發布時間:2020-02-25所屬分類:醫學職稱論文瀏覽:1次
摘 要: 內容提要:依據25000系列國家標準對醫療器械軟件信息安全性測試開展研究。結合檢測實際案例闡述了醫療器械軟件網絡信息安全性的常見檢測項目和要求,探討目前醫療器械產品在網絡信息安全性方面存在的問題,并提出了相關問題的一些解決方法,以推動醫療器械產
內容提要:依據25000系列國家標準對醫療器械軟件信息安全性測試開展研究。結合檢測實際案例闡述了醫療器械軟件網絡信息安全性的常見檢測項目和要求,探討目前醫療器械產品在網絡信息安全性方面存在的問題,并提出了相關問題的一些解決方法,以推動醫療器械產品質量安全的提高。
關 鍵 詞:醫療器械 網絡 信息安全性
隨著網絡技術的發展,越來越多的醫療器械具備網絡連接功能以進行電子數據交換或遠程控制,在提高醫療服務質量與效率的同時也面臨著網絡攻擊的威脅。醫療器械網絡安全出現問題不僅可能會侵犯患者隱私,而且可能會產生醫療器械非預期運行的風險,導致患者或使用者受到傷害或死亡。因此,醫療器械網絡安全是醫療器械安全性和有效性的重要組成部分之一[1]。為了能夠規范醫療器械產品的網絡安全檢測,需對有網絡連接功能的醫療器械產品開展研究,建立醫療器械網絡安全測試規范,指導企業規范產品設計,提高醫療器械產品的安全有效性。本文將基于現行的標準結合實際案例探討一下醫療器械網絡信息安全性的測試要求。
1.依據的標準和規范
醫療器械軟件信息安全性的檢測目前的主要依據為《醫療器械網絡安全注冊技術審查指導原則》、GB/T25000.51 -2016《系統與軟件工程 系統與軟件質量要求和評價(SQuaRE)第51部分》[2]和GB/T 25000.10-2016《系統與軟件工程 系統與軟件質量要求和評價(SQuaRE)第10部分:系統與軟件質量模型》。25000系列的兩個標準中增加了信息安全性要求,其中GB/T 25000.10-2016中信息安全性的質量評價主要通過保密性、完整性、抗抵賴性、可核查性和真實性5個子特性來評價,見表1[3]。
2.測試的主要幾個部分
對醫療器械軟件信息安全性雖然有上述標準要求,但由于該標準適應性廣,而目前行業內沒有建立針對醫療器械網絡安全的測試規范。為了能夠規范醫療器械產品的網絡安全檢測,需對有網絡連接功能的醫療器械產品開展研究,建立醫療器械網絡信息安全測試要求,指導企業規范產品設計,提高醫療器械產品的安全有效性。經過一段時間的檢測實踐,將標準要求細化成了內部的測試規范和方法。下面就結合實際案例來探討一下醫療器械網絡信息安全性檢測的主要要求。
2.1文檔網絡安全說明
網絡安全文檔的要求主要應包含以下幾個部分:
2.1.1產品說明
應包含對產品數據交互的內外部接口示意圖,包括使用的硬件接口類型和接口通信協議。
2.1.2制造商應識別產品中的敏感數據
敏感數據主要包含可識別個人身份的數據(如:手機號碼、身份證號或者家庭住址等)、產品密碼和密鑰或者產品配置信息等。
2.1.3應包含對產品安全相關事件的說明
產品安全相關事件與產品日志相關,日志應記錄安全相關事件來保證產品的可核查性。例如成功的登錄或嘗試失敗、用戶身份驗證憑證的變更、有效用戶帳戶列表的更改、配置的修改保存、核心業務事件的觸發、成功的和不成功的軟件更新等等。
2.2授權訪問管理
產品或系統應確保數據只有在被授權時才能被訪問,該測試項目對應信息安全性中的保密性和完整性子特性。主要從產品接口之間的用戶身份驗證、身份驗證信息應能防止泄露等方面開展測試。具體舉例如下。
