一、法规铁律：无漏洞扫描=注册“一票否决”

核心依据：“中高风险医疗器械注册时，必须提交网络安全漏洞评估报告” ——《医疗器械网络安全注册审查指导原则（2022年修订版）》第6.2条
分级管理要求：严重级（如ECMO、起搏器）：强制第三方漏洞评估报告 + 持续维护方案

中等级：自评报告 + 扫描工具证明（建议第三方复核）

轻微级：公布漏洞总数及剩余风险注：生命支持类设备自动归类严重级


二、4类必扫设备清单（附真实案例）

1. 联网设备：数据交换的“高危区”

典型设备：远程心电监护仪（实时传输患者数据）

云影像系统（DICOM协议传输CT/MRI）

无线输注泵（蓝牙控制药量） 风险案例：某心电图机因未加密传输，致患者隐私数据被中间人截获某内窥镜系统因开放公网调试端口，遭勒索病毒入侵

2. 嵌入式固件设备：隐蔽漏洞高发区

高危目标：呼吸机控制模块、透析机Linux内核、麻醉机RTOS系统

扫描难点：需逆向工程分析固件，检测未公开漏洞（如硬编码密码）

案例：某输液泵固件存在默认密码admin/123456，可远程操控给药速率

3. “伪单机”设备：接口成安全短板隐蔽

风险场景：基因测序仪（USB导出数据）

生化分析仪（串口调试协议）

攻击路径：带病毒U盘感染设备 → 窃取敏感健康数据

4. 第三方组件依赖系统：供应链风险放大

高危组件及漏洞：

哪些医疗器械产品要做漏洞扫描？

后果：某LIS系统未修复Redis漏洞，致百万份检验报告泄露

免检项：纯机械器械（如手术钳、机械血压计）

三、漏洞类型及整改方法例举

既然软件漏洞数量如此之多，如何对发现的漏洞进行整改修复也是医疗器械企业特别关注的。因此，我们对于医疗器械在网络安全漏洞扫描中常见的漏洞及整改修复方法进行了整理，具体如下表所示：

哪些医疗器械产品要做漏洞扫描？

四、对于研发的建议

避免软件在漏洞扫描中出现严重问题，对于研发人员的建议如下：

1.需要开发人员在软件开发策划设计时对开发工具和现成软件进行调研，查看是否存在漏洞，尽可能使用最新的操作系统版本且实时对系统进行补丁修复。

2.系统关闭不使用的TCP/UDP端口、远程服务访问端口等。

3.如果使用到数据库（如：MySQL、Redis），保证数据库版本是最新的或是已升级补丁的，如果是漏扫后发现数据库漏洞，后期整改难度比较大。

4.强烈建议到专业的第三方检测评估机构进行漏洞扫描，可以在发现漏洞的同时更有能力帮助企业提供整改方案，确保产品网络安全的合规性。

五、2025年高频漏洞整改清单

哪些医疗器械产品要做漏洞扫描？

成功案例：某设备厂商通过系统加固，将漏洞数从125个降至9个

结语：安全是底线，合规是起点

在日益强化的监管要求与网络安全挑战下，对联网或含软件的医疗器械实施全生命周期漏洞扫描，已成为制造商与医疗机构的合规必选项。执行中需采用医疗专用工具，深度融入风险管理流程，并将患者安全及临床业务连续性置于绝对优先级。

本文由广州佳誉医疗器械有限公司/佛山浩扬医疗器械有限公司联合编辑