國(guó)家藥品監(jiān)督管理局醫(yī)療器械技術(shù)審評(píng)中心于2022年3月發(fā)布了《醫(yī)療器械網(wǎng)絡(luò)安全注冊(cè)審查指導(dǎo)原則(2022年修訂版)》。美國(guó)食品藥品監(jiān)督管理局(FDA)于2022年4月公布了《醫(yī)療器械網(wǎng)絡(luò):質(zhì)量體系考量與上市前申報(bào)指南》草案����。全球?qū)τ卺t(yī)療器械網(wǎng)絡(luò)安全越來(lái)越受重視����,涉及醫(yī)療器械網(wǎng)絡(luò)安全的醫(yī)療器械產(chǎn)品越來(lái)越多�����,法規(guī)也越來(lái)越完善�。本文結(jié)合《醫(yī)療器械網(wǎng)絡(luò)安全注冊(cè)審查指導(dǎo)原則(2022年修訂版)》(下文簡(jiǎn)稱(chēng)指導(dǎo)原則)的要求來(lái)做解讀����。
一、總體要求
1��、適應(yīng)范圍
包括具備電子數(shù)據(jù)交換�����、遠(yuǎn)程訪問(wèn)與控制����、用戶(hù)訪問(wèn)三種功能當(dāng)中一種及以上功能的第二�����、三類(lèi)獨(dú)立軟件和含有軟件組件的醫(yī)療器械(包括體外診斷醫(yī)療器械)����;適用于自研軟件、現(xiàn)成軟件�����。
解讀:有伙伴可以會(huì)問(wèn)這三個(gè)條件滿(mǎn)足其一就在適用范圍了����,那好像有很多功能簡(jiǎn)單的器械也要考慮網(wǎng)絡(luò)安全了?回答是肯定的�����,只不過(guò)風(fēng)險(xiǎn)水平越高的醫(yī)療器械要申報(bào)資料就需要越全面、越詳盡����,反之���,不適用的地方進(jìn)行說(shuō)明即可��。
2、主要概念
醫(yī)療器械網(wǎng)絡(luò)安全:
指保護(hù)醫(yī)療器械產(chǎn)品自身和相關(guān)數(shù)據(jù)不受未授權(quán)活動(dòng)影響的狀態(tài),其保密性(Confidentiality)�、完整性(Integrity)�����、可得性(Availability)真實(shí)性(Authenticity)����、抗抵賴(lài)性(Non-Repudiation)��、可核查性(Accountability)�����、可靠性(Reliability)等特性的相關(guān)風(fēng)險(xiǎn)在全生命周期均處于可接受水平��。
醫(yī)療器械網(wǎng)絡(luò)安全能力:
考慮到預(yù)期用途、使用場(chǎng)景的限制����,醫(yī)療器械對(duì)于網(wǎng)絡(luò)安全威脅應(yīng)具備必要的識(shí)別��、保護(hù)能力和適當(dāng)?shù)奶綔y(cè)�����、響應(yīng)����、恢復(fù)能力���。
指導(dǎo)原則給出了22項(xiàng)醫(yī)療器械網(wǎng)絡(luò)安全能力:
自動(dòng)注銷(xiāo)��、審核、授權(quán)���、節(jié)點(diǎn)鑒別、人員鑒別�����、連通性����、物理防護(hù)、系統(tǒng)加固�����、數(shù)據(jù)去標(biāo)識(shí)化和匿名化����、數(shù)據(jù)完整性與真實(shí)性����、數(shù)據(jù)備份與災(zāi)難恢復(fù)�����、數(shù)據(jù)存儲(chǔ)保密性與完整性���、數(shù)據(jù)傳輸保密性���、數(shù)據(jù)傳輸完整性、網(wǎng)絡(luò)安全補(bǔ)丁升級(jí)��、現(xiàn)成軟件清單�����、現(xiàn)成軟件維護(hù)�、網(wǎng)絡(luò)安全使用指導(dǎo)、網(wǎng)絡(luò)安全特征配置����、緊急訪問(wèn)����、遠(yuǎn)程訪問(wèn)與控制、惡意軟件探測(cè)與防護(hù)。
注冊(cè)申請(qǐng)人需根據(jù)醫(yī)療器械的產(chǎn)品特性分析上述網(wǎng)絡(luò)安全能力的適用性����。
