国家药品监督管理局医疗器械技术审评中心于2022年3月发布了《医疗器械网络安全注册审查指导原则（2022年修订版）》。美国食品药品监督管理局（FDA）于2022年4月公布了《医疗器械网络：质量体系考量与上市前申报指南》草案。全球对于医疗器械网络安全越来越受重视，涉及医疗器械网络安全的医疗器械产品越来越多，法规也越来越完善。本文结合《医疗器械网络安全注册审查指导原则（2022年修订版）》（下文简称指导原则）的要求来做解读。

 

一、总体要求

 

1、适应范围

 

包括具备电子数据交换、远程访问与控制、用户访问三种功能当中一种及以上功能的第二、三类独立软件和含有软件组件的医疗器械（包括体外诊断医疗器械）；适用于自研软件、现成软件。

 

解读：有伙伴可以会问这三个条件满足其一就在适用范围了，那好像有很多功能简单的器械也要考虑网络安全了？回答是肯定的，只不过风险水平越高的医疗器械要申报资料就需要越全面、越详尽，反之，不适用的地方进行说明即可。

 

2、主要概念

 

医疗器械网络安全：

 

指保护医疗器械产品自身和相关数据不受未授权活动影响的状态，其保密性（Confidentiality）、完整性（Integrity）、可得性（Availability）真实性（Authenticity）、抗抵赖性（Non-Repudiation）、可核查性（Accountability）、可靠性（Reliability）等特性的相关风险在全生命周期均处于可接受水平。

 

医疗器械网络安全能力：

 

考虑到预期用途、使用场景的限制，医疗器械对于网络安全威胁应具备必要的识别、保护能力和适当的探测、响应、恢复能力。

 

指导原则给出了22项医疗器械网络安全能力：

 

自动注销、审核、授权、节点鉴别、人员鉴别、连通性、物理防护、系统加固、数据去标识化和匿名化、数据完整性与真实性、数据备份与灾难恢复、数据存储保密性与完整性、数据传输保密性、数据传输完整性、网络安全补丁升级、现成软件清单、现成软件维护、网络安全使用指导、网络安全特征配置、紧急访问、远程访问与控制、恶意软件探测与防护。

 

注册申请人需根据医疗器械的产品特性分析上述网络安全能力的适用性。

 

网络安全验证与确认：

 

需在软件验证与确认的框架下，结合产品网络安全特性开展相关质控工作，如源代码安全审核、威胁建模、漏洞扫描、渗透测试、模糊测试等。

 

网络安全可追溯性分析：

 

追踪网络安全需求、网络安全设计、源代码、网络安全测试、网络安全风险管理之间的关系，分析已识别关系的正确性、一致性、完整性、准确性。

 

网络安全事件应急响应：

 

需基于相关标准和技术报告建立网络安全事件应急响应机制，保证医疗器械的安全有效性并保护患者隐私。

 

医疗器械网络安全更新：

 

（1）重大网络安全更新：影响到医疗器械的安全性或有效性的网络安全更新，即重大网络安全功能更新，应申请变更注册。

 

（2）轻微网络安全更新：不影响医疗器械的安全性与有效性的网络安全更新，无需申请变更注册，待下次变更注册时提交相应注册申报资料。

 

3、基本原则

 

网络安全定位:

 

医疗器械网络安全是医疗器械安全性和有效性的重要组成部分之一。医疗器械网络安全也是网络安全国家战略的重要组成部分。

 

风险导向：

 

网络安全风险作为软件风险的重要组成部分。医疗器械网络安全风险同样结合医疗器械的预期用途、使用场景、核心功能进行综合判定。

 

网络安全风险管理：

 

识别资产，威胁和脆弱性；评估威胁和脆弱性对于医疗器械和患者的影响以及被利用的可能性，确定风险水平并采取充分、有效、适宜的风险控制措施。

 

全生命周期质控：

 

要做好上市前后各个阶段的质控工作，上市前结合质量管理体系要求和医疗器械产品特性开展网络安全质控工作，上市后根据网络安全更新情况开展更新请求评估、验证与确认、风险管理、用户告知等活动，定期开展医疗器械网络安全漏洞风险评估工作，将必要的网络安全相关信息以及应对措施告知用户。

 

可以采用IEC 27000系列标准规范信息安全管理体系（ISMS）认证要求完善医疗器械网络安全质控工作，以保证医疗器械的安全有效性。

 

4、技术考量

 

现成软件：根据质量管理体系要求建立现成软件网络安全更新过程，根据现成软件与医疗器械软件的关系类型开展相应网络安全质控工作。

 

