网络安全研究报告（产品首次注册、重大网络安全更新）模板

1、 型号-DHF-015 A1 版本号：V2.0 网络安全研究报告（ 型号-DHF-015）编制： 日期：审核： 日期：批准： 日期： 有限公司修订记录版本修改内容编制审核批准实施日期V1.0新版发布1.基本信息（1）软件信息医疗器械软件的名称：型号规格： 发布版本：V1.0软件安全性级别：B级注意：若网络安全的安全性级别低于软件的安全性级别，详述理由并按网络安全的安全性级别提交相应注册申报资料。（2）数据架构（2）-1医疗器械在每个使用场景（含远程维护与升级，下同）下的网络环境和数据流图，并依据图示描述医疗器械相关数据和电子接口的基本情况。（2）-2数据情况 序号医疗器械相关数据的类型内容1敏

2、感医疗数据1）具体内容（ 个人信息、医疗活动信息、设备运行信息）2）功能（ 单向、双向电子数据交换，实时、非实时远程访问与控制）3）用途（医疗活动、设备维护）2非敏感医疗数据1）具体内容（ 个人信息、医疗活动信息、设备运行信息）2）功能（ 单向、双向电子数据交换，实时、非实时远程访问与控制）3）用途（医疗活动、设备维护）3设备数据1）具体内容（ 个人信息、医疗活动信息、设备运行信息）2）功能（ 单向、双向电子数据交换，实时、非实时远程访问与控制）3）用途（医疗活动、设备维护）（2）-3电子接口情况逐项说明每个网络接口、电子数据交换接口的预期用户、使用场景、预期用途、数据类型、技术特征、使用限制

3、， 具体如下：网络接口接口名称接口类型网络接口网络接口预期用户使用场景预期用途技术特征使用限制故障应对措施电子数据接口接口名称影像调阅接口his系统接口接口类型数据接口数据接口预期用户医疗机构医疗机构使用场景通过检查号通知影像处理工作站调阅相关影像信息医技科室各个系统与his系统交互使用预期用途调图dicom影像，完成影像浏览医技科室获取HIS信息申请单信息，完成患者检查登记并给his回填登记状态和报告文字信息技术特征遵从DICOM协议，即医学数字成像和通信，是医学图像和相关信息的国际标准（ISO 12052）采用webservice接口使用限制遵从DICOM协议使用限制遵从webservic

4、e接口限制故障应对措施查询日志 确定故障原因查询日志 确定故障原因（3）产品安全相关事件的说明产品安全相关事件与产品日志相关，日志应记录安全相关事件来保证产品的可核查性。例如：成功的登录或尝试失败、用户身份验证凭证的变更、有效用户帐户列表的更改、配置的修改保存、核心业务事件的触发、成功的和不成功的软件更新等等。序号日志记录的安全相关事件特殊说明12345678910（4）网络安全补丁提供医疗器械（含必备软件、外部软件环境）的网络安全补丁列表，明确网络安全补丁的名称、完整版本、发布日期。 （5）安全软件描述 医疗器械兼容或所用的安全软件（如杀毒软件、防火墙等）的名称、型号规格、完整版本、供应商、

5、运行环境、防护规则配置要求。（6）网络安全能力具体见附件。2.实现过程（1）风险管理见风险管理报告和网络安全风险管理报告。（2）需求规范见 软件需求说明书。（3）验证与确认提供 医疗器械的网络安全测试计划和报告，另附网络安全开发所形成的原始文件。亦可提供医疗器械软件的系统测试计划和报告，但需注明网络安全情况。对于安全软件，提供兼容性测试报告。对于标准传输协议或存储格式，若其满足医疗器械网络安全需求出具真实性声明即可，反之提供相应证明材料；对于私有传输协议或存储格式，提供完整性测试总结报告。对于实时远程访问与控制功能，提供完整性和可得性等网络安全特性的测试报告。对于医用无线专用设备，提供符合无线

