關(guān)于醫(yī)療器械網(wǎng)絡(luò)信息安全性檢測的研究

劉茹 劉穎 江蘇省醫(yī)療器械檢驗(yàn)所電氣安全室 （江蘇 南京 225300）

內(nèi)容提要： 依據(jù)25000系列國家標(biāo)準(zhǔn)對醫(yī)療器械軟件信息安全性測試開展研究。結(jié)合檢測實(shí)際案例闡述了醫(yī)療器械軟件網(wǎng)絡(luò)信息安全性的常見檢測項(xiàng)目和要求，探討目前醫(yī)療器械產(chǎn)品在網(wǎng)絡(luò)信息安全性方面存在的問題，并提出了相關(guān)問題的一些解決方法，以推動醫(yī)療器械產(chǎn)品質(zhì)量安全的提高。

隨著網(wǎng)絡(luò)技術(shù)的發(fā)展，越來越多的醫(yī)療器械具備網(wǎng)絡(luò)連接功能以進(jìn)行電子數(shù)據(jù)交換或遠(yuǎn)程控制，在提高醫(yī)療服務(wù)質(zhì)量與效率的同時(shí)也面臨著網(wǎng)絡(luò)攻擊的威脅。醫(yī)療器械網(wǎng)絡(luò)安全出現(xiàn)問題不僅可能會侵犯患者隱私，而且可能會產(chǎn)生醫(yī)療器械非預(yù)期運(yùn)行的風(fēng)險(xiǎn)，導(dǎo)致患者或使用者受到傷害或死亡。因此，醫(yī)療器械網(wǎng)絡(luò)安全是醫(yī)療器械安全性和有效性的重要組成部分之一[1]。為了能夠規(guī)范醫(yī)療器械產(chǎn)品的網(wǎng)絡(luò)安全檢測，需對有網(wǎng)絡(luò)連接功能的醫(yī)療器械產(chǎn)品開展研究，建立醫(yī)療器械網(wǎng)絡(luò)安全測試規(guī)范，指導(dǎo)企業(yè)規(guī)范產(chǎn)品設(shè)計(jì)，提高醫(yī)療器械產(chǎn)品的安全有效性。本文將基于現(xiàn)行的標(biāo)準(zhǔn)結(jié)合實(shí)際案例探討一下醫(yī)療器械網(wǎng)絡(luò)信息安全性的測試要求。

1.依據(jù)的標(biāo)準(zhǔn)和規(guī)范

醫(yī)療器械軟件信息安全性的檢測目前的主要依據(jù)為《醫(yī)療器械網(wǎng)絡(luò)安全注冊技術(shù)審查指導(dǎo)原則》、GB/T25000.51-2016《系統(tǒng)與軟件工程 系統(tǒng)與軟件質(zhì)量要求和評價(jià)（SQuaRE）第51部分》[2]和GB/T 25000.10-2016《系統(tǒng)與軟件工程 系統(tǒng)與軟件質(zhì)量要求和評價(jià)（SQuaRE）第10部分：系統(tǒng)與軟件質(zhì)量模型》。25000系列的兩個標(biāo)準(zhǔn)中增加了信息安全性要求，其中GB/T 25000.10-2016中信息安全性的質(zhì)量評價(jià)主要通過保密性、完整性、抗抵賴性、可核查性和真實(shí)性5個子特性來評價(jià)，見表1[3]。

表1. 信息安全性特性

2.測試的主要幾個部分

對醫(yī)療器械軟件信息安全性雖然有上述標(biāo)準(zhǔn)要求，但由于該標(biāo)準(zhǔn)適應(yīng)性廣，而目前行業(yè)內(nèi)沒有建立針對醫(yī)療器械網(wǎng)絡(luò)安全的測試規(guī)范。為了能夠規(guī)范醫(yī)療器械產(chǎn)品的網(wǎng)絡(luò)安全檢測，需對有網(wǎng)絡(luò)連接功能的醫(yī)療器械產(chǎn)品開展研究，建立醫(yī)療器械網(wǎng)絡(luò)信息安全測試要求，指導(dǎo)企業(yè)規(guī)范產(chǎn)品設(shè)計(jì)，提高醫(yī)療器械產(chǎn)品的安全有效性。經(jīng)過一段時(shí)間的檢測實(shí)踐，將標(biāo)準(zhǔn)要求細(xì)化成了內(nèi)部的測試規(guī)范和方法。下面就結(jié)合實(shí)際案例來探討一下醫(yī)療器械網(wǎng)絡(luò)信息安全性檢測的主要要求。

