互聯(lián)網(wǎng)醫(yī)療健康移動應(yīng)用安全技術(shù)要求

互聯(lián)網(wǎng)醫(yī)療健康移動應(yīng)用安全技術(shù)要求本文件規(guī)定了互聯(lián)網(wǎng)醫(yī)療健康移動應(yīng)用安全技術(shù)要求，主要包含升級安全、應(yīng)用軟件制、訪問控制、邏輯安全、密碼算法及密鑰要求、數(shù)據(jù)安全及運(yùn)行安全要求本文件適用于互聯(lián)網(wǎng)醫(yī)療健康移動應(yīng)用的開發(fā)、運(yùn)營過程僅該日期對應(yīng)的版本適用于本文件。不注日期的引用文件，其最新版本(包括所有的修改單)適用于本文件。GB/T25069信息安全技術(shù)術(shù)語GB/T35273-2020信息安全技術(shù)個人信息安全規(guī)范GB/T37092-2018信息安全技術(shù)密碼模塊安全要求GB/T41479-2022信息安全技術(shù)網(wǎng)絡(luò)數(shù)據(jù)處理安全要求JR/T0092-2019移動金融客戶端應(yīng)用軟件安全管理規(guī)范GB/T25069界定的以及下列術(shù)語和定義適用于本文件。實(shí)現(xiàn)了安全功能的硬件、軟件和/或固件的集合，并且被包含在密碼邊界內(nèi)。APP移動終端應(yīng)用(mobileAPPlication)CNVD國家信息安全漏洞庫(ChCNVD國家信息安全漏洞共享平臺(ChinaNationalVulnerabilityDatabaso)3醫(yī)療健康A(chǔ)PP的安全技術(shù)要求由產(chǎn)品形態(tài)、功能類型決定。產(chǎn)品形態(tài)決定了其在安全性、可靠性等方面的基本要求，包括升級安全、自身安全、鑒別機(jī)制、邏輯安全、密碼算法和密鑰、數(shù)據(jù)安全、運(yùn)行安全。產(chǎn)品形態(tài)主要分為傳統(tǒng)應(yīng)用、輕應(yīng)用兩種，傳統(tǒng)應(yīng)用是指能直接運(yùn)行于Android和10S、鴻蒙操作系統(tǒng)的應(yīng)用程序，輕應(yīng)用指的是H5應(yīng)用、小程序、快應(yīng)用。醫(yī)療健康A(chǔ)PP的功能類型決定了其在安全性、可靠性等方面的特殊要求，例如具備電商類功能的APP需要保護(hù)用戶的支付交易安全，具備健康管理功能的APP需要保護(hù)用戶健康相關(guān)的個人隱私安全等。常見的醫(yī)療健康A(chǔ)PP可以分為在線尋醫(yī)問診類、預(yù)約掛號/導(dǎo)診類、醫(yī)藥電商服務(wù)類、健康管理類型和垂直小眾類。6安全技術(shù)要求本文件依據(jù)醫(yī)療健康A(chǔ)PP的產(chǎn)品形態(tài)、功能類型對其進(jìn)行分類，并提出不同的安全技術(shù)要求，見表表1醫(yī)療健康A(chǔ)PP安全技術(shù)要求表其中，所有傳統(tǒng)應(yīng)用應(yīng)遵循6.2章節(jié)的安全技術(shù)要求，輕應(yīng)用應(yīng)遵循6.3章節(jié)安全技術(shù)要求。此外，根據(jù)醫(yī)療健康A(chǔ)PP功能分類不同，在線尋醫(yī)問診類應(yīng)用還應(yīng)遵循6.4.2章節(jié)的安全技術(shù)要求，預(yù)約掛號導(dǎo)診類應(yīng)用還應(yīng)遵循6.4.3、6.4.4、6.4.5章節(jié)的安全技術(shù)要求，醫(yī)藥電商服務(wù)類應(yīng)用還應(yīng)遵循6.4.1章節(jié)的安全技術(shù)要求，健康管理類應(yīng)用還應(yīng)遵循6.4.4章節(jié)的安全技術(shù)要求。6.2傳統(tǒng)應(yīng)用安全要求6.2.1升級安全具體要求包括：更新過程中，應(yīng)采用安全機(jī)制保證升級的時效性(如自動升級、更新通知)和準(zhǔn)確6.2.2應(yīng)用軟件自身安全具體要求包括：a)不應(yīng)留有違反或繞過安全規(guī)則的接口；b)應(yīng)用應(yīng)包含供應(yīng)者或開發(fā)者的簽名信息且簽名信息真實(shí)有效；c)應(yīng)提供有效的機(jī)制(如混淆技術(shù))防止程序被反編譯、調(diào)試、注入等d)不應(yīng)存在CNVD、CNNWD等平臺已公布6個月以上的高危及以上等級漏洞e)宜具備對應(yīng)用運(yùn)行過程中的態(tài)勢感知能力。