劉茹 劉穎 江蘇省醫(yī)療器械檢驗所電氣安全室 （江蘇 南京 225300）

內容提要： 依據(jù)25000系列國家標準對醫(yī)療器械軟件信息安全性測試開展研究。結合檢測實際案例闡述了醫(yī)療器械軟件網(wǎng)絡信息安全性的常見檢測項目和要求，探討目前醫(yī)療器械產(chǎn)品在網(wǎng)絡信息安全性方面存在的問題，并提出了相關問題的一些解決方法，以推動醫(yī)療器械產(chǎn)品質量安全的提高。

隨著網(wǎng)絡技術的發(fā)展，越來越多的醫(yī)療器械具備網(wǎng)絡連接功能以進行電子數(shù)據(jù)交換或遠程控制，在提高醫(yī)療服務質量與效率的同時也面臨著網(wǎng)絡攻擊的威脅。醫(yī)療器械網(wǎng)絡安全出現(xiàn)問題不僅可能會侵犯患者隱私，而且可能會產(chǎn)生醫(yī)療器械非預期運行的風險，導致患者或使用者受到傷害或死亡。因此，醫(yī)療器械網(wǎng)絡安全是醫(yī)療器械安全性和有效性的重要組成部分之一[1]。為了能夠規(guī)范醫(yī)療器械產(chǎn)品的網(wǎng)絡安全檢測，需對有網(wǎng)絡連接功能的醫(yī)療器械產(chǎn)品開展研究，建立醫(yī)療器械網(wǎng)絡安全測試規(guī)范，指導企業(yè)規(guī)范產(chǎn)品設計，提高醫(yī)療器械產(chǎn)品的安全有效性。本文將基于現(xiàn)行的標準結合實際案例探討一下醫(yī)療器械網(wǎng)絡信息安全性的測試要求。

1.依據(jù)的標準和規(guī)范

醫(yī)療器械軟件信息安全性的檢測目前的主要依據(jù)為《醫(yī)療器械網(wǎng)絡安全注冊技術審查指導原則》、GB/T25000.51-2016《系統(tǒng)與軟件工程 系統(tǒng)與軟件質量要求和評價（SQuaRE）第51部分》[2]和GB/T 25000.10-2016《系統(tǒng)與軟件工程 系統(tǒng)與軟件質量要求和評價（SQuaRE）第10部分：系統(tǒng)與軟件質量模型》。25000系列的兩個標準中增加了信息安全性要求，其中GB/T 25000.10-2016中信息安全性的質量評價主要通過保密性、完整性、抗抵賴性、可核查性和真實性5個子特性來評價，見表1[3]。

表1. 信息安全性特性

2.測試的主要幾個部分

對醫(yī)療器械軟件信息安全性雖然有上述標準要求，但由于該標準適應性廣，而目前行業(yè)內沒有建立針對醫(yī)療器械網(wǎng)絡安全的測試規(guī)范。為了能夠規(guī)范醫(yī)療器械產(chǎn)品的網(wǎng)絡安全檢測，需對有網(wǎng)絡連接功能的醫(yī)療器械產(chǎn)品開展研究，建立醫(yī)療器械網(wǎng)絡信息安全測試要求，指導企業(yè)規(guī)范產(chǎn)品設計，提高醫(yī)療器械產(chǎn)品的安全有效性。經(jīng)過一段時間的檢測實踐，將標準要求細化成了內部的測試規(guī)范和方法。下面就結合實際案例來探討一下醫(yī)療器械網(wǎng)絡信息安全性檢測的主要要求。

2.1 文檔網(wǎng)絡安全說明

網(wǎng)絡安全文檔的要求主要應包含以下幾個部分：

2.1.1產(chǎn)品說明

應包含對產(chǎn)品數(shù)據(jù)交互的內外部接口示意圖，包括使用的硬件接口類型和接口通信協(xié)議。

2.1.2 制造商應識別產(chǎn)品中的敏感數(shù)據(jù)

敏感數(shù)據(jù)主要包含可識別個人身份的數(shù)據(jù)（如：手機號碼、身份證號或者家庭住址等）、產(chǎn)品密碼和密鑰或者產(chǎn)品配置信息等。

2.1.3 應包含對產(chǎn)品安全相關事件的說明

產(chǎn)品安全相關事件與產(chǎn)品日志相關，日志應記錄安全相關事件來保證產(chǎn)品的可核查性。例如成功的登錄或嘗試失敗、用戶身份驗證憑證的變更、有效用戶帳戶列表的更改、配置的修改保存、核心業(yè)務事件的觸發(fā)、成功的和不成功的軟件更新等等。

2.2 授權訪問管理

產(chǎn)品或系統(tǒng)應確保數(shù)據(jù)只有在被授權時才能被訪問，該測試項目對應信息安全性中的保密性和完整性子特性。主要從產(chǎn)品接口之間的用戶身份驗證、身份驗證信息應能防止泄露等方面開展測試。具體舉例如下。

2.2.1 通信接口的用戶身份驗證

產(chǎn)品的通信接口就是該產(chǎn)品與外界交互的“大門”，當外界有人要通過“大門”進入時，應進行身份驗證，只有被授權的用戶才可進入。這樣才能保證產(chǎn)品的授權訪問。下圖為產(chǎn)品不同接口的身份驗證舉例，見圖1，圖2。