6、电管理相关规定的证明材料。（4）可追溯性分析提供医疗器械的网络安全可追溯性分析报告，汇总列明网络安全需求规范文档、网络安全设计规范文档、源代码（明确软件单元名称即可）、网络安全测试报告、网络安全风险分析报告之间的对应关系。亦可提供医疗器械软件的可追溯性报告，但需注明网络安全情况。（5）维护计划轻微级别：提供申报医疗器械网络安全更新的流程图，并依据图示描述相关活动。中等、严重级别：在轻微级别的基础上，提供网络安全事件应急响应的流程图，并依据图示描述相关活动；或者提供网络安全事件应急响应预案文档。注意：若适用，全部级别均需提供远程维护与升级的流程图，并依据图示描述相关活动。3.漏洞评估轻微级别：按

7、照现行有效的通用漏洞评分系统（CVSS）所定义的漏洞等级，明确申报医疗器械（含必备软件、外部软件环境，下同）已知漏洞总数和已知剩余漏洞数。中等级别：提供网络安全漏洞自评报告，明确漏洞扫描所用软件工具、漏洞库（基于国家信息安全漏洞库或互认的国际信息安全漏洞库）的基本信息（如名称、完整版本、发布日期、供应商等），按照CVSS漏洞等级明确申报医疗器械已知漏洞总数和已知剩余漏洞数，列明已知剩余漏洞的内容、对产品的影响及综合剩余风险，确保产品综合剩余风险均可接受。亦可补充网络安全评估机构出具的网络安全漏洞评估报告。严重级别：提供网络安全漏洞自评报告、网络安全评估机构出具的网络安全漏洞评估报告，明确已知剩

8、余漏洞的维护方案，确保产品综合剩余风险均可接受。4.结论医疗器械的网络安全实现过程符合医疗器械网络安全注册指导原则、软件注册审查指导原则、医疗器械生产质量管理规范独立软件附录的要求、网络安全漏洞评估结果可以报证软件不受网络攻击、保证数据网络安全，最终判定医疗器械的网络安全满足要求，受益是否大于风险。附件：对产品进行22项网络安全能力分析： 网络安全能力评价准则是否适用具体措施1.自动注销（ALOF）：产品在无人值守期间阻止非授权用户访问和使用的能力。注册申请人应考虑，未授权的用户不能在无人值守的工作区访问健康数据，授权用户会话需要在预先设置的一段时间后自动终止或锁定；自动注销需要包括清除所有显

9、示器上的健康数据；本地授权的IT管理员需要能够禁用该功能并设置过期时间(包括屏幕保护程序)；当短时间内(例如15秒到几分钟)没有按下键时，可以调用此对健康数据显示清除；临床用户不应因自动下线而丢失未提交的工作，这是可取的。应根据器械的预期用途、使用方式和风险评估综合考虑此项能力的验证。2.审核（AUDT）：产品提供用户活动可被审核的能力。注册申请人应考虑，通过在设备上创建审计跟踪来跟踪系统和健康数据访问、修改或删除，从而记录和检查系统活动的能力。支持将日志记录信息作为独立存储库(在其自己的文件系统中记录审计文件)使用。使用适当的审计审查工具支持审计创建和维护，确保审核资料的安全(特别是在这些资

10、料本身含有个人资料的情况下)，并确保无法编辑或删除审计数据。审计数据可能包含个人数据和/或健康数据，所有处理(例如存取、储存和转移)都应该有适当的控制。应根据器械的预期用途、使用方式和风险评估综合考虑此项能力的验证。3.授权（AUTH）：产品确定用户已获授权的能力。注册申请人应基于经过身份验证的单个用户进行标识，授权功能允许每个用户仅有访问已批准的数据权利，并仅在设备上执行已批准的功能。授权用户包括注册申请人安全控制人员和该策略定义的服务人员。医疗器械通常支持基于许可的系统，提供对注册申请人安全控制人员中个人角色(基于角色的访问控制)适当的系统功能和数据的访问。例如：1）操作者可使用所有适当的

