CCS L 80
团体标准
T/CIITA 404-2023
医疗健康自助终端信息安全通用评测规范
General specification of evaluating medical health self-service terminal forinformation security
2023-12-28发布2024-2-1实施
中国信息产业商会发布
目次
前言.....................................................................................II
1 范围......................................................................................1
2 规范性引用文件............................................................................1
3 术语和定义................................................................................1
4 缩略语....................................................................................2
5 信息安全架构..............................................................................2
6 通用要求..................................................................................3
6.1 硬件安全.......................................................................... 3
6.2 操作系统安全...................................................................... 3
6.3 应用软件安全...................................................................... 4
6.4 通信安全.......................................................................... 5
6.5 个人信息安全...................................................................... 5
7 评测方法..................................................................................6
7.1 硬件安全.......................................................................... 6
7.2 操作系统安全...................................................................... 7
7.3 应用软件安全...................................................................... 9
7.4 通信安全......................................................................... 10
7.5 个人信息安全..................................................................... 12
附录A ....................................................................................16
T/CIITA 404-2023
II
前言
本文件按照GB/T 1.1-2020《标准化工作导则第1部分:标准化文件的结构和起草规则》的规定起
草。
请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。
本文件由中国信息产业商会团体标准委员会提出。
本文件由中国信息产业商会归口。
本文件起草单位:华安芯科技(深圳)有限公司、北京尊冠科技有限公司、重庆大学、河南省肿瘤
