ＦＤＡ认为威胁建模是医疗器械软件上市前提交的基础，必须覆盖产品设计、研发和供应链全流程。威胁建模是一个结构化的过程，用于识别与医疗设备相关的威胁事件，以便于制造商在设计、生产、部署和使用等环节均可使用适当的防御措施来保护设备。

那么，医疗设备威胁建模该如何进行呢？

一、威胁建模一般步骤

●　设定分析目标；

●　为即将分析的系统创建可视化模型；

●　通过可视化模型识别系统面临的威胁；

●　采取措施为系统减轻威胁；

●　验证威胁是否已得到缓解。

二、威胁建模方法

１、ＳＴＲＩＤＥ

ＳＴＲＩＤＥ于１９９９年发明，并于２００２年被Ｍｉｃｒｏｓｏｆｔ采纳，是目前最成熟的威胁建模方法。

ＳＴＲＩＤＥ评估系统详细设计，对就地系统进行建模。通过构建数据流程图（ＤＦＤ），ＳＴＲＩＤＥ用于标识系统实体，事件和系统边界。ＳＴＲＩＤＥ已成功应用于ｃｙｂｅｒ－ｏｎｌｙ网络和ｃｙｂｅｒ－ｐｈｉｙｓｉｃａｌ系统。

２、ＰＡＳＴＡ

攻击模拟和威胁分析流程（ＰＡＳＴＡ）是２０１２年开发的，以风险为中心的威胁建模框架。它包含七个阶段，每个阶段都有多个活动。

ＰＡＳＴＡ将业务目标和技术要求结合在一起，在不同阶段使用了多种设计和启发工具。通过让关键决策者参与进来，要求不同阶段（例如运营、治理、体系结构和开发等环节）均有安全措施，将威胁建模过程提升到战略级别。

ＰＡＳＴＡ被广泛视为以风险为中心的框架，它采用了一个以攻击者为中心的视角，以威胁枚举和评分的形式输出。

３、ＬＩＮＤＤＵＮ

ＬＮＤＤＵＮ（可链接性、可识别性、不可否认性、可检测性、信息泄露、不了解、不遵守规定｝专注于隐私问题，可用于数据安全。ＬＮＤＤＵＮ由六个步骤组成，提供了—种系统的隐私评估方法。

ＬＮＤＤＵＮ从系统的数据流开始，定义了系统的数据流、数据存储、数据处理和外部实体。通过系统地迭代所有模型元素，并从威胁类别的角度对其进行分析，ＬＩＮＤＤＵＮ用户可以确定威胁对系统的适用性并构建威胁树。

４、ＣＶＳＳ

通用漏洞评分系统（ＣＶＳＳ）捕获漏洞的主要特征并产生数字程度评分。ＣＶＳｓ为用户提供了不同网络和网络物理平台内，可通用的标准化评分系统，可以通过在线获得的计算器来计算ＣＶＳｓ分数。

ＣＶＳｓ分数是由分析师为每个指标分配的值得出的，指标在文档中进行了详细说明。ＣＶＳＳ方法通常与其他威胁建模方法结合使用。

(文章来源于健康界)