11、设备功能(例如监察或扫描病人)执行指定的工作。2）质量人员(如医学物理学家)可以从事所有适当的质量和保证测试活动。3）服务人员可以以支持预防性维护、问题调查和问题消除活动的方式访问系统。4）授权允许注册申请人在有效交付医疗保健机构的同时：维护系统和数据安全；遵循适当的数据访问最小化原则。授权可以在本地或注册申请人范围内管理(例如通过集中目录)。注:如果预期使用不允许登录和注销设备所需的时间(例如高吞吐量使用)，则本地IT策略可以允许减少授权控制，假定受控制和受限制的物理访问是否足够。应根据器械预期用途、使用方式和风险评估综合考虑此项能力的验证。4.节点鉴别（NAUT）：产品鉴别网络节点的能力。

12、注册申请人应能够以一种方式管理跨机器的账户，以保护健康数据访问。支持独立管理和集中管理。支持根据行业标准进行节点认证。检测和防止实体伪造(提供不可抵赖性)。应根据器械的预期用途、使用方式和风险评估综合考虑此项能力的验证与确认。5.人员鉴别（PAUT）：产品鉴别授权用户的能力。注册申请人在为控制和监视网络访问和活动的网络连接设备创建和使用用户的唯一账户和基于角色的访问控制(RBAC、本地和远程)。以一种方式管理账户以保护健康数据访问的能力。用户可能需要将个人首选项与用户账户关联。这可能有助于多个运营商、部门甚至多个使用的设备和系统。支持独立和中央管理。单点登录和所有工作地点的密码相同。控制对设备

13、、网络资源和健康数据的访问，并生成不可否认的审计跟踪，发现和防止人员造假(提供不可抵赖性)。注意，这个要求在临床中紧急访问操作期间是放松的。应根据器械的预期用途、使用方式和风险评估综合考虑此项能力的验证与确认。6.连通性（CONN）：产品保证连通网络安全可控的能力。7.物理防护（PLOK）：产品提供防止非授权用户访问和使用的物理防护措施的能力。注册申请人应合理保证储存在产品或媒体上的健康数据是和保持安全的方式与设备上数据记录的灵敏度和容量成比例。系统合理地避免了可能危及完整性、保密性或可用性的篡改或组件删除。篡改(包括设备移除)是可以检测到的。应根据器械的预期用途、使用方式和风险评估综合考虑此

14、项能力的验证与确认。8.系统加固（SAHD）：产品通过固化措施对网络攻击和恶意软件的抵御能力。注册申请人应给用户提供一个稳定的系统，并且只提供那些根据其预期用途而指定和需要的服务，同时进行最少的维护活动。并且要求连接到它们的网络的系统在交付时是安全的，加强了对误用和攻击的抵御能力。注册申请人应将用户反馈的用户设备中可疑的安全漏洞和察觉到的弱点以报告的形式记录。并通过风险分析和管理进行漏洞的修复，并及时更新提交。应根据器械的预期用途、使用方式和风险评估综合考虑此项能力的验证与确认。9.数据去标识化与匿名化（DIDT）：产品直接去除、匿名化数据所含个人信息的能力。注册申请人应考虑，临床用户、服务工

15、程师和营销人员能够在不需要患者身份的信息的情况下去识别敏感数据。应根据器械的预期用途、使用方式和风险评估综合考虑此项能力的验证。10.数据完整性与真实性（IGAU）：产品确保数据未以非授权方式更改且来自创建者或提供者的能力。注册申请人可以通过使用包括固定介质和可移动介质，来确保健康数据是可靠的，不会被篡改。应根据器械的预期用途、使用方式和风险评估综合考虑此项能力的验证。11.数据备份与灾难恢复（DTBK）：产品的数据、硬件或软件受到损坏或破坏后恢复的能力。注册申请人应合理保证在系统故障或损坏后，可以恢复存储在产品上的持久保存的系统设置和敏感数据，以便业务能够继续进行。特别需要注意的是，这一要求

16、可能不适用于较小的低成本设备。这实际上可能依赖于在下一个采集周期中收集新的相关数据的能力(例如由于偶尔的无线信号丢失而丢失的短时心率数据)。应根据器械的预期用途、使用方式和风险评估综合考虑此项能力的验证。12.数据存储保密性与完整性（STCF）：产品确保未授权访问不会损坏存储媒介所存数据保密性和完整性的能力。注册申请人应合理保证储存在产品或媒体上的健康数据是保持安全的。基于风险分析，必须考虑对存储在医疗器械上的健康数据进行加密。对于存储在可移动介质上的健康数据，加密可以保护临床用户、提供服务和收集临床数据的应用程序工程师的机密性/完整性。应使用一种与传统使用、服务访问、紧急访问一致的加密密钥管