網(wǎng)絡(luò)安全驗(yàn)證與確認(rèn):
需在軟件驗(yàn)證與確認(rèn)的框架下,結(jié)合產(chǎn)品網(wǎng)絡(luò)安全特性開(kāi)展相關(guān)質(zhì)控工作��,如源代碼安全審核��、威脅建模����、漏洞掃描、滲透測(cè)試����、模糊測(cè)試等。
網(wǎng)絡(luò)安全可追溯性分析:
追蹤網(wǎng)絡(luò)安全需求����、網(wǎng)絡(luò)安全設(shè)計(jì)、源代碼、網(wǎng)絡(luò)安全測(cè)試��、網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理之間的關(guān)系�����,分析已識(shí)別關(guān)系的正確性�����、一致性�����、完整性��、準(zhǔn)確性��。
網(wǎng)絡(luò)安全事件應(yīng)急響應(yīng):
需基于相關(guān)標(biāo)準(zhǔn)和技術(shù)報(bào)告建立網(wǎng)絡(luò)安全事件應(yīng)急響應(yīng)機(jī)制�����,保證醫(yī)療器械的安全有效性并保護(hù)患者隱私��。
醫(yī)療器械網(wǎng)絡(luò)安全更新:
(1)重大網(wǎng)絡(luò)安全更新:影響到醫(yī)療器械的安全性或有效性的網(wǎng)絡(luò)安全更新��,即重大網(wǎng)絡(luò)安全功能更新,應(yīng)申請(qǐng)變更注冊(cè)����。
(2)輕微網(wǎng)絡(luò)安全更新:不影響醫(yī)療器械的安全性與有效性的網(wǎng)絡(luò)安全更新,無(wú)需申請(qǐng)變更注冊(cè)����,待下次變更注冊(cè)時(shí)提交相應(yīng)注冊(cè)申報(bào)資料。
3����、基本原則
網(wǎng)絡(luò)安全定位:
醫(yī)療器械網(wǎng)絡(luò)安全是醫(yī)療器械安全性和有效性的重要組成部分之一��。醫(yī)療器械網(wǎng)絡(luò)安全也是網(wǎng)絡(luò)安全國(guó)家戰(zhàn)略的重要組成部分����。
風(fēng)險(xiǎn)導(dǎo)向:
網(wǎng)絡(luò)安全風(fēng)險(xiǎn)作為軟件風(fēng)險(xiǎn)的重要組成部分。醫(yī)療器械網(wǎng)絡(luò)安全風(fēng)險(xiǎn)同樣結(jié)合醫(yī)療器械的預(yù)期用途�����、使用場(chǎng)景��、核心功能進(jìn)行綜合判定��。
網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理:
識(shí)別資產(chǎn),威脅和脆弱性��;評(píng)估威脅和脆弱性對(duì)于醫(yī)療器械和患者的影響以及被利用的可能性�����,確定風(fēng)險(xiǎn)水平并采取充分��、有效����、適宜的風(fēng)險(xiǎn)控制措施。
全生命周期質(zhì)控:
要做好上市前后各個(gè)階段的質(zhì)控工作����,上市前結(jié)合質(zhì)量管理體系要求和醫(yī)療器械產(chǎn)品特性開(kāi)展網(wǎng)絡(luò)安全質(zhì)控工作,上市后根據(jù)網(wǎng)絡(luò)安全更新情況開(kāi)展更新請(qǐng)求評(píng)估����、驗(yàn)證與確認(rèn)、風(fēng)險(xiǎn)管理�����、用戶(hù)告知等活動(dòng)��,定期開(kāi)展醫(yī)療器械網(wǎng)絡(luò)安全漏洞風(fēng)險(xiǎn)評(píng)估工作,將必要的網(wǎng)絡(luò)安全相關(guān)信息以及應(yīng)對(duì)措施告知用戶(hù)����。
可以采用IEC 27000系列標(biāo)準(zhǔn)規(guī)范信息安全管理體系(ISMS)認(rèn)證要求完善醫(yī)療器械網(wǎng)絡(luò)安全質(zhì)控工作,以保證醫(yī)療器械的安全有效性�����。
