醫(yī)療器械網(wǎng)絡(luò)安全質(zhì)量評價方法

醫(yī)療器械網(wǎng)絡(luò)安全質(zhì)量評價方法本標(biāo)準(zhǔn)規(guī)定了醫(yī)療器械產(chǎn)品進行網(wǎng)絡(luò)安全評價時的技術(shù)要求和試驗方法。本標(biāo)準(zhǔn)適用于同外部有數(shù)據(jù)交換功能的有源醫(yī)療器械產(chǎn)品，此類產(chǎn)品一般是指獨立醫(yī)療器械軟件和包含醫(yī)療器械軟件組件的醫(yī)療器械。2規(guī)范性引用文件下列文件對于本文件的應(yīng)用是必不可少的。凡是注日期的引用文件，僅所注日期的版本適用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。GB/T25000.10-2016系統(tǒng)與軟件工程系統(tǒng)與軟件質(zhì)量要求和評價（SQuaRE）第10部分：系統(tǒng)與軟件質(zhì)量模型GB/T25000.51-2016系統(tǒng)與軟件工程系統(tǒng)與軟件質(zhì)量要求和評價（SQuaRE）第51部分：就緒用軟件產(chǎn)品（RUSP）的質(zhì)量要求和測試細則GB/T29246-2012信息安全技術(shù)信息安全管理體系概述和詞匯YY/T0316-2016醫(yī)療器械風(fēng)險管理對醫(yī)療器械的應(yīng)用3術(shù)語和定義3.1制造商manufacturer在上市和/或投入服務(wù)前。對醫(yī)療器械的設(shè)計、制造、包裝或作標(biāo)記、系統(tǒng)的裝配或者改裝醫(yī)療器械負(fù)有責(zé)任地自然人或法人，不管上述工作是由他自己或由第三方代其完成。[YY/T0316-2016，定義2.8]3.2隨附文件accompanyingdocuments隨同醫(yī)療器械的，為醫(yī)療器械安裝、使用和維護的責(zé)任方提供信息以及為操作者或使用者提供信息，特別是關(guān)于安全信息的文件[YY/T0316-2016，定義2.1隨附文件]3.3外部接口EXTERNALINTERFACE預(yù)期設(shè)計成允許醫(yī)療器械本身之外的實體訪問的接口，舉例來說，用戶接口、遠程接口、本地接口、無線接口和文件導(dǎo)入[UL2900-1,定義3.17]3.4訪問控制accesscontrol確保對醫(yī)療器械產(chǎn)品的訪問是基于業(yè)務(wù)和安全要求進行授權(quán)和限制的手段[GB/T29246—2017，定義2.1，做了修改，范圍限定]3.5可核查性Accountability確保可從一個實體的行為唯一地追溯到該實體的特性。[ISO/IEC21827:2008，定義3.1]3.6鑒別authentication為一個實體聲稱的特征是正確的而提供的保障措施。[GB/T29246—2017，定義2.7]3.7授權(quán)authorization根據(jù)預(yù)先認(rèn)可的安全策略，賦與主體可實施相應(yīng)行為權(quán)限的過程。[GB/T25069—2010，定義2.1.33，做了修改]3.8保密性confidentiality信息不能對未授權(quán)的個人、實體或過程可用或泄露的特性。[GB/T29246—2017，定義2.12]3.9數(shù)據(jù)交換datainterchange為滿足不同平臺或應(yīng)用間數(shù)據(jù)資源的傳送和處理需要，依據(jù)一定的原則，采取相應(yīng)的技術(shù)，實現(xiàn)不同平臺和應(yīng)用間數(shù)據(jù)資源的流動過程。[GB/T35274—2017，定義3.11]3.10加密encryption通過一種密碼算法產(chǎn)生密文的（可逆的）數(shù)據(jù)轉(zhuǎn)換，即隱藏數(shù)據(jù)的信息內(nèi)容。[ISO/IEC10116:2017，定義3.6]3.11防火墻firewall設(shè)置在網(wǎng)絡(luò)環(huán)境之間的一種安全屏障。它由一臺專用設(shè)備或若干組件和技術(shù)的組合組成。從一個網(wǎng)絡(luò)環(huán)境到另一個網(wǎng)絡(luò)環(huán)境的，以及反向的，所有通信流均通過此安全屏障，只有按照本地安全策略定義的、已授權(quán)的通信流才允許通過。[ISO/IEC27033-1:2015，定義3.12]3.12運行環(huán)境operationalenvironment由操作系統(tǒng)和硬件平臺組成的、模塊安全運行所需的所有軟硬件的集合。[ISO/IEC19790:2015，定義3.83]3.13口令password用于實體鑒別的秘密的字、短語、數(shù)字或字符序列，是一個被默記的弱秘密。[ISO/IEC11770-4:2017，定義3.27]3.14權(quán)限permission對一個主體訪問某一資源的授權(quán)。