T-GDCKCJH 072-2023 人工智能医学信息系统软件网络安全要求

CCSL80团体标T/GDCKCJH准072—2023人工智能医学信息系统软件网络安全要求IT/GDCKCJH072—2023前言 Ⅱ Ⅲ 12规范性引用文件 13术语和定义 14人工智能信息系统软件网络安全功能要求 35人工智能信息系统软件网络安全非功能要求 56人工智能信息系统软件网络安全保证水平 6T/GDCKCJH072—2023本文件按照GB/T1.1—2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定起草。请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。本文件由广东省测量控制技术与装备应用促进会提出并归口。本文件起草单位：工业和信息化部电子第五研究所、华南理工大学、中国科学院上海技术物理研究所、互云(广州)医学影像诊断有限责任公司、广东省药品监督管理局审评认证中心。本文件主要起草人：李丹、刘杰、云雷、马燕娇、汤锦依、章婷华、吴凯、周静、王明庆、陈铭湘、赖锦坝。本文件为首次发布。T/GDCKCJH072—2023本文件遵循《人工智能医学软件产品网络安全技术审评指导原则》的要求，该指导原则是人工智能医学信息系统软件审评指导体系构建的组成部分，基于人工智能医疗器械审评指导原则和医疗器械网络安全注册审查指导原则的通用要求，细化了人工智能医学软件网络安全的一般要求。T/GDCKCJH072—20231人工智能医学信息系统软件网络安全要求本文件规定了人工智能医学信息系统软件网络安全的功能要求、非功能要求和安全保证水平。本文件适用于人工智能医学信息系统软件产品网络安全的设计与实现，也可用于产品测试、评估、注册审查和管理。2规范性引用文件下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本(包括所有的修改单)适用于本文件。GB/T25069—2022信息安全技术术语YY/T0664—2020医疗器械软件软件生存周期过程3术语和定义GB/T25069—2022、YY/T0664-2020界定的及下列术语和定义适用于本文件。3.1保密性confidentiality信息对未授权的个人、实体或过程不可用或不泄露的性质，即人工智能医学信息系统软件产品自身和相关数据、模型仅可由授权用户在授权时间以授权方式进行访问和使用。3.2抗抵赖性non-repudiation证明一个已经发生的操作行为无法否认的性质。3.3可得性availability可由经授权实体按需访问和使用的性质，即人工智能医学信息系统软件产品自身和相关数据、模型能以预期方式适时进行访问和使用。注：在GB/T25069—2022中availability译为可用性，而在医疗器械领域usabilit起歧义，本文件将availability译为可得性。3.4可核查性accountability2T/GDCKCJH072—2023确保从一个实体的行为能唯一地追溯到该实体的性质。3.5可靠性reliability实体的活动及结果与预期行为和结果一致的性质。3.6后门backdoor能够绕过系统认证等安全机制的管控而进入信息系统的通道。3.7鲁棒性/健壮性robustness对某一系统或组件在无效数据输入或者在高强度输入等环境下，描述其各项功能均能保持正确运行的性质。3.8信息的创建、传输、存储、显示未以非授权方式进行更改(含删除、添加)的性质，即人工智能医学信息系统软件相关数据、模型是准确和完整的，且未被篡改。3.9网络安全security对某一系统，据以获得保密性、完整性、可得性、可核查性、真实性以及可靠性的性质。人工智能医学信息系统软件网络安全是指保护软件产品自身和相关数据、模型不受未授权活动影响的状态，涉及信息安全、网络安全、数据安全、人工智能安全等，本文件对四者不做严格区分，统一采用网络安全进行表述，即从网络安全角度综合考虑其信息安全、数据安全和人工智能安全。3.10真实性authenticity实体符合其所声称的活动及结果与预期行为的性质。3.11拒绝服务denialofservice;DoS因阻止对系统资源的授权访问或延迟系统运行和功能实现而导致授权用户的可得性受损。3.12计算机程序中任何可识别部分，例如：源代码、目标代码、控制代码、控制数据或这些项的集合。