4��、技術(shù)考量
現(xiàn)成軟件:根據(jù)質(zhì)量管理體系要求建立現(xiàn)成軟件網(wǎng)絡(luò)安全更新過(guò)程��,根據(jù)現(xiàn)成軟件與醫(yī)療器械軟件的關(guān)系類(lèi)型開(kāi)展相應(yīng)網(wǎng)絡(luò)安全質(zhì)控工作����。
醫(yī)療數(shù)據(jù)出境:在中國(guó)境內(nèi)收集和產(chǎn)生的重要數(shù)據(jù)��、個(gè)人信息和人類(lèi)遺傳資源信息原則上應(yīng)在中國(guó)境內(nèi)存儲(chǔ)�����,需要進(jìn)行境外傳送要通過(guò)國(guó)家相關(guān)部門(mén)的安全評(píng)估��。
遠(yuǎn)程維護(hù)與升級(jí):注冊(cè)申請(qǐng)人需明確遠(yuǎn)程維護(hù)與升級(jí)的實(shí)現(xiàn)方法��、所用電子接口情況、設(shè)備數(shù)據(jù)所含內(nèi)容�����、設(shè)備數(shù)據(jù)與醫(yī)療數(shù)據(jù)的隔離方法��、網(wǎng)絡(luò)安全保證措施等技術(shù)特征�����,并提供相應(yīng)研究資料和風(fēng)險(xiǎn)管理資料����。
遺留設(shè)備:依據(jù)《獨(dú)立軟件生產(chǎn)質(zhì)量管理規(guī)范及其現(xiàn)場(chǎng)檢查指導(dǎo)原則》開(kāi)展網(wǎng)絡(luò)安全質(zhì)控工作。
二�����、驗(yàn)證與確認(rèn)
指導(dǎo)原則要求:
網(wǎng)絡(luò)安全驗(yàn)證與確認(rèn)作為軟件驗(yàn)證與確認(rèn)的重要組成部分����,需在軟件驗(yàn)證與確認(rèn)的框架下,結(jié)合產(chǎn)品網(wǎng)絡(luò)安全特性開(kāi)展相關(guān)質(zhì)控工作�����。
由此可見(jiàn)網(wǎng)絡(luò)安全的驗(yàn)證與確認(rèn)并不是獨(dú)立存在的,是基于軟件驗(yàn)證與確認(rèn)的延伸�����。同樣在FDA:Cybersecurity in Medical Devices: Quality System Considerations and Content of Premarket Submissions中有關(guān)Cybersecurity Testing(網(wǎng)絡(luò)安全測(cè)試)的描述:和產(chǎn)品開(kāi)發(fā)的其他領(lǐng)域一樣��,測(cè)試被用來(lái)證明設(shè)計(jì)控制的有效性�����。雖然軟件開(kāi)發(fā)和網(wǎng)絡(luò)安全是密切相關(guān)的學(xué)科����,但網(wǎng)絡(luò)安全控制需要超出標(biāo)準(zhǔn)軟件驗(yàn)證和確認(rèn)活動(dòng)的測(cè)試,以證明在適當(dāng)?shù)陌踩h(huán)境中控制的有效性��,從而證明設(shè)備具有合理的安全性和有效性保證����。
解讀:在參閱了UL 2900和FDA等關(guān)于醫(yī)療器械網(wǎng)絡(luò)安全的文件后我們將網(wǎng)絡(luò)安全驗(yàn)證與確認(rèn)劃分為軟件驗(yàn)證與確認(rèn)(本文特指在軟件層面網(wǎng)絡(luò)安全的能力驗(yàn)證)和網(wǎng)絡(luò)安全測(cè)試�����。
威脅建模是風(fēng)險(xiǎn)管理中非常重要的一環(huán)��,建議進(jìn)行前置,在軟件開(kāi)發(fā)流程中就進(jìn)行威脅建模的環(huán)節(jié)��,可以參考微軟安全開(kāi)發(fā)生命周期(SDL)��。
1����、軟件驗(yàn)證與確認(rèn)
執(zhí)行標(biāo)準(zhǔn):