医院、深圳市航天华拓科技有限公司、深圳市明泰智能技术有限公司、南充市中心医院、北京尊冠科技
有限公司武汉分公司、厦门市易联众易惠科技有限公司、尤尼泰克(嘉兴)信息技术有限公司、南宁市第
五人民医院。
本文件起草人:唐培丽、黄辉、边红丽、郑良、马永新、朱海、黄贵玲、郭雷鸣、苏强、赵秀娟、
何春兰、唐敬波、薛军兴、王春兴、赵霞、罗男、段凯智、朱少昕、施建安、沈怡、赵勇、黄呈隆、王
媛媛、李震、何淑伟、张倩、黄琴、谢波、刘根、郭思源、王金慧。
T/CIITA 404-2023
1
医疗健康自助终端信息安全通用评测规范
1 范围
本文件规定了医疗健康自助终端的信息安全相关的通用要求和评测方法。
本文件适用于医疗健康自助终端信息安全的设计、应用和评测。
2 规范性引用文件
下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文件,
仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于本
文件。
GB/T 25069-2022 信息安全技术术语
GB/T 32927-2016 信息安全技术移动智能终端安全架构
GB/T 34978-2017 信息安全技术移动智能终端个人信息保护技术要求
3 术语和定义
下列术语和定义适用于本文件。
3.1
终端terminal
计算机网络中处于网络最外围的设备,主要用于用户信息的输入以及处理结果的输出。
3.2
医疗健康自助终端medical health self-service terminal
满足于医疗健康服务场景功能需求的终端,通过计算机网络智能化程序响应完成业务办理,用户通
过人机交互自助的方式办理业务。
3.3
用户user
使用医疗健康自助终端的个人信息主体。
[来源:GB/T 32927--2016,3.1.11,有修改]
3.4
应用软件application
医疗健康自助终端系统之上安装的、向用户提供服务功能的应用软件。
[来源:GB/T 32927--2016,3.1.10,有修改]
T/CIITA 404-2023
2
3.5
预置应用软件pre-installed application
由医疗健康自助终端生产企业预置,在医疗健康自助终端主屏幕或辅助屏幕界面(不包含进入界面
后,通过选单进入或者调起的功能)内存在用户交互入口,为满足用户不同的应用需求而提供的、可独
立使用的软件程序。
3.6
个人信息personal Information
以电子或者其他方式记录的能够单独或者与其他信息结合来识别特定自然人身份或者反映其活动
情况的各种信息。
[来源:GB/T 25069-2022《信息安全技术术语》,3.196]
3.7
个人敏感信息personal sensitive information
一旦泄露、非法提供或滥用可能危害人身和财产安全,极易导致个人名誉、身心健康受到损害或歧
视性待遇等的个人信息。
[来源:GB/T 25069-2022《信息安全技术术语》,3.195]
3.8
操作系统operating system
负责计算机的全部软、硬件资源的分配、调度工作的大型程序系统,控制并协调多个任务的活动,
实现信息的存取和保护。
4 缩略语
下列缩略语适用于本文件。
API:应用编程接口(Application Programming Interface)
APP:应用(Application Program)
CNNVD:中国国家信息安全漏洞库(China National Vulnerability Database of Information Security)
CNVD:国家信息安全漏洞共享平台(China National Vulnerability Database)
HTTPS:超文本传输安全协议(Hypertext Transfer Protocol Secure)
SD:安全数字存储卡(Secure Digital Memory Card)
USB:通用串行总线(Universal Serial Bus)
WLAN:无线局域网(Wireless Local Area Network)
5 信息安全架构
根据GB/T 32927-2016,将医疗健康自助服务终端的系统架构分为:硬件、操作系统、应用软件、
通信连接和平台5 个部分。硬件主要包括基础硬件模块、硬件接口和外设;操作系统主要包括硬件驱动、
软件系统内核,各种数据库、基础服务等;应用软件主要包括运行于操作系统之上的各种应用,包括消
费类应用、行业应用等各类应用软件,也包括终端应用;通信连接主要包括网络接入、通信过程、外围
接口。平台是一个集成了设备连接管理、数据采集与存储、数据分析与处理、应用开发与管理、安全与
隐私保护、远程监控与控制等功能的综合平台,用于实现设备的连接、管理和控制,以及对设备数据的
T/CIITA 404-2023
