T∕GDCKCJH 072-2023 人工智能医学信息系统软件网络安全要求

人工智能医学信息系统软件网络安全要求Securityrequirement2023-04-28发布2023-05-01实施广东省测量控制技术与装备应用促进会发布I前言 Ⅱ 12规范性引用文件 13术语和定义 14人工智能信息系统软件网络安全功能要求 5人工智能信息系统软件网络安全非功能要求 56人工智能信息系统软件网络安全保证水平 本文件按照GB/T1.1—2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定起草。请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。本文件由广东省测量控制技术与装备应用促进会提出并归口。本文件起草单位：工业和信息化部电子第五研究所、华南理工大学、中国科学院上海技术物理研究所、互云(广州)医学影像诊断有限责任公司、广东省药品监督管理局审评认证中心。本文件主要起草人：李丹、刘杰、云雷、马燕娇、汤锦依、章婷华、吴凯、周静、王明庆、陈铭湘、赖锦坝。本文件为首次发布。T/GDCKCJH072—2023本文件遵循《人工智能医学软件产品网络安全技术审评指导原则》的要求，该指导原则是人工智能医学信息系统软件审评指导体系构建的组成部分，基于人工智能医疗器械审评指导原则和医疗器械网络安全注册审查指导原则的通用要求，细化了人工智能医学软件网络安全的一般要求。1T/GDCKCJH072—2023人工智能医学信息系统软件网络安全要求1范围本文件规定了人工智能医学信息系统软件网络安全的功能要求、非功能要求和安全保证水平。本文件适用于人工智能医学信息系统软件产品网络安全的设计与实现，也可用于产品测试、评估、注册审查和管理。2现范性引用文件下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本(包括所有的修改单)适用于本文件。YY,T0664—2020医疗器械软件软件生存周期过程3术语和定义GB/T25069—2022、YY/T0664-2020界定的及下列术语和定义适用于本文件。信息对未授权的个人、实体或过程不可用或不泄露的性质，即人工智能医学信息系统软件产品自身和相关数据、模型仅可由授权用户在授权时间以授权方式进行访问和使用。抗抵赖性non-repudiation证明一个已经发生的操作行为无法否认的性质。可由经授权实体按需访问和使用的性质，即人工智能医学信息系统软件产品自身和相关数据、模型能以预期方式适时进行访问和使用。可核查性accountability2确保从一个实体的行为能唯一地追溯到该实体的性质。实体的活动及结果与预期行为和结果一致的性质。能够绕过系统认证等安全机制的管控而进入信息系统的通道。鲁棒性/健壮性robustness对某一系统或组件在无效数据输入或者在高强度输入等环境下，描述其各项功能均能保持正确运行的性质。完整性integrity信息的创建、传输、存储、显示未以非授权方式进行更改(含删除、添加)的性质，即人工智能医学信息系统软件相关数据、模型是准确和完整的，且未被篡改。网络安全security对某一系统，据以获得保密性、完整性、可得性、可核查性、真实性以及可靠性的性质。人工智能医学信息系统软件网络安全是指保护软件产品自身和相关数据、模型不受未授权活动影响的状态，涉及信息安全、网络安全、数据安全、人工智能安全等，本文件对四者不做严格区分，统一采用网络安全进行表述，即从网络安全角度综合考虑其信息安全、数据安全和人工智能安全。真实性authenticity实体符合其所声称的活动及结果与预期行为的性质。拒绝服务denialorservice;DoS因阻止对系统资源的授权访问或延迟系统运行和功能实现而导致授权用户的可得性受损。计算机程序中任何可识别部分，例如：源代码、目标代码、控制代码、控制数据或这些项的集有细织的、经集成的软件项组合、以完成某个特定功能或一组功能。3T/GDCKCJH072—20234.1总则人工智能医学信息系统软件产品(以下简称产品)应根据人工智能医学信息系统软件特性分析下列网络安全功能的适用性，这些网络安全功能既可通过软件自身功能实现，亦可通过必备软件、外产品必须具有但不仅限于4.2～4.23功能。产品应具有通过固化措施对网络攻击和恶意软件4产品应具有直接去除、匿名化数据所含个人产品应具有确保数据未以非授权方式更改且来自创建者或提供者的能力。产品应有能力确保未授权访问不会损坏存储媒介所存数据保密产品应有能力在全生命周期中对现成软件提供网4.20网络安全特征配置(CNFS)产品应提供在预期紧急情况下允许用户访问和T/GDCKCJH072—20235产品应有能力确保用户远程访问与控制(含远程维护与升级)的网络安全。4.23恶意软件探测与防护(MLDP)产品应能有效探测、阻止恶意软件。5人工智能医学信息系统软件网络安全非功能要求5.1训练数据保护验证产品应确保在数据构建阶段有效保护训练数据的安全，如提供安全的存储环境、完备的安全配置、确保数据不被恶意修改等，并确保训练数据得到用户授权。5.2模型训练生成阶段依赖的环境和库的安全产品应确保摸型训练环境、开发框架、组件、依赖库的安全性能，人工智能医学信息系统软件不存在权威漏洞平台6个月前公布且未经处置的高危及以上的安全漏洞。5.3不留后门软件不应留有后门，模型不应有后门。5.4不包含恶意软件软件自身、开发环境不应包含恶意软件。5.5防拒绝服务攻击产品应支持防DoS/DDoS攻击。5.6支持商用密码产品在需要使用密码的位置，应提供对商用密码的支持。5.7抵御持定攻击产品应具有抵御针对数据、模型、资源攻击的机制。包括：a)可抵御数字对抗样本的攻击；J)可抵御数据污染攻击c)可抵御物理对抗攻击；d)可抵御算法模型窃取攻击；e)可抵御算法模型逆向攻击；f)可抵御成员推理攻击；T/GDCKCJH072—20236g)可抵御输入预处理攻击；h)可抵御反馈更新投毒攻击；i)可抵御模型部署文件篡改攻击。5.8防止系统软件被滥用产品应能防止人工智能医学信息系统软件服务被攻击者利用作恶意用途。6人工智能医学信息系统软件网络安全保证水平产品应根据在预期使用环境下遭受网络安全威胁的可能性和一旦威胁成功带来的风险综合评定软件网络安全保证水平。软件风险除了可能引发的对患者、操作者或其他人员伤害，还可能包括患者、操作者或其他人员的隐私泄露。在通常情形下，软件安全风险是软件网络安全风险的主要关注部分，可参照软件安全级别(A、B或C)确定产品网络安全保证水平；在特殊情形下，可以基于隐私泄露风险、可得性丧失风险、经济风险等评估结果，适当提高网