互聯(lián)網(wǎng)醫(yī)療健康移動(dòng)應(yīng)用安全技術(shù)要求

互聯(lián)網(wǎng)醫(yī)療健康移動(dòng)應(yīng)用安全技術(shù)要求本文件規(guī)定了互聯(lián)網(wǎng)醫(yī)療健康移動(dòng)應(yīng)用安全技術(shù)要求，主要包含升級(jí)安全、應(yīng)用軟件制、訪問(wèn)控制、邏輯安全、密碼算法及密鑰要求、數(shù)據(jù)安全及運(yùn)行安全要求本文件適用于互聯(lián)網(wǎng)醫(yī)療健康移動(dòng)應(yīng)用的開(kāi)發(fā)、運(yùn)營(yíng)過(guò)程僅該日期對(duì)應(yīng)的版本適用于本文件。不注日期的引用文件，其最新版本(包括所有的修改單)適用于本文件。GB/T25069信息安全技術(shù)術(shù)語(yǔ)GB/T35273-2020信息安全技術(shù)個(gè)人信息安全規(guī)范GB/T37092-2018信息安全技術(shù)密碼模塊安全要求GB/T41479-2022信息安全技術(shù)網(wǎng)絡(luò)數(shù)據(jù)處理安全要求JR/T0092-2019移動(dòng)金融客戶(hù)端應(yīng)用軟件安全管理規(guī)范GB/T25069界定的以及下列術(shù)語(yǔ)和定義適用于本文件。實(shí)現(xiàn)了安全功能的硬件、軟件和/或固件的集合，并且被包含在密碼邊界內(nèi)。APP移動(dòng)終端應(yīng)用(mobileAPPlication)CNVD國(guó)家信息安全漏洞庫(kù)(ChCNVD國(guó)家信息安全漏洞共享平臺(tái)(ChinaNationalVulnerabilityDatabaso)3醫(yī)療健康A(chǔ)PP的安全技術(shù)要求由產(chǎn)品形態(tài)、功能類(lèi)型決定。產(chǎn)品形態(tài)決定了其在安全性、可靠性等方面的基本要求，包括升級(jí)安全、自身安全、鑒別機(jī)制、邏輯安全、密碼算法和密鑰、數(shù)據(jù)安全、運(yùn)行安全。產(chǎn)品形態(tài)主要分為傳統(tǒng)應(yīng)用、輕應(yīng)用兩種，傳統(tǒng)應(yīng)用是指能直接運(yùn)行于Android和10S、鴻蒙操作系統(tǒng)的應(yīng)用程序，輕應(yīng)用指的是H5應(yīng)用、小程序、快應(yīng)用。醫(yī)療健康A(chǔ)PP的功能類(lèi)型決定了其在安全性、可靠性等方面的特殊要求，例如具備電商類(lèi)功能的APP需要保護(hù)用戶(hù)的支付交易安全，具備健康管理功能的APP需要保護(hù)用戶(hù)健康相關(guān)的個(gè)人隱私安全等。常見(jiàn)的醫(yī)療健康A(chǔ)PP可以分為在線尋醫(yī)問(wèn)診類(lèi)、預(yù)約掛號(hào)/導(dǎo)診類(lèi)、醫(yī)藥電商服務(wù)類(lèi)、健康管理類(lèi)型和垂直小眾類(lèi)。6安全技術(shù)要求本文件依據(jù)醫(yī)療健康A(chǔ)PP的產(chǎn)品形態(tài)、功能類(lèi)型對(duì)其進(jìn)行分類(lèi)，并提出不同的安全技術(shù)要求，見(jiàn)表表1醫(yī)療健康A(chǔ)PP安全技術(shù)要求表其中，所有傳統(tǒng)應(yīng)用應(yīng)遵循6.2章節(jié)的安全技術(shù)要求，輕應(yīng)用應(yīng)遵循6.3章節(jié)安全技術(shù)要求。