3
采集、存储、分析和应用开发。
根据医疗健康自助终端的系统架构,信息安全分为:硬件安全、操作系统安全、应用软件安全、通
信安全和个人信息安全。
终端信息安全架构见图1。
图1 医疗健康自助服务终端信息安全架构图
6 通用要求
6.1 硬件安全
6.1.1 防止物理攻击
对于防止物理攻击,医疗健康自助服务终端应符合以下要求:
a) 终端硬件芯片应具有防物理攻击的能力,防止信息泄露。物理攻击包括但不限于非侵入式攻
击,半侵入式攻击和侵入式攻击。
b) 芯片加密模块应支持防旁路攻击,以及抵抗错误注入攻击。
6.2 操作系统安全
6.2.1 安全引导
对于安全引导,医疗健康自助服务终端应符合:操作系统应提供安全机制,保证系统启动过程只能
加载可信组件,例如:内核、基带固件等。
6.2.2 签名校验机制
医疗健康自助服务终端操作系统应采用完整性校验手段对核心服务、安全网关、权限管理等关键代
码或文件进行校验,防止关键文件被篡改。
6.2.3 恶意代码防范
医疗健康自助服务终端操作系统应提供安全保护机制防范恶意代码攻击。系统应能检测识别非授权
访问、权限异常变化、恶意软件安装等恶意行为,给予用户警告,并采取相应安全措施(如拒绝访问、
数据隔离等)防止恶意攻击发生。
T/CIITA 404-2023
4
6.2.4 权限控制
对于权限控制,医疗健康自助服务终端产品应符合:若终端除预置应用软件外,还可安装其他应用
软件,则终端应为授权用户提供权限控制机制,防止非预置应用软件非授权访问终端敏感API;权限控
制应包括但不限于定位、拍照、录音等,且控制策略应至少包括允许和拒绝,且用户可以更改。
6.2.5 安全域隔离
医疗健康自助服务终端操作系统应对资源及数据按照敏感程度和对终端影响程度进行安全域划分,
不同安全域之间应有相应的隔离策略,安全域之间的安全策略应通过对应的访问控制实现,具体技术要
求为:
a) 应对应用软件采用隔离机制,未获得相应访问授权的应用软件不应访问超出其访问控制范围
内的应用软件资源及系统资源;
b) 支持多用户机制的终端,应提供多用户之间的安全隔离机制。
6.2.6 安全更新
对于安全更新,医疗健康自助服务终端产品应提供升级更新功能,且应符合以下要求:
a) 应能对更新来源进行鉴别,当终端不能保证安全更新时,应在更新前或使用说明中明示安全
风险;
b) 应具有原始数据备份能力,升级后安全属性(安全防护机制)应与升级前保持一致;
c) 应避免因更新失败导致系统失效。
6.2.7 操作系统安全性
医疗健康自助服务终端应及时修复已知安全漏洞,应不具有明显的严重漏洞,终端应不包含有CNVD
与CNNVD 所公布的6 个月以前的高危及以上漏洞,防止终端遭受恶意软件攻击。
6.3 应用软件安全
6.3.1 应用软件签名
对于应用软件签名,医疗健康自助服务终端应符合以下要求:
a) 应用软件应采用签名认证机制,应用软件应使用数字证书对其进行签名,保证应用软件开发
者或提供者所使用的数字证书信息真实、唯一、不可否认;
b) 应用软件中应包含签名信息,且签名信息真实可信。
6.3.2 应用软件代码安全
对于应用软件代码安全,医疗健康自助服务终端应符合以下要求:
应用软件应具备必要的安全机制以保障代码安全,具体要求是:
1) 应用软件应防止软件被逆向分析;
2) 应用软件宜采取代码混淆等机制实现反编译保护。
6.3.3 身份鉴别
对于身份鉴别认证,医疗健康自助服务终端应符合以下要求:
a) 应用软件的操作涉及用户个人信息时,在操作之前应支持必要的身份鉴别、登录鉴权环节,
防止非授权用户擅自使用终端上个人用户相关的功能;
b) 在进行高风险敏感业务操作(例如支付类业务)前,宜采用多种认证方式进行多次鉴权,例
如短信验证码、动态口令、生物特征等方式。
T/CIITA 404-2023
5
6.3.4 最小化权限
对于最小化权限,医疗健康自助服务终端应符合以下要求:
a) 终端预置应用软件应在业务范围内申请和使用系统权限和资源,防止应用软件权限滥用;
b) 支持医疗健康自助服务的应用软件应对不同用户可使用的业务进行分权管理,采用最小特权
原则,避免用户权限滥用发生。
6.4 通信安全
6.4.1 网络接入安全
对于网络接入安全,医疗健康自助服务终端应支持安全协议的实现。支持接入网络中的鉴权和鉴别、
加密传输等安全扩展功能。协议安全性应符合相应国家标准或行业标准。
6.4.2 外围接口安全
对于外围接口安全,医疗健康自助服务终端应符合以下要求:
a) 终端不应包含未经声明的外围接口;
b) 当终端外围接口(包括但不限于WLAN、蓝牙、USB)建立数据连接及传输时,终端应能够发
现并提示用户连接状态,保证连接的可用性和可控性;
c) 应禁用或授权使用终端闲置的物理端口,同时应禁用终端的外接存储设备自启动功能。
6.4.3 数据传输保密性
