T-TAF 107-2022 智能可穿戴設(shè)備安全 醫(yī)療健康可穿戴設(shè)備安全技術(shù)要求與測試方法

Securityofsmartwearabledandtestingmethodsformedicalandhea電信終端產(chǎn)業(yè)協(xié)會發(fā)布I 1 1 1 2 2 2 2 3 3 4 4 4 4 4 5 5 6 6 7 7 7 8 8 9 9 請注意本文件的某些內(nèi)容可能涉及專利。本文件的發(fā)布機(jī)構(gòu)不承擔(dān)識別專利的責(zé)任。本文件起草單位：中國信息通信研究院、鄭州信大捷安信息技術(shù)股份有限公司、聯(lián)想（北京）有本文件主要起草人：徐曉娜、國煒、魏凡星、路曄綿、李煜光、杜云、寧華、劉為華、劉獻(xiàn)倫、隨著醫(yī)療健康可穿戴設(shè)備的應(yīng)用場景越來越豐富，智能手環(huán)/手表、智能眼鏡、家儀等可聯(lián)網(wǎng)的醫(yī)療健康可穿戴設(shè)備已廣泛應(yīng)用于個(gè)人和家庭健康監(jiān)測，如果僅沿用通用的消費(fèi)電子產(chǎn)品的測試標(biāo)準(zhǔn)和設(shè)備，已不能夠評價(jià)真實(shí)的使用環(huán)境、使用場景對結(jié)果可靠性的影響。同時(shí)，可聯(lián)網(wǎng)醫(yī)療健康可穿戴設(shè)備的數(shù)據(jù)和網(wǎng)絡(luò)安全成為了當(dāng)前行業(yè)最為關(guān)注的問題?？陕?lián)網(wǎng)的醫(yī)療健康可穿戴設(shè)備當(dāng)前作為最貼近人體實(shí)時(shí)監(jiān)測健康數(shù)據(jù)的裝置，其監(jiān)測得到的數(shù)據(jù)大多屬于個(gè)人信息。然而，近幾年中相關(guān)行業(yè)出現(xiàn)了大量安全漏洞并發(fā)生數(shù)據(jù)泄露事件，可聯(lián)網(wǎng)的醫(yī)療健康可穿戴設(shè)備正日益成為數(shù)據(jù)和網(wǎng)絡(luò)安全違規(guī)的渠道。如果用戶數(shù)據(jù)安全得不到有效保障、設(shè)備網(wǎng)絡(luò)安全威脅得不到有效遏制，這些風(fēng)險(xiǎn)會給設(shè)備管理和運(yùn)營方產(chǎn)生重大影響，同時(shí)也對用戶的數(shù)本文件從信息通信安全的角度制定可聯(lián)網(wǎng)的醫(yī)療健康可穿戴設(shè)備安全技術(shù)要求和測試方法，適用于相關(guān)產(chǎn)品設(shè)備生產(chǎn)廠商、方案商、行業(yè)用戶及測試實(shí)驗(yàn)室等，可為國內(nèi)該領(lǐng)域產(chǎn)品提供技術(shù)參考，1智能可穿戴設(shè)備安全醫(yī)療健康可穿戴設(shè)備安全技術(shù)要求與測試方法下列文件中的內(nèi)容通過文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，注日期的引用文件，僅該日期對應(yīng)的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修改單）適GB/T34978-2017信息安全技術(shù)移動(dòng)智能終端個(gè)人信息保護(hù)GB/T35273信息安全技術(shù)個(gè)人信息安全醫(yī)療健康可穿戴設(shè)備medicalandhealth通過傳感器、無線通信、多媒體等技術(shù)，以直接穿戴在身上（如手環(huán)、手表、眼鏡、服飾等）、表皮植入或搭載在移動(dòng)