此外，根據(jù)醫(yī)療健康A(chǔ)PP功能分類(lèi)不同，在線尋醫(yī)問(wèn)診類(lèi)應(yīng)用還應(yīng)遵循6.4.2章節(jié)的安全技術(shù)要求，預(yù)約掛號(hào)導(dǎo)診類(lèi)應(yīng)用還應(yīng)遵循6.4.3、6.4.4、6.4.5章節(jié)的安全技術(shù)要求，醫(yī)藥電商服務(wù)類(lèi)應(yīng)用還應(yīng)遵循6.4.1章節(jié)的安全技術(shù)要求，健康管理類(lèi)應(yīng)用還應(yīng)遵循6.4.4章節(jié)的安全技術(shù)要求。6.2傳統(tǒng)應(yīng)用安全要求6.2.1升級(jí)安全具體要求包括：更新過(guò)程中，應(yīng)采用安全機(jī)制保證升級(jí)的時(shí)效性(如自動(dòng)升級(jí)、更新通知)和準(zhǔn)確6.2.2應(yīng)用軟件自身安全具體要求包括：a)不應(yīng)留有違反或繞過(guò)安全規(guī)則的接口；b)應(yīng)用應(yīng)包含供應(yīng)者或開(kāi)發(fā)者的簽名信息且簽名信息真實(shí)有效；c)應(yīng)提供有效的機(jī)制(如混淆技術(shù))防止程序被反編譯、調(diào)試、注入等d)不應(yīng)存在CNVD、CNNWD等平臺(tái)已公布6個(gè)月以上的高危及以上等級(jí)漏洞e)宜具備對(duì)應(yīng)用運(yùn)行過(guò)程中的態(tài)勢(shì)感知能力。6.2.3鑒別機(jī)制具體要求包括；a)具備用戶(hù)登錄功能的應(yīng)至少支持一種身份認(rèn)證方式，如口令、驗(yàn)證碼、指紋等4b)應(yīng)具備鑒別失敗處理措施，如連續(xù)多次鑒別失敗后自動(dòng)鎖定該賬戶(hù)一定時(shí)間6.2.3.2口令安全機(jī)制具體要求包括：a)口令在存儲(chǔ)過(guò)程中不應(yīng)出現(xiàn)明文：b)修改或找回口令時(shí)，應(yīng)具備驗(yàn)證機(jī)制，以防止口令的被非授權(quán)獲取或算改c)口令在使用過(guò)程中宜具備防鍵盤(pán)劫持機(jī)制，無(wú)法劫持獲取用戶(hù)輸入的口令。6.2.3.3驗(yàn)證碼安全機(jī)制具體要求包括a)驗(yàn)證碼應(yīng)在服務(wù)器端生成b)圖片驗(yàn)證碼在使用過(guò)程中應(yīng)具備一定的抗機(jī)器識(shí)別能力：c)郵件、手機(jī)短信驗(yàn)證碼應(yīng)具有防重放攻擊機(jī)制6.2.4訪問(wèn)控制具體要求包括：a)如采用基于用戶(hù)角色的訪問(wèn)控制技術(shù)，用戶(hù)登錄成功后，應(yīng)僅能訪問(wèn)被授權(quán)的功能應(yīng)用未經(jīng)過(guò)用戶(hù)明確許可前，不能訪問(wèn)、修改和刪除其他應(yīng)用的個(gè)人信息；b)應(yīng)用應(yīng)遵循操作系統(tǒng)的訪問(wèn)控制機(jī)制，不能未授權(quán)訪問(wèn)、修改終端資源及其配置。6.2.5邏輯安全6.2.5.1安全設(shè)計(jì)要求具體要求包括：a)對(duì)于認(rèn)證、校驗(yàn)等安全保證功能的流程設(shè)計(jì)應(yīng)充分考慮其合理性，避免邏輯漏洞的出現(xiàn)，保護(hù)認(rèn)證流b)應(yīng)用程序不應(yīng)調(diào)用CNMD、CNNVD等平臺(tái)已公布6個(gè)月以上的高危及以上等級(jí)漏洞的函數(shù)，不存在敏感數(shù)據(jù)硬編碼。6.2.5.2權(quán)限控制要求具體要求包括：a)應(yīng)用軟件向移動(dòng)終端操作系統(tǒng)申請(qǐng)權(quán)限時(shí)，應(yīng)申請(qǐng)業(yè)務(wù)功能所必需的權(quán)限：b)應(yīng)用軟件向移動(dòng)終端操作系統(tǒng)申請(qǐng)權(quán)限時(shí)，應(yīng)同步告知申請(qǐng)權(quán)限的目的：c)應(yīng)用軟件宜在使用過(guò)程中，根據(jù)實(shí)際需求即時(shí)申請(qǐng)權(quán)限，已經(jīng)獲得用戶(hù)授權(quán)的除外。