对于数据传输保密性,医疗健康自助服务终端应符合以下要求:
a) 终端与平台的通信数据应加密传输,所采用的加密算法,应符合国家有关要求;
b) 与平台的通信信道宜与公开网络逻辑隔离。
6.4.4 数据传输完整性
对于数据传输完整性,医疗健康自助服务终端应符合:终端与平台的通信数据应采用完整性检验机
制,保证数据传输完整性,且具有通信时延和中断处理机制。
6.5 个人信息安全
6.5.1 个人信息的采集
根据GB/T34978-2017,对于个人信息的采集,医疗健康自助服务终端应符合以下要求:
a) 终端若出于业务需要收集个人信息,应在收集个人信息前,通过隐私政策或者其他显著告知
方式向用户明示收集个人信息的类型、目的、范围、频次、保存期限、发生时机及对应业务
使用场景,并且只有在用户同意的情况下方可继续,且应为用户提供可关闭个人信息收集功
能的选项;
b) 采集个人敏感信息前,应征得用户的单独同意;收集不满14 周岁未成年人信息时,应当取
得未成年人的父母或其他监护人的同意;
c) 终端及预置应用软件收集个人信息的类型应当具有明确、合理的目的,并应当限于实现其收
集目的最小范围,不得进行与其目的无关的个人信息收集。
6.5.2 个人信息的存储
根据GB/T34978-2017,对于个人信息的存储,医疗健康自助服务终端应符合以下要求:
T/CIITA 404-2023
6
a) 终端及预置应用软件对于个人信息的存储期限应该是为实现用户授权使用的目的所必需的
最短时间;
b) 终端应提供对应用程序运行过程中产生且本地化存储的临时文件的访问控制机制;
c) 终端应根据个人信息的类别和级别实行不同安全级别的处理及保护方式(如加密存储等);
d) 终端应对敏感个人信息,如用户口令安全存储并进行安全访问控制。
6.5.3 个人信息的使用
根据GB/T34978-2017,对于个人信息的使用,医疗健康自助服务终端应符合以下要求:
a) 涉及通过界面展示个人信息的(如显示屏幕中的弹框、通知、浮窗等),医疗健康自助服务
终端及预置应用软件应提供对展示中涉及的敏感个人信息采取屏蔽处理、隐藏通知内容等措
施的能力,降低在账号登录、消息通知、短信接收等敏感个人信息展示环节的泄露风险;
b) 医疗健康自助服务终端及预置应用软件的个性化推荐,应遵循以下要求:在相应的业务功能
界面中显著区分个性化推荐服务,如标明“推荐”或“猜你喜欢”等字样;应提供退出或关
闭个性化推荐模式的选项,如停止、退出、关闭相应功能的机制;当用户退出或关闭个性化
推荐模式并撤销相关个人信息的采集许可,应及时停止继续收集仅用于个性化推荐相关服务
的个人信息;医疗健康自助服务终端及预置应用软件提供个性化推荐服务,若因提供个性化
推荐服务涉及向第三方提供个人信息的,应向用户明示并获得用户同意;
c) 终端及预置应用软件加工个人信息的目的、方式、范围不应超出业务功能的实际需要或合理
关联;
d) 直接获取或通过第三方间接获取个人信息,进行加工处理形成新的个人信息并用于其他目的,
应告知用户,如以同意为合法基础的,应再次征得用户的同意;
e) 加工个人信息应保证加工过程可控、加工结果准确及完整,符合加工处理的预期。
6.5.4 个人信息的传输
根据GB/T 34978-2017,对于个人信息的转移,医疗健康自助服务终端应符合以下要求:
a) 终端及预置应用软件进行个人信息传输应按照约定目的和用途进行,传输数据之前应对数据
接收方进行身份确认和授权;
b) 若通过公共网络传输账户设置、传感采集(包括个人健康生理信息、运动信息、位置信息等)、
金融支付等服务相关的个人信息时,应保证数据的完整性和机密性。若涉及敏感个人信息传
输的,应进行加密保护(例如HTTPS)。
6.5.5 个人信息的删除
由于用户在自助终端上所完成的挂号、缴费、自助打印的报告单等都属于医疗文书,需按照国家规
定归档并保存,因此医疗健康自助终端上不提供个人信息的删除功能。
7 评测方法
7.1 硬件安全
7.1.1 防止物理攻击
防止物理攻击的评测步骤、预期结果和结果判定如下:
a) 评测步骤:
1) 检查厂商提交的终端产品技术文档,见附录A,验证厂商声明硬件具有防护非侵入、半侵
T/CIITA 404-2023
7
入和侵入式等物理攻击的能力;
2) 通过实验验证终端具有抵抗旁路攻击、错误注入攻击的能力,旁路攻击包括但不限于简单
功耗分析、差分功耗分析、相关功耗分析、电磁辐射分析、模板分析等,错误注入攻击包
括但不限于时钟毛刺分析、电压毛刺分析、光信号分析、电磁信号分析等;
3) 评估是否存在信息(包括但不限于密钥、加密数据)泄露,评估抵抗物理攻击的能力。
b) 预期结果:
1) 医疗健康自助终端具备安全防护机制;
2) 不存在泄漏点,无法获得或者篡改密钥、加密数据等信息。
c) 结果判定:
若上述预期结果均满足,判定为“符合”,其他情况判定为“不符合”。
