醫(yī)療器械軟件網(wǎng)絡(luò)安全風(fēng)險(xiǎn)分析報(bào)告_第1頁
醫(yī)療器械軟件網(wǎng)絡(luò)安全風(fēng)險(xiǎn)分析報(bào)告_第2頁
醫(yī)療器械軟件網(wǎng)絡(luò)安全風(fēng)險(xiǎn)分析報(bào)告_第3頁
醫(yī)療器械軟件網(wǎng)絡(luò)安全風(fēng)險(xiǎn)分析報(bào)告_第4頁
醫(yī)療器械軟件網(wǎng)絡(luò)安全風(fēng)險(xiǎn)分析報(bào)告_第5頁
已閱讀5頁,還剩2頁未讀, 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡(jiǎn)介

1、軟件網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理分析報(bào)告編 制:審 核:批 準(zhǔn):批準(zhǔn)日期:1 風(fēng)險(xiǎn)項(xiàng)目綜述1. 軟件名稱:軟件2. 軟件概況: 填寫相關(guān)軟件的功能描述2 風(fēng)險(xiǎn)管理分析目的為了在軟件開發(fā)的生命周期內(nèi),通過合理的評(píng)估手段與方法,降低本軟件產(chǎn)品的網(wǎng)絡(luò)安全風(fēng)險(xiǎn),確保本軟件產(chǎn)品符合醫(yī)療器械網(wǎng)絡(luò)安全注冊(cè)技術(shù)審查指導(dǎo)原則的相關(guān)規(guī)定。3 風(fēng)險(xiǎn)管理分析成員序號(hào)分析人員職位角色12454 風(fēng)險(xiǎn)管理評(píng)審輸入1.風(fēng)險(xiǎn)可接受性準(zhǔn)則風(fēng)險(xiǎn)管理小組對(duì)公司風(fēng)險(xiǎn)管理控制程序中制定的產(chǎn)品風(fēng)險(xiǎn)可接受性準(zhǔn)則進(jìn)行了評(píng)價(jià),認(rèn)為軟件系統(tǒng)全適用。1.1風(fēng)險(xiǎn)的嚴(yán)重度水平嚴(yán)重程度代碼可能的描述災(zāi)難性的S1導(dǎo)致患者死亡危重的S2導(dǎo)致永久性損傷或危及生命的傷害嚴(yán)

2、重的S3導(dǎo)致要求專業(yè)醫(yī)療介入的傷害或損傷輕度的S4導(dǎo)致不要求專業(yè)醫(yī)療介入的暫時(shí)傷害或損傷可忽略S5不便或暫時(shí)不適1.2風(fēng)險(xiǎn)的概率分級(jí)可能的概率代碼頻次經(jīng)常P110-3有時(shí)P210-310-4偶然P310-410-5很少P410-510-6極少P510-6注:頻次是指每臺(tái)設(shè)備每年發(fā)生或預(yù)期發(fā)生的事件次數(shù)。1.3風(fēng)險(xiǎn)可接受準(zhǔn)則概率代碼嚴(yán)重度可忽略輕度的嚴(yán)重的危重的災(zāi)難性的S5S4S3S2S1經(jīng)常P1RRNNN有時(shí)P2ARRNN偶然P3ARRRN很少P4AARRR極少P5AAAAR注:A:可接受的風(fēng)險(xiǎn);R:合理可降低的風(fēng)險(xiǎn);N:不可接受的風(fēng)險(xiǎn)。5 風(fēng)險(xiǎn)管理分析方法綜述1. 首先由研發(fā)部牽頭組建風(fēng)險(xiǎn)分

3、析小組2. 通過咨詢公司對(duì)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理進(jìn)行培訓(xùn)3. 根據(jù)醫(yī)療器械網(wǎng)絡(luò)安全注冊(cè)技術(shù)審查指導(dǎo)原則指定風(fēng)險(xiǎn)管理分析程序,以這個(gè)程序作為風(fēng)險(xiǎn)管理分析的依據(jù)和方法。4. 對(duì)每個(gè)風(fēng)險(xiǎn)項(xiàng)進(jìn)行風(fēng)險(xiǎn)管理分析,對(duì)其威脅,脆弱性識(shí)別進(jìn)行打分,以此得到康復(fù)云平臺(tái)軟件每個(gè)風(fēng)險(xiǎn)項(xiàng)的風(fēng)險(xiǎn)等級(jí)。5. 根據(jù)風(fēng)險(xiǎn)接收準(zhǔn)側(cè)得出確認(rèn)本分析報(bào)告最終結(jié)論。6 風(fēng)險(xiǎn)管理分析結(jié)果軟件網(wǎng)絡(luò)安全風(fēng)險(xiǎn)特征問題清單特征風(fēng)險(xiǎn)采取的措施可能的危害危害標(biāo)識(shí)軟件故障嚴(yán)格進(jìn)行BUG管理,確保軟件正常運(yùn)行/前端訪問控制Spring Security + JWT的方式進(jìn)行控制/前后端通訊數(shù)據(jù)泄露前后端數(shù)據(jù)傳輸采用HTTPS協(xié)議,有效防范數(shù)據(jù)泄密風(fēng)險(xiǎn)/惡意代碼

4、前端提交數(shù)據(jù)過濾校驗(yàn),確保惡意代碼不被執(zhí)行/DDOS網(wǎng)絡(luò)攻擊依托微軟Azure提供相關(guān)攻擊抵御/數(shù)據(jù)庫訪問控制使用用戶名,密碼方式進(jìn)行訪問控制,同時(shí)源碼中對(duì)密碼進(jìn)行加密,杜絕明文存儲(chǔ),root用戶不允許遠(yuǎn)程訪問/數(shù)據(jù)庫操作限制基于角色的數(shù)據(jù)訪問控制,嚴(yán)格限制應(yīng)用中訪問角色的數(shù)據(jù)操作權(quán)限,如Mysql中僅允許遠(yuǎn)程用戶select,update,insert,delete操作,杜絕刪庫等高危操作/數(shù)據(jù)庫數(shù)據(jù)傳輸泄露所有數(shù)據(jù)庫產(chǎn)品均開啟SSL加密傳輸通道,有效防止數(shù)據(jù)泄露/數(shù)據(jù)庫故障轉(zhuǎn)移所有數(shù)據(jù)庫均采用一主二從的架構(gòu)方式,主從數(shù)據(jù)庫之間采用自動(dòng)故障轉(zhuǎn)移的方式保證數(shù)據(jù)庫服務(wù)的穩(wěn)定性/數(shù)據(jù)庫的災(zāi)備所有數(shù)據(jù)庫均提供相應(yīng)的數(shù)據(jù)備份服務(wù)與恢復(fù)服務(wù),確保數(shù)據(jù)丟失或完整性遭到破壞時(shí)能夠迅速進(jìn)行數(shù)據(jù)恢復(fù)/服務(wù)器訪問控制服務(wù)器訪問采用SSH協(xié)議進(jìn)行控制,拒絕用戶名,密碼方式訪問,僅允許公司運(yùn)維人員訪問,有效杜絕非法訪問/服務(wù)器的故障轉(zhuǎn)移后端服務(wù)器采用服務(wù)集群的方式進(jìn)

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

最新文檔

評(píng)論

0/150

提交評(píng)論