在軟件設(shè)計(jì)開(kāi)發(fā)的整個(gè)生存周期過(guò)程中,我們需要根據(jù)《YY/T 0664 醫(yī)療器械軟件 軟件驗(yàn)證與確認(rèn)過(guò)程》的標(biāo)準(zhǔn)來(lái)執(zhí)行����。在整個(gè)生命周期中需要對(duì)軟件進(jìn)行風(fēng)險(xiǎn)管理,醫(yī)療器械軟件的風(fēng)險(xiǎn)管理可參考《YY/T 0316 醫(yī)療器械風(fēng)險(xiǎn)管理對(duì)醫(yī)療器械的應(yīng)用》��。
軟件開(kāi)發(fā)過(guò)程:
包括軟件開(kāi)發(fā)策劃��、軟件需求分析����、軟件設(shè)計(jì)、軟件編碼����、軟件驗(yàn)證、軟件確認(rèn)����、軟件發(fā)布等活動(dòng)�����。
軟件開(kāi)發(fā)策劃需明確在軟件開(kāi)發(fā)過(guò)程中����,如何對(duì)風(fēng)險(xiǎn)進(jìn)行管理����,需制定風(fēng)險(xiǎn)管理計(jì)劃,衡量風(fēng)險(xiǎn)嚴(yán)重度����、風(fēng)險(xiǎn)發(fā)生的概率等的風(fēng)險(xiǎn)評(píng)價(jià)標(biāo)準(zhǔn)。
軟件需求分析包括功能和性能的需求����、軟件系統(tǒng)的輸入和輸出等各種需求以及信息安全需求。例如患者的健康數(shù)據(jù)需要保證在傳輸過(guò)程中的安全性和完整性��,就需要設(shè)計(jì)數(shù)據(jù)匿名化��,傳輸加密等功能����。根據(jù)指導(dǎo)原則,醫(yī)療器械對(duì)于網(wǎng)絡(luò)安全威脅應(yīng)具備必要的識(shí)別�����、保護(hù)能力和適當(dāng)?shù)奶綔y(cè)����、響應(yīng)、恢復(fù)能力�����,并且列出了22項(xiàng)具體的網(wǎng)絡(luò)安全能力�����。注冊(cè)申請(qǐng)人需根據(jù)醫(yī)療器械的產(chǎn)品特性分析上述22項(xiàng)網(wǎng)絡(luò)安全能力的適用性�����。如果適應(yīng)將這些能力要求寫(xiě)進(jìn)需求��,明確實(shí)現(xiàn)方式。若不適用詳述理由并予以記錄����。
軟件測(cè)試、軟件驗(yàn)證��、軟件確認(rèn):通過(guò)提供客觀證據(jù)認(rèn)定軟件滿(mǎn)足用戶(hù)需求和預(yù)期用途����。對(duì)網(wǎng)絡(luò)安全有關(guān)的需求和能力,進(jìn)行驗(yàn)證與確認(rèn)��。
示例1
在需求分析后確認(rèn)了需要數(shù)據(jù)傳輸保密性(TXCF)的網(wǎng)絡(luò)安全能力�����,產(chǎn)品確保數(shù)據(jù)傳輸保密性的能力�����。
驗(yàn)證方法 :在數(shù)據(jù)傳輸過(guò)程中進(jìn)行抓包�����,檢測(cè)敏感數(shù)據(jù)是否是加密傳輸����,并且要加密方式進(jìn)行識(shí)別����。
示例2
在需求分析后確認(rèn)了需要惡意軟件探測(cè)與防護(hù)(MLDP)的網(wǎng)絡(luò)安全能力�����,產(chǎn)品確保數(shù)據(jù)傳輸保密性的能力����。
驗(yàn)證方法 :發(fā)送惡意代碼����、進(jìn)行DDOS、欺騙攻擊等方式����,檢測(cè)產(chǎn)品是否有識(shí)別和阻斷的能力。
2��、網(wǎng)絡(luò)安全測(cè)試
根據(jù)指導(dǎo)原則以及FAD����、UL 2900等醫(yī)療器械網(wǎng)絡(luò)安全標(biāo)準(zhǔn)��,將網(wǎng)絡(luò)安全測(cè)試歸納為源代碼安全審核��、漏洞掃描����、滲透測(cè)試����、模糊測(cè)試。
源代碼安全審核:
美國(guó)FDA中的要求:二進(jìn)制可執(zhí)行文件的軟件組成分析��、靜態(tài)和動(dòng)態(tài)代碼分析 UL 2900中的要求:軟件弱點(diǎn)分析��、靜態(tài)源代碼分析��、靜態(tài)二進(jìn)制和字節(jié)碼分析����。
軟件安全是網(wǎng)絡(luò)安全的基礎(chǔ)防線,而軟件的底層由大量代碼組成�����。漏洞出現(xiàn)很大的一個(gè)原因就是代碼編寫(xiě)產(chǎn)生問(wèn)題�����,所以要進(jìn)行源代碼的安全審核,通過(guò)測(cè)試可以更好的發(fā)現(xiàn)代碼中存在的問(wèn)題��,代碼本身的漏洞也能夠得到有效的控制����。
測(cè)試方法:源代碼審計(jì)�����。源代碼審計(jì)是由具備豐富編碼經(jīng)驗(yàn)并對(duì)安全編碼原則及應(yīng)用安全具有深刻理解的安全服務(wù)人員對(duì)系統(tǒng)的源代碼和軟件架構(gòu)的安全性����、可靠性進(jìn)行全面的安全檢查。也可以借助代碼審計(jì)工具配合測(cè)試�����。
源代碼審核發(fā)現(xiàn)存在的漏洞
漏洞掃描:
美國(guó)FDA中的要求:漏洞鏈��、已知漏洞掃描的封閉盒測(cè)試 UL 2900中的要求:已知漏洞測(cè)試�����、惡意軟件測(cè)試
漏洞是指系統(tǒng)上的硬件、軟件(包括固件)����、協(xié)議等,在安全策略上存在弱點(diǎn)或者缺陷��,這些缺陷��、錯(cuò)誤或不合理之處可能被有意或無(wú)意地利用����,影響系統(tǒng)等資產(chǎn)的保密性����、完整性、可用性等特性����,造成泄漏、破壞����、篡改、控制等危害�����。
漏洞產(chǎn)生的原因非常的廣泛,也沒(méi)有絕對(duì)安全的系統(tǒng)��、軟件��。漏洞不斷被發(fā)現(xiàn)����,被利用,被披露����,被修復(fù)��,進(jìn)行循環(huán)�����。根據(jù)信息安全的發(fā)展水平現(xiàn)階段能做的就是首先檢測(cè)是否存在已經(jīng)公開(kāi)披露的漏洞����。
漏洞分類(lèi):
按應(yīng)用范圍:操作系統(tǒng)、應(yīng)用程序�����、WEB應(yīng)用、數(shù)據(jù)庫(kù)�����、網(wǎng)絡(luò)設(shè)備��、智能設(shè)備(物聯(lián)網(wǎng)終端設(shè)備)�����、區(qū)塊鏈相關(guān)漏洞�����、車(chē)聯(lián)網(wǎng)�����、工業(yè)控制系統(tǒng)等
按漏洞原理:緩沖區(qū)溢出�����、DOS攻擊、注入����、文件包含、文件讀取�����、文件上傳�����、文件下載����、目錄遍歷、敏感信息泄露�����、弱口令��、命令執(zhí)行����、暴力破解�����、未授權(quán)訪問(wèn)、邏輯漏洞����、配置不當(dāng)、網(wǎng)絡(luò)釣魚(yú)��、權(quán)限繞過(guò)����、網(wǎng)絡(luò)欺騙、瀏覽器劫持����、XSS、CSRF�����、SSRF�����、不安全的反序列化等等。
測(cè)試方法:使用漏洞掃描設(shè)備或工具��,進(jìn)行已知漏洞的發(fā)現(xiàn)��、識(shí)別和評(píng)估��。主要是針對(duì)CVE����、CNVD、CNNVD漏洞庫(kù)中已知漏洞進(jìn)行評(píng)估����,出具脆弱性評(píng)估報(bào)告。
1�����、可聯(lián)網(wǎng)設(shè)備����,使用linux系統(tǒng)的某設(shè)備
漏洞掃描示意圖1
2�����、不可聯(lián)網(wǎng)嵌入式設(shè)備(含軟件組件或固件)
對(duì)軟件和固件進(jìn)行漏洞掃描的安全評(píng)估:
對(duì)軟件二進(jìn)制文件進(jìn)行安全評(píng)估發(fā)現(xiàn)的組件漏洞
滲透測(cè)試:
美國(guó)FDA中的要求:滲透測(cè)試
UL 2900中的要求:結(jié)構(gòu)化滲透測(cè)試