7.2 操作系统安全
7.2.1 安全引导
安全引导的评测步骤、预期结果和结果判定如下:
a) 评测步骤:
1) 检查厂商提交的文档,查看被测医疗健康自助终端是否具有安全启动机制;
2) 评估安全启动的过程。
b) 预期结果:
医疗健康自助终端采用加密签名、证书链验证等安全引导机制,非授权代码无法执行系统启动。
c) 结果判定:
上述预期结果均满足,判定为“符合”,其他情况判定为“不符合”。
7.2.2 签名校验机制
签名校验机制的评测步骤、预期结果和结果判定如下:
a) 评测步骤:
1) 检查厂商提交的文档,检查签名校验机制;
2) 检查签名机制所用相关加密算法、密钥管理等策略;
3) 将未经签名的应用软件安装到医疗健康自助终端上,检查是否拒绝安装;
4) 将使用合法签名应用软件安装到医疗健康自助终端上,检查是否可以安装;
5) 将使用非签名认证应用软件安装到医疗健康自助终端上,检查是否提示风险。
b) 预期结果:
1) 未经签名的应用软件安装到医疗健康自助终端上时,医疗健康自助终端拒绝应用安装;
2) 经过签名校验的应用软件可以安装到被测医疗健康自助终端上;
3) 未经签名认证的应用软件安装时,医疗健康自助终端可识别软件状态,向用户提示安全风
险。
c) 结果判定:
上述预期结果均满足,判定为“符合”,其他情况判定为“不符合”。
7.2.3 恶意代码防范
恶意代码防范的评测步骤、预期结果和结果判定如下:
a) 评测步骤:
1) 对医疗健康自助终端实施以下恶意行为:
T/CIITA 404-2023
8
——对终端进行非授权访问;
——在终端上安装具有恶意行为的应用软件;
——尝试修改测试软件的权限。
2) 查看医疗健康自助终端是否给予用户警告,并采取拒绝访问、数据隔离等安全措施。
b) 预期结果:
医疗健康自助终端可检测识别非授权访问、权限异常变化、恶意软件安装等恶意行为,给予用
户警告,并采取拒绝访问、数据隔离等安全措施。
c) 结果判定:
上述预期结果均满足,判定为“符合”,其他情况判定为“不符合”。
7.2.4 权限控制
权限控制的评测步骤、预期结果和结果判定如下:
a) 评测步骤:
1) 检查厂商提交的文档,被测医疗健康自助终端是否可安装应用软件,敏感API 是否可以
被调用;
2) 开发一款软件安装至被测医疗健康自助终端,尝试调用敏感API 接口。
b) 预期结果:
1) 医疗健康自助终端无法安装除预置软件之外的应用软件;
2) 或者医疗健康自助终端可安装应用软件,且无敏感API 暴露或提供敏感API 权限控制策
略。
c) 结果判定:
上述预期结果均满足,判定为“符合”,其他情况判定为“不符合”。
7.2.5 安全域隔离
安全域隔离的评测步骤、预期结果和结果判定如下:
a) 评测步骤:
1) 检查医疗健康自助终端的安全策略文档,查看进程、线程、应用软件、用户之间是否采用
隔离机制;
2) 尝试访问进程间、应用软件间、用户间隔离数据。
b) 预期结果:
1) 医疗健康自助终端提供安全域隔离机制,且隔离数据无法相互访问;
2) 或需要访问控制,且访问控制符合系统访问控制策略。
c) 结果判定:
上述预期结果均满足,判定为“符合”,其他情况判定为“不符合”。
7.2.6 安全更新
安全更新的评测步骤、预期结果和结果判定如下:
a) 评测步骤:
1) 检查医疗健康自助终端的操作系统是否提供升级更新能力;
2) 如果提供升级更新能力,使用非授权的操作系统进行更新,并检查医疗健康自助终端状态;
3) 使用授权系统进行更新,并检查医疗健康自助终端是否在更新前提供备份可选项;
4) 检查更新后安全属性状态。
b) 预期结果:
T/CIITA 404-2023
9
1) 医疗健康自助终端可鉴别系统更新来源,使用非授权系统无法正常更新,系统支持回滚不
会出现异常现象;
2) 使用授权系统可正常进行更新,且系统更新后数据不会丢失,安全属性与升级前一致。
c) 结果判定:
上述预期结果均满足,判定为“符合”,其他情况判定为“不符合”。
7.2.7 操作系统安全性
操作系统安全性的评测步骤、预期结果和结果判定如下:
a) 评测步骤:
检查终端系统、驱动内核是否含有CNVD 与CNNVD 所定义的6 个月以前的高危及以上漏洞,
评估是否会造成重大安全风险。
b) 预期结果:
医疗健康自助终端不含有明显的高危及以上漏洞,或漏洞不易利用,安全风险较低。
c) 结果判定:
上述预期结果均满足,判定为“符合”,其他情况判定为“不符合”。
7.3 应用软件安全
7.3.1 应用软件签名
应用软件签名的评测步骤、预期结果和结果判定如下:
a) 评测步骤:
1) 检查医疗健康自助终端是否提供应用软件签名认证机制;
2) 使用合法签名应用软件安装到医疗健康自助终端上;
3) 使用非认证签名应用软件安装到医疗健康自助终端上。
b) 预期结果:
1) 医疗健康自助终端提供应用软件签名认证机制;