6.2.3鑒別機(jī)制具體要求包括；a)具備用戶登錄功能的應(yīng)至少支持一種身份認(rèn)證方式，如口令、驗證碼、指紋等4b)應(yīng)具備鑒別失敗處理措施，如連續(xù)多次鑒別失敗后自動鎖定該賬戶一定時間6.2.3.2口令安全機(jī)制具體要求包括：a)口令在存儲過程中不應(yīng)出現(xiàn)明文：b)修改或找回口令時，應(yīng)具備驗證機(jī)制，以防止口令的被非授權(quán)獲取或算改c)口令在使用過程中宜具備防鍵盤劫持機(jī)制，無法劫持獲取用戶輸入的口令。6.2.3.3驗證碼安全機(jī)制具體要求包括a)驗證碼應(yīng)在服務(wù)器端生成b)圖片驗證碼在使用過程中應(yīng)具備一定的抗機(jī)器識別能力：c)郵件、手機(jī)短信驗證碼應(yīng)具有防重放攻擊機(jī)制6.2.4訪問控制具體要求包括：a)如采用基于用戶角色的訪問控制技術(shù)，用戶登錄成功后，應(yīng)僅能訪問被授權(quán)的功能應(yīng)用未經(jīng)過用戶明確許可前，不能訪問、修改和刪除其他應(yīng)用的個人信息；b)應(yīng)用應(yīng)遵循操作系統(tǒng)的訪問控制機(jī)制，不能未授權(quán)訪問、修改終端資源及其配置。6.2.5邏輯安全6.2.5.1安全設(shè)計要求具體要求包括：a)對于認(rèn)證、校驗等安全保證功能的流程設(shè)計應(yīng)充分考慮其合理性，避免邏輯漏洞的出現(xiàn)，保護(hù)認(rèn)證流b)應(yīng)用程序不應(yīng)調(diào)用CNMD、CNNVD等平臺已公布6個月以上的高危及以上等級漏洞的函數(shù)，不存在敏感數(shù)據(jù)硬編碼。6.2.5.2權(quán)限控制要求具體要求包括：a)應(yīng)用軟件向移動終端操作系統(tǒng)申請權(quán)限時，應(yīng)申請業(yè)務(wù)功能所必需的權(quán)限：b)應(yīng)用軟件向移動終端操作系統(tǒng)申請權(quán)限時，應(yīng)同步告知申請權(quán)限的目的：c)應(yīng)用軟件宜在使用過程中，根據(jù)實(shí)際需求即時申請權(quán)限，已經(jīng)獲得用戶授權(quán)的除外。(如應(yīng)用軟件應(yīng)在用戶需要掃碼時申請相機(jī)權(quán)限)6.2.6密碼算法及密鑰要求6.2.6.1密碼算法密碼算法、密鑰長度及密鑰管理方式應(yīng)符合國家標(biāo)準(zhǔn)、密碼行業(yè)標(biāo)準(zhǔn)的要求，不應(yīng)使用當(dāng)前不安全的密碼算法。6.2.6.2密鑰管理要求具體要求包括：5a)密鑰在傳輸過程中應(yīng)使用密碼算法對密鑰進(jìn)行保護(hù)：b)隨機(jī)生成的密鑰應(yīng)具有一定的隨機(jī)性與不可預(yù)測性。6.2.6.3密碼模塊具體要求如下：a)應(yīng)用可支持軟密碼模塊，宜支持符合GB/T37092二級及以上要求的軟件或硬件密碼模塊：b)應(yīng)用可通過軟密碼模塊實(shí)現(xiàn)數(shù)據(jù)加密、數(shù)字簽名、身份認(rèn)證等功能：c)應(yīng)用可通過軟密碼模塊實(shí)現(xiàn)防克隆、防逆向調(diào)試等防護(hù)6.2.7數(shù)據(jù)安全6.2.7.1數(shù)據(jù)存儲安全個人敏感信息的存儲應(yīng)采用加密等安全措施，個人敏感信息的判定依照GB/T35273。6.2.7.2數(shù)據(jù)傳輸安全不應(yīng)以明文形式通過網(wǎng)絡(luò)傳輸數(shù)據(jù)。6.2.7.3數(shù)據(jù)刪除數(shù)據(jù)副除應(yīng)符合國家法律、行政法規(guī)相關(guān)的規(guī)定，具體要求包括：a)應(yīng)用涉及網(wǎng)絡(luò)數(shù)據(jù)刪除的，應(yīng)遵循GB/T41479-20225.13的要求；b)在用戶主動操作刪除數(shù)據(jù)時，宜由用戶進(jìn)一步確認(rèn)或取消數(shù)據(jù)制除操作。