醫(yī)療器械網(wǎng)絡安全質(zhì)量評價方法

醫(yī)療器械網(wǎng)絡安全質(zhì)量評價方法本標準規(guī)定了醫(yī)療器械產(chǎn)品進行網(wǎng)絡安全評價時的技術要求和試驗方法。本標準適用于同外部有數(shù)據(jù)交換功能的有源醫(yī)療器械產(chǎn)品，此類產(chǎn)品一般是指獨立醫(yī)療器械軟件和包含醫(yī)療器械軟件組件的醫(yī)療器械。2規(guī)范性引用文件下列文件對于本文件的應用是必不可少的。凡是注日期的引用文件，僅所注日期的版本適用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。GB/T25000.10-2016系統(tǒng)與軟件工程系統(tǒng)與軟件質(zhì)量要求和評價（SQuaRE）第10部分：系統(tǒng)與軟件質(zhì)量模型GB/T25000.51-2016系統(tǒng)與軟件工程系統(tǒng)與軟件質(zhì)量要求和評價（SQuaRE）第51部分：就緒用軟件產(chǎn)品（RUSP）的質(zhì)量要求和測試細則GB/T29246-2012信息安全技術信息安全管理體系概述和詞匯YY/T0316-2016醫(yī)療器械風險管理對醫(yī)療器械的應用3術語和定義3.1制造商manufacturer在上市和/或投入服務前。對醫(yī)療器械的設計、制造、包裝或作標記、系統(tǒng)的裝配或者改裝醫(yī)療器械負有責任地自然人或法人，不管上述工作是由他自己或由第三方代其完成。[YY/T0316-2016，定義2.8]3.2隨附文件accompanyingdocuments隨同醫(yī)療器械的，為醫(yī)療器械安裝、使用和維護的責任方提供信息以及為操作者或使用者提供信息，特別是關于安全信息的文件[YY/T0316-2016，定義2.1隨附文件]3.3外部接口EXTERNALINTERFACE預期設計成允許醫(yī)療器械本身之外的實體訪問的接口，舉例來說，用戶接口、遠程接口、本地接口、無線接口和文件導入[UL2900-1,定義3.17]3.4訪問控制accesscontrol確保對醫(yī)療器械產(chǎn)品的訪問是基于業(yè)務和安全要求進行授權和限制的手段[GB/T29246—2017，定義2.1，做了修改，范圍限定]3.5可核查性Accountability確?？蓮囊粋€實體的行為唯一地追溯到該實體的特性。[ISO/IEC21827:2008，定義3.1]3.6鑒別authentication為一個實體聲稱的特征是正確的而提供的保障措施。[GB/T29246—2017，定義2.7]3.7授權authorization根據(jù)預先認可的安全策略，賦與主體可實施相應行為權限的過程。[GB/T25069—2010，定義2.1.33，做了修改]3.8保密性confidentiality信息不能對未授權的個人、實體或過程可用或泄露的特性。[GB/T29246—2017，定義2.12]3.9數(shù)據(jù)交換datainterchange為滿足不同平臺或應用間數(shù)據(jù)資源的傳送和處理需要，依據(jù)一定的原則，采取相應的技術，實現(xiàn)不同平臺和應用間數(shù)據(jù)資源的流動過程。[GB/T35274—2017，定義3.11]3.10加密encryption通過一種密碼算法產(chǎn)生密文的（可逆的）數(shù)據(jù)轉(zhuǎn)換，即隱藏數(shù)據(jù)的信息內(nèi)容。[ISO/IEC10116:2017，定義3.6]3.11防火墻firewall設置在網(wǎng)絡環(huán)境之間的一種安全屏障。它由一臺專用設備或若干組件和技術的組合組成。從一個網(wǎng)絡環(huán)境到另一個網(wǎng)絡環(huán)境的，以及反向的，所有通信流均通過此安全屏障，只有按照本地安全策略定義的、已授權的通信流才允許通過。[ISO/IEC27033-1:2015，定義3.12]3.12運行環(huán)境operationalenvironment由操作系統(tǒng)和硬件平臺組成的、模塊安全運行所需的所有軟硬件的集合。[ISO/IEC19790:2015，定義3.83]3.13口令password用于實體鑒別的秘密的字、短語、數(shù)字或字符序列，是一個被默記的弱秘密。[ISO/IEC11770-4:2017，定義3.27]3.14權限permission對一個主體訪問某一資源的授權。