2) 经过签名认证的应用软件可以安装到被测终端上;
3) 未经认证的应用软件安装时,医疗健康自助终端可识别软件状态,禁止软件安装或需要用
户确认。
c) 结果判定:
上述预期结果均满足,判定为“符合”,其他情况判定为“不符合”。
7.3.2 应用软件代码安全
应用软件代码安全的评测步骤、预期结果和结果判定如下:
a) 评测步骤:
1) 逆向分析应用软件、审查代码逻辑、提取用户个人信息、尝试进行反编译、重打包、动态
调试等行为;
2) 反编译应用软件后,查看其代码是否混淆。
b) 预期结果:
1) 医疗健康自助终端无法提取应用软件;
2) 或应用软件支持代码混淆、认证签名、反动态调试等安全机制。
c) 结果判定:
上述预期结果均满足,判定为“符合”,其他情况判定为“不符合”。
T/CIITA 404-2023
10
7.3.3 身份鉴别认证
身份鉴别认证的评测步骤、预期结果和结果判定如下:
a) 评测步骤:
1) 运行医疗健康功能相关应用软件,检查医疗健康功能使用前是否有登录、认证、密码策略
等机制;
2) 检查医疗健康功能是否涉及支付、交易等流程,运行该业务,检查是否有多次认证过程,
评估验证手段。
b) 预期结果:
1) 使用医疗健康功能前有登录、认证等机制;
2) 进行高风险业务,如,支付等业务前,采用二次认证过程,认证方式包括但不限于短信验
证码、动态口令、数字证书、生物识别等方式。
c) 结果判定:
上述预期结果均满足,判定为“符合”,其他情况判定为“不符合”。
7.3.4 最小化权限控制
最小化权限控制的评测步骤、预期结果和结果判定如下:
a) 评测步骤:
1) 检查医疗健康功能相关应用软件申请的权限,或可访问的系统资源,包括但不限于用户数
据、多媒体数据、系统数据等;
2) 运行医疗健康功能相关应用软件,遍历软件功能,检查应用软件在实际使用过程中申请权
限和访问系统资源的时机和场景;
3) 检查医疗健康功能相关应用软件的业务设计方案,遍历应用软件业务功能,查看是否存在
申请权限和访问系统资源的时机和场景与当前服务场景及业务设计无关的情况,是否存在
拒绝权限申请和访问系统资源而导致应用无法使用其他无关功能的情况。
b) 预期结果:
1) 医疗健康相关应用软件所申请权限及访问系统资源的时机和场景与当前服务场景密切相
关,均在软件合理业务范围内,不存在滥用行为;
2) 不会因拒绝权限申请及访问系统资源而导致无法使用其他无关功能。
c) 结果判定:
上述预期结果均满足,判定为“符合”,其他情况判定为“不符合”。
7.4 通信安全
7.4.1 网络接入
网络接入安全的评测步骤、预期结果和结果判定如下:
a) 评测步骤:
1) 检查终端厂商提交的文档,查看医疗健康自助终端是否支持安全协议和医疗健康自助功能
相关协议;
2) 查看终端支持的安全协议中是否支持接入网络中的认证和鉴权、完整性校验、加密传输等
安全扩展功能。
b) 预期结果:
1) 医疗健康自助终端支持安全协议实现,且安全相关部分符合相应国家或行业标准;
2) 协议中支持接入网络中的认证和鉴权、完整性校验、加密传输等安全扩展功能。
T/CIITA 404-2023
11
c) 结果判定:
上述预期结果均满足,判定为“符合”,其他情况判定为“不符合”。
7.4.2 外围接口
外围接口安全的评测步骤、预期结果和结果判定如下:
a) 评测步骤:
1) 检查医疗健康自助终端是否支持WLAN、蓝牙、USB、SD 等外围接口;
2) 遍历各个外围接口和物理端口,尝试建立数据连接,并尝试获取业务敏感信息;
3) 尝试接入自启动外接存储设备,查看设备是否自启动。
b) 预期结果:
1) 医疗健康自助终端支持任一外围接口,则终端未包含未声明的外围接口,能够提示用户连
接状态,建立数据连接和数据传输前需要用户确认才进行,且未经授权无法获得业务敏感
信息;
2) 医疗健康自助终端闲置物理端口禁用或授权使用;
3) 外接存储设备无法自启动。
c) 结果判定:
上述预期结果均满足,判定为“符合”,其他情况判定为“不符合”。
7.4.3 数据传输保密性
数据传输保密性的评测步骤、预期结果和结果判定如下:
a) 评测步骤:
1) 检查厂商提交的文档,检查终端采用的加密实现方法;
2) 使用抓包工具,监听传输数据,并进行分析。
b) 预期结果:
1) 医疗健康自助终端对通信数据提供了加密保护功能;
2) 网络数据包无法还原明文数据,且采用主流加密算法并符合相关行业规定。
c) 结果判定:
上述预期结果均满足,判定为“符合”,其他情况判定为“不符合”。
7.4.4 数据传输完整性
数据传输完整性的评测步骤、预期结果和结果判定如下:
a) 评测步骤:
1) 检查厂商提交的文档,检查数据通信过程是否采用完整性保护,以及医疗健康自助终端采
用的异常处理方法;
2) 模拟被测医疗健康自助终端连接平台,完成传输信息数据、通信中断等过程。