通信設(shè)備上的應(yīng)用形式，進(jìn)行人體各項(xiàng)生理體征數(shù)據(jù)測量\采集的便攜式醫(yī)療或通常由用戶錄入，反映用戶個(gè)人基本情況的信息，包括個(gè)人基本資料、個(gè)人身份信息、個(gè)人生物注1：個(gè)人基本資料包括個(gè)人姓名、生日、性別、民族、國籍、家庭關(guān)系、住址、個(gè)人電話號碼、電子郵件地址監(jiān)測診療數(shù)據(jù)monitoring&diagnosis2設(shè)備監(jiān)測采集的用戶生理、生化、體征等數(shù)據(jù)，包括血壓、血糖、心率、血氧飽和度、體溫、呼行為情緒數(shù)據(jù)behavioral&emotiona設(shè)備采集計(jì)算的用戶行為和情緒相關(guān)數(shù)據(jù)，包括步數(shù)、距離、消耗能量、行走軌跡、鍛煉時(shí)長、設(shè)備采集的用戶所處環(huán)境相關(guān)數(shù)據(jù)，包括溫度、濕度、紫外線指數(shù)、污染指數(shù)、地理位置、噪聲主要為MEMS（Micro-Electro-MechanicalSystem），包主要為生物傳感器，包括血糖傳感器、血壓傳感器、心電傳感器、肌電傳感器、體溫傳感器和腦4縮略語APP：移動(dòng)通信終端應(yīng)用程序（Application）CNVD：國家信息安全漏洞共享平臺（ChinaNationalVulnerabilityDatabWLAN：無線局域網(wǎng)（WirelessLocalAreaNetwork）5.1醫(yī)療健康可穿戴設(shè)備分類及應(yīng)用場景醫(yī)療健康可穿戴設(shè)備主要應(yīng)用場景包括：輔助診斷、慢性疾病管理、——疾病監(jiān)測類可穿戴設(shè)備具有生命體征監(jiān)測等功能，常用于疾病的輔助診斷、慢病管理和康復(fù)——運(yùn)動(dòng)健康類可穿戴設(shè)備具有人體健康態(tài)評估等功能，5.2整體架構(gòu)3管理客戶端為用戶提供通過云平臺對醫(yī)療健康可穿戴設(shè)備進(jìn)行遠(yuǎn)程操作的接口，其應(yīng)對其臨時(shí)存儲或長久存儲的數(shù)據(jù)進(jìn)行保護(hù)，并配合醫(yī)療健康可穿戴設(shè)備云平臺對數(shù)據(jù)傳輸進(jìn)行保護(hù)，同時(shí)采用安云平臺通過網(wǎng)絡(luò)接入管理客戶端和醫(yī)療健康可穿戴設(shè)備，應(yīng)保證交互數(shù)據(jù)的傳輸安全，同時(shí)承擔(dān)管理客戶端對設(shè)備端接入、控制、授權(quán)等操作的5.3數(shù)據(jù)分類及定義根據(jù)內(nèi)容的不同，醫(yī)療健康可穿戴設(shè)備的數(shù)據(jù)分為用戶數(shù)據(jù)和設(shè)備用戶數(shù)據(jù)為設(shè)備使用用戶的個(gè)人相關(guān)數(shù)據(jù)，包括用戶基本信息、監(jiān)測診療數(shù)據(jù)、行為情緒數(shù)據(jù)和設(shè)備數(shù)據(jù)為設(shè)備運(yùn)行狀況相關(guān)的數(shù)據(jù)，包括用5.4數(shù)據(jù)分級為使醫(yī)療健康可穿戴設(shè)備對其設(shè)備和應(yīng)用中處理的數(shù)據(jù)提供完善的安全保護(hù)機(jī)制，基于泄露對用戶隱私造成的影響，將醫(yī)療健康可穿戴設(shè)備的數(shù)據(jù)分為2級，分別是敏感級數(shù)據(jù)、一般級數(shù)據(jù)，分級具一旦泄露對用戶生命、財(cái