医疗数据出境：在中国境内收集和产生的重要数据、个人信息和人类遗传资源信息原则上应在中国境内存储，需要进行境外传送要通过国家相关部门的安全评估。

 

远程维护与升级：注册申请人需明确远程维护与升级的实现方法、所用电子接口情况、设备数据所含内容、设备数据与医疗数据的隔离方法、网络安全保证措施等技术特征，并提供相应研究资料和风险管理资料。

 

遗留设备：依据《独立软件生产质量管理规范及其现场检查指导原则》开展网络安全质控工作。

 

二、验证与确认

 

指导原则要求：

 

网络安全验证与确认作为软件验证与确认的重要组成部分，需在软件验证与确认的框架下，结合产品网络安全特性开展相关质控工作。

 

由此可见网络安全的验证与确认并不是独立存在的，是基于软件验证与确认的延伸。同样在FDA：Cybersecurity in Medical Devices: Quality System Considerations and Content of Premarket Submissions中有关Cybersecurity Testing（网络安全测试）的描述：和产品开发的其他领域一样，测试被用来证明设计控制的有效性。虽然软件开发和网络安全是密切相关的学科，但网络安全控制需要超出标准软件验证和确认活动的测试，以证明在适当的安全环境中控制的有效性，从而证明设备具有合理的安全性和有效性保证。

 

解读：在参阅了UL 2900和FDA等关于医疗器械网络安全的文件后我们将网络安全验证与确认划分为软件验证与确认（本文特指在软件层面网络安全的能力验证）和网络安全测试。

 

威胁建模是风险管理中非常重要的一环，建议进行前置，在软件开发流程中就进行威胁建模的环节，可以参考微软安全开发生命周期（SDL）。

 

1、软件验证与确认

 

执行标准：

 

在软件设计开发的整个生存周期过程中，我们需要根据《YY/T 0664 医疗器械软件 软件验证与确认过程》的标准来执行。在整个生命周期中需要对软件进行风险管理，医疗器械软件的风险管理可参考《YY/T 0316 医疗器械风险管理对医疗器械的应用》。

 

软件开发过程：

 

包括软件开发策划、软件需求分析、软件设计、软件编码、软件验证、软件确认、软件发布等活动。

 

软件开发策划需明确在软件开发过程中，如何对风险进行管理，需制定风险管理计划，衡量风险严重度、风险发生的概率等的风险评价标准。

 

软件需求分析包括功能和性能的需求、软件系统的输入和输出等各种需求以及信息安全需求。例如患者的健康数据需要保证在传输过程中的安全性和完整性，就需要设计数据匿名化，传输加密等功能。根据指导原则，医疗器械对于网络安全威胁应具备必要的识别、保护能力和适当的探测、响应、恢复能力，并且列出了22项具体的网络安全能力。注册申请人需根据医疗器械的产品特性分析上述22项网络安全能力的适用性。如果适应将这些能力要求写进需求，明确实现方式。若不适用详述理由并予以记录。

 

软件测试、软件验证、软件确认：通过提供客观证据认定软件满足用户需求和预期用途。对网络安全有关的需求和能力，进行验证与确认。

 

示例1

 

在需求分析后确认了需要数据传输保密性（TXCF）的网络安全能力，产品确保数据传输保密性的能力。

 

 验证方法 ：在数据传输过程中进行抓包，检测敏感数据是否是加密传输，并且要加密方式进行识别。

 

示例2

 

在需求分析后确认了需要恶意软件探测与防护（MLDP）的网络安全能力，产品确保数据传输保密性的能力。

 

 验证方法 ：发送恶意代码、进行DDOS、欺骗攻击等方式，检测产品是否有识别和阻断的能力。

 

2、网络安全测试

 

根据指导原则以及FAD、UL 2900等医疗器械网络安全标准，将网络安全测试归纳为源代码安全审核、漏洞扫描、渗透测试、模糊测试。

 

源代码安全审核：

 

美国FDA中的要求：二进制可执行文件的软件组成分析、静态和动态代码分析 UL 2900中的要求：软件弱点分析、静态源代码分析、静态二进制和字节码分析。

 

软件安全是网络安全的基础防线，而软件的底层由大量代码组成。漏洞出现很大的一个原因就是代码编写产生问题，所以要进行源代码的安全审核，通过测试可以更好的发现代码中存在的问题，代码本身的漏洞也能够得到有效的控制。

 

测试方法：源代码审计。源代码审计是由具备丰富编码经验并对安全编码原则及应用安全具有深刻理解的安全服务人员对系统的源代码和软件架构的安全性、可靠性进行全面的安全检查。也可以借助代码审计工具配合测试。