b) 预期结果:
1) 医疗健康自助终端采用完整性校验机制,信息无法篡改或经过篡改的信息无法传输,并进
行告警等处理;
2) 医疗健康自助终端包含中断、时延处理机制。
c) 结果判定:
上述预期结果均满足,判定为“符合”,其他情况判定为“不符合”。
T/CIITA 404-2023
12
7.5 个人信息安全
7.5.1 个人信息采集
7.5.1.1 采集个人信息的告知
采集个人信息的告知的评测步骤、预期结果和结果判定如下:
a) 评测步骤:
1) 测试终端是否存在收集个人信息的功能,并在终端上构造个人信息;
2) 在收集个人信息前,是否向用户明示收集目的和范围,且是否征得了用户同意。
b) 预期结果:
1) 医疗健康自助终端不存在收集个人信息的功能;
2) 收集个人信息前明示用户收集目的和范围,并在收集前经过了用户确认。
c) 结果判定:
上述预期结果均满足,判定为“符合”,其他情况判定为“不符合”。
7.5.1.2 采集个人敏感信息的增强告知
采集个人敏感信息的增强告知的评测步骤、预期结果和结果判定如下:
a) 评测步骤:
1) 检查医疗健康相关功能是否存在收集个人敏感信息的行为;
2) 若存在收集个人敏感信息的行为,判断其是否在收集敏感个人信息前,通过设置专门页面
或单独步骤等方式向用户增强告知收集敏感个人信息的类型、处理目的、处理方式。
b) 预期结果:
1) 医疗健康自助终端不存在收集个人敏感信息的行为;
2) 若医疗健康自助终端存在收集个人敏感信息的行为,则收集通过设置专门页面或者单独步
骤等方式向用户增强告知收集敏感个人信息的类型、处理目的、处理方式。
c) 结果判定:
上述预期结果均满足,判定为“符合”,其他情况判定为“不符合”。
7.5.1.3 采集不满14 周岁未成年人个人信息的告知
采集不满14 周岁未成年人个人信息的告知的评测步骤、预期结果和结果判定如下:
a) 评测步骤:
1) 检查医疗健康相关功能是否存在收集不满14 周岁未成年人个人信息的行为;
2) 若存在收集不满14 周岁未成年人个人信息的行为,判断其在收集前是否征得未成年人的
父母或者其他监护人的同意。
b) 预期结果:
1) 医疗健康自助终端不存在收集不满14 周岁未成年人个人信息的行为;
2) 若医疗健康自助终端存在收集不满14 周岁未成年人个人信息的行为,则收集前需要征得
未成年人的父母或者其他监护人的同意。
c) 结果判定:
上述预期结果均满足,判定为“符合”,其他情况判定为“不符合”。
7.5.1.4 采集个人信息的最小必要
采集个人信息的最小必要的评测步骤、预期结果和结果判定如下:
T/CIITA 404-2023
13
a) 评测步骤:
1) 检查医疗健康终端或预置应用软件,判断其是否存在个人信息收集行为;
2) 若存在个人信息收集行为,判断其收集个人信息是否具有明确、合理的目的,是否限于实
现其收集目的的最小范围。
b) 预期结果:
1) 医疗健康自助终端不存在收集个人信息的行为;
2) 若医疗健康自助终端存在收集个人信息的行为,则收集的信息有明确合理的目的,是收集
目的的最小范围。
c) 结果判定:
上述预期结果均满足,判定为“符合”,其他情况判定为“不符合”。
7.5.2 个人信息存储
个人信息存储的评测步骤、预期结果和结果判定如下:
a) 评测步骤:
1) 检查医疗健康自助终端是否存在本地存储个人信息的行为,并在终端上构造个人信息;
2) 若终端存储个人信息,则尝试读取终端个人信息,查看是否有访问控制机制;
3) 采用授权的方式提取账户设置类、传感采集类、金融支付类数据,并查看是否为明文存储。
b) 预期结果:
1) 医疗健康自助终端不存在本地存储个人信息的行为;
2) 若医疗健康自助终端存在本地存储个人信息的行为,则终端提供了权限校验、用户鉴别等
访问控制机制,未授权用户无法读取个人信息;
3) 账户设置类、传感采集类、金融支付类数据无法提取或为密文存储,无法还原原始数据。
c) 结果判定:
上述预期结果均满足,判定为“符合”,其他情况判定为“不符合”。
7.5.3 个人信息使用
7.5.3.1 个人信息的展示限制
个人信息的展示限制的评测步骤、预期结果和结果判定如下:
a) 评测步骤:
1) 检查医疗健康自助终端及预置应用软件是否存在通过界面展示个人信息的行为;
2) 若终端通过界面展示人信息,则判断其是否在账号登录、消息通知、短信接收场景对展示
中所涉及的敏感个人信息采取屏蔽处理、隐藏通知内容等措施。
b) 预期结果
1) 医疗健康自助终端不存在通过界面展示个人信息的行为;
2) 若医疗健康自助终端存在通过界面展示个人信息的行为,则终端提供了相关屏蔽措施。
c) 结果判定
上述预期结果均满足,判定为“符合”,其他情况判定为“不符合”。
7.5.3.2 个性化推荐