2.1 文檔網(wǎng)絡(luò)安全說明

網(wǎng)絡(luò)安全文檔的要求主要應(yīng)包含以下幾個部分：

2.1.1產(chǎn)品說明

應(yīng)包含對產(chǎn)品數(shù)據(jù)交互的內(nèi)外部接口示意圖，包括使用的硬件接口類型和接口通信協(xié)議。

2.1.2 制造商應(yīng)識別產(chǎn)品中的敏感數(shù)據(jù)

敏感數(shù)據(jù)主要包含可識別個人身份的數(shù)據(jù)（如：手機(jī)號碼、身份證號或者家庭住址等）、產(chǎn)品密碼和密鑰或者產(chǎn)品配置信息等。

2.1.3 應(yīng)包含對產(chǎn)品安全相關(guān)事件的說明

產(chǎn)品安全相關(guān)事件與產(chǎn)品日志相關(guān)，日志應(yīng)記錄安全相關(guān)事件來保證產(chǎn)品的可核查性。例如成功的登錄或嘗試失敗、用戶身份驗(yàn)證憑證的變更、有效用戶帳戶列表的更改、配置的修改保存、核心業(yè)務(wù)事件的觸發(fā)、成功的和不成功的軟件更新等等。

2.2 授權(quán)訪問管理

產(chǎn)品或系統(tǒng)應(yīng)確保數(shù)據(jù)只有在被授權(quán)時(shí)才能被訪問，該測試項(xiàng)目對應(yīng)信息安全性中的保密性和完整性子特性。主要從產(chǎn)品接口之間的用戶身份驗(yàn)證、身份驗(yàn)證信息應(yīng)能防止泄露等方面開展測試。具體舉例如下。

2.2.1 通信接口的用戶身份驗(yàn)證

產(chǎn)品的通信接口就是該產(chǎn)品與外界交互的“大門”，當(dāng)外界有人要通過“大門”進(jìn)入時(shí)，應(yīng)進(jìn)行身份驗(yàn)證，只有被授權(quán)的用戶才可進(jìn)入。這樣才能保證產(chǎn)品的授權(quán)訪問。下圖為產(chǎn)品不同接口的身份驗(yàn)證舉例，見圖1，圖2。

圖1. 某樣品手機(jī)端與服務(wù)器端接口身份驗(yàn)證界面

圖2. 某樣品手機(jī)端與設(shè)備端接口身份驗(yàn)證未通過的提示界面

2.2.2 身份驗(yàn)證信息的防泄漏措施

身份驗(yàn)證信息是授權(quán)用戶訪問產(chǎn)品的憑證，憑證一旦泄露就不能防止非授權(quán)訪問，所以應(yīng)采取措施防止身份驗(yàn)證信息的泄露。下面列舉一些身份驗(yàn)證信息防泄漏常見要求：

2.2.2.1 密碼復(fù)雜度及更新頻率要求

如果采用用戶名密碼方式進(jìn)行身份驗(yàn)證的，應(yīng)確保密碼長度不小于8位，且應(yīng)包含英文字符、數(shù)字及特殊符號等多種組合。密碼應(yīng)存在有效期，需要定期更新。舉例如下，見圖3。

2.2.2.2 登錄閾值

應(yīng)當(dāng)預(yù)先定義鑒別失敗次數(shù)的閥值，當(dāng)用戶鑒別失敗次數(shù)達(dá)到閥值時(shí)，應(yīng)用程序應(yīng)當(dāng)退出登錄過程并終止與用戶的交互，并將信息寫入安全日志。設(shè)置登錄閾值可防止密碼猜測暴力破解。

2.2.2.3 初始密碼和硬編碼密碼

在產(chǎn)品最初的生產(chǎn)操作之前，產(chǎn)品需要改變?nèi)魏卧诋a(chǎn)品安全中起作用的系統(tǒng)默認(rèn)值，比如登錄密碼等。在正式的產(chǎn)品中不應(yīng)存在無法修改密碼的賬號，無論該賬號屬于何種類型。因?yàn)槌跏济艽a和硬編碼存在泄露風(fēng)險(xiǎn)。

