×××××软件
网络安全风险管理分析报告
编 制: 审 核: 批 准: 批准日期:
一.风险项目综述
1. 软件名称:××××××软件
2. 软件概况: 填写相关软件的功能描述
.
精品文档
二.风险管理分析目的
为了在软件开发的生命周期内,通过合理的评估手段与方法,降低本软件产品的网络安全风险,确保本软件产品符合《医疗器械网络安全注册技术审查指导原则》的相关规定。
三.风险管理分析成员
序号 1 2 4 5
分析人员 ××× ××× ××× ××× 职位 ××× ××× ××× ××× 角色 ××× ××× ××× ××× 四.风险管理评审输入
1.风险可接受性准则
风险管理小组对公司《风险管理控制程序》中制定的产品风险可接受性准则进行了评价,认为××××软件系统全适用。 1.1风险的严重度水平 严重程度 灾难性的 危重的 严重的 轻度的 可忽略 代码 S1 S2 S3 S4 S5 可能的描述 导致患者死亡 导致永久性损伤或危及生命的伤害 导致要求专业医疗介入的伤害或损伤 导致不要求专业医疗介入的暂时伤害或损伤 不便或暂时不适 1.2风险的概率分级 可能的概率 经常 有时 .
代码 P1 P2 频次 ≥10-3 <10-3≥10-4 精品文档
偶然 很少 极少 P3 P4 P5 <10-4≥10-5 <10-5≥10-6 <10-6 注:频次是指每台设备每年发生或预期发生的事件次数。 1.3风险可接受准则
严重度 概率 代码 可忽略 S5 经常 有时 偶然 很少 极少 P1 P2 P3 P4 P5 R A A A A 轻度的 S4 R R R A A 严重的 S3 N R R R A 危重的 S2 N N R R A 灾难性的 S1 N N N R R 注:A:可接受的风险;R:合理可降低的风险;N:不可接受的风险。 五.风险管理分析方法综述
1. 首先由研发部牵头组建风险分析小组
2. 通过咨询公司对网络安全风险管理进行培训
3. 根据《医疗器械网络安全注册技术审查指导原则》指定风险管理分析程序,以这个程序作为风险管理分析的依据和方法。
4. 对每个风险项进行风险管理分析,对其威胁,脆弱性识别进行打分,以此得到康复云平台软件每个风险项的风险等级。
5. 根据风险接收准侧得出确认本分析报告最终结论。
六.风险管理分析结果
×××××软件网络安全风险特征问题清单
特征风险 软件故障 采取的措施 严格进行BUG管理,确保软件正常运行 前端访问控制 Spring Security + JWT的方式进行控制 前后端通讯数前后端数据传输采用HTTPS协议,有.
可能的危害 / / / 危害标识 精品文档
据泄露 恶意代码 效防范数据泄密风险 前端提交数据过滤校验,确保恶意代码不被执行 DDOS网络攻依托微软Azure提供相关攻击抵御 击 数据库访问控使用用户名,密码方式进行访问控制 制,同时源码中对密码进行加密,杜绝明文存储,root用户不允许远程访问 数据库操作限基于角色的数据访问控制,严格制 应用中访问角色的数据操作权限,如Mysql中仅允许远程用户select,update,insert,delete操作,杜绝删库等高危操作 数据库数据传所有数据库产品均开启SSL加密传输输泄露 通道,有效防止数据泄露 数据库故障转所有数据库均采用一主二从的架构移 方式,主从数据库之间采用自动故障转移的方式保证数据库服务的稳定性 数据库的灾备 所有数据库均提供相应的数据备份服务与恢复服务,确保数据丢失或完整性遭到破坏时能够迅速进行数据恢复 服务器访问控服务器访问采用SSH协议进行控制,制 拒绝用户名,密码方式访问,仅允许公司运维人员访问,有效杜绝非法访问 服务器的故障后端服务器采用服务集群的方式进转移 行部署,其中一台出现故障时,能够及时将服务切换至其他服务器进行,确保服务不中断。 / / / / / / / / /
根据以上分析结果可知,×××××软件网络安全风险可控,风险等级低。
.
精品文档
.
因篇幅问题不能全部显示,请点此查看更多更全内容
Copyright © 2019- awee.cn 版权所有 湘ICP备2023022495号-5
违法及侵权请联系:TEL:199 1889 7713 E-MAIL:2724546146@qq.com
本站由北京市万商天勤律师事务所王兴未律师提供法律服务