使用个人信息进行个性化推荐的评测步骤、预期结果和结果判定如下:
a) 评测步骤:
1) 检查医疗健康自助终端及预置应用软件是否存在使用个人信息进行个性化推荐的行为;
T/CIITA 404-2023
14
2) 若终端使用个人信息进行个性化推荐,则判断其在终端页面中显著区分个性化推荐的服务,
如标明“个性化展示”等信息;
3) 若终端使用个人信息进行个性化推荐,则判断其在终端页面中是否提供了退出或者关闭个
性化展示的选项;
4) 若终端使用个人信息进行个性化推荐,退出或者关闭个性化展示的选项,检查终端是否继
续收集仅用于个性化推荐相关服务的个人信息;
5) 若终端使用个人信息进行个性化推荐,且需要向第三方提供个人信息,需要向用户明示,
并获得用户同意。
b) 预期结果:
1) 医疗健康自助终端不存在使用个人信息进行个性化推荐的行为;
2) 若医疗健康自助终端存在使用个人信息进行个性化推荐的行为,则终端提供了显著区分的
提示信息;
3) 若医疗健康自助终端存在使用个人信息进行个性化推荐的行为,则终端提供了退出或者关
闭个性化展示的选项;
4) 若终端使用个人信息进行个性化推荐,关闭个性化展示后,终端不再继续收集仅用于个性
化推荐相关服务的个人信息。
5) 若终端使用个人信息进行个性化推荐,且向第三方提供个人信息,终端向用户明示并获得
同意。
c) 结果判定
上述预期结果均满足,判定为“符合”,其他情况判定为“不符合”。
7.5.3.3 个人信息加工
个人信息加工的评测步骤、预期结果和结果判定如下:
a) 评测步骤:
1) 检查医疗健康自助终端是否可以修改存储的个人信息,从而在终端上构造个人信息;
2) 若医疗健康自助终端可以修改个人信息,尝试修改存储的个人信息,查看是否明示了个人
信息的加工目的和范围;
3) 采用授权的方式修改个人信息;
4) 采用非授权的方式修改个人信息;
5) 查看医疗健康自助终端传感采集类数据,检查是否采用了脱敏处理。
b) 预期结果:
1) 医疗健康自助终端不可修改存储的个人信息;
2) 若终端可以修改个人信息,则在加工前明示了个人信息加工目的和范围,且与实际情况相
符;且未授权用户不可修改个人信息;
3) 若医疗健康自助终端含有传感采集类数据,则数据采用了抑制、隐藏、泛化、随机化等技
术手段进行了脱敏处理。
c) 结果判定:
上述预期结果均满足,判定为“符合”,其他情况判定为“不符合”。
7.5.4 个人信息传输
个人信息传输的评测步骤、预期结果和结果判定如下:
a) 评测步骤:
1) 检查医疗健康自助终端是否可以传输个人信息;
T/CIITA 404-2023
15
2) 若医疗健康自助终端可以传输个人信息,尝试传输个人信息,查看是否与终端约定目的和
用途相同,传输前是否经过双向验证过程;
3) 若医疗健康自助终端通过公共网络传输账户设置类、传感采集类、金融支付类个人信息时,
数据应该加密后再传输;
4) 使用抓包工具获取传输数据,检查网络传输数据过程中是否具有安全保护机制。
b) 预期结果:
1) 医疗健康自助终端不可转移个人信息;
2) 若终端可以转移个人信息,则在转移前明示了个人信息转移目的和范围,且与实际情况相
符,且转移数据前经过了双方身份认证和授权;
3) 终端若含有账户设置类、传感采集类、金融支付类信息,则传输过程中数据采用密文方式;
4) 数据采用加密等方式传输。
c) 结果判定:
上述预期结果均满足,判定为“符合”,其他情况判定为“不符合”。
7.5.5 个人信息删除
个人信息删除的评测步骤、预期结果和结果判定如下:
a) 评测步骤:
检查医疗健康自助终端是否提供删除选项,用来删除个人信息;
b) 预期结果:
医疗健康自助终端不提供给授权用户个人信息删除选项。
c) 结果判定:
上述预期结果均满足,判定为“符合”,其他情况判定为“不符合”。
T/CIITA 404-2023
16
附录A
(资料性)
厂商需提供的终端产品技术文档
硬件安全测试所需终端设计文档,至少应包括:
A.1 所有的电子图表(电路原理图);
A.2 所有的PCB 图,包含所有层的布局以及元器件位置;
A.3 标注防拆开关链路的PCB 图;
A.4 所有机械图,或终端爆炸图;
A.5 物理安全组件及防护机制的详细说明;
A.6 逻辑安全组件及防护机制的详细说明;
A.7 用户使用手册;
A.8 终端硬件、软件架构说明;
A.9 摄像头数据手册(如有)。
T/CIITA 404-2023
17
参考文献
[1] 《中华人民共和国个人信息保护法》
[2] GB/T 39575-2020 具有融合功能的移动终端安全能力技术要求
[3] GB/T 39720-2020 信息安全技术移动智能终端安全技术要求及测试评价方法
[4] YD/T 3082—2016 移动智能终端上的个人信息保护技术要求
[5] T/TAF 161—2023 移动智能终端个人信息保护规范
评论