(如應(yīng)用軟件應(yīng)在用戶(hù)需要掃碼時(shí)申請(qǐng)相機(jī)權(quán)限)6.2.6密碼算法及密鑰要求6.2.6.1密碼算法密碼算法、密鑰長(zhǎng)度及密鑰管理方式應(yīng)符合國(guó)家標(biāo)準(zhǔn)、密碼行業(yè)標(biāo)準(zhǔn)的要求，不應(yīng)使用當(dāng)前不安全的密碼算法。6.2.6.2密鑰管理要求具體要求包括：5a)密鑰在傳輸過(guò)程中應(yīng)使用密碼算法對(duì)密鑰進(jìn)行保護(hù)：b)隨機(jī)生成的密鑰應(yīng)具有一定的隨機(jī)性與不可預(yù)測(cè)性。6.2.6.3密碼模塊具體要求如下：a)應(yīng)用可支持軟密碼模塊，宜支持符合GB/T37092二級(jí)及以上要求的軟件或硬件密碼模塊：b)應(yīng)用可通過(guò)軟密碼模塊實(shí)現(xiàn)數(shù)據(jù)加密、數(shù)字簽名、身份認(rèn)證等功能：c)應(yīng)用可通過(guò)軟密碼模塊實(shí)現(xiàn)防克隆、防逆向調(diào)試等防護(hù)6.2.7數(shù)據(jù)安全6.2.7.1數(shù)據(jù)存儲(chǔ)安全個(gè)人敏感信息的存儲(chǔ)應(yīng)采用加密等安全措施，個(gè)人敏感信息的判定依照GB/T35273。6.2.7.2數(shù)據(jù)傳輸安全不應(yīng)以明文形式通過(guò)網(wǎng)絡(luò)傳輸數(shù)據(jù)。6.2.7.3數(shù)據(jù)刪除數(shù)據(jù)副除應(yīng)符合國(guó)家法律、行政法規(guī)相關(guān)的規(guī)定，具體要求包括：a)應(yīng)用涉及網(wǎng)絡(luò)數(shù)據(jù)刪除的，應(yīng)遵循GB/T41479-20225.13的要求；b)在用戶(hù)主動(dòng)操作刪除數(shù)據(jù)時(shí)，宜由用戶(hù)進(jìn)一步確認(rèn)或取消數(shù)據(jù)制除操作。6.2.8運(yùn)行安全具體要求包括：a)應(yīng)用應(yīng)穩(wěn)定運(yùn)行，不能頻繁出現(xiàn)失去響應(yīng)、非正常退出、功能失效、系統(tǒng)崩潰等現(xiàn)象；b)在運(yùn)行過(guò)程中，應(yīng)支持隨時(shí)停止、退出。應(yīng)支持處理可預(yù)知的用戶(hù)錯(cuò)誤，且不影響應(yīng)用的正常工作。6.3輕應(yīng)用安全要求6.3.1應(yīng)用軟件自身安全具體要求包括：a)不應(yīng)留有違反或繞過(guò)安全規(guī)則的接口：b)應(yīng)用應(yīng)包含供應(yīng)者或開(kāi)發(fā)者的簽名信息且簽名信息真實(shí)有效：應(yīng)提供有效的機(jī)制(如混淆技術(shù))防止程序被反編譯、調(diào)試、注入等；c)不應(yīng)存在CNVD、CND等平臺(tái)已公布6個(gè)月以上的高危及以上等級(jí)漏洞；d)宜具備對(duì)應(yīng)用運(yùn)行過(guò)程中的態(tài)勢(shì)感知能力。6.3.2鑒別機(jī)制具體要求包括：a)未授權(quán)登錄時(shí)，應(yīng)彈出提醒：先授權(quán)再操作對(duì)應(yīng)功能b)已授權(quán)登錄后，應(yīng)自動(dòng)以登錄的身份行駛業(yè)務(wù)操作權(quán)限，如咨詢(xún)、支付、數(shù)據(jù)查詢(xún)等。