ICS 35.030 CCS L70 YD 中华人民共和国通信行业标准 YD/T XXXXX—XXXX 互联网医疗健康移动应用安全技术要求 Internet medical health technical requirements for mobile terminal application security （报批稿） XXXX - XX - XX发布 XXXX - XX - XX实施 中华人民共和国工业和信息化部 发 布 XX/T XXXXX—XXXX 1前　　言 本文件按照 GB/T 1.1—2020《标准化工作导则 第1部分：标准化文件的结构和起草规则》给出的规 则起草。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。 本文件由中国通信标准化协会提出并归口。 本文件起草单位 ：工业互联网创新中心（上海 ）有限公司、中国信息通信研究院、北京梆梆安全科 技有限公司 、上海观安信息技术股份有限公司 、阿里巴巴 （中国）有限公司 、郑州信大捷安信息技术股 份有限公司 、OPPO广东移动通信有限公司 、北京三星通信技术研究有限公司 、荣耀终端有限公司 、苹 果研发（北京）有限公司。 本文件主要起草人 ：郑忠斌、闵栋、逄淑宁、阮大治、姜永鹏、董嘉强、卢佐华、袁森、谢江、逄 舒宁、刘为华、刘献伦、李腾、赵晓娜、吴越、陈兰朋。 XX/T XXXXX—XXXX 2互联网医疗健康移动应用安全技术要求 1　范围 本文件规定了互联网医疗健康移动应用安全技术要求 ，主要包含升级安全 、应用软件自身 、鉴别机 制、访问控制、逻辑安全、密码算法及密钥要求、数据安全及运行安全要求。 本文件适用于互联网医疗健康移动应用的开发、运营过程。 2　规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款 。其中，注日期的引用文件 ， 仅该日期对应的版本适用于本文件 。不注日期的引用文件 ，其最新版本 （包括所有的修改单 ）适用于本 文件。 GB/T 25069 信息安全技术 术语 GB/T 35273-2020 信息安全技术 个人信息安全规范 GB/T 37092-2018 信息安全技术 密码模块安全要求 GB/T 41479-2022 信息安全技术 网络数据处理安全要求 JR/T 0092-2019 移动金融客户端应用软件安全管理规范 3　术语和定义 GB/T 25069界定的以及下列术语和定义适用于本文件。 3.1　 密码模块 cryptographic module 实现了安全功能的硬件、软件和 /或固件的集合，并且被包含在密码边界内。 注：密码根据其组成，可分为硬件密码模块、固件密码模块、软件密码模块以及混合密码模块。 4　缩略语 下列缩略语适用于本文件。 APP 移动终端应用（ mobile APPlication ） CNNVD 国家信息安全漏洞库（ China National Vulnerability Database of Information Security ） CNVD 国家信息安全漏洞共享平台（ China National Vulnerability Database ） 5　概述 XX/T XXXXX—XXXX 3医疗健康 APP的安全技术要求由产品形态、功能类型决定。产品形态决定了其在安全性、可靠性等 方面的基本要求 ，包括升级安全 、自身安全 、鉴别机制 、逻辑安全 、密码算法和密钥 、数据安全 、运行 安全。产品形态主要分为传统应用 、轻应用两种 ，传统应用是指能直接运行于 Android和IOS、鸿蒙操作 系统的应用程序，轻应用指的是 H5应用、小程序、快应用。 医疗健康 APP的功能类型决定了其在安全性 、可靠性等方面的特殊要求 ，例如：具备电商类功能的 APP 需要保护用户的支付交易安全，具备健康管理功能的 APP需要保护用户健康相关的个人隐私安全等。常 见的医疗健康 APP可以分为 ：在线寻医问诊类、预约挂号 /导诊类、医药电商服务类、健康管理类型和垂 直小众类。 6　安全技术要求 6.1　概述 本文件依据医疗健康 APP的产品形态、功能类型对其进行分类，并提出不同的安全技术要求，见表 1。 