医疗器械网络安全能力详解及自评（三）

此前，我们已经分享了10项网络安全能力的详细解释。具体内容可参看医疗器械网络安全能力详解及自评（一）和医疗器械网络安全能力详解及自评（二）。本期，将继续分享节点鉴别（NAUT）、人员鉴别（PAUT）、物理防护（PLOK）、现成软件维护（RDMP）、系统加固（SAHD）5项医疗器械网络安全能力。

11.节点鉴别（NAUT）：产品鉴别网络节点的能力。

Ø 提供或支持某种节点身份验证措施，以确保数据的发送方和接受方互相识别并被授权进行数据传输

在MDS²(HN 1-2003)中的评估要素：

11	节点认证（NAUT）
	器械认证通信伙伴/节点的能力。
11-1	器械是否提供/支持保证数据发送方和接收方都相互了解并授权接收传输的信息的任何节点认证方法？

12.人员鉴别（PAUT）：产品鉴别授权用户的能力。

Ø 为用户创建独有的账户，并未连接网络的设备创建基于角色的访问控制机制来对访问进行认证

Ø 对设备、网络资源和健康数据的访问权限进行控制，并生成不可否认的审核踪迹

注：在紧急访问时，该项能力可不做要求

在MDS²(HN 1-2003)中的评估要素：

12	人员鉴别（PAUT）
	器械验证用户身份的能力
12-1	器械是否支持至少一位用户的用户/操作员特有用户名和密码？
	12-1.1	器械是否支持多位用户的用户/操作员特有的唯一ID和密码？
12-2	是否可以将器械配置为通过外部验证服务（例如：微软活动目录、网威目录服务、轻型目录访问协议等）对用户进行身份验证？
12-3	是否可以将器械配置为在一定次数的登录尝试失败后锁定用户？
12-4	是否可以在安装之时/安装之前更改默认密码？
12-5	此系统中是否使用了任何共享的用户ID？
12-6	是否可以将器械配置为强制创建符合既定复杂性规则的用户帐户密码？
12-7	是否可将器械配置为帐户密码定期过期？

13.物理防护（PLOK）：产品提供防止非授权用户访问和使用的物理防护措施的能力。

Ø 用物理的方式确保未经授权的访问不会损害系统或者数据的保密性、完整性和可得性。

Ø 合理保证存储在产品或媒体上的健康数据的安全，并以与设备上数据记录的敏感性和容量相适应的方式保持安全。

Ø 系统不受可能损害完整性、机密性或可用性的篡改或组件删除的影响。

Ø 篡改(包括设备移除)是可以检测到的。

在MDS²(HN 1-2003)中的评估要素：

13	物理防护（PLOK）
	物理防护可以防止对器械进行物理访问的未授权用户损害存储在器械或可移动介质上的私人数据的完整性和机密性。
13-1	所有保存有私人数据的器械组件（可移动介质除外）在物理上是否安全（即：没有工具就无法拆除）？

14.现成软件维护（RDMP）：产品在全生命周期中对现成软件提供网络安全维护的能力。

Ø 为使产品在其完整的生命周期中能满足相关内部质量体系和外部法规的要求，在产品完整生命周期中，制造商对各个组件生命周期的影响进行前瞻性的管理。产品所涉及的第三方软件包括系统软件、数据库软件、报告生成器等。

在MDS²(HN 1-2003)中的评估要素：

14	现成软件维护（RDMP）
	制造商在器械使用期限内对第三方组件的安全支持计划。
14-1	在“注释”部分，列出提供的或要求的（单独购买和/或交付的）操作系统，包括版本号。
14-2	是否有制造商提供的其他第三方应用程序列表？

15.系统加固（SAHD）：产品通过固化措施对网络攻击和恶意软件的抵御能力。

Ø 调整医疗设备和软件应用程序的安全控制措施，使安全性最大化(“加固”)，同时保持预期使用不变。如端口关闭、最小化攻击矢量和总体攻击面积、移除服务等。

在MDS²(HN 1-2003)中的评估要素：

15	系统加固（SAHD）
	器械对网络攻击和恶意软件的抵抗力
15-1	器械是否采取任何加固措施？请在注释中说明行业认可的任何加固标准的符合性级别。
15-2	器械是否采用任何机制（例如：发行版特定哈希密钥、校验和等）来保证已安装的程序/更新是制造商授权的程序或软件更新？
15-3	器械是否具有外部通讯功能（例如：网络、调制解调器等）？
15-4	文件系统是否允许实现文件级访问控制（例如：用于MS Windows平台的新技术文件系统（NTFS））？
15-5	是否针对用户和应用程序禁用或删除了器械预期用途不需要的所有帐户？
15-6	是否禁用了器械预期用途不需要的所有共享资源（例如：文件共享）？
15-7	是否关闭/禁用了器械预期用途不需要的所有通讯端口？
15-8	是否删除/禁用了器械预期用途不需要的所有服务（例如：远程登录、文件传输协议[FTP]、互联网信息服务器[IIS]等）？
15-9	是否删除/禁用了器械预期用途不需要的所有应用程序（商用现货应用程序以及包括操作系统的应用程序，例如：MS Internet Explorer等）？
15-10	器械是否可以从不受控制的或可移动的介质（即：内部驱动器或存储器元件以外的源）启动？
15-11	是否可以在不使用工具的情况下将未经器械制造商授权的软件或硬件安装到器械上？

对于医疗器械网络安全的风险控制措施，原则上是通过降低频率和严重度来达到降低风险的目的。主要风险控制措施有固有安全措施、保护性安全措施和信息性安全措施。其中固有安全措施是首选的，企业在产品设计时要多方面考虑系统加固来加强对网络攻击和恶意软件的抵御能力，如端口关闭，移除一些不必要的服务等。

参考资料：

（1）IECTR 80001-2-2:2012, Application of risk management for IT-networks incorporating medical devices - Part 2-2: Guidance for the disclosure and communication of medical device security needs, risks and controls

（2）Manufacturer Disclosure Statement for Medical Deceive Security-MDS²

（3）T/ZMDS 20003-2019 医疗器械网络安全风险控制医疗器械网络安全能力信息

扫描下方的二维码订阅“CIRS医械合规动态”！实时传递最新医疗器械监管法规动态，分享医疗器械注册成功经验及经典案例跟踪医疗器械最新产品安全与法规监管动态，获得最新一手资讯。

医疗器械

① 凡本网注明"稿件来源：“杭州瑞旭科技集团有限公司"的所有文字、图片和音视频稿件，版权均属杭州瑞旭科技集团有限公司所有，任何媒体、网站或个人未经本网协议授权不得转载、链接、转贴或以其他方式复制发表。已经本网协议授权的媒体、网站，在下载使用时必须注明"稿件来源：杭州瑞旭科技集团有限公司"，违者本网将依法追究责任。

② 本网未注明"稿件来源：杭州瑞旭科技集团有限公司 "的文/图等稿件均为转载稿，本网转载出于传递更多信息之目的，并不意味着赞同其观点或证实其内容的真实性。如其他媒体、网站或个人从本网下载使用，必须保留本网注明的"稿件来源"，并自负版权等法律责任。如擅自篡改为"稿件来源：杭州瑞旭科技集团有限公司"，本网将依法追究责任。如对稿件内容有疑议，请及时与我们联系。

③ 如本网转载稿涉及版权等问题，请作者在两周内速来电或来函与杭州瑞旭科技集团有限公司联系。