)產(chǎn)、健康等個(gè)人身份信息、個(gè)人生物特征信息、4一旦泄露對用戶生命、財(cái)產(chǎn)、健康產(chǎn)生較少或可控的影響、或不會產(chǎn)生影響一般的個(gè)人健康數(shù)據(jù)、監(jiān)測診療數(shù)據(jù)、行為情緒數(shù)據(jù)、環(huán)境數(shù)據(jù)、設(shè)備醫(yī)療健康可穿戴設(shè)備會產(chǎn)生大量與人體健康等密切相關(guān)的數(shù)據(jù)，在為人們提供便捷服務(wù)的同時(shí)，面臨的主要安全風(fēng)險(xiǎn)是數(shù)據(jù)泄露和被篡改，數(shù)據(jù)一旦泄露或被篡改，會給設(shè)備管理和運(yùn)營方產(chǎn)生重大影響，同時(shí)也對用戶的數(shù)據(jù)安全及切身利益帶來極大醫(yī)療健康可穿戴設(shè)備面臨的安全風(fēng)險(xiǎn)包括本地安全風(fēng)險(xiǎn)和遠(yuǎn)程安全風(fēng)險(xiǎn)，其中本地安全風(fēng)險(xiǎn)主要有用戶數(shù)據(jù)竊取、固件被非法讀取或篡改、本地?cái)?shù)據(jù)偽造等；遠(yuǎn)程安全風(fēng)險(xiǎn)主要有遠(yuǎn)程接入安全、遠(yuǎn)醫(yī)療健康可穿戴設(shè)備應(yīng)具有足夠的防護(hù)措施，保證用戶數(shù)據(jù)在設(shè)備端、云平臺和通信過程中的機(jī)醫(yī)療健康可穿戴設(shè)備應(yīng)確保只有合法用戶通過設(shè)定的方法和權(quán)限進(jìn)行訪問、控制，并確保用戶數(shù)醫(yī)療健康可穿戴設(shè)備在固件存儲、固件升級等方面應(yīng)有足夠的防護(hù)，保證固件安全、固件升級包醫(yī)療健康可穿戴設(shè)備應(yīng)具有足夠的安全防護(hù)醫(yī)療健康可穿戴設(shè)備與云平臺、醫(yī)療健康可穿戴設(shè)備與管理客戶端、醫(yī)療健康可穿戴設(shè)備與網(wǎng)關(guān)醫(yī)療健康可穿戴設(shè)備與云平臺、醫(yī)療健康可穿戴設(shè)備與管理客戶端、醫(yī)療健康可穿戴設(shè)備與網(wǎng)關(guān)a)醫(yī)療健康可穿戴設(shè)備對用戶數(shù)據(jù)中用戶基本信息的收集通常應(yīng)在提供相應(yīng)服務(wù)的同時(shí)進(jìn)行。出于業(yè)務(wù)需要而必須事先收集相關(guān)數(shù)據(jù)，應(yīng)向用戶明示事先收集的目的和范圍，并且只有在用戶同意的情況下方可繼續(xù)。醫(yī)療健康可穿戴設(shè)備應(yīng)向用戶提供關(guān)閉數(shù)據(jù)采集5b)疾病監(jiān)測類可穿戴設(shè)備在關(guān)閉數(shù)據(jù)采集功能前，應(yīng)對用戶身份進(jìn)行認(rèn)證；c)醫(yī)療健康可穿戴設(shè)備在將用戶數(shù)據(jù)存儲在終端內(nèi)部時(shí)，敏感級信息應(yīng)與監(jiān)測診療數(shù)據(jù)分開存d)醫(yī)療健康可穿戴設(shè)備若通過網(wǎng)絡(luò)接口傳輸用戶數(shù)據(jù)，應(yīng)對數(shù)據(jù)進(jìn)行加密，確保信息在網(wǎng)絡(luò)傳e)醫(yī)療健康可穿戴設(shè)備終端不應(yīng)有未向用戶明示且未經(jīng)用戶同意，擅自修改、刪除、轉(zhuǎn)移或拷貝用戶基本信息的行為。