漏洞评估及网络安全验证方案.docx

《漏洞评估及网络安全验证方案.docx》由会员分享，可在线阅读，更多相关《漏洞评估及网络安全验证方案.docx（6页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、漏洞评估及网络安全验证方案有限公司目录漏洞nn古及网络安全iiE方案1有限公司 11简介11.2 背景I1.3 参考文档12测试资源要求13 目11 .1漏洞评估13 . 2网络安全能力测试21简介1.1 目的该验证方案用于 软件网络安全的验证，本文适用于该项目开发人员和测 试人员。1.2 背景针对 软件网络安全需求，进行测试计划编写。1. 3参考文档医疗器械网络安全注册审查指导原则（2022年修订版）医疗器械软件注册审查指导原则（2022年修订版）人工智能医疗器械注册审查指导原则.技术要求2测试资源要求网络安全测试资源以实际为准。软件正常运行所需的典型运行环境见下表：3测试项目3.1 漏洞评

2、估3.1.1 静态检测使用卡巴斯基杀毒软件扫描软件安装文件以及相关文件。3.1.2 漏洞扫描使用漏洞扫描软件工具（绿盟RSAS）的WEB应用扫描功能，对软件进 行漏洞扫描。按照CVSS漏洞等级对软件扫描出的己知漏洞总数和己知剩余漏 洞数进行评估。3. 2网络安全能力测试序 号网络安 全能力网络安全能力描 述测试用例 名称测试步骤预期结果1.ALOF 自动注 销产品在无人值守 期间阻止非授权 用户访问和使用 的能力。2.AUDT审核产品提供用户活 动可被审核的能 力、3.ALTH 授权产品确定用户已 获授权的能力。4.WAUT 节点鉴 别产品鉴别网络节 点的能力。5.PAUT 人员鉴 别产品鉴别

3、授权用 户的能力。6.CONN 连通性产品保证连通网 络安全可控的能 力。7.PLOK 物理防 护产品提供防止非 授权用户访问和 使用的物理防护 措施的能力。8.SAHD 系统加 固产品通过固化措 施对网络攻击和 恶意软件的抵御 能力。9.DfDT 数据去 标识化 与匿名 化产品直接去除、 匿名化数据所含 个人信息的能 力。10.IGAU 数据完 整性JJ 真实性产品确保数据未 以非授权方式更 改且来自创建者 或提供者的能 力.11.DTBK 数据备 份与灾 难恢熨产品的数据、硬 件或软件受到损 坏或破坏后恢复 的能力。12.STCF 数据存 储保密 性与完 整性产品确保未授权 访问不会损坏存

4、 储媒介所存数据 保密性和完整性 的能力.13.TXCF 数据传 输保密 性产品确保数据传 输保密性的能 力。14.TXIG 数据传 输完整 性产品确保数据传 输完整性的能 力。15.CSUP 网络安 全补丁 升级授权用户安装/ 升级产品同络安 全补丁的能力。16.SBOM 现成软 件清单产品为用户提供 全部现成软件清 单的能力。17.RDMP 现成软 件维护产品在全生命周 期中对现成软件 提供网络安全维 护的能力.18.SGUD 网络安 全使用 指导产品为用户提供 网络安全使用指 导的能力，19.CNFS 安全特 性配置产品根据用户需 求配置网络安全 特征的能力。20.EMRG 紧急访 问产品在预期紧急 情况下允许用户 访问和使用的能 力。21.RMOT 远程访 问与控 制产品确保用户远 程访问与控制 （含远程维护与 升级）的网络安 全的能力。22,MLDP 恶意软 件探测 与防护产品有效探测、 阻止恶意软件的 能力。4测试结果输出根据漏洞扫描结果及网络安全能力测试结果输出验证报告。