圖1. 某樣品手機端與服務器端接口身份驗證界面

圖2. 某樣品手機端與設備端接口身份驗證未通過的提示界面

2.2.2 身份驗證信息的防泄漏措施

身份驗證信息是授權用戶訪問產(chǎn)品的憑證，憑證一旦泄露就不能防止非授權訪問，所以應采取措施防止身份驗證信息的泄露。下面列舉一些身份驗證信息防泄漏常見要求：

2.2.2.1 密碼復雜度及更新頻率要求

如果采用用戶名密碼方式進行身份驗證的，應確保密碼長度不小于8位，且應包含英文字符、數(shù)字及特殊符號等多種組合。密碼應存在有效期，需要定期更新。舉例如下，見圖3。

2.2.2.2 登錄閾值

應當預先定義鑒別失敗次數(shù)的閥值，當用戶鑒別失敗次數(shù)達到閥值時，應用程序應當退出登錄過程并終止與用戶的交互，并將信息寫入安全日志。設置登錄閾值可防止密碼猜測暴力破解。

2.2.2.3 初始密碼和硬編碼密碼

在產(chǎn)品最初的生產(chǎn)操作之前，產(chǎn)品需要改變任何在產(chǎn)品安全中起作用的系統(tǒng)默認值，比如登錄密碼等。在正式的產(chǎn)品中不應存在無法修改密碼的賬號，無論該賬號屬于何種類型。因為初始密碼和硬編碼存在泄露風險。

2.2.2. 4訪問權限管理

基于角色訪問的產(chǎn)品，應清楚地記錄所有已存在的角色及其相關的權限。應具有擁有管理產(chǎn)品專有權限的“管理員”或“系統(tǒng)”角色，其他角色不能被授予這些權力。產(chǎn)品還應具有管理有效用戶列表的功能，且對能夠進行身份驗證的每個帳號執(zhí)行最小權限原則。權限最小原則可以防止權限提升風險。

2.3 非授權訪問

當產(chǎn)品的接口出現(xiàn)無效或意外的輸入時，產(chǎn)品應能繼續(xù)按預期運行，并保障基本的產(chǎn)品功能。常見的防止意外或無效輸入措施要求如下：

2.3.1 過濾特殊字符

軟件應識別違反句法條件的輸入，并且不應作為許可的輸入加以處理。如：or 1=1、select、union，超長字符等。這樣可以防止SQL注入攻擊或跨站腳本攻擊。

2.3.2 文件過濾

圖3. 密碼復雜度要求圖示

軟件應能保證輸入文件的完整性、合法性，以防止非法文件輸入對系統(tǒng)造成損害。如下圖為某樣品上傳照片頁面，因未對上傳文件類型過濾，可能造成病毒等非法文件輸入。見圖4。

圖4. 某樣品文件上傳頁面

2.4 產(chǎn)品數(shù)據(jù)安全保護

對用戶文檔中已識別出的敏感數(shù)據(jù)，應有安全保護措施，保證敏感數(shù)據(jù)的存儲、傳輸、使用等過程的保密性和去標識化。

2.4.1 敏感數(shù)據(jù)的存儲保密

用戶敏感信息不允許在數(shù)據(jù)庫中明文存儲，如：用戶密碼應用加密方法存儲。見圖5。

圖5. 樣品的密碼存儲采用了MD5加密

2.4.2 敏感數(shù)據(jù)的傳輸保密

軟件具有數(shù)據(jù)校驗能力，校驗通信數(shù)據(jù)校驗，防止數(shù)據(jù)被篡改，保證數(shù)據(jù)的真實性。應當采用加密技術對應用軟件系統(tǒng)的重要數(shù)據(jù)、隱私信息進行加密傳輸，實現(xiàn)數(shù)據(jù)保密性保護，防止信息泄露。見圖6。

圖6. 測試工具獲取網(wǎng)絡傳輸報文，報文內容中的用戶名密碼信息為明文傳輸

2.4.3 敏感數(shù)據(jù)使用時去標識化

敏感數(shù)據(jù)使用時去標識化，見圖7。

圖7. 手機號碼界面顯示時作了隱藏保護

2.5 日志審計

若制造商在用戶文檔中已識別出安全相關事件，則樣品需應有安全事件日志記錄功能，以便對用戶行為和軟件運行進行安全審計。安全審計對應GB/T25000.10中信息安全性的可核查性和抗抵賴性。見圖8。

圖8. 安全事件日志記錄

3.小結

以上就是醫(yī)療器械網(wǎng)絡信息安全性中常見的測試項目和要求，除此之外，還有端口掃描、漏洞掃描等測試內容。從目前的檢驗情況來看，由于網(wǎng)絡安全為近年來較新的要求，很多醫(yī)療器械制造商在設計開發(fā)時并未考慮相關標準要求，導致醫(yī)療器械網(wǎng)絡信息安全性初次檢驗不合格情況非常普遍。這需要行業(yè)進一步加強規(guī)范和要求，對于醫(yī)療器械連接網(wǎng)絡時的測試要求和方法也有待于我們技術支撐部門在今后的工作中進一步研究和完善。