若將用戶基本信息存儲在終端內(nèi)部，終端設(shè)備應(yīng)提供相應(yīng)選項(xiàng)，允所采用WLAN、藍(lán)牙、ZigBee等無線通信協(xié)議應(yīng)支應(yīng)具備非法報(bào)文處理能力，當(dāng)接收到非法報(bào)文時(shí)應(yīng)能夠正確a)醫(yī)療健康可穿戴設(shè)備各個(gè)執(zhí)行主體之間在進(jìn)行數(shù)據(jù)傳輸時(shí)，除傳輸數(shù)據(jù)主體外，應(yīng)附加用于b)醫(yī)療健康可穿戴設(shè)備各個(gè)執(zhí)行主體之間在進(jìn)行數(shù)據(jù)傳輸時(shí)，可根據(jù)傳輸不同分類級別的數(shù)據(jù)c)醫(yī)療健康可穿戴設(shè)備各個(gè)執(zhí)行主體之間在進(jìn)行數(shù)據(jù)傳輸時(shí)，應(yīng)采用密碼機(jī)制保證數(shù)據(jù)傳輸完整性，采用的密碼機(jī)制應(yīng)符合有關(guān)法律、行政法規(guī)和相關(guān)國家標(biāo)準(zhǔn)、行業(yè)標(biāo)準(zhǔn)要d)在檢測到傳輸數(shù)據(jù)的完整性遭到破壞時(shí)，應(yīng)采取措施a)醫(yī)療健康可穿戴設(shè)備各執(zhí)行主體之間在進(jìn)行數(shù)據(jù)傳輸時(shí)，應(yīng)采用密碼機(jī)制對傳輸數(shù)據(jù)進(jìn)行加b)醫(yī)療健康可穿戴設(shè)備各執(zhí)行主體之間對于敏感級數(shù)據(jù)的傳輸，應(yīng)采用有必要安全強(qiáng)度的加密c)醫(yī)療健康可穿戴設(shè)備各執(zhí)行主體之間在傳輸加密數(shù)據(jù)時(shí)，應(yīng)每次采用不同密鑰的加密傳輸方d)醫(yī)療健康可穿戴設(shè)備各執(zhí)行主體之間傳輸數(shù)據(jù)時(shí)的加密算法應(yīng)符合有關(guān)法律、行政法規(guī)和相e)醫(yī)療健康可穿戴設(shè)備各執(zhí)行主體之間在進(jìn)行數(shù)據(jù)傳輸時(shí)，若涉及密鑰管理，密鑰管理策略應(yīng)6a)醫(yī)療健康可穿戴設(shè)備各執(zhí)行主體之間在進(jìn)行數(shù)據(jù)傳輸時(shí)，應(yīng)采用機(jī)制防止數(shù)據(jù)包或報(bào)文的重b)醫(yī)療健康可穿戴設(shè)備各執(zhí)行主體之間在進(jìn)行數(shù)據(jù)傳輸時(shí)，可使用序列碼或時(shí)間戳實(shí)現(xiàn)抗重放c)醫(yī)療健康可穿戴設(shè)備各執(zhí)行主體之間在進(jìn)行數(shù)據(jù)傳輸時(shí)，可在數(shù)據(jù)中加入與當(dāng)前事件有關(guān)的a)宜支持對病毒、木馬的查殺，攔截惡意軟件的攻擊；b)不應(yīng)存在已知或在CNVD、CNNVD等平臺公布6個(gè)月以上的高危及以系統(tǒng)應(yīng)具備更新機(jī)制，更新前應(yīng)向用戶提示更新內(nèi)容的簡要說明，供用戶判斷和選擇。安全更新a)系統(tǒng)更新時(shí)，應(yīng)對更新文件的來源和完整性進(jìn)行校驗(yàn)，并應(yīng)具有原始數(shù)據(jù)備份能力，能夠進(jìn)b)系統(tǒng)更新失敗時(shí)，應(yīng)保證系統(tǒng)的可用性并給予用戶相應(yīng)的提示；c)系統(tǒng)應(yīng)具備通過補(bǔ)丁或軟件升級的方式消除高危及以上等級安全漏洞的能力。