关于医疗器械网络信息安全性检测的研究

刘茹 刘颖 江苏省医疗器械检验所电气安全室 （江苏 南京 225300）

内容提要： 依据25000系列国家标准对医疗器械软件信息安全性测试开展研究。结合检测实际案例阐述了医疗器械软件网络信息安全性的常见检测项目和要求，探讨目前医疗器械产品在网络信息安全性方面存在的问题，并提出了相关问题的一些解决方法，以推动医疗器械产品质量安全的提高。

随着网络技术的发展，越来越多的医疗器械具备网络连接功能以进行电子数据交换或远程控制，在提高医疗服务质量与效率的同时也面临着网络攻击的威胁。医疗器械网络安全出现问题不仅可能会侵犯患者隐私，而且可能会产生医疗器械非预期运行的风险，导致患者或使用者受到伤害或死亡。因此，医疗器械网络安全是医疗器械安全性和有效性的重要组成部分之一[1]。为了能够规范医疗器械产品的网络安全检测，需对有网络连接功能的医疗器械产品开展研究，建立医疗器械网络安全测试规范，指导企业规范产品设计，提高医疗器械产品的安全有效性。本文将基于现行的标准结合实际案例探讨一下医疗器械网络信息安全性的测试要求。

1.依据的标准和规范

医疗器械软件信息安全性的检测目前的主要依据为《医疗器械网络安全注册技术审查指导原则》、GB/T25000.51-2016《系统与软件工程 系统与软件质量要求和评价（SQuaRE）第51部分》[2]和GB/T 25000.10-2016《系统与软件工程 系统与软件质量要求和评价（SQuaRE）第10部分：系统与软件质量模型》。25000系列的两个标准中增加了信息安全性要求，其中GB/T 25000.10-2016中信息安全性的质量评价主要通过保密性、完整性、抗抵赖性、可核查性和真实性5个子特性来评价，见表1[3]。

表1. 信息安全性特性

2.测试的主要几个部分

对医疗器械软件信息安全性虽然有上述标准要求，但由于该标准适应性广，而目前行业内没有建立针对医疗器械网络安全的测试规范。为了能够规范医疗器械产品的网络安全检测，需对有网络连接功能的医疗器械产品开展研究，建立医疗器械网络信息安全测试要求，指导企业规范产品设计，提高医疗器械产品的安全有效性。经过一段时间的检测实践，将标准要求细化成了内部的测试规范和方法。下面就结合实际案例来探讨一下医疗器械网络信息安全性检测的主要要求。

2.1 文档网络安全说明

网络安全文档的要求主要应包含以下几个部分：

2.1.1产品说明

应包含对产品数据交互的内外部接口示意图，包括使用的硬件接口类型和接口通信协议。

2.1.2 制造商应识别产品中的敏感数据

敏感数据主要包含可识别个人身份的数据（如：手机号码、身份证号或者家庭住址等）、产品密码和密钥或者产品配置信息等。

2.1.3 应包含对产品安全相关事件的说明

产品安全相关事件与产品日志相关，日志应记录安全相关事件来保证产品的可核查性。例如成功的登录或尝试失败、用户身份验证凭证的变更、有效用户帐户列表的更改、配置的修改保存、核心业务事件的触发、成功的和不成功的软件更新等等。

2.2 授权访问管理

产品或系统应确保数据只有在被授权时才能被访问，该测试项目对应信息安全性中的保密性和完整性子特性。主要从产品接口之间的用户身份验证、身份验证信息应能防止泄露等方面开展测试。具体举例如下。

2.2.1 通信接口的用户身份验证

产品的通信接口就是该产品与外界交互的“大门”，当外界有人要通过“大门”进入时，应进行身份验证，只有被授权的用户才可进入。这样才能保证产品的授权访问。下图为产品不同接口的身份验证举例，见图1，图2。