2.2.2. 4訪問權(quán)限管理

基于角色訪問的產(chǎn)品，應(yīng)清楚地記錄所有已存在的角色及其相關(guān)的權(quán)限。應(yīng)具有擁有管理產(chǎn)品專有權(quán)限的“管理員”或“系統(tǒng)”角色，其他角色不能被授予這些權(quán)力。產(chǎn)品還應(yīng)具有管理有效用戶列表的功能，且對能夠進(jìn)行身份驗(yàn)證的每個帳號執(zhí)行最小權(quán)限原則。權(quán)限最小原則可以防止權(quán)限提升風(fēng)險(xiǎn)。

2.3 非授權(quán)訪問

當(dāng)產(chǎn)品的接口出現(xiàn)無效或意外的輸入時(shí)，產(chǎn)品應(yīng)能繼續(xù)按預(yù)期運(yùn)行，并保障基本的產(chǎn)品功能。常見的防止意外或無效輸入措施要求如下：

2.3.1 過濾特殊字符

軟件應(yīng)識別違反句法條件的輸入，并且不應(yīng)作為許可的輸入加以處理。如：or 1=1、select、union，超長字符等。這樣可以防止SQL注入攻擊或跨站腳本攻擊。

2.3.2 文件過濾

圖3. 密碼復(fù)雜度要求圖示

軟件應(yīng)能保證輸入文件的完整性、合法性，以防止非法文件輸入對系統(tǒng)造成損害。如下圖為某樣品上傳照片頁面，因未對上傳文件類型過濾，可能造成病毒等非法文件輸入。見圖4。

圖4. 某樣品文件上傳頁面

2.4 產(chǎn)品數(shù)據(jù)安全保護(hù)

對用戶文檔中已識別出的敏感數(shù)據(jù)，應(yīng)有安全保護(hù)措施，保證敏感數(shù)據(jù)的存儲、傳輸、使用等過程的保密性和去標(biāo)識化。

2.4.1 敏感數(shù)據(jù)的存儲保密

用戶敏感信息不允許在數(shù)據(jù)庫中明文存儲，如：用戶密碼應(yīng)用加密方法存儲。見圖5。

圖5. 樣品的密碼存儲采用了MD5加密

2.4.2 敏感數(shù)據(jù)的傳輸保密

軟件具有數(shù)據(jù)校驗(yàn)?zāi)芰?，校?yàn)通信數(shù)據(jù)校驗(yàn)，防止數(shù)據(jù)被篡改，保證數(shù)據(jù)的真實(shí)性。應(yīng)當(dāng)采用加密技術(shù)對應(yīng)用軟件系統(tǒng)的重要數(shù)據(jù)、隱私信息進(jìn)行加密傳輸，實(shí)現(xiàn)數(shù)據(jù)保密性保護(hù)，防止信息泄露。見圖6。

圖6. 測試工具獲取網(wǎng)絡(luò)傳輸報(bào)文，報(bào)文內(nèi)容中的用戶名密碼信息為明文傳輸

2.4.3 敏感數(shù)據(jù)使用時(shí)去標(biāo)識化

敏感數(shù)據(jù)使用時(shí)去標(biāo)識化，見圖7。

圖7. 手機(jī)號碼界面顯示時(shí)作了隱藏保護(hù)

2.5 日志審計(jì)

若制造商在用戶文檔中已識別出安全相關(guān)事件，則樣品需應(yīng)有安全事件日志記錄功能，以便對用戶行為和軟件運(yùn)行進(jìn)行安全審計(jì)。安全審計(jì)對應(yīng)GB/T25000.10中信息安全性的可核查性和抗抵賴性。見圖8。

圖8. 安全事件日志記錄

3.小結(jié)

以上就是醫(yī)療器械網(wǎng)絡(luò)信息安全性中常見的測試項(xiàng)目和要求，除此之外，還有端口掃描、漏洞掃描等測試內(nèi)容。從目前的檢驗(yàn)情況來看，由于網(wǎng)絡(luò)安全為近年來較新的要求，很多醫(yī)療器械制造商在設(shè)計(jì)開發(fā)時(shí)并未考慮相關(guān)標(biāo)準(zhǔn)要求，導(dǎo)致醫(yī)療器械網(wǎng)絡(luò)信息安全性初次檢驗(yàn)不合格情況非常普遍。這需要行業(yè)進(jìn)一步加強(qiáng)規(guī)范和要求，對于醫(yī)療器械連接網(wǎng)絡(luò)時(shí)的測試要求和方法也有待于我們技術(shù)支撐部門在今后的工作中進(jìn)一步研究和完善。