b)應(yīng)提供并啟用用戶身份標(biāo)識唯一和鑒別信息復(fù)雜度檢查功能，保證應(yīng)用系統(tǒng)中不存在重復(fù)用c)應(yīng)提供并啟用登錄失敗處理功能，可采取結(jié)束會話、限制非法登錄嘗試次數(shù)等措施；a)應(yīng)實(shí)現(xiàn)用戶權(quán)限最小化管理，使用分權(quán)原則，避免發(fā)生權(quán)限被濫用等情況；b)疾病監(jiān)測類可穿戴設(shè)備如具備多種用戶角色，應(yīng)對設(shè)備作用用戶（被監(jiān)測者）和設(shè)備操作用戶（醫(yī)護(hù)人員等）進(jìn)行角色分離設(shè)置，在對角色權(quán)限控制的基礎(chǔ)上，按照業(yè)務(wù)流程的需求觸7b)設(shè)備網(wǎng)絡(luò)端口不應(yīng)泄露敏感Banner信息，防止攻擊者獲取后降低攻擊醫(yī)療健康可穿戴設(shè)備運(yùn)行的應(yīng)用軟件應(yīng)采用認(rèn)證簽名機(jī)制，未經(jīng)認(rèn)證簽名的應(yīng)用軟件僅當(dāng)用戶進(jìn)預(yù)置應(yīng)用軟件不應(yīng)存在后門等隱藏接口，不應(yīng)存在已知或在CNVD、CNNVD等平臺公布6個(gè)月以上的高危及以上等級漏洞，不應(yīng)含有非授權(quán)收集或泄露用戶信息、非法數(shù)據(jù)外客戶端APP應(yīng)能對訪問者進(jìn)行身份驗(yàn)證，只接受通過認(rèn)證的用戶的訪問，同時(shí)應(yīng)對敏感級數(shù)據(jù)進(jìn)行應(yīng)加密存儲敏感級數(shù)據(jù)，敏感級數(shù)據(jù)存儲路徑應(yīng)設(shè)置嚴(yán)格的訪問控制機(jī)制，避免數(shù)據(jù)泄露。用于應(yīng)采取代碼混淆、加殼等防護(hù)措施，實(shí)現(xiàn)客戶端APP反應(yīng)對程序的完整性、參數(shù)內(nèi)容的完整性和有效性進(jìn)行檢查，以防御篡改硬件功能實(shí)現(xiàn)應(yīng)與提供給用戶的說明文檔相一致，不應(yīng)存在未聲明或隱藏的功能。例如應(yīng)關(guān)閉隱藏調(diào)試功能，防止廠商在未獲得用戶授權(quán)的情況下獲得對芯片內(nèi)部的訪問或芯片功能更改的能力。a)硬件內(nèi)部模塊的安全屬性和芯片間通信協(xié)議等安全實(shí)現(xiàn)應(yīng)符合有關(guān)法律、行政法規(guī)和相關(guān)國家標(biāo)準(zhǔn)、行業(yè)標(biāo)準(zhǔn)要求，隨機(jī)數(shù)熵源應(yīng)達(dá)到相關(guān)8b)硬件資源支持密碼算法的安全性應(yīng)符合有關(guān)法律、行政法規(guī)和相關(guān)國家標(biāo)準(zhǔn)、行業(yè)標(biāo)準(zhǔn)要求，密鑰的產(chǎn)生、分發(fā)、使用、存儲、銷毀應(yīng)有相應(yīng)安全c)對于安全等級要求高的疾病監(jiān)測類可穿戴設(shè)備，宜采用符合相關(guān)國家標(biāo)準(zhǔn)、行業(yè)標(biāo)準(zhǔn)要求的d)應(yīng)關(guān)閉不必要的下載、調(diào)試端口。a)應(yīng)具備容錯(cuò)能力，能夠防御由針對芯片b)對于支持安全模塊的芯片，應(yīng)具備固件芯片的物理寫保護(hù)的功能，防止固件被篡改；f)芯片宜使用拆卸存跡硬質(zhì)涂層，防止直接觀察、探測芯片內(nèi)部，并在企圖拆卸或移動(dòng)芯片后g)應(yīng)開啟芯片的讀保護(hù)功能，防止固件被讀取后進(jìn)行逆向、篡改。