 

 

源代码审核发现存在的漏洞

 

漏洞扫描：

 

美国FDA中的要求：漏洞链、已知漏洞扫描的封闭盒测试 UL 2900中的要求：已知漏洞测试、恶意软件测试

 

漏洞是指系统上的硬件、软件（包括固件）、协议等，在安全策略上存在弱点或者缺陷，这些缺陷、错误或不合理之处可能被有意或无意地利用，影响系统等资产的保密性、完整性、可用性等特性，造成泄漏、破坏、篡改、控制等危害。

 

漏洞产生的原因非常的广泛，也没有绝对安全的系统、软件。漏洞不断被发现，被利用，被披露，被修复，进行循环。根据信息安全的发展水平现阶段能做的就是首先检测是否存在已经公开披露的漏洞。

 

漏洞分类：

 

按应用范围：操作系统、应用程序、WEB应用、数据库、网络设备、智能设备（物联网终端设备）、区块链相关漏洞、车联网、工业控制系统等

 

按漏洞原理：缓冲区溢出、DOS攻击、注入、文件包含、文件读取、文件上传、文件下载、目录遍历、敏感信息泄露、弱口令、命令执行、暴力破解、未授权访问、逻辑漏洞、配置不当、网络钓鱼、权限绕过、网络欺骗、浏览器劫持、XSS、CSRF、SSRF、不安全的反序列化等等。

 

测试方法：使用漏洞扫描设备或工具，进行已知漏洞的发现、识别和评估。主要是针对CVE、CNVD、CNNVD漏洞库中已知漏洞进行评估，出具脆弱性评估报告。

 

1、可联网设备，使用linux系统的某设备

 

漏洞扫描示意图1

 

 

2、不可联网嵌入式设备（含软件组件或固件）

 

对软件和固件进行漏洞扫描的安全评估：

 

 

对软件二进制文件进行安全评估发现的组件漏洞

 

渗透测试：

 

美国FDA中的要求：渗透测试

 

UL 2900中的要求：结构化渗透测试

 

渗透测试是模拟黑客攻击的手法和技巧对目标发起攻击，获取信息和权限等。通过渗透测试报告可以更直观的反映系统面临的风险，看清楚信息是如何被泄露，漏洞是如何被利用，系统是如何被控制等。

 

渗透测试一般流程：

 

 

渗透测试示例：

 

测试工程师破解账号密码

 

 

破解口令和系统管理员权限

 

模糊测试：

 

美国FDA中的要求：鲁棒性测试、模糊测试

 

UL 2900中的要求：畸形输入测试

 

模糊测试是一种自动化的软件测试技术，通常用于识别程序中的潜在漏洞，对程序进行模糊测试是通过向其提供随机输入并记录导致程序崩溃、故障异常的测试方法。随机的输入远比人为思考逻辑的覆盖范围广泛的多。

 

三、网络安注册申报文档

 

网络安注册申报文档在指导原则的第六章医疗器械网络安全研究资料中有具体的说明，分为自研软件和现成软件，引用指导原则的图：

 

 

自研软件网络安全研究报告是上述报告的一个基础，其余报告在此基础上进行相应的调整即可。下文我们以自研软件网络安全研究报告来进行说明。

 

1、基本信息

 

（1）软件信息

 

明确申报医疗器械软件的名称、型号规格、发布版本以及软件安全性级别。

 

软件名称：

 

型号规格：

 

发布版本：

 

软件安全性级别：明确软件安全性级别（A级、B级、C级），详述确定理由。

 

（2）数据架构

 

提供申报医疗器械在每个使用场景（含远程维护与升级，下同）下的网络环境和数据流图，并依据图示描述医疗器械相关数据和电子接口的基本情况。

 

示例：网络环境和数据流图，部分描述略，详细要求见指导原则。

 

 

数据：穿戴设备采集健康数据，通过蓝牙发送至手机设备管理APP，然后数据传统到设备厂商的云端数据库，医生用户可以通过账号在电脑连接设备云端服务器查看健康数据。

 

电子接口：蓝牙（Bluetooth）

 

（3）网络安全能力

 

逐项分析申报医疗器械对于22项网络安全能力的适用性，详述适用网络安全能力的实现方法以及不适用理由。若适用，提供其他网络安全能力的适用情况说明。

 

示例1：人员鉴别（PAUT），采用用户名和口令方式验证方式，管理员口令要求强度为数字大小写字母加特殊字符组合不低于8位，失败超过3次锁定24小时。普通用户口令要求强度为数字字母组合不低于6位，失败超过5次锁定0.5小时。

