核心依据：“中高风险医疗器械注册时，必须提交网络安全漏洞评估报告” ——《医疗器械网络安全注册审查指导原则（2022年修订版）》第6.2条

分级管理要求：

严重级（如ECMO、起搏器）：强制第三方漏洞评估报告 + 持续维护方案
中等级：自评报告 + 扫描工具证明（建议第三方复核）
轻微级：公布漏洞总数及剩余风险

注：生命支持类设备自动归类严重级

必须漏扫清单：

1. 联网设备：数据交换的“高危区”

典型设备：

远程心电监护仪（实时传输患者数据）  
云影像系统（DICOM协议传输CT/MRI）  
无线输注泵（蓝牙控制药量）  

风险案例：

某心电图机因未加密传输，致患者隐私数据被中间人截获

某内窥镜系统因开放公网调试端口，遭勒索病毒入侵

2. 嵌入式固件设备：隐蔽漏洞高发区

高危目标：呼吸机控制模块、透析机Linux内核、麻醉机RTOS系统
扫描难点：需逆向工程分析固件，检测未公开漏洞（如硬编码密码）
案例：某输液泵固件存在默认密码admin/123456，可远程操控给药速率

3. “伪单机”设备：接口成安全短板

隐蔽风险场景：

基因测序仪（USB导出数据）
生化分析仪（串口调试协议）

攻击路径：带病毒U盘感染设备 → 窃取敏感健康数据

4. 第三方组件依赖系统：供应链风险放大

高危组件及漏洞：

后果：某LIS系统未修复Redis漏洞，致百万份检验报告泄露

免检项：纯机械器械（如手术钳、机械血压计）

对于研发的建议

1.需要开发人员在软件开发策划设计时对开发工具和现成软件进行调研，查看是否存在漏洞，尽可能使用最新的操作系统版本且实时对系统进行补丁修复。

2.系统关闭不使用的TCP/UDP端口、远程服务访问端口等。

3.如果使用到数据库（如：MySQL、Redis），保证数据库版本是最新的或是已升级补丁的，如果是漏扫后发现数据库漏洞，后期整改难度比较大。

4.强烈建议到专业的第三方检测评估机构进行漏洞扫描，可以在发现漏洞的同时更有能力帮助企业提供整改方案，确保产品网络安全的合规性。