3.13软件系统softwaresystem有组织的、经集成的软件项组合、以完成某个特定功能或一组功能。T/GDCKCJH072—202333.14软件单元softwareunit不可再分的软件项。4人工智能医学信息系统软件网络安全功能要求4.1总则人工智能医学信息系统软件产品(以下简称产品)应根据人工智能医学信息系统软件特性分析下列网络安全功能的适用性，这些网络安全功能既可通过软件自身功能实现，亦可通过必备软件、外部软件环境等外部措施实现。同时，根据软件风险水平明确网络安全能力的强弱程度。通常情况下，软件的风险水平越高则其用户访问控制要求越严格。产品必须具有但不仅限于4.2～4.23功能。4.2自动注销(ALOF)产品在无人值守期间应具有阻止非授权用户访问和使用的能力。4.3审核(AUDT)产品应具有提供用户活动可被审核的能力。4.4授权(AUTH)产品应具有确定用户已获授权的能力。4.5节点鉴别(NAUT)产品应具有鉴别网络节点的能力。4.6人员鉴别(PAUT)产品应具有鉴别授权用户的能力。4.7连通性(CONN)产品应具有保证连通网络安全可控的能力。4.8物理防护(PLOK)产品应提供防止非授权用户访问和使用的物理防护措施的能力。4.9系统加固(SAHD)产品应具有通过固化措施对网络攻击和恶意软件的抵御能力。T/GDCKCJH072—202344.10数据去标识化与匿名化(DIDT)产品应具有直接去除、匿名化数据所含个人信息的能力。4.11数据完整性与真实性(IGAU)产品应具有确保数据未以非授权方式更改且来自创建者或提供者的能力。4.12数据备份与灾难恢复(DTBK)数据、硬件或软件受到损坏或破坏后应具有恢复能力。4.13数据存储保密性与完整性(STCF)产品应有能力确保未授权访问不会损坏存储媒介所存数据保密性和完整性。4.14数据传输保密性(TXCF)产品应有能力确保数据传输的保密性。4.15数据传输完整性(TXIG)产品应有能力确保数据传输完整性。4.16网络安全补丁升级(CSUP)产品应有能力确保授权用户安装/升级产品网络安全补丁。4.17现成软件清单(SBOM)产品应有能力为用户提供全部现成软件清单。4.18现成软件维护(RDMP)产品应有能力在全生命周期中对现成软件提供网络安全维护。4.19网络安全使用指导(SGUD)产品应为用户提供网络安全使用指导。4.20网络安全特征配置(CNFS)产品应提供能力使用户能根据需求配置网络安全特征。4.21紧急访问(EMRG)产品应提供在预期紧急情况下允许用户访问和使用的能力。4.22远程访问与控制(RMOT)T/GDCKCJH072—20235产品应有能力确保用户远程访问与控制(含远程维护与升级)的网络安全。4.23恶意软件探测与防护(MLDP)产品应能有效探测、阻止恶意软件。5人工智能医学信息系统软件网络安全非功能要求5.1训练数据保护验证产品应确保在数据构建阶段有效保护训练数据的安全，如提供安全的存储环境、完备的安全配置、确保数据不被恶意修改等，并确保训练数据得到用户授权。5.2模型训练生成阶段依赖的环境和库的安全产品应确保模型训练环境、开发框架、组件、依赖库的安全性能，人工智能医学信息系统软件不存在权威漏洞平台6个月前公布且未经处置的高危及以上的安全漏洞。5.3不留后门软件不应留有后门，模型不应有后门。5.4不包含恶意软件软件自身、开发环境不应包含恶意软件。5.5防拒绝服务攻击产品应支持防DoS/DDoS攻击。5.6支持商用密码产品在需要使用密码的位置，应提供对商用密码的支持。5.7抵御特定攻击产品应具有抵御针对数据、模型、资源攻击的机制。包括：a)可抵御数字对抗样本的攻击；b)可抵御数据污染攻击c)可抵御物理对抗攻击；d)可抵御算法模型窃取攻击；e)可抵御算法模型逆向攻击；f)可抵御成员推理攻击；T/GDCKCJH072—20236g)可抵御输入预处理攻击；h)可抵御反馈更新投毒攻击；i)可抵御模型部署文件篡改攻击。5.8防止系统软件被滥用产品应能防止人工智能医学信息系统软件服务被攻击者利用作恶意用途。6人工智能医学信息系统软件网络安全保证水平产品应根据在预期使用环境下遭受网络安全威胁的可能性和一旦威胁成功带来的风险综合评定软件网络安全保证水平。软件风险除了可能引发的对患者、操作者或其他人员伤害，还可能包括患者、操作者或其他人员的隐私泄露。在通常情形下，软件安全风险