6.3.3.1安全設(shè)計(jì)要求具體要求包括a)對(duì)于認(rèn)證、校驗(yàn)等安全保證功能的流程設(shè)計(jì)應(yīng)充分考慮其合理性，避免邏輯漏洞的出現(xiàn)，保護(hù)認(rèn)證流程不被繞過(guò)；b)應(yīng)用程序代碼不應(yīng)存在調(diào)用CNVD、CNNVD等平臺(tái)己公布6個(gè)月以上的高危及以上等級(jí)漏洞的函c)不應(yīng)存在敏感數(shù)據(jù)硬編碼6.3.3.2權(quán)限控制要求應(yīng)用軟件向操作系統(tǒng)申請(qǐng)權(quán)限時(shí)，應(yīng)遵循最小權(quán)限原則。6.3.4密碼算法及密鑰要求密碼算法、密鑰長(zhǎng)度及密鑰管理方式應(yīng)符合國(guó)家標(biāo)準(zhǔn)、密碼行業(yè)標(biāo)準(zhǔn)的要求，不應(yīng)使用當(dāng)前不安全密碼算法。6.3.4.2密鑰管理要求具體要求包括：a)密鑰在傳輸過(guò)程中應(yīng)使用密碼算法對(duì)密鑰進(jìn)行保護(hù)；b)隨機(jī)生成的密鑰應(yīng)具有一定的隨機(jī)性與不可預(yù)測(cè)性6.3.5數(shù)據(jù)安全6.3.5.1數(shù)據(jù)存儲(chǔ)安全個(gè)人敏感信息(如設(shè)備信息，患者身份信息等)應(yīng)以密文形式存儲(chǔ)，個(gè)人敏感信息的判定依照GB/T6.3.5.2數(shù)據(jù)傳輸安全不應(yīng)以明文形式通過(guò)網(wǎng)絡(luò)傳輸數(shù)據(jù)。6.3.5.3數(shù)據(jù)刪除數(shù)據(jù)刪除應(yīng)符合國(guó)家法律、行政法規(guī)相關(guān)的規(guī)定，具體要求包括：a)應(yīng)用沙及網(wǎng)絡(luò)數(shù)據(jù)刪除的，應(yīng)遵循GB/T41479-20225.13的要求；b)在用戶(hù)主動(dòng)操作刪除數(shù)據(jù)時(shí)，宜由用戶(hù)進(jìn)一步確認(rèn)或取消數(shù)據(jù)刑除操作。6.3.6運(yùn)行安全具體要求包括：a)應(yīng)用應(yīng)能夠穩(wěn)定運(yùn)行，不能頻繁出現(xiàn)失去響應(yīng)、非正常退出、功能失效、系統(tǒng)崩潰等現(xiàn)象；b)對(duì)于常見(jiàn)的操作系統(tǒng)、屏幕等應(yīng)具有良好的兼容性。應(yīng)支持處理可預(yù)知的用戶(hù)錯(cuò)誤，且不影響應(yīng)用的正常工作6.4功能分類(lèi)安全要求APP自身提供支付功能，其支付功能安全應(yīng)滿(mǎn)足JR/T0092-2019第5章節(jié)的要求。具體要求包括：a)客戶(hù)端應(yīng)用軟件使用所必需的個(gè)人信息應(yīng)僅包含獲取用戶(hù)的移動(dòng)電話號(hào)碼、病情描述；b)客戶(hù)端應(yīng)用軟件不應(yīng)明文存儲(chǔ)、傳輸問(wèn)診時(shí)的病情描述信息，以及既往病史、社會(huì)史、家族史癥狀和生活方式等各類(lèi)病歷記載的數(shù)據(jù)。具體要求包括：a)客戶(hù)端應(yīng)用軟件提供掛號(hào)功能的，使用所必需的個(gè)人信息應(yīng)僅包含用戶(hù)的移動(dòng)電話號(hào)碼、患者的姓名、證件類(lèi)型和號(hào)碼、預(yù)約掛號(hào)的醫(yī)院和科室信息；b)客戶(hù)端應(yīng)用軟件不應(yīng)明文存儲(chǔ)、傳輸掛號(hào)信息的歷史數(shù)據(jù)。6.4.4可穿戴設(shè)備