滲透測(cè)試是模擬黑客攻擊的手法和技巧對(duì)目標(biāo)發(fā)起攻擊,獲取信息和權(quán)限等��。通過(guò)滲透測(cè)試報(bào)告可以更直觀的反映系統(tǒng)面臨的風(fēng)險(xiǎn)��,看清楚信息是如何被泄露��,漏洞是如何被利用�����,系統(tǒng)是如何被控制等����。
滲透測(cè)試一般流程:
滲透測(cè)試示例:
測(cè)試工程師破解賬號(hào)密碼
破解口令和系統(tǒng)管理員權(quán)限
模糊測(cè)試:
美國(guó)FDA中的要求:魯棒性測(cè)試、模糊測(cè)試
UL 2900中的要求:畸形輸入測(cè)試
模糊測(cè)試是一種自動(dòng)化的軟件測(cè)試技術(shù)��,通常用于識(shí)別程序中的潛在漏洞����,對(duì)程序進(jìn)行模糊測(cè)試是通過(guò)向其提供隨機(jī)輸入并記錄導(dǎo)致程序崩潰、故障異常的測(cè)試方法��。隨機(jī)的輸入遠(yuǎn)比人為思考邏輯的覆蓋范圍廣泛的多�����。
三、網(wǎng)絡(luò)安注冊(cè)申報(bào)文檔
網(wǎng)絡(luò)安注冊(cè)申報(bào)文檔在指導(dǎo)原則的第六章醫(yī)療器械網(wǎng)絡(luò)安全研究資料中有具體的說(shuō)明����,分為自研軟件和現(xiàn)成軟件,引用指導(dǎo)原則的圖:
自研軟件網(wǎng)絡(luò)安全研究報(bào)告是上述報(bào)告的一個(gè)基礎(chǔ)����,其余報(bào)告在此基礎(chǔ)上進(jìn)行相應(yīng)的調(diào)整即可。下文我們以自研軟件網(wǎng)絡(luò)安全研究報(bào)告來(lái)進(jìn)行說(shuō)明����。
1、基本信息
(1)軟件信息
明確申報(bào)醫(yī)療器械軟件的名稱(chēng)����、型號(hào)規(guī)格、發(fā)布版本以及軟件安全性級(jí)別��。
軟件名稱(chēng):
型號(hào)規(guī)格:
發(fā)布版本:
軟件安全性級(jí)別:明確軟件安全性級(jí)別(A級(jí)��、B級(jí)��、C級(jí))��,詳述確定理由�����。
(2)數(shù)據(jù)架構(gòu)
提供申報(bào)醫(yī)療器械在每個(gè)使用場(chǎng)景(含遠(yuǎn)程維護(hù)與升級(jí)�����,下同)下的網(wǎng)絡(luò)環(huán)境和數(shù)據(jù)流圖����,并依據(jù)圖示描述醫(yī)療器械相關(guān)數(shù)據(jù)和電子接口的基本情況。
示例:網(wǎng)絡(luò)環(huán)境和數(shù)據(jù)流圖����,部分描述略,詳細(xì)要求見(jiàn)指導(dǎo)原則��。
數(shù)據(jù):穿戴設(shè)備采集健康數(shù)據(jù)��,通過(guò)藍(lán)牙發(fā)送至手機(jī)設(shè)備管理APP����,然后數(shù)據(jù)傳統(tǒng)到設(shè)備廠商的云端數(shù)據(jù)庫(kù),醫(yī)生用戶(hù)可以通過(guò)賬號(hào)在電腦連接設(shè)備云端服務(wù)器查看健康數(shù)據(jù)����。
電子接口:藍(lán)牙(Bluetooth)
(3)網(wǎng)絡(luò)安全能力
逐項(xiàng)分析申報(bào)醫(yī)療器械對(duì)于22項(xiàng)網(wǎng)絡(luò)安全能力的適用性����,詳述適用網(wǎng)絡(luò)安全能力的實(shí)現(xiàn)方法以及不適用理由����。若適用,提供其他網(wǎng)絡(luò)安全能力的適用情況說(shuō)明��。
示例1:人員鑒別(PAUT)����,采用用戶(hù)名和口令方式驗(yàn)證方式,管理員口令要求強(qiáng)度為數(shù)字大小寫(xiě)字母加特殊字符組合不低于8位����,失敗超過(guò)3次鎖定24小時(shí)。普通用戶(hù)口令要求強(qiáng)度為數(shù)字字母組合不低于6位�����,失敗超過(guò)5次鎖定0.5小時(shí)����。
