医疗器械网络安全指导原则(第二版) 征求意见稿 个人理解
目录
一、适用范围
二、网络安全基础
(一)网络安全基本概念
(二)网络安全能力
三、基本原则
(二)风险导向
一、适用范围
在查阅指导原则之前, 应判断自己使用的医疗器械是否适用于特定用途. 若属于适用范围, 可继续往下查看. 指导原则对适用与否进行了明确划分, 同时需满足以下条件:
仅限于第二类及以上独立软件系统或包含有软硬件组件的医疗器械设备。(不需要考虑第一类产品)
2.具备电子数据交换、远程控制或用户访问功能
这里电子数据交换、远程控制、用户访问功能满足之一即可。
电子数据交换主要涉及基于有线网络、无线网络以及存储媒介的数据传输。通过有线或无线网络传输数据较为直观。重点在于存储媒介本身。常见的存储媒介类型包括U盘、移动硬盘、SD卡以及光盘等。只要存在与医疗器械相关的导出数据的行为,则属于电子数据交换范畴。
远控涵盖基于有线和无线网络的远程操作技术。关于远程控制的距离定义是什么?使用蓝牙连接至2米外是否属于远程操控?那10厘米范围内的蓝牙连接是否也被视为远程操控呢?需要注意的是,在这里我们讨论的是‘远方’而非‘近处’。无论是通过固定线路还是无线信号都可以实现对设备的操作吗?比如本设备可通过手机蓝牙控制,则不管手机与设备距离多远或者多近都可实现操作。
通过软件用户界面和电子接口实现的人机交互方式是一种常见的用户访问手段。其中的电子接口主要由网络 interface 和数据交换 interface 两部分构成。如果设备上没有任何配置,则仅配备几个简单的电气按钮作为人机交互的入口;然而这些按钮本身仅具备通断电流的功能,并不能满足作为 electronic interface 的要求;根据指导原则明确指出 electronic interface 应包含 network 和 data exchange 两种类型,并需配合相应的通信协议才能实现有效的数据交换功能;因此上述简单的 electrical buttons 并不被视为 electronic interface 的一部分。
二、网络安全基础
判断后确定是否适用。接下来需要进一步了解什么是网络安全以及医疗器械的网络安全。
(一)网络安全基本概念
医疗器械网络安全:确保医疗器械产品的安全与相关数据不受未授权行为的影响,在全生命周期内相关信息系统的安全风险均得到控制。
在信息安全风险评估过程中, 我们需要关注具有重要价值的资产. 同样, 医疗器械网络安全领域也实施了类似的管理措施, 其核心目标便是保护医疗器械产品的本体以及相关的电子数据信息. 具体来说, 则是指该产品的实物部分以及与之相关的电子数据. 为什么要进行资产管理? 因为它们都具有重要价值, 是我们需要重点保护的对象. 因此, 在医疗器械网络安全领域中, 则主要目标便是保护产品的本体以及相关的电子数据信息.
不得从事任何未经许可的活动, 即使是不法分子也无法进行控制、破坏设备或非法获取数据.
拥有适当权限的人即便没有足够的权限也不得擅自越界执行操作.
例如, 在获得设备螺丝安装权限后, 您出于好奇随意点击了设备按钮.
您的行为超出了允许范围.
在存储与传输两个环节上进行保护
简单来说,在存储阶段和传输阶段都需要采取措施
那什么是信息加密呢?