图1. 某样品手机端与服务器端接口身份验证界面

图2. 某样品手机端与设备端接口身份验证未通过的提示界面

2.2.2 身份验证信息的防泄漏措施

身份验证信息是授权用户访问产品的凭证，凭证一旦泄露就不能防止非授权访问，所以应采取措施防止身份验证信息的泄露。下面列举一些身份验证信息防泄漏常见要求：

2.2.2.1 密码复杂度及更新频率要求

如果采用用户名密码方式进行身份验证的，应确保密码长度不小于8位，且应包含英文字符、数字及特殊符号等多种组合。密码应存在有效期，需要定期更新。举例如下，见图3。

2.2.2.2 登录阈值

应当预先定义鉴别失败次数的阀值，当用户鉴别失败次数达到阀值时，应用程序应当退出登录过程并终止与用户的交互，并将信息写入安全日志。设置登录阈值可防止密码猜测暴力破解。

2.2.2.3 初始密码和硬编码密码

在产品最初的生产操作之前，产品需要改变任何在产品安全中起作用的系统默认值，比如登录密码等。在正式的产品中不应存在无法修改密码的账号，无论该账号属于何种类型。因为初始密码和硬编码存在泄露风险。

2.2.2. 4访问权限管理

基于角色访问的产品，应清楚地记录所有已存在的角色及其相关的权限。应具有拥有管理产品专有权限的“管理员”或“系统”角色，其他角色不能被授予这些权力。产品还应具有管理有效用户列表的功能，且对能够进行身份验证的每个帐号执行最小权限原则。权限最小原则可以防止权限提升风险。

2.3 非授权访问

当产品的接口出现无效或意外的输入时，产品应能继续按预期运行，并保障基本的产品功能。常见的防止意外或无效输入措施要求如下：

2.3.1 过滤特殊字符

软件应识别违反句法条件的输入，并且不应作为许可的输入加以处理。如：or 1=1、select、union，超长字符等。这样可以防止SQL注入攻击或跨站脚本攻击。

2.3.2 文件过滤

图3. 密码复杂度要求图示

软件应能保证输入文件的完整性、合法性，以防止非法文件输入对系统造成损害。如下图为某样品上传照片页面，因未对上传文件类型过滤，可能造成病毒等非法文件输入。见图4。

图4. 某样品文件上传页面

2.4 产品数据安全保护

对用户文档中已识别出的敏感数据，应有安全保护措施，保证敏感数据的存储、传输、使用等过程的保密性和去标识化。

2.4.1 敏感数据的存储保密

用户敏感信息不允许在数据库中明文存储，如：用户密码应用加密方法存储。见图5。

图5. 样品的密码存储采用了MD5加密

2.4.2 敏感数据的传输保密

软件具有数据校验能力，校验通信数据校验，防止数据被篡改，保证数据的真实性。应当采用加密技术对应用软件系统的重要数据、隐私信息进行加密传输，实现数据保密性保护，防止信息泄露。见图6。

图6. 测试工具获取网络传输报文，报文内容中的用户名密码信息为明文传输

2.4.3 敏感数据使用时去标识化

敏感数据使用时去标识化，见图7。

图7. 手机号码界面显示时作了隐藏保护

2.5 日志审计

若制造商在用户文档中已识别出安全相关事件，则样品需应有安全事件日志记录功能，以便对用户行为和软件运行进行安全审计。安全审计对应GB/T25000.10中信息安全性的可核查性和抗抵赖性。见图8。

图8. 安全事件日志记录

3.小结

以上就是医疗器械网络信息安全性中常见的测试项目和要求，除此之外，还有端口扫描、漏洞扫描等测试内容。从目前的检验情况来看，由于网络安全为近年来较新的要求，很多医疗器械制造商在设计开发时并未考虑相关标准要求，导致医疗器械网络信息安全性初次检验不合格情况非常普遍。这需要行业进一步加强规范和要求，对于医疗器械连接网络时的测试要求和方法也有待于我们技术支撑部门在今后的工作中进一步研究和完善。