2.2.1通信接口的用戶身份驗證產品的通信接口就是該產品與外界交互的“大門”,當外界有人要通過“大門”進入時,應進行身份驗證,只有被授權的用戶才可進入。這樣才能保證產品的授權訪問。下圖為產品不同接口的身份驗證舉例,見圖1,圖2。
2.2.2身份驗證信息的防泄漏措施身份驗證信息是授權用戶訪問產品的憑證,憑證一旦泄露就不能防止非授權訪問,所以應采取措施防止身份驗證信息的泄露。下面列舉一些身份驗證信息防泄漏常見要求
2.2.2.1密碼復雜度及更新頻率要求
如果采用用戶名密碼方式進行身份驗證的,應確保密碼長度不小于8位,且應包含英文字符、數字及特殊符號等多種組合。密碼應存在有效期,需要定期更新。舉例如下,見圖3。
2.2.2.2登錄閾值
應當預先定義鑒別失敗次數的閥值,當用戶鑒別失敗次數達到閥值時,應用程序應當退出登錄過程并終止與用戶的交互,并將信息寫入安全日志。設置登錄閾值可防止密碼猜測暴力破解。
2.2.2.3初始密碼
和硬編碼密碼在產品最初的生產操作之前,產品需要改變任何在產品安全中起作用的系統默認值,比如登錄密碼等。在正式的產品中不應存在無法修改密碼的賬號,無論該賬號屬于何種類型。因為初始密碼和硬編碼存在泄露風險。
2.2.2.4訪問權限管理
基于角色訪問的產品,應清楚地記錄所有已存在的角色及其相關的權限。應具有擁有管理產品專有權限的“管理員”或“系統”角色,其他角色不能被授予這些權力。產品還應具有管理有效用戶列表的功能,且對能夠進行身份驗證的每個帳號執行最小權限原則。權限最小原則可以防止權限提升風險。
2.3非授權訪問
當產品的接口出現無效或意外的輸入時,產品應能繼續按預期運行,并保障基本的產品功能。常見的防止意外或無效輸入措施要求如下:
2.3.1過濾特殊字符
軟件應識別違反句法條件的輸入,并且不應作為許可的輸入加以處理。如:or 1=1、select、union,超長字符等。這樣可以防止SQL注入攻擊或跨站腳本攻擊。
2.3.2文件過濾
軟件應能保證輸入文件的完整性、合法性,以防止非法文件輸入對系統造成損害。如下圖為某樣品上傳照片頁面,因未對上傳文件類型過濾,可能造成病毒等非法文件輸入。見圖4。
2.4產品數據安全保護
對用戶文檔中已識別出的敏感數據,應有安全保護措施,保證敏感數據的存儲、傳輸、使用等過程的保密性和去標識化。
2.4.1敏感數據的存儲保密
用戶敏感信息不允許在數據庫中明文存儲,如:用戶密碼應用加密方法存儲。見圖5。
2.4.2敏感數據的傳輸保密
軟件具有數據校驗能力,校驗通信數據校驗,防止數據被篡改,保證數據的真實性。應當采用加密技術對應用軟件系統的重要數據、隱私信息進行加密傳輸,實現數據保密性保護,防止信息泄露。見圖6。
2.4.3敏感數據使用時去標識化
敏感數據使用時去標識化,見圖7。
2.5日志審計
若制造商在用戶文檔中已識別出安全相關事件,則樣品需應有安全事件日志記錄功能,以便對用戶行為和軟件運行進行安全審計。安全審計對應GB/T25000.10中信息安全性的可核查性和抗抵賴性。見圖8。
相關論文推薦:淺析醫療器械獨立軟件描述文檔編制要點
3.小結
以上就是醫療器械網絡信息安全性中常見的測試項目和要求,除此之外,還有端口掃描、漏洞掃描等測試內容。從目前的檢驗情況來看,由于網絡安全為近年來較新的要求,很多醫療器械制造商在設計開發時并未考慮相關標準要求,導致醫療器械網絡信息安全性初次檢驗不合格情況非常普遍。這需要行業進一步加強規范和要求,對于醫療器械連接網絡時的測試要求和方法也有待于我們技術支撐部門在今后的工作中進一步研究和完善。
SCISSCIAHCI