應(yīng)具備抗能耗攻擊能力，避免由于惡意的能耗攻擊，導(dǎo)致設(shè)備電池電量快速耗盡而功能失效。根據(jù)醫(yī)療健康可穿戴設(shè)備的安全技術(shù)要求的強(qiáng)弱，將產(chǎn)品分為基礎(chǔ)級和增強(qiáng)級，具體安全技術(shù)要97.1個(gè)人信息保護(hù)安全要求a)醫(yī)療健康可穿戴設(shè)備對用戶數(shù)據(jù)中用戶基本信息的收集通常應(yīng)在提供相應(yīng)服務(wù)的同時(shí)進(jìn)行。出于業(yè)務(wù)需要而必須事先收集相關(guān)數(shù)據(jù)，應(yīng)向用戶明示事先收集的目的和范圍，并且只有在用戶同意的情況下方可b)疾病監(jiān)測類可穿戴設(shè)備在關(guān)閉數(shù)據(jù)采集功能前，應(yīng)對用戶身份進(jìn)行認(rèn)c)醫(yī)療健康可穿戴設(shè)備在將用戶數(shù)據(jù)存儲在終端內(nèi)部時(shí)，敏感級信息應(yīng)與監(jiān)測診療數(shù)據(jù)分開存儲。存儲敏感級信息時(shí)，應(yīng)采用加密形式保d)醫(yī)療健康可穿戴設(shè)備若通過網(wǎng)絡(luò)接口傳輸用戶數(shù)據(jù)，應(yīng)對數(shù)據(jù)進(jìn)行加e)醫(yī)療健康可穿戴設(shè)備終端不應(yīng)有未向用戶明示且未經(jīng)用戶同意，擅自修改、刪除、轉(zhuǎn)移或拷貝用戶基本信息的行為。若將用戶基本信息存儲在終端內(nèi)部，終端設(shè)備應(yīng)提供相應(yīng)選項(xiàng)，允許用戶修改或徹底物理a)檢查設(shè)備及控制端應(yīng)用是否存在收集用戶基本信息的行為，若存在收集用戶基本信息的行為，判斷其在收集前是否向用戶明示收集的目的b)檢查設(shè)備及控制端應(yīng)用是否具備關(guān)閉數(shù)據(jù)采集功能，針對疾病監(jiān)測類可穿戴設(shè)備，檢查是否在關(guān)閉數(shù)據(jù)采集功能操作前對用戶身份進(jìn)行認(rèn)c)檢查存儲在終端內(nèi)部的用戶數(shù)據(jù)，是否將用戶基本信息與監(jiān)測診療數(shù)d)讀取設(shè)備上存儲的數(shù)據(jù)，查看敏感級信息是f)檢查設(shè)備及控制端應(yīng)用在修改、刪除、轉(zhuǎn)移或拷貝用戶基本信息之前g)檢查設(shè)備及控制端應(yīng)用是否提供修改或刪除已存儲的用戶基本信息的a)設(shè)備及控制端應(yīng)用不存在收集用戶基本信息的行為；若存在基本信息的行為，則收集前明示用戶收集目的和范圍，并在b)具備關(guān)閉數(shù)據(jù)采集功能，疾病監(jiān)測類可穿戴設(shè)備在關(guān)閉數(shù)據(jù)采集功能c)用戶基本信息與監(jiān)測診療數(shù)據(jù)在終f)在修改、刪除、轉(zhuǎn)移或拷貝用戶基本信息之前向用戶明7.2.1協(xié)議一致性要求檢查設(shè)備所用通信協(xié)議配置信息，查看是否支持設(shè)備授權(quán)認(rèn)證、加應(yīng)具備非法報(bào)文處理能力，當(dāng)接收到非法報(bào)文時(shí)應(yīng)能夠正確處理，防止非檢查設(shè)備所用通信協(xié)議配置信息，查看是否具備非法報(bào)文處理a)醫(yī)療健康可穿戴設(shè)備各個(gè)執(zhí)行主體之間在進(jìn)行數(shù)據(jù)傳輸時(shí)，除傳輸數(shù)據(jù)主體外，應(yīng)附加用于對數(shù)據(jù)進(jìn)行完整性校驗(yàn)的校驗(yàn)信b)醫(yī)療健康可穿戴設(shè)備各個(gè)執(zhí)行主體之間在進(jìn)行數(shù)據(jù)傳輸時(shí)，可根據(jù)傳c)醫(yī)療健康可穿戴設(shè)備各個(gè)執(zhí)行主體之間在進(jìn)行數(shù)據(jù)傳輸時(shí)，應(yīng)采用密碼機(jī)制保證數(shù)據(jù)傳輸完整性，采用的密碼機(jī)制應(yīng)符合有關(guān)法律、行政d)在檢測到傳輸數(shù)據(jù)的完整性遭到破壞時(shí)，應(yīng)采取措施恢復(fù)或重新獲取c)檢查數(shù)據(jù)傳輸時(shí)是否具有密碼機(jī)制，抓包查看傳輸?shù)腷)不同分類級別的數(shù)據(jù)采用不同的數(shù)據(jù)校驗(yàn)方法；c)數(shù)據(jù)傳輸時(shí)具有密碼機(jī)制，傳輸?shù)臄?shù)據(jù)進(jìn)行了加密a)醫(yī)療健康可穿戴設(shè)備各執(zhí)行主體之間在進(jìn)行數(shù)據(jù)傳輸時(shí)，應(yīng)采用密碼b)醫(yī)療健康可穿戴設(shè)備各執(zhí)行主體之間對于敏感級數(shù)據(jù)的傳輸，應(yīng)采用c)醫(yī)療健康可穿戴設(shè)備各執(zhí)行主體之間在傳輸加密數(shù)據(jù)時(shí)，應(yīng)采用不同d)醫(yī)療健康可穿戴設(shè)備各執(zhí)行主體之間傳輸數(shù)據(jù)時(shí)的加密算法應(yīng)符合有e)醫(yī)療健康可穿戴設(shè)備各執(zhí)行主體之間在進(jìn)行數(shù)據(jù)傳輸時(shí)，若涉及密鑰管理，密鑰管理策略應(yīng)能夠解決周期密鑰更新、密鑰撤銷和密鑰分發(fā)a)檢查數(shù)據(jù)傳輸時(shí)是否具有密碼機(jī)制，抓包查看傳輸?shù)臄?shù)據(jù)是e)檢查文檔，若涉及密鑰管理，查看是否保證密鑰e)密鑰管理方案能保證密鑰更新、密鑰撤銷和密鑰分a)醫(yī)療健康可穿戴設(shè)備各執(zhí)行主體之間在進(jìn)行數(shù)據(jù)傳輸時(shí)，應(yīng)采用機(jī)制b)醫(yī)療健康可穿戴設(shè)備各執(zhí)行主體之間在進(jìn)b)醫(yī)療健康可穿戴設(shè)備各執(zhí)行主體之間在進(jìn)行數(shù)據(jù)傳輸時(shí)，可使用序列c)醫(yī)療健康可穿戴設(shè)備各執(zhí)行主體之間在進(jìn)行數(shù)據(jù)傳輸時(shí)，可在數(shù)據(jù)中a)檢查數(shù)據(jù)傳輸是否具有抗重放保護(hù)措施；若有，抓包傳輸?shù)闹胤牛榭磾?shù)據(jù)接收方的處理是否滿足抗重放保b)檢查是否使用序列碼或時(shí)間戳實(shí)現(xiàn)抗重放攻擊；a)具備抗重放保護(hù)機(jī)制，數(shù)據(jù)接收方可識別重放數(shù)據(jù)并將b)使用序列碼或時(shí)間戳實(shí)現(xiàn)抗重放攻擊；a)宜支持對病毒、木馬的查殺，攔截惡意軟a)檢查是否支持對病毒、木馬的查殺，攔截惡意軟件注：對于6個(gè)月以上仍未公布漏洞修復(fù)方法的情況，可采取一定的補(bǔ)a)系統(tǒng)更新時(shí)，應(yīng)對更新文件的來源和完整性進(jìn)行校驗(yàn)，并應(yīng)具有原始數(shù)據(jù)備份能力，能夠進(jìn)行必要的回滾操作，避免更新失敗導(dǎo)致系統(tǒng)失b)系統(tǒng)更新失敗時(shí)，應(yīng)保證系統(tǒng)的可用性并給予用戶相應(yīng)的提示；c)系統(tǒng