此前 , 我們已經分享了 10 項網絡安全能力的詳細解釋。具體內容可參看 醫療器械網絡安全能力詳解及自評 (一)和 醫療器械網絡安全能力詳解及自評 (二)。本期,將繼續分享 節點鑒別(NAUT) 、 人員鑒別(PAUT) 、 物理防護(PLOK) 、 現成軟件維護(RDMP) 、 系統加固(SAHD) 5 項醫療器械網絡安全能力。
11 .節點鑒別( NAUT ):產品鑒別網絡節點的能力。
Ø 提供或支持某種節點身份驗證措施,以確保數據的發送方和接受方互相識別并被授權進行數據傳輸
在 MDS 2 (HN 1-2003) 中的評估要素:
11 |
節點認證(NAUT) |
器械 認證通信伙伴/節點的能力。 |
|
11-1 |
器械 是否提供/支持保證數據發送方和接收方都相互了解并授權接收傳輸的信息的任何節點認證方法? |
12 .人員鑒別( PAUT ):產品鑒別授權用戶的能力。
Ø 為用戶創建獨有的賬戶,并未連接網絡的設備創建基于角色的訪問控制機制來對訪問進行認證
Ø 對設備、網絡資源和健康數據的訪問權限進行控制,并生成不可否認的審核蹤跡
注:在緊急訪問時,該項能力可不做要求
在 MDS 2 (HN 1-2003) 中的評估要素:
12 |
人員鑒別 (PAUT) |
|
器械 驗證 用戶身份 的能力 |
||
12-1 |
器械 是否支持至少一位 用戶 的 用戶/操作員 特有用戶名和密碼? |
|
12-1.1 |
器械 是否支持多位用戶的 用戶/操作員 特有的唯一ID和密碼? |
|
12-2 |
是否可以將 器械 配置為通過外部驗證服務(例如:微軟活動目錄、網威目錄服務、輕型目錄訪問協議等)對 用戶 進行身份驗證? |
|
12-3 |
是否可以將 器械 配置為在一定次數的登錄嘗試失敗后鎖定 用戶 ? |
|
12-4 |
是否可以在安裝之時/安裝之前更改默認密碼? |
|
12-5 |
此系統中是否使用了任何共享的 用戶 ID? |
|
12-6 |
是否可以將 器械 配置為強制創建符合既定復雜性規則的 用戶 帳戶密碼? |
|
12-7 |
是否可將 器械 配置為帳戶密碼定期過期? |
13. 物理防護(PLOK):產品提供防止非授權用戶訪問和使用的物理防護措施的能力。
Ø 用物理的方式確保未經授權的訪問不會損害系統或者數據的保密性 、 完整性和可得性 。
Ø 合理保證存儲在產品或媒體上的健康數據的安全,并以與設備上數據記錄的敏感性和容量相適應的方式保持安全。
Ø 系統不受可能損害完整性、機密性或可用性的篡改或組件刪除的影響。
Ø 篡改 ( 包括設備移除 ) 是可以檢測到的。
在 MDS 2 (HN 1-2003) 中的評估要素:
13 |
物理 防護 (PLOK) |
物理 防護 可以防止對 器械 進行物理訪問的未授權用戶損害存儲在 器械 或可移動介質上的 私人數據 的完整性和機密性。 |
|
13-1 |
所有保存有 私人數據 的 器械 組件( 可移動介質 除外)在物理上是否安全(即:沒有工具就無法拆除)? |
14. 現成軟件維護(RDMP):產品在全生命周期中對現成軟件提供網絡安全維護的能力。
Ø 為使產品在其完整的生命周期中能滿足相關內部質量體系和外部法規的要求,在產品完整生命周期中,制造商對各個組件生命周期的影響進行前瞻性的管理。產品所涉及的第三方軟件包括系統軟件、數據庫軟件、報告生成器等。
在 MDS 2 (HN 1-2003) 中的評估要素:
14 |
現成軟件維護 (RDMP) |
制造商在 器械 使用期限內對第三方組件的安全支持計劃。 |
|
14-1 |
在“注釋”部分,列出提供的或要求的(單獨購買和/或交付的)操作系統,包括版本號。 |
14-2 |
是否有制造商提供的其他第三方應用程序列表? |
15. 系統加固(SAHD):產品通過固化措施對網絡攻擊和惡意軟件的抵御能力。
Ø 調整醫療設備和軟件應用程序的安全控制措施,使安全性最大化 ( “加固” ) ,同時保持預期使用不變。如端口關閉、最小化攻擊矢量和總體攻擊面積、移除服務等。
在 MDS 2 (HN 1-2003) 中的評估要素:
15 |
系統加固(SAHD) |
器械 對網絡攻擊和 惡意軟件 的抵抗力 |
|
15-1 |
器械 是否采取任何加固措施?請在注釋中說明行業認可的任何加固標準的符合性級別。 |
15-2 |
器械 是否采用任何機制(例如:發行版特定哈希密鑰、校驗和等)來保證已安裝的程序/更新是制造商授權的程序或軟件更新? |
15-3 |
器械 是否具有外部通訊功能(例如:網絡、調制解調器等)? |
15-4 |
文件系統是否允許實現文件級訪問控制(例如:用于MS Windows平臺的新技術文件系統(NTFS))? |
15-5 |
是否針對 用戶 和應用程序禁用或刪除了 器械預期用途 不需要的所有帳戶? |
15-6 |
是否禁用了 器械預期用途 不需要的所有共享資源(例如:文件共享)? |
15-7 |
是否關閉/禁用了 器械預期用途 不需要的所有通訊端口? |
15-8 |
是否刪除/禁用了 器械預期用途 不需要的所有服務(例如:遠程登錄、文件傳輸協議[FTP]、互聯網信息服務器 [IIS] 等)? |
15-9 |
是否刪除/禁用了 器械預期用途 不需要的所有應用程序(商用現貨應用程序以及包括操作系統的應用程序,例如:MS Internet Explorer等)? |
15-10 |
器械 是否可以從不受控制的或 可移動的介質 (即:內部驅動器或存儲器元件以外的源)啟動? |
15-11 |
是否可以在不使用工具的情況下將未經 器械 制造商授權的軟件或硬件安裝到器械上? |
對于醫療器械網絡安全的風險控制措施,原則上是通過降低頻率和嚴重度來達到降低風險的目的。主要風險控制措施有固有安全措施、保護性安全措施和信息性安全措施。其中固有安全措施是首選的,企業在產品設計時要多方面考慮系統加固來加強對網絡攻擊和惡意軟件的抵御能力,如端口關閉,移除一些不必要的服務等。
參考資料:
( 1 ) IECTR 80001-2-2:2012, Application of risk management for IT-networks incorporating medical devices - Part 2-2: Guidance for the disclosure and communication of medical device security needs, risks and controls
( 2 ) Manufacturer Disclosure Statement for Medical Deceive Security-MDS 2
( 3 ) T/ZMDS 20003-2019 醫療器械網絡安全風險控制 醫療器械網絡安全能力信息