互联网医疗健康移动应用安全技术要求

互联网医疗健康移动应用安全技术要求本文件规定了互联网医疗健康移动应用安全技术要求，主要包含升级安全、应用软件制、访问控制、逻辑安全、密码算法及密钥要求、数据安全及运行安全要求本文件适用于互联网医疗健康移动应用的开发、运营过程仅该日期对应的版本适用于本文件。不注日期的引用文件，其最新版本(包括所有的修改单)适用于本文件。GB/T25069信息安全技术术语GB/T35273-2020信息安全技术个人信息安全规范GB/T37092-2018信息安全技术密码模块安全要求GB/T41479-2022信息安全技术网络数据处理安全要求JR/T0092-2019移动金融客户端应用软件安全管理规范GB/T25069界定的以及下列术语和定义适用于本文件。实现了安全功能的硬件、软件和/或固件的集合，并且被包含在密码边界内。APP移动终端应用(mobileAPPlication)CNVD国家信息安全漏洞库(ChCNVD国家信息安全漏洞共享平台(ChinaNationalVulnerabilityDatabaso)3医疗健康APP的安全技术要求由产品形态、功能类型决定。产品形态决定了其在安全性、可靠性等方面的基本要求，包括升级安全、自身安全、鉴别机制、逻辑安全、密码算法和密钥、数据安全、运行安全。产品形态主要分为传统应用、轻应用两种，传统应用是指能直接运行于Android和10S、鸿蒙操作系统的应用程序，轻应用指的是H5应用、小程序、快应用。医疗健康APP的功能类型决定了其在安全性、可靠性等方面的特殊要求，例如具备电商类功能的APP需要保护用户的支付交易安全，具备健康管理功能的APP需要保护用户健康相关的个人隐私安全等。常见的医疗健康APP可以分为在线寻医问诊类、预约挂号/导诊类、医药电商服务类、健康管理类型和垂直小众类。6安全技术要求本文件依据医疗健康APP的产品形态、功能类型对其进行分类，并提出不同的安全技术要求，见表表1医疗健康APP安全技术要求表其中，所有传统应用应遵循6.2章节的安全技术要求，轻应用应遵循6.3章节安全技术要求。此外，根据医疗健康APP功能分类不同，在线寻医问诊类应用还应遵循6.4.2章节的安全技术要求，预约挂号导诊类应用还应遵循6.4.3、6.4.4、6.4.5章节的安全技术要求，医药电商服务类应用还应遵循6.4.1章节的安全技术要求，健康管理类应用还应遵循6.4.4章节的安全技术要求。6.2传统应用安全要求6.2.1升级安全具体要求包括：更新过程中，应采用安全机制保证升级的时效性(如自动升级、更新通知)和准确6.2.2应用软件自身安全具体要求包括：a)不应留有违反或绕过安全规则的接口；b)应用应包含供应者或开发者的签名信息且签名信息真实有效；c)应提供有效的机制(如混淆技术)防止程序被反编译、调试、注入等d)不应存在CNVD、CNNWD等平台已公布6个月以上的高危及以上等级漏洞e)宜具备对应用运行过程中的态势感知能力。6.2.3鉴别机制具体要求包括；a)具备用户登录功能的应至少支持一种身份认证方式，如口令、验证码、指纹等4b)应具备鉴别失败处理措施，如连续多次鉴别失败后自动锁定该账户一定时间6.2.3.2口令安全机制具体要求包括：a)口令在存储过程中不应出现明文：b)修改或找回口令时，应具备验证机制，以防止口令的被非授权获取或算改c)口令在使用过程中宜具备防键盘劫持机制，无法劫持获取用户输入的口令。6.2.3.3验证码安全机制具体要求包括a)验证码应在服务器端生成b)图片验证码在使用过程中应具备一定的抗机器识别能力：c)邮件、手机短信验证码应具有防重放攻击机制6.2.4访问控制具体要求包括：a)如采用基于用户角色的访问控制技术，用户登录成功后，应仅能访问被授权的功能应用未经过用户明确许可前，不能访问、修改和删除其他应用的个人信息；b)应用应遵循操作系统的访问控制机制，不能未授权访问、修改终端资源及其配置。6.2.5逻辑安全6.2.5.1安全设计要求具体要求包括：a)对于认证、校验等安全保证功能的流程设计应充分考虑其合理性，避免逻辑漏洞的出现，保护认证流b)应用程序不应调用CNMD、CNNVD等平台已公布6个月以上的高危及以上等级漏洞的函数，不存在敏感数据硬编码。