信息加密是一种将原始信息转换为一种无法被普通读取形式的技术。
这样的一份信息会被转换成乱码
别人无法解读其真实内容
而这种乱码实际上是经过某种算法处理后的结果
这里涉及到了两种主要的加密算法:对称加密与非对称加密
产品本身的信息保护仅限于授权人员
当我们获取一份数据时(其中包含敏感信息),该数据已经被加密处理并符合保密性标准的要求)。然而,在实际应用中我们常常会遇到一个问题:如何判断这些数据是否完整?例如:当1M的加密数据被分割为0.5M时(虽然这些0.5M的数据依然符合保密性要求)但已经失去了完整性)。此时可以采用哈希校验的方法来解决这个问题:通过计算校验码我们可以确定原始文件是否存在完整性问题(同时也能识别出文件中缺失的部分信息)。
可得性:这一概念较为直观易懂,在实际应用中表示数据应当能够以特定的方式获取。假设将这些数据存储起来,并且在以下两种情况下无法实现其可得性:一是不再给予访问接口;二是即便存在访问接口但遭到破坏或损坏的情况下,则该数据即无法实现可得性。此外,在设备发生病毒感染或其他技术故障导致无法正常运行的情况下,则其功能也会相应失效。
以上内容即为医疗器械网络安全所从事的工作。为了实现这一目标,请确保以下几点:首先,请确保该医疗设备本体及其存储的数据得到全面保护;其次,请通过增强网络安全能力的方式来防止未经授权的访问;最后,请明确以下问题:我们需要考虑我们拥有的医疗设备具有哪些功能或属性?是否需要对这些信息进行额外的安全防护措施?
在提到要保护的重要资产时,其中一类是医疗相关的数据和设备相关的数据
医疗数据:涵盖医疗器械使用与产生过程中的相关医疗活动的数据信息集合,并包含详细记录内容。在医学信息管理中,默认分为敏感性和非敏感性两类别。判断其是否属于敏感性类别,则需考察能否识别出特定个体:例如,在手术器械中仅记录了做了哪些手术、何时进行以及手术结果等信息内容,则无法与特定个体直接关联,则属于非敏感性类别。
敏感医疗数据属于健康数据,是健康数据的一个子集。
设备数据是用来记录医疗器械运行状态的数据,在监督和控制医疗器械运行状态的同时也用于进行必要的维护维修活动,并且不得包含患者个人信息。基于设备运行状态采集的信息中包括对于参与手术的医疗器械而言,在开机状态下即使未处于手术状态但开机时也会产生数据并被存储下来这些情况下生成的数据即为设备数据与医疗活动无关
医疗数据和设备数据应该隔离。
以上内容有助于区分我们存储或传输的数据类型及其功能与用途。基于19项核心网络安全能力,请制定相应数据安全规范。在完成数据识别后,请评估设备的硬件条件并确定其所属类别(如别墅型产品与茅草棚型产品的防盗方案存在显著差异)。根据产品自身价值及已有的安全措施情况,请分析现有漏洞与不足之处(即知己知彼),而后据此制定网络安全策略。指导原则亦是沿此思路展开。遵循这一原则后,则可逐步推进电子接口的...
3.电子接口:网络接口和电子数据交换接口
网络接口:缺乏明确的分类标准,在实际应用中通常根据其技术特性来判断是否属于网络接口范畴。具体而言,在分析时通常会考虑以下几点技术特性:包括但不限于网络类型、物理连接方式、协议类型以及远程控制模式等各项指标。
电子数据交换接口:基于网络接口的技术特性来确定接口;而存储介质的技术特性则涵盖存储类型、文件格式、压缩方法以及性能参数等关键要素。
该方案可清晰标识前后端电子接口,并通过综合考量包含19项网络安全能力来全面评估网络防护措施。
(二)网络安全能力
在了解产品与数据情况的基础上,在明确是否存在数据以及具体的数据类型的同时,在识别是否有电子接口及其具体类型的同时
三、基本原则
(二)风险导向
医疗器械的风险管理活动通常包括:识别医疗器械相关的资产、潜在的威胁以及可能的脆弱性;评估这些因素对医疗器械性能及患者安全的影响程度,并分析其被滥用的可能性;根据风险评估结果确定应对策略,并实施适当的方法来减少风险发生的可能性;依据既定的风险管理标准来评估剩余潜在风险
资产辨识→网络运行状态→威胁探测→漏洞辨识→现有防护措施→风险分析→风险量化分析→风险管理策略→估算残留风险水平