)應(yīng)具備通過補(bǔ)丁或軟件升級的方式消除高危及以上等級安全漏洞a)啟動(dòng)系統(tǒng)更新，檢查系統(tǒng)更新前是否對系統(tǒng)更新包、更新b)嘗試使系統(tǒng)更新失敗，驗(yàn)證設(shè)備是否恢復(fù)到更新前可用的版本，并給c)檢查系統(tǒng)是否具備通過補(bǔ)丁或軟件升級的方式消除c)具備通過補(bǔ)丁或軟件升級的方式消除高危及以上等檢查是否具備防止越權(quán)攻擊能力，嘗試進(jìn)行未授權(quán)訪問，檢查是b)應(yīng)提供并啟用用戶身份標(biāo)識唯一和鑒別信息復(fù)雜度檢查功能，保證應(yīng)用系統(tǒng)中不存在重復(fù)用戶身份標(biāo)識，身份鑒別信息不c)應(yīng)提供并啟用登錄失敗處理功能，可采取結(jié)束會話、限制非法登錄嘗a)檢查是否具備專用的登錄控制模塊對登錄用戶進(jìn)行身份標(biāo)識和b)檢查是否具備并啟用用戶身份標(biāo)識唯一和鑒別信息復(fù)雜度檢查；a)具備專用的登錄控制模塊對登錄用戶進(jìn)行身份標(biāo)識b)具備并啟用用戶身份標(biāo)識唯一和鑒別信息復(fù)雜度檢查措施；a)應(yīng)實(shí)現(xiàn)用戶權(quán)限最小化管理，使用分權(quán)原則，避免發(fā)生權(quán)限被濫用等b)疾病監(jiān)測類可穿戴設(shè)備如具備多種用戶角色，應(yīng)對設(shè)備作用用戶（患者）和設(shè)備操作用戶（醫(yī)護(hù)人員）進(jìn)行角色分離設(shè)置，在對角色權(quán)限控制的基礎(chǔ)上，按照業(yè)務(wù)流程的需求觸發(fā)操作a)檢查是否實(shí)現(xiàn)用戶權(quán)限最小化管理，使用b)若設(shè)備有多種用戶角色，檢查是否進(jìn)行了角色分離設(shè)置，并具備角色a)具備用戶權(quán)限最小化管理機(jī)制，使用b)若設(shè)備有多種用戶角色，進(jìn)行了角色分離設(shè)置，并具備角色權(quán)限控制b)檢查設(shè)備網(wǎng)絡(luò)端口是否泄露敏感Banner信息。7.6.1應(yīng)用軟件簽名認(rèn)證機(jī)制要求醫(yī)療健康可穿戴設(shè)備運(yùn)行的應(yīng)用軟件應(yīng)采用認(rèn)證簽名機(jī)制，未經(jīng)認(rèn)證簽名檢查應(yīng)用軟件是否采用認(rèn)證簽名機(jī)制，安裝未經(jīng)認(rèn)證簽名的應(yīng)用具備認(rèn)證簽名機(jī)制，安裝未經(jīng)認(rèn)證簽名的應(yīng)用軟件，需預(yù)置應(yīng)用軟件不應(yīng)存在后門等隱藏接口，不應(yīng)存在已知或在CNVD、CNNVD等平臺公布6個(gè)月以上的高危及以上等級漏洞，不應(yīng)含有非授權(quán)收集或泄等平臺公布6個(gè)月以上的高危及以上等級漏洞，不應(yīng)含有非授權(quán)收集或泄c)檢查是否含有非授權(quán)收集或泄露用戶信息、非法數(shù)c)未含有非授權(quán)收集或泄露用戶信息、非法數(shù)據(jù)客戶端APP應(yīng)能對訪問者進(jìn)行身份驗(yàn)證，只接受通過認(rèn)證的用戶的訪問，a)客戶端APP對訪問者進(jìn)行身份驗(yàn)證a)應(yīng)加密存儲敏感級數(shù)據(jù)，敏感級數(shù)據(jù)存儲路徑應(yīng)設(shè)置嚴(yán)格的訪問控制機(jī)制，避免數(shù)據(jù)泄露。用于加密的密鑰應(yīng)采取防護(hù)機(jī)制進(jìn)行保存，避a)