
Mysql 中 仅 允 许 远 程 用 户 select,update,insert,delete 操作,根绝删库等高危操作
数据库数据传全部数据库产品均开启SSL加密传输
输泄漏通道,有效防备数据泄漏
数据库故障转全部数据库均采纳一主二从的架构
移方式,主从数据库之间采纳自动故障
转移的方式保证数据库服务的稳固
性
数据库的灾备全部数据库均供给相应的数据备份
服务与恢复服务,保证数据丢掉或完
整性受到损坏时可以快速进行数据
恢复
服务器接见控服务器接见采纳SSH协议进行控制,
制拒绝用户名,密码方式接见, 仅同意
企业运维人员接见,有效根绝非法访
问
服务器的故障后端服务器采纳服务集群的方式进
转移行部署,此中一台出现故障时, 可以
实时将服务切换至其余服务器进行,
保证服务不中止。
优选文档
/
/
/
/
/
/
/
/
/
依据以上剖析结果可知,×××××软件网络安全风险可控,风险等级低。
.
优选文档
.
文档评论(0)