软件组件是否需要漏扫？

番茄炒蛋吃饱了

设备有一个嵌入式软件，只有一个USB接口作为导出数据以及维护或升级，没有网络连接。按照网络安全注册审查指导原则，有USB接口也是要交网络安全研究资料的，请问是否需要进行漏洞扫描？为什么？

perilla

蹲一个，我也想知道

yiya12

看软件安全等级吧，严重的话就需要外部报告了

软件安全性级别为轻微：明确本次申报软件已知漏洞总数和剩余漏洞数
软件安全性级别为中等：提供本次申报软件的网络安全自评报告，按照漏洞等级明确已知漏洞总数、已知剩余漏洞情况
软件安全性级别为严重：提供本次申报软件的网络安全自评报告、网络安全评估机构出具的网络安全漏洞评估报告，明确已知剩余漏洞的维护方案

wafffajer

蹲一个 。。。。

番茄炒蛋吃饱了

yiya12 发表于 2024-7-4 11:29
看软件安全等级吧，严重的话就需要外部报告了

软件安全性级别为轻微：明确本次申报软件已知漏洞总数和剩 ...

安全等级这个知道，工程师反馈的是不做漏扫不知道漏洞数，没法给评估。不太懂漏扫的适用范围，所以才想问这种没有网络连接，只有USB接口用于拷贝数据和维护的软件组件，是否需要做漏扫？PS：有一个检测所反馈的是没有网络连接不需要做。

vavayqing

包括具备电子数据交换、远程访问与控制、用户访问三种功能当中一种及以上功能的第二、三类独立软件和含有软件组件的医疗器械（包括体外诊断医疗器械），USB属于电子数据交换，可以做漏扫。
检验院越级了，他们只需要判断能否做漏扫就行了，是否需要是企业及审评要考虑的。让工程师自己扫一下，扫不了就让检验院扫，半个小时都用不了。

咿咿呀呀ac1

如果是安全性问题的话，个人理解是会有信息安全隐患，比如说你产品检验结果涉及到患者的一些信息，或者能够对患者治疗的决策产生影响，如果我使用USB接口植入其他程序，导致患者隐私泄露了（通过互联网传输之类的，或者破解你的密码读取信息），或者信息被篡改了（互联网远程控制），都会存在相应的风险。
如果你要问专业的软件问题，那我不晓得，不是学电子的

番茄炒蛋吃饱了

vavayqing 发表于 2024-7-5 08:35
包括具备电子数据交换、远程访问与控制、用户访问三种功能当中一种及以上功能的第二、三类独立软件和含有软 ...

十分感谢回复，我也同意您的看法。

番茄炒蛋吃饱了

咿咿呀呀ac1 发表于 2024-7-5 08:59
如果是安全性问题的话，个人理解是会有信息安全隐患，比如说你产品检验结果涉及到患者的一些信息，或者能够 ...

感谢回复！我也不懂软件的专业问题，我也觉得即使没有网络连接，只要有电子数据接口也是需要考虑被攻击的风险的。

番茄炒蛋吃饱了

vavayqing 发表于 2024-7-5 08:35
包括具备电子数据交换、远程访问与控制、用户访问三种功能当中一种及以上功能的第二、三类独立软件和含有软 ...

的确检测所回复的是不需要做，也不是说不能做。因为不太懂漏扫这种专业问题，所以就有点搞不懂。既然USB接口也是可以做漏扫的，就应该要做才对。工程师说他扫不了，有一家检测所还说按扫出来的漏洞数收费，简单理解就是漏洞数越多收费越高。PS：只是看到其中一个检测所的“特别”的收费标准分享一下

咿咿呀呀ac1

番茄炒蛋吃饱了 发表于 2024-7-7 16:20
感谢回复！我也不懂软件的专业问题，我也觉得即使没有网络连接，只要有电子数据接口也是需要考虑被攻击的 ...

会不会是考虑到，因为没有网络连接的设备，没有信号发射和接收端口，所以大多数设备都不需要做漏洞。
但是实际使用中，不排除有的人存心破坏数据，比如说植入一个不需要信号接收和发射的病毒，导致数据全部损毁，或者攻击破解密码，然后植入窃取信息的软件，获取信息后，再人为导出。
风险点肯定是有的，可能也要看你的产品这方面风险的可接受程度吧。

番茄炒蛋吃饱了

咿咿呀呀ac1 发表于 2024-7-8 08:18
会不会是考虑到，因为没有网络连接的设备，没有信号发射和接收端口，所以大多数设备都不需要做漏洞。
但 ...

网络安全研究资料要求即使是低风险的也还是要提供漏洞总数的信息，这种不知道直接评估是否可以或者能被接受，感觉USB接口能漏扫的话那还是要扫了比较好。

咿咿呀呀ac1

番茄炒蛋吃饱了 发表于 2024-7-8 10:18
网络安全研究资料要求即使是低风险的也还是要提供漏洞总数的信息，这种不知道直接评估是否可以或者能被接 ...

那肯定还是做了好的哈哈，既让你产品的风险程度降低了，又推动了检测行业经济的发展hhh