6.2.5.2权限控制要求具体要求包括：a)应用软件向移动终端操作系统申请权限时，应申请业务功能所必需的权限：b)应用软件向移动终端操作系统申请权限时，应同步告知申请权限的目的：c)应用软件宜在使用过程中，根据实际需求即时申请权限，已经获得用户授权的除外。(如应用软件应在用户需要扫码时申请相机权限)6.2.6密码算法及密钥要求6.2.6.1密码算法密码算法、密钥长度及密钥管理方式应符合国家标准、密码行业标准的要求，不应使用当前不安全的密码算法。6.2.6.2密钥管理要求具体要求包括：5a)密钥在传输过程中应使用密码算法对密钥进行保护：b)随机生成的密钥应具有一定的随机性与不可预测性。6.2.6.3密码模块具体要求如下：a)应用可支持软密码模块，宜支持符合GB/T37092二级及以上要求的软件或硬件密码模块：b)应用可通过软密码模块实现数据加密、数字签名、身份认证等功能：c)应用可通过软密码模块实现防克隆、防逆向调试等防护6.2.7数据安全6.2.7.1数据存储安全个人敏感信息的存储应采用加密等安全措施，个人敏感信息的判定依照GB/T35273。6.2.7.2数据传输安全不应以明文形式通过网络传输数据。6.2.7.3数据删除数据副除应符合国家法律、行政法规相关的规定，具体要求包括：a)应用涉及网络数据删除的，应遵循GB/T41479-20225.13的要求；b)在用户主动操作删除数据时，宜由用户进一步确认或取消数据制除操作。6.2.8运行安全具体要求包括：a)应用应稳定运行，不能频繁出现失去响应、非正常退出、功能失效、系统崩溃等现象；b)在运行过程中，应支持随时停止、退出。应支持处理可预知的用户错误，且不影响应用的正常工作。6.3轻应用安全要求6.3.1应用软件自身安全具体要求包括：a)不应留有违反或绕过安全规则的接口：b)应用应包含供应者或开发者的签名信息且签名信息真实有效：应提供有效的机制(如混淆技术)防止程序被反编译、调试、注入等；c)不应存在CNVD、CND等平台已公布6个月以上的高危及以上等级漏洞；d)宜具备对应用运行过程中的态势感知能力。6.3.2鉴别机制具体要求包括：a)未授权登录时，应弹出提醒：先授权再操作对应功能b)已授权登录后，应自动以登录的身份行驶业务操作权限，如咨询、支付、数据查询等。6.3.3.1安全设计要求具体要求包括a)对于认证、校验等安全保证功能的流程设计应充分考虑其合理性，避免逻辑漏洞的出现，保护认证流程不被绕过；b)应用程序代码不应存在调用CNVD、CNNVD等平台己公布6个月以上的高危及以上等级漏洞的函c)不应存在敏感数据硬编码6.3.3.2权限控制要求应用软件向操作系统申请权限时，应遵循最小权限原则。6.3.4密码算法及密钥要求密码算法、密钥长度及密钥管理方式应符合国家标准、密码行业标准的要求，不应使用当前不安全密码算法。6.3.4.2密钥管理要求具体要求包括：a)密钥在传输过程中应使用密码算法对密钥进行保护；b)随机生成的密钥应具有一定的随机性与不可预测性6.3.5数据安全6.3.5.1数据存储安全个人敏感信息(如设备信息，患者身份信息等)应以密文形式存储，个人敏感信息的判定依照GB/T6.3.5.2数据传输安全不应以明文形式通过网络传输数据。6.3.5.3数据删除数据删除应符合国家法律、行政法规相关的规定，具体要求包括：a)应用沙及网络数据删除的，应遵循GB/T41479-20225.13的要求；b)在用户主动操作删除数据时，宜由用户进一步确认或取消数据刑除操作。6.3.6运行安全具体要求包括：a)应用应能够稳定运行，不能频繁出现失去响应、非正常退出、功能失效、系统崩溃等现象；b)对于常见的操作系统、屏幕等应具有良好的兼容性。应支持处理可预知的用户错误，且不影响应用的正常工作6.4功能分类安全要求APP自身提供支付功能，其支付功能安全应满足JR/T0092-2019第5章节的要求。具体要求包括：a)客户端应用软件使用所必需的个人信息应仅包含获取用户的移动电话号码、病情描述；b)客户端应用软件不应明文存储、传输问诊时的病情描述信息，以及既往病史、社会史、家族史症状和生活方式等各类病历记载的数据。具体要求包括：a)客户端应用软件提供挂号功能的，使用所必需的个人信息应仅包含用户的移动电话号码、患者的姓名、证件类型和号码、预约挂号的医院和科室信息；b)客户端应用软件不应明文存储、传输挂号信息的历史数据。6.4.4可穿戴设备