17、理机制。加密方法和强度考虑了数据的容量(记录收集/聚合的程度)和灵敏度。应根据器械的预期用途、使用方式和风险评估综合考虑此项能力的验证与确认。13.数据传输保密性（TXCF）：产品确保数据传输保密性的能力。注册申请人应确保在经过身份验证的节点之间传输期间保持健康数据机密性。这允许在相对开放的网络和/或环境中传输健康数据，在这些环境中使用用于健康数据完整性和保密性的强大保密策略（详见：IEC/TR 80001-2-3:2012 Application of risk management for IT-networks incorporating medical devices Part 2-3

18、: Guidance for wireless networks）。应根据器械的预期用途、使用方式和风险评估综合考虑此项能力的验证与确认。14.数据传输完整性（TXIG）：产品确保数据传输完整性的能力。注册申请人应提供确保传输过程中考虑风险分析后健康数据的完整性测试的结果，这允许注册申请人在相对开放的网络或环境中传输健康数据，需使用健康数据完整性强策略。应根据器械的预期用途、使用方式和风险评估综合考虑此项能力的验证与确认。15.网络安全补丁升级（CSUP）：授权用户安装/升级产品网络安全补丁的能力。注册申请人应按照规定，尽快在医疗产品上安装第三方安全补丁: 根据客观的、权威的、文档化的漏洞风险

19、评估，优先考虑解决高风险漏洞的补丁。要求医疗产品供应商和医疗服务提供商确保其产品持续安全和有效的临床功能。了解本地医疗器械法规。进行充分的测试，以发现对医疗产品(性能或功能)可能危及患者的任何意外副作用。注册申请人需要提供关于评估/验证补丁的主动信息。应根据器械的预期用途、使用方式和风险评估综合考虑此项能力的验证。16.现成软件清单（SBOM）：产品为用户提供全部现成软件清单的能力。17.现成软件维护（RDMP）：产品在全生命周期中对现成软件提供网络安全维护的能力。注册申请人应对医疗器械提供明确的预期寿命说明，并对提供第三方组件的服务商对其产品生命周期内维护或支持相应的系统进行要求。当平台组件

20、过时的情况下，需要及时进行更新和升级。在存储设备退役(丢弃、重用、转售或回收)之前，服务提供商需不可逆地擦除健康数据。这些活动应该被记录和审计。销售和服务人员应了解对每个产品在其生命周期中提供的安全支持。应根据器械的预期用途、使用方式和风险评估综合考虑此项能力的验证与确认。18.网络安全使用指导（SGUD）：产品为用户提供网络安全使用指导的能力。注册申请人应让操作人员清楚地了解自己的职责和安全的系统工作方式。管理员需要关于管理、定制和监视系统的信息(即访问控制列表、审计日志等)。管理员需要清楚地了解安全功能，以便根据适当的法规要求进行健康数据风险评估。销售和服务应包括系统的安全能力和安全工作方

21、式的信息。用户应知道如何以及何时将用户设备中可能存在的安全漏洞和察觉到的弱点通知注册人。应根据器械的预期用途、使用方式和风险评估综合考虑此项能力的验证与确认。19.网络安全特征配置（CNFS）：产品根据用户需求配置网络安全特征的能力。注册申请人应考虑，本地授权的IT管理员能够选择使用产品安全功能还是不使用产品安全功能。这需要考虑网络安全风险评估内容，可以包括与安全能力控制交互的特权管理方面。应根据器械的预期用途、使用方式和风险评估综合考虑此项能力的验证。20.紧急访问（EMRG）：产品在预期紧急情况下允许用户访问和使用的能力。注册申请人应考虑，在紧急情况下，临床用户需要能够在没有个人用户ID和身份验证的情况下访问敏感数据(break-glass功能)。应检测、记录和