[ISO/IEC29146:2016，定義3.8]4技術要求4.1隨附文件應包含以下要求：a)隨附文件應包含產(chǎn)品所有功能描述，尤其是與安全相關管理功能的描述；b)隨附文件應明確所有與數(shù)據(jù)交換相關的物理接口和邏輯接口（遠程接口、串口、無線接口和文件傳輸協(xié)議）；c)隨附文件應明確數(shù)據(jù)的存儲格式；d)若適用，隨附文件應明確產(chǎn)品安裝以及運行過程中與安全相關的運行環(huán)境配置的要求（殺毒軟件、防火墻、操作系統(tǒng)更新補?。?；e)若適用，隨附文件應明確產(chǎn)品應明確所有軟件組件的名稱f)隨附文件應明確軟件版本；g)隨附文件應明確與安全相關的并被產(chǎn)品的日志功能記錄的事件；h)若適用，隨附文件應明確產(chǎn)品的版權控制或認證方法；i)隨附文件應對用戶管理的每一項數(shù)據(jù)所對應的軟件信息安全級別給出的必要的信息。4.2產(chǎn)品設計要求4.2.1配置管理應包含以下要求：a）制造商在產(chǎn)品的生存周期過程中，需求文檔、設計文檔、測試文檔、用戶文檔等應置于配置管理之下，產(chǎn)品開發(fā)工具應在配置管理范圍內(nèi)；b)產(chǎn)品的生存周期過程中，制造商應有一個配置管理系統(tǒng)保持對改變代碼安全和變更的控制。4.2.2產(chǎn)品開發(fā)應包含以下要求：a)制造商在產(chǎn)品設計研發(fā)過程中，應保證數(shù)據(jù)的完整性。例如，檢查數(shù)據(jù)更新的規(guī)則、多重輸入的正確處理、返回狀態(tài)的檢查、中間結(jié)果的檢查、異常值輸入檢查、處理更新的正確性檢查等；b)內(nèi)部代碼檢查時，應解決潛在的安全缺陷，關閉和取消所有后門；c)產(chǎn)品的數(shù)據(jù)如口令和秘鑰不應以明文形式存儲。4.3產(chǎn)品功能要求4.3.1訪問控制應包含以下要求：a)當產(chǎn)品的操作或管理服務會影響到產(chǎn)品安全時，需要做用戶身份驗證和授權；b)產(chǎn)品的用戶身份驗證服務應當有會話機制或其他機制來阻止持續(xù)的驗證，并且會話應當是可配置的；c)通過外部接口或無線進行服務訪問時，訪問之前需要進行身份驗證；d)產(chǎn)品應該支持用戶名和口令的長度、復雜度和更新頻率的等設置；e)產(chǎn)品基于角色訪問控制機制,產(chǎn)品應具備管理員權限的角色，此類權限不能賦予其他用戶；f)產(chǎn)品應具備管理用戶功能：通過對用戶的增刪改查，賦予和修改權限；g)軟件應能防止對程序和數(shù)據(jù)的未授權訪問（不管是無意的還是有意的）；h)軟件應能識別出對結(jié)構(gòu)數(shù)據(jù)庫或文件完整性產(chǎn)生損害的事件，且能阻止該事件，并通報給授權用戶；i)軟件應能對保密數(shù)據(jù)進行保護，只允許授權用戶訪問。4.3.2可核查性應包含以下要求：a)產(chǎn)品應具備安全事件的日志功能，如登錄成功與失敗、用戶認證的改變、有效用戶的改變和軟件更新成功與否等；b)產(chǎn)品的安全相關日志應存儲在本地磁盤，并且非授權用戶不能刪除和更改。4.3.3產(chǎn)品升級應包含以下要求：a)產(chǎn)品在設計和實施過程中應能保證軟件可以正常升級，如果軟件升級失敗，應能回滾到之前的版本；b)產(chǎn)品在安裝軟件更新之前，應能確認任何軟件加密更新的可靠性和完整性，產(chǎn)品更新應該離線環(huán)境下進行，離線產(chǎn)品更新模式也應能支持可靠性和完整性的確認；c)產(chǎn)品初始化過程中，產(chǎn)品應提示用戶對系統(tǒng)默認設置的修改，比如初始密碼的更改。4.3.4接口可靠性產(chǎn)品應保證經(jīng)接口傳輸數(shù)據(jù)的保密性和完整性。5符合性評價細則5.1隨附文件符合性評價實際檢查隨附文件，明確相關內(nèi)容，驗證其符合性。5.2產(chǎn)品設計要求符合性評價5.2.1配置管理檢查配置管理相關文件，驗證其符合性。5.2.2產(chǎn)品開發(fā)檢查產(chǎn)品研發(fā)相關文件，驗證其符合性。5.3產(chǎn)品功能要求符合性評價5.3.1訪問控制實際操作產(chǎn)品功能，驗證其符合性。5.3.2可核查性實際操作查看產(chǎn)品日志，驗證其符合性。5.3.3產(chǎn)品升級進行產(chǎn)品升級和更新安裝，驗證其符合性。5.3.4接口可靠性使用漏洞掃描工具，驗證接口的可靠性。參考文獻[1]《醫(yī)療器械軟件注冊技術審查指導原則》（原國家食品藥品監(jiān)督管理總局2015年第50號通[2]《醫(yī)療器械網(wǎng)