 

示例2：数据传输保密性（TXCF），采用了RSA公钥加密非对称算法，对传输的敏感医疗信息进行加密。RSA 加密功能强大且可靠，破解需要耗费大量时间和精力。

 

（4）网络安全补丁

 

提供申报医疗器械（含必备软件、外部软件环境）的网络 安全补丁列表，明确网络安全补丁的名称、完整版本、发布日期。可另附文件。

 

示例

 

补丁名称：PTR 9.1.5 完整版本：XX2020-R2-稳定版 发布日期：2022-05-25 说明：本次补丁新增加了对管理员帐号验证方式XXXX

 

（5）安全软件

 

描述申报医疗器械兼容或所用的安全软件（如杀毒软件、 防火墙等）的名称、型号规格、完整版本、供应商、运行环境、 防护规则配置要求。

 

示例

 

杀毒软件：火绒安全软件 型号规格：Windows-个人版5.0 完整版本：5.0.68.2 供应商：北京火绒网络科技有限公司 运行环境：Windows 11、Windows 10、Windows 8、Windows 7、Windows XP等操作系统 防护规则配置要求：默认安装，不定期升级更新病毒库。

 

2、实现过程

 

（1）风险管理

 

提供申报医疗器械网络安全的风险分析报告、风险管理报告，另附网络安全开发所形成的原始文件。亦可提供医疗器械软件的风险管理文档，但需注明网络安全情况。

 

（2）验证与确认

 

提供申报医疗器械的网络安全测试计划和报告，另附网络安全开发所形成的原始文件。亦可提供医疗器械软件的系统测试计划和报告，但需注明网络安全情况。

 

解读：提交内容包括在本文第二章验证与确认进行的验证和测试原始文件。

 

（3）可追溯性分析

 

提供申报医疗器械的网络安全可追溯性分析报告，汇总列 明网络安全需求规范文档、网络安全设计规范文档、源代码（明确软件单元名称即可）、网络安全测试报告、网络安全风险分析 报告之间的对应关系。亦可提供医疗器械软件的可追溯性报告， 但需注明网络安全情况。

 

（4）维护计划

 

根据医疗器械网络安全更新的级别提供流程图等文档说明。

 

3、漏洞评估

 

根据网络安全测试的结果对发现的漏洞进行评估。采用通用漏洞评分系统（CVSS）所定义的漏洞等级。轻微级别、中等级别、严重级别采用不同的要求，目标为确保产品综合剩余风险均可接受。具体见指导原则。

 

示例：在漏洞扫描过程发现下图所示漏洞。

 

 

图中漏洞CVSS评分9.8分，为超危漏洞，可以通过升级的方式进行修复。需要网络安全评估机构出具的网络安全漏洞评估报告，明确已知剩余漏洞的维护方案。

 

4、结论

 

概述申报医疗器械的网络安全实现过程的规范性和网络安全漏洞评估结果，判定申报医疗器械的网络安全是否满足要求，受益是否大于风险。

 

自研软件网络安全研究报告框架见指导文件

 

5、补充说明

 

（一）产品注册

 

软件研究资料：在软件研究资料中单独提交自研软件网络安全研究报告。

 

说明书：说明书提供网络安全说明和使用指导，明确用户访问控制

 

机制、电子接口（含网络接口、电子数据交换接口）及其数据类型和技术特征、网络安全特征配置、数据备份与灾难恢复、运行环境（含硬件配置、外部软件环境、网络环境，若适用）、安全软件兼容性列表（若适用）、外部软件环境与安全软件更新 （若适用）、现成软件清单（SBOM，若适用）等要求。

 

（二）变更注册

 

软件研究资料：医疗器械变更注册应根据网络安全更新情况，提交变化部分对产品安全性与有效性影响的研究资料，以及提交说明书关于网络安全内容的变更对比表。

 

（三）延续注册

 

延续注册通常无需提交网络安全相关研究资料。具体要求见指导

 

四、参考文献

 

[1]医疗器械网络安全注册审查指导原则（2022年修订版）（2022年第7号）

 

[2] 医疗器械软件注册审查指导原则（2022年修订版）

 

[3] FDA : Cybersecurity in Medical Devices: Quality System Considerations and Content of Premarket Submissions (Draft )

 

[4]MITRE : Playbook-for-Threat-Modeling-Medical-Devices

 

[5] YY/T 0316 医疗器械风险管理对医疗器械的应用

 

[6] YY/T 0664 医疗器械软件软件验证与确认过程