示例2:數(shù)據(jù)傳輸保密性(TXCF),采用了RSA公鑰加密非對(duì)稱(chēng)算法��,對(duì)傳輸?shù)拿舾嗅t(yī)療信息進(jìn)行加密。RSA 加密功能強(qiáng)大且可靠�����,破解需要耗費(fèi)大量時(shí)間和精力�����。
(4)網(wǎng)絡(luò)安全補(bǔ)丁
提供申報(bào)醫(yī)療器械(含必備軟件��、外部軟件環(huán)境)的網(wǎng)絡(luò) 安全補(bǔ)丁列表�����,明確網(wǎng)絡(luò)安全補(bǔ)丁的名稱(chēng)����、完整版本��、發(fā)布日期�����?���?闪砀轿募?���。
示例
補(bǔ)丁名稱(chēng):PTR 9.1.5 完整版本:XX2020-R2-穩(wěn)定版 發(fā)布日期:2022-05-25 說(shuō)明:本次補(bǔ)丁新增加了對(duì)管理員帳號(hào)驗(yàn)證方式XXXX
(5)安全軟件
描述申報(bào)醫(yī)療器械兼容或所用的安全軟件(如殺毒軟件����、 防火墻等)的名稱(chēng)、型號(hào)規(guī)格�����、完整版本��、供應(yīng)商����、運(yùn)行環(huán)境、 防護(hù)規(guī)則配置要求�����。
示例
殺毒軟件:火絨安全軟件 型號(hào)規(guī)格:Windows-個(gè)人版5.0 完整版本:5.0.68.2 供應(yīng)商:北京火絨網(wǎng)絡(luò)科技有限公司 運(yùn)行環(huán)境:Windows 11�����、Windows 10、Windows 8����、Windows 7、Windows XP等操作系統(tǒng) 防護(hù)規(guī)則配置要求:默認(rèn)安裝����,不定期升級(jí)更新病毒庫(kù)�����。
2����、實(shí)現(xiàn)過(guò)程
(1)風(fēng)險(xiǎn)管理
提供申報(bào)醫(yī)療器械網(wǎng)絡(luò)安全的風(fēng)險(xiǎn)分析報(bào)告、風(fēng)險(xiǎn)管理報(bào)告��,另附網(wǎng)絡(luò)安全開(kāi)發(fā)所形成的原始文件����。亦可提供醫(yī)療器械軟件的風(fēng)險(xiǎn)管理文檔,但需注明網(wǎng)絡(luò)安全情況����。
(2)驗(yàn)證與確認(rèn)
提供申報(bào)醫(yī)療器械的網(wǎng)絡(luò)安全測(cè)試計(jì)劃和報(bào)告��,另附網(wǎng)絡(luò)安全開(kāi)發(fā)所形成的原始文件��。亦可提供醫(yī)療器械軟件的系統(tǒng)測(cè)試計(jì)劃和報(bào)告�����,但需注明網(wǎng)絡(luò)安全情況�����。
解讀:提交內(nèi)容包括在本文第二章驗(yàn)證與確認(rèn)進(jìn)行的驗(yàn)證和測(cè)試原始文件��。
(3)可追溯性分析
提供申報(bào)醫(yī)療器械的網(wǎng)絡(luò)安全可追溯性分析報(bào)告�����,匯總列 明網(wǎng)絡(luò)安全需求規(guī)范文檔����、網(wǎng)絡(luò)安全設(shè)計(jì)規(guī)范文檔��、源代碼(明確軟件單元名稱(chēng)即可)�����、網(wǎng)絡(luò)安全測(cè)試報(bào)告、網(wǎng)絡(luò)安全風(fēng)險(xiǎn)分析 報(bào)告之間的對(duì)應(yīng)關(guān)系�����。亦可提供醫(yī)療器械軟件的可追溯性報(bào)告��, 但需注明網(wǎng)絡(luò)安全情況����。
(4)維護(hù)計(jì)劃
根據(jù)醫(yī)療器械網(wǎng)絡(luò)安全更新的級(jí)別提供流程圖等文檔說(shuō)明。
3�����、漏洞評(píng)估