6.2.8運(yùn)行安全具體要求包括：a)應(yīng)用應(yīng)穩(wěn)定運(yùn)行，不能頻繁出現(xiàn)失去響應(yīng)、非正常退出、功能失效、系統(tǒng)崩潰等現(xiàn)象；b)在運(yùn)行過程中，應(yīng)支持隨時停止、退出。應(yīng)支持處理可預(yù)知的用戶錯誤，且不影響應(yīng)用的正常工作。6.3輕應(yīng)用安全要求6.3.1應(yīng)用軟件自身安全具體要求包括：a)不應(yīng)留有違反或繞過安全規(guī)則的接口：b)應(yīng)用應(yīng)包含供應(yīng)者或開發(fā)者的簽名信息且簽名信息真實(shí)有效：應(yīng)提供有效的機(jī)制(如混淆技術(shù))防止程序被反編譯、調(diào)試、注入等；c)不應(yīng)存在CNVD、CND等平臺已公布6個月以上的高危及以上等級漏洞；d)宜具備對應(yīng)用運(yùn)行過程中的態(tài)勢感知能力。6.3.2鑒別機(jī)制具體要求包括：a)未授權(quán)登錄時，應(yīng)彈出提醒：先授權(quán)再操作對應(yīng)功能b)已授權(quán)登錄后，應(yīng)自動以登錄的身份行駛業(yè)務(wù)操作權(quán)限，如咨詢、支付、數(shù)據(jù)查詢等。6.3.3.1安全設(shè)計要求具體要求包括a)對于認(rèn)證、校驗等安全保證功能的流程設(shè)計應(yīng)充分考慮其合理性，避免邏輯漏洞的出現(xiàn)，保護(hù)認(rèn)證流程不被繞過；b)應(yīng)用程序代碼不應(yīng)存在調(diào)用CNVD、CNNVD等平臺己公布6個月以上的高危及以上等級漏洞的函c)不應(yīng)存在敏感數(shù)據(jù)硬編碼6.3.3.2權(quán)限控制要求應(yīng)用軟件向操作系統(tǒng)申請權(quán)限時，應(yīng)遵循最小權(quán)限原則。6.3.4密碼算法及密鑰要求密碼算法、密鑰長度及密鑰管理方式應(yīng)符合國家標(biāo)準(zhǔn)、密碼行業(yè)標(biāo)準(zhǔn)的要求，不應(yīng)使用當(dāng)前不安全密碼算法。6.3.4.2密鑰管理要求具體要求包括：a)密鑰在傳輸過程中應(yīng)使用密碼算法對密鑰進(jìn)行保護(hù)；b)隨機(jī)生成的密鑰應(yīng)具有一定的隨機(jī)性與不可預(yù)測性6.3.5數(shù)據(jù)安全6.3.5.1數(shù)據(jù)存儲安全個人敏感信息(如設(shè)備信息，患者身份信息等)應(yīng)以密文形式存儲，個人敏感信息的判定依照GB/T6.3.5.2數(shù)據(jù)傳輸安全不應(yīng)以明文形式通過網(wǎng)絡(luò)傳輸數(shù)據(jù)。6.3.5.3數(shù)據(jù)刪除數(shù)據(jù)刪除應(yīng)符合國家法律、行政法規(guī)相關(guān)的規(guī)定，具體要求包括：a)應(yīng)用沙及網(wǎng)絡(luò)數(shù)據(jù)刪除的，應(yīng)遵循GB/T41479-20225.13的要求；b)在用戶主動操作刪除數(shù)據(jù)時，宜由用戶進(jìn)一步確認(rèn)或取消數(shù)據(jù)刑除操作。6.3.6運(yùn)行安全具體要求包括：a)應(yīng)用應(yīng)能夠穩(wěn)定運(yùn)行，不能頻繁出現(xiàn)失去響應(yīng)、非正常退出、功能失效、系統(tǒng)崩潰等現(xiàn)象；b)對于常見的操作系統(tǒng)、屏幕等應(yīng)具有良好的兼容性。應(yīng)支持處理可預(yù)知的用戶錯誤，且不影響應(yīng)用的正常工作6.4功能分類安全要求APP自身提供支付功能，其支付功能安全應(yīng)滿足JR/T0092-2019第5章節(jié)的要求。具體要求包括：a)客戶端應(yīng)用軟件使用所必需的個人信息應(yīng)僅包含獲取用戶的移動電話號碼、病情描述；b)客戶端應(yīng)用軟件不應(yīng)明文存儲、傳輸問診時的病情描述信息，以及既往病史、社會史、家族史癥狀和生活方式等各類病歷記載的數(shù)據(jù)。具體要求包括：a)客戶端應(yīng)用軟件提供掛號功能的，使用所必需的個人信息應(yīng)僅包含用戶的移動電話號碼、患者的姓名、證件類型和號碼、預(yù)約掛號的醫(yī)院和科室信息；b)客戶端應(yīng)用軟件不應(yīng)明文存儲、傳輸掛號信息的歷史數(shù)據(jù)。6.4.4可穿戴設(shè)備