夜雨聆风
医疗独立软件连接诊疗、数据与系统,网络安全不是加分项,而是生命线。一旦失守,直接影响诊疗安全、患者隐私与机构合规。
为什么医用独立软件必须严抓网安?
· 承载病历、影像、检验、诊断等敏感健康数据,泄露风险极高
· 联网、远程、云端部署常态化,漏洞易被利用
· 监管明确要求:二三类独立软件需按指导原则完成网络安全研究、风险评估、漏洞管理与应急响应
· 合规直接关系注册申报、上市准入与质量体系运行
一、身份与访问控制类(5 项):筑牢软件使用第一道防线
01
自动注销(ALOF)
产品闲置无人操作时,自动退出登录、锁定界面,防止非授权人员越权访问。适用于诊室、护士站等公共场景,避免医护人员临时离开导致软件被滥用。
描述:产品在无人值守期间阻止非授权用户访问和使用的能力。
软件能保证未授权用户不能在无人值守的工作节点上访问患者数据的能力。
1)软件能否配置成对登录的用户设置超时时间(比如超时自动登录、屏幕密码保护、会话锁定等)。
2)对普通用户和管理员来讲,自动登出、屏幕锁定之前无人值守的时间是可以配置的。
3)自动登出、屏幕锁定是否能被用户手工操作(比如手动退出系统、快捷键锁屏)。
好的状态。健康包括两个方面的内容:一是主要脏器无疾病,身体形态发育良好,体形均匀,人体各系统具有良好的生理功能,有较强的身体活动能力和劳动能力。
02
审核(AUDT)
完整记录用户所有操作行为,包括登录时间、操作内容、数据修改记录、权限变更等,形成可追溯审计日志,为安全事件排查、责任认定提供依据。
描述:产品提供用户活动可被审核的能力。
软件可以记录追踪患者数据的访问、修改、删除的情况。
1)医疗器械软件本身能够产生审核记录。
2)明确哪些事件会被记录在审核日志中:登录/登出、展示/显示数据、创建、修改和删除数据、导入或导出数据、接受/传输数据、其他事件等。
3)明确审核日志中的哪些信息用于证明个人事件:用户ID、账号名、日期/事件等。
03
授权(AUTH)
基于用户角色(管理员、医生、护士、维护人员)分配最小权限,明确不同用户可访问的功能模块、数据范围,杜绝越权操作、越级访问。
描述:产品确定用户已获授权的能力。
避免未授权访问数据和功能,保证网络安全和预期用途。
1)软件能阻止未授权用户通过登录或其他方式的访问。
2)用户能否根据角色(访客、常规用户、超级用户、管理员)的不同赋予不同层级的权限。
3)所有者或操作者能否获得管理员权限(比如通过root账号或管理员账号访问操作系统或应用)
04
节点鉴别(NAUT)
验证连接软件的网络设备、服务器、终端节点合法性,防止非法设备接入内网,避免恶意节点窃取数据或发起攻击。
描述:产品鉴别网络节点的能力。
1)软件能否识别账号,保护健康数据访问。
2)产品能够提供或支持任何的节点认证方法,使得发送方和接收方相互识别并被授权进行数据传输。
05
人员鉴别(PAUT)
通过账号密码、指纹、人脸识别、多因素认证等方式,精准识别登录用户身份,确保 “人证一致”,防范账号盗用、冒用风险。
描述:产品鉴别授权用户的能力。
1)软件是基于访问控制机制的,创建用户独有账号和角色,控制和监控网络访问和活动,确保软件的使用是经过授权的。
2)软件支持一个用户至少有一个特定的用户名和密码
3)软件具有一个外部认证服务(比如MS ActiveDirectory,NDS,LDAP等)来配置认证用户
4)软件具有配置用户多次尝试不成功登录后锁定账户的能力
5)默认密码在配置时/之前可以改变
6)软件具有共享用户被使用的情况
7)软件能够强制要求配置用户密码时的组合规则
8)软件能够配置密码定期更换要求
安全不止技术 更是责任