根據(jù)網(wǎng)絡(luò)安全測(cè)試的結(jié)果對(duì)發(fā)現(xiàn)的漏洞進(jìn)行評(píng)估����。采用通用漏洞評(píng)分系統(tǒng)(CVSS)所定義的漏洞等級(jí)����。輕微級(jí)別、中等級(jí)別�����、嚴(yán)重級(jí)別采用不同的要求,目標(biāo)為確保產(chǎn)品綜合剩余風(fēng)險(xiǎn)均可接受�����。具體見(jiàn)指導(dǎo)原則�����。
示例:在漏洞掃描過(guò)程發(fā)現(xiàn)下圖所示漏洞��。
圖中漏洞CVSS評(píng)分9.8分��,為超危漏洞����,可以通過(guò)升級(jí)的方式進(jìn)行修復(fù)。需要網(wǎng)絡(luò)安全評(píng)估機(jī)構(gòu)出具的網(wǎng)絡(luò)安全漏洞評(píng)估報(bào)告����,明確已知剩余漏洞的維護(hù)方案。
4����、結(jié)論
概述申報(bào)醫(yī)療器械的網(wǎng)絡(luò)安全實(shí)現(xiàn)過(guò)程的規(guī)范性和網(wǎng)絡(luò)安全漏洞評(píng)估結(jié)果�����,判定申報(bào)醫(yī)療器械的網(wǎng)絡(luò)安全是否滿(mǎn)足要求�����,受益是否大于風(fēng)險(xiǎn)��。
自研軟件網(wǎng)絡(luò)安全研究報(bào)告框架見(jiàn)指導(dǎo)文件
5��、補(bǔ)充說(shuō)明
(一)產(chǎn)品注冊(cè)
軟件研究資料:在軟件研究資料中單獨(dú)提交自研軟件網(wǎng)絡(luò)安全研究報(bào)告��。
說(shuō)明書(shū):說(shuō)明書(shū)提供網(wǎng)絡(luò)安全說(shuō)明和使用指導(dǎo)��,明確用戶(hù)訪問(wèn)控制
機(jī)制�����、電子接口(含網(wǎng)絡(luò)接口、電子數(shù)據(jù)交換接口)及其數(shù)據(jù)類(lèi)型和技術(shù)特征��、網(wǎng)絡(luò)安全特征配置��、數(shù)據(jù)備份與災(zāi)難恢復(fù)�����、運(yùn)行環(huán)境(含硬件配置、外部軟件環(huán)境�����、網(wǎng)絡(luò)環(huán)境��,若適用)����、安全軟件兼容性列表(若適用)、外部軟件環(huán)境與安全軟件更新 (若適用)��、現(xiàn)成軟件清單(SBOM��,若適用)等要求����。
(二)變更注冊(cè)
軟件研究資料:醫(yī)療器械變更注冊(cè)應(yīng)根據(jù)網(wǎng)絡(luò)安全更新情況,提交變化部分對(duì)產(chǎn)品安全性與有效性影響的研究資料�����,以及提交說(shuō)明書(shū)關(guān)于網(wǎng)絡(luò)安全內(nèi)容的變更對(duì)比表����。
(三)延續(xù)注冊(cè)
延續(xù)注冊(cè)通常無(wú)需提交網(wǎng)絡(luò)安全相關(guān)研究資料�����。具體要求見(jiàn)指導(dǎo)
四����、參考文獻(xiàn)
[1]醫(yī)療器械網(wǎng)絡(luò)安全注冊(cè)審查指導(dǎo)原則(2022年修訂版)(2022年第7號(hào))
[2] 醫(yī)療器械軟件注冊(cè)審查指導(dǎo)原則(2022年修訂版)
[3] FDA : Cybersecurity in Medical Devices: Quality System Considerations and Content of Premarket Submissions (Draft )
[4]MITRE : Playbook-for-Threat-Modeling-Medical-Devices
[5] YY/T 0316 醫(yī)療器械風(fēng)險(xiǎn)管理對(duì)醫(yī)療器械的應(yīng)用
[6] YY/T 0664 醫(yī)療器械軟件軟件驗(yàn)證與確認(rèn)過(guò)程
京公網(wǎng)安備11010802046783號(hào)