表1　医疗健康 APP安全技术要求表 在线寻医问诊 预约挂号 /导诊 医药电商服务 健康管理 垂直小众 传统应用 6.2、6.4.2 6.2、6.4.3、6.4.4、6.4.5 6.2、6.4.1 6.2、6.4.4 6.2 轻应用 6.3、6.4.2 6.3、6.4.3、6.4.4、6.4.5 6.3、6.4.1 6.3、6.4.4 6.3 其中，所有传统应用应遵循 6.2章节的安全技术要求，轻应用应遵循 6.3章节安全技术要求。此外 ， 根据医疗健康 APP功能分类不同，在线寻医问诊类应用还应遵循 6.4.2章节的安全技术要求，预约挂号 / 导诊类应用还应遵循 6.4.3、6.4.4、6.4.5章节的安全技术要求 ，医药电商服务类应用还应遵循 6.4.1章 节的安全技术要求，健康管理类应用还应遵循 6.4.4章节的安全技术要求。 6.2　传统应用安全要求 6.2.1　升级安全 具体要求包括 ：更新过程中，应采用安全机制保证升级的时效性（如自动升级、更新通知 ）和准确 性（如完整性校验）。 6.2.2　应用软件自身安全 具体要求包括： a) 不应留有违反或绕过安全规则的接口； b) 应用应包含供应者或开发者的签名信息且签名信息真实有效； c) 应提供有效的机制（如混淆技术）防止程序被反编译、调试、注入等； d) 不应存在 CNVD、CNNVD等平台已公布 6个月以上的高危及以上等级漏洞； e) 宜具备对应用运行过程中的态势感知能力。 6.2.3　鉴别机制 6.2.3.1　身份认证 具体要求包括： a) 具备用户登录功能的应至少支持一种身份认证方式，如口令、验证码、指纹等； XX/T XXXXX—XXXX 4b) 应具备鉴别失败处理措施，如连续多次鉴别失败后自动锁定该账户一定时间。 6.2.3.2　口令安全机制 具体要求包括： a) 口令在存储过程中不应出现明文； b) 修改或找回口令时，应具备验证机制，以防止口令的被非授权获取或篡改； c) 口令在使用过程中宜具备防键盘劫持机制，无法劫持获取用户输入的口令。 6.2.3.3　验证码安全机制 具体要求包括： a) 验证码应在服务器端生成； b) 图片验证码在使用过程中应具备一定的抗机器识别能力； c) 邮件、手机短信验证码应具有防重放攻击机制。 6.2.4　访问控制 具体要求包括： a) 如采用基于用户角色的访问控制技术，用户登录成功后， 应仅能访问被授权的功能 ；应用未经过 用户明确许可前，不能访问、修改和删除其他应用的个人信息； b) 应用应遵循操作系统的访问控制机制，不能未授权访问、修改终端资源及其配置。 6.2.5　逻辑安全 6.2.5.1　安全设计要求 具体要求包括： a) 对于认证 、校验等安全保证功能的流程设计应充分考虑其合理性 ，避免逻辑漏洞的出现 ，保护认证流 程不被绕过； b) 应用程序不应调用 CNVD、CNNVD等平台已公布 6个月以上的高危及以上等级漏洞的函数 ，不存在敏 感数据硬编码。 6.2.5.2　权限控制要求 具体要求包括： a) 应用软件向移动终端操作系统申请权限时，应申请业务功能所必需的权限； b) 应用软件向移动终端操作系统申请权限时，应同步告知申请权限的目的； c) 应用软件宜在使用过程中 ，根据实际需求即时申请权限 ，已经获得用户授权的除外 。（如应用 软件应在用户需要扫码时申请相机权限） 6.2.6　密码算法及密钥要求 6.2.6.1　密码算法 密码算法 、密钥长度及密钥管理方式应符合国家标准 、密码行业标准的要求 ，不应使用当前不安全 的密码算法。 6.2.6.2　密钥管理要求 具体要求包括： XX/T XXXXX—XXXX 5a) 密钥在传输过程中应使用密码算法对密钥进行保护； b) 随机生成的密钥应具有一定的随机性与不可预测性。 6.2.6.3　密码模块 具体要求如下： a) 应用可支持软密码模块， 宜支持符合 GB/T 37092二级及以上要求的软件或硬件密码模块； b) 应用可通过软密码模块实现数据加密、数字签名、身份认证等功能； c) 应用可通过软密码模块实现防克隆、防逆向调试等防护。 6.2.7　数据安全 6.2.7.1　数据存储安全 个人敏感信息的存储应采用加密等安全措施，个人敏感信息的判定依照 GB/T 35273 。 6.2.7.2　数据传输安全 不应以明文形式通过网络传输数据。 6.2.7.3　数据删除 数据删除应符合国家法律、行政法规相关的规定，具体要求包括： a) 应用涉及网络数据删除的，应遵循 GB/T 41479-2022 5.13 的要求； b) 在用户主动操作删除数据时，宜由用户进一步确认或取消数据删除操作。 6.2.8　运行安全 6.2.8.