[ISO/IEC29146:2016，定義3.8]4技術(shù)要求4.1隨附文件應(yīng)包含以下要求：a)隨附文件應(yīng)包含產(chǎn)品所有功能描述，尤其是與安全相關(guān)管理功能的描述；b)隨附文件應(yīng)明確所有與數(shù)據(jù)交換相關(guān)的物理接口和邏輯接口（遠程接口、串口、無線接口和文件傳輸協(xié)議）；c)隨附文件應(yīng)明確數(shù)據(jù)的存儲格式；d)若適用，隨附文件應(yīng)明確產(chǎn)品安裝以及運行過程中與安全相關(guān)的運行環(huán)境配置的要求（殺毒軟件、防火墻、操作系統(tǒng)更新補?。?；e)若適用，隨附文件應(yīng)明確產(chǎn)品應(yīng)明確所有軟件組件的名稱f)隨附文件應(yīng)明確軟件版本；g)隨附文件應(yīng)明確與安全相關(guān)的并被產(chǎn)品的日志功能記錄的事件；h)若適用，隨附文件應(yīng)明確產(chǎn)品的版權(quán)控制或認(rèn)證方法；i)隨附文件應(yīng)對用戶管理的每一項數(shù)據(jù)所對應(yīng)的軟件信息安全級別給出的必要的信息。4.2產(chǎn)品設(shè)計要求4.2.1配置管理應(yīng)包含以下要求：a）制造商在產(chǎn)品的生存周期過程中，需求文檔、設(shè)計文檔、測試文檔、用戶文檔等應(yīng)置于配置管理之下，產(chǎn)品開發(fā)工具應(yīng)在配置管理范圍內(nèi)；b)產(chǎn)品的生存周期過程中，制造商應(yīng)有一個配置管理系統(tǒng)保持對改變代碼安全和變更的控制。4.2.2產(chǎn)品開發(fā)應(yīng)包含以下要求：a)制造商在產(chǎn)品設(shè)計研發(fā)過程中，應(yīng)保證數(shù)據(jù)的完整性。例如，檢查數(shù)據(jù)更新的規(guī)則、多重輸入的正確處理、返回狀態(tài)的檢查、中間結(jié)果的檢查、異常值輸入檢查、處理更新的正確性檢查等；b)內(nèi)部代碼檢查時，應(yīng)解決潛在的安全缺陷，關(guān)閉和取消所有后門；c)產(chǎn)品的數(shù)據(jù)如口令和秘鑰不應(yīng)以明文形式存儲。4.3產(chǎn)品功能要求4.3.1訪問控制應(yīng)包含以下要求：a)當(dāng)產(chǎn)品的操作或管理服務(wù)會影響到產(chǎn)品安全時，需要做用戶身份驗證和授權(quán)；b)產(chǎn)品的用戶身份驗證服務(wù)應(yīng)當(dāng)有會話機制或其他機制來阻止持續(xù)的驗證，并且會話應(yīng)當(dāng)是可配置的；c)通過外部接口或無線進行服務(wù)訪問時，訪問之前需要進行身份驗證；d)產(chǎn)品應(yīng)該支持用戶名和口令的長度、復(fù)雜度和更新頻率的等設(shè)置；e)產(chǎn)品基于角色訪問控制機制,產(chǎn)品應(yīng)具備管理員權(quán)限的角色，此類權(quán)限不能賦予其他用戶；f)產(chǎn)品應(yīng)具備管理用戶功能：通過對用戶的增刪改查，賦予和修改權(quán)限；g)軟件應(yīng)能防止對程序和數(shù)據(jù)的未授權(quán)訪問（不管是無意的還是有意的）；h)軟件應(yīng)能識別出對結(jié)構(gòu)數(shù)據(jù)庫或文件完整性產(chǎn)生損害的事件，且能阻止該事件，并通報給授權(quán)用戶；i)軟件應(yīng)能對保密數(shù)據(jù)進行保護，只允許授權(quán)用戶訪問。4.3.2可核查性應(yīng)包含以下要求：a)產(chǎn)品應(yīng)具備安全事件的日志功能，如登錄成功與失敗、用戶認(rèn)證的改變、有效用戶的改變和軟件更新成功與否等；b)產(chǎn)品的安全相關(guān)日志應(yīng)存儲在本地磁盤，并且非授權(quán)用戶不能刪除和更改。4.3.3產(chǎn)品升級應(yīng)包含以下要求：a)產(chǎn)品在設(shè)計和實施過程中應(yīng)能保證軟件可以正常升級，如果軟件升級失敗，應(yīng)能回滾到之前的版本；b)產(chǎn)品在安裝軟件更新之前，應(yīng)能確認(rèn)任何軟件加密更新的可靠性和完整性，產(chǎn)品更新應(yīng)該離線環(huán)境下進行，離線產(chǎn)品更新模式也應(yīng)能支持可靠性和完整性的確認(rèn)；c)產(chǎn)品初始化過程中，產(chǎn)品應(yīng)提示用戶對系統(tǒng)默認(rèn)設(shè)置的修改，比如初始密碼的更改。4.3.4接口可靠性產(chǎn)品應(yīng)保證經(jīng)接口傳輸數(shù)據(jù)的保密性和完整性。5符合性評價細則5.1隨附文件符合性評價實際檢查隨附文件，明確相關(guān)內(nèi)容，驗證其符合性。5.2產(chǎn)品設(shè)計要求符合性評價5.2.1配置管理檢查配置管理相關(guān)文件，驗證其符合性。5.2.2產(chǎn)品開發(fā)檢查產(chǎn)品研發(fā)相關(guān)文件，驗證其符合性。5.3產(chǎn)品功能要求符合性評價5.3.1訪問控制實際操作產(chǎn)品功能，驗證其符合性。5.3.2可核查性實際操作查看產(chǎn)品日志，驗證其符合性。5.3.3產(chǎn)品升級進行產(chǎn)品升級和更新安裝，驗證其符合性。5.3.4接口可靠性使用漏洞掃描工具，驗證接口的可靠性。參考文獻[1]《醫(yī)療器械軟件注冊技術(shù)審查指導(dǎo)原則》（原國家食品藥品監(jiān)督管理總局2015年第50號通[2]《醫(yī)療器械網(wǎng)