T／TAF 107-2022  智能可穿戴设备安全 医疗健康可穿戴设备安全技术要求与测试方法

表1用户数据分级（续

医疗健康可穿戴设备会产生大量与人体健康等密切相关的数据，在为人们提供便捷服务的同时， 面临的主要安全风险是数据泄露和被纂改，数据一旦泄露或被墓改，会给设备管理和运营方产生重大 影响，同时也对用户的数据安全及切身利益带来极大危害。 医疗健康可穿戴设备面临的安全风险包括本地安全风险和远程安全风险，其中本地安全风险主要 有用户数据窃取、固件被非法读取或篡改、本地数据伪造等；远程安全风险主要有远程接入安全、远 程非法升级、通信数据泄露、远程指令重放和伪造等，

6.2.1用户数据安全目标

医疗健康可穿戴设备应具有足够的防护措施石油天然气标准规范范本，保证用户数据在设备端、云平台和通信过程中的机 密性、完整性和防重放保护。 医疗健康可穿戴设备应确保只有合法用户通过设定的方法和权限进行访问、控制，并确保用户数

6.2.2本地安全目标

医疗健康可穿戴设备在固件存储、固件升级等方面应有足够的防护，保证固件安全、固件升级包 的完整性和来源可靠性。 医疗健康可穿戴设备应具有足够的安全防护措施，保证设备软硬件安全

医疗健康可穿戴设备在固件存储、固件升级等方面应有足够的防护，保证固件安全、固件升级包 的完整性和来源可靠性。 医疗健康可穿戴设备应具有足够的安全防护措施，保证设备软硬件安全，

6.2.3远程安全目标

医疗健康可穿戴设备与云平台、医疗健康可穿戴设备与管理客户端、医疗健康可穿戴设备与 间应具有足够的通信加密机制，保证通信数据的机密性、完整性和防重放要求。 医疗健康可穿戴设备与云平台、医疗健康可穿戴设备与管理客户端、医疗健康可穿戴设备与 间应具备身份认证和权限控制机制

7.1个人信息保护安全要求

信息保护安全要求包括但不限于： 医疗健康可穿戴设备对用户数据中用户基本信息的收集通常应在提供相应服务的同时进行。 出于业务需要而必须事先收集相关数据，应向用户明示事先收集的目的和范围，并且只有在 用户同意的情况下方可继续。医疗健康可穿戴设备应向用户提供关闭数据采集功能：

b）疾病监测类可穿戴设备在关闭数据采集功能前，应对用户身份进行认证； c）医疗健康可穿戴设备在将用户数据存储在终端内部时，敏感级信息应与监测诊疗数据分开存 储。存储敏感级数据时，应采用加密形式保存； d 医疗健康可穿戴设备若通过网络接口传输用户数据，应对数据进行加密，确保信息在网络传 输过程中的安全； 医疗健康可穿戴设备终端不应有未向用户明示且未经用户同意，擅自修改、删除、转移或拷 贝用户基本信息的行为。若将用户基本信息存储在终端内部，终端设备应提供相应选项，允 许用户修改或彻底物理删除已存储的用户基本信息，

1.2无线通信安全要求

7.2.1协议一致性要求

所采用WLAN、蓝牙、ZigBee等无线通信协议应支持设备授权认证、加密传输等安全扩展功能，

1.2.2协议健壮性要求

7.3.1传输完整性要求

传输完整性要求包括但不限于： a）医疗健康可穿戴设备各个执行主体之间在进行数据传输时，除传输数据主体外，应附加用于 对数据进行完整性校验的校验信息； 医疗健康可穿戴设备各个执行主体之间在进行数据传输时，可根据传输不同分类级别的数据 采用不同的数据完整性校验方法； 医疗健康可穿戴设备各个执行主体之间在进行数据传输时，应采用密码机制保证数据传输完 整性，采用的密码机制应符合有关法律、行政法规和相关国家标准、行业标准要求； d）在检测到传输数据的完整性遭到破坏时，应采取措施恢复或重新获取数据。

7.3.2传输机密性要求

传输机密性要求包括但不限于： a 医疗健康可穿戴设备各执行主体之间在进行数据传输时，应采用密码机制对传输数据进行加 密； b 医疗健康可穿戴设备各执行主体之间对于敏感级数据的传输，应采用有必要安全强度的加密 算法对数据进行加密； C 医疗健康可穿戴设备各执行主体之间在传输加密数据时，应每次采用不同密钥的加密传输方 式； 医疗健康可穿戴设备各执行主体之间传输数据时的加密算法应符合有关法律、行政法规和相 关国家标准、行业标准要求； 医疗健康可穿戴设备各执行主体之间在进行数据传输时，若涉及密钥管理，密钥管理策略应 能够解决周期密钥更新、密钥撤销和密钥分发等问题。

7.3.3传输抗重放要求

传输抗重放要求包括但不限于：

a）医疗健康可穿戴设备各执行主体之间在进行数据传输时，应采用机制防止数据包或报文的重 排或重放； 6 医疗健康可穿戴设备各执行主体之间在进行数据传输时，可使用序列码或时间戳实现抗重放 攻击功能； 医疗健康可穿戴设备各执行主体之间在进行数据传输时，可在数据中加入与当前事件有关的 一次性随机数。

7. 4. 1安全防护要求

系统安全防护能力包括但不限于： a）宜支持对病毒、木马的查杀，拦截恶意软件的攻击； b）不应存在已知或在CNVD、CNNVD等平台公布6个月以上的高危及以上等级漏洞

7.4.2安全更新要求

系统应具备更新机制，更新前应向用户提示更新内容的简要说明，供用户判断和选择。安全更新 要求包括但不限于： a 系统更新时，应对更新文件的来源和完整性进行校验，并应具有原始数据备份能力，能够进 行必要的回滚操作，避免更新失败导致系统失效； b 系统更新失败时，应保证系统的可用性并给予用户相应的提示； C 系统应具备通过补丁或软件升级的方式消除高危及以上等级安全漏洞的能力。

7.5.1业务接口安全要求

7.5.2身份鉴别要求

身份鉴别要求包括但不限于： a）应提供专用的登录控制模块对登录用户进行身份标识和鉴别； 应提供并启用用户身份标识唯一和鉴别信息复杂度检查功能，保证应用系统中不存在重复用 户身份标识，身份鉴别信息不易被冒用； CJ 应提供并启用登录失败处理功能，可采取结束会话、限制非法登录尝试次数等措施； d）应支持对异常登录行为的审计功能

7. 5. 3访问控制要求

访问控制要求包括但不限于： 应实现用户权限最小化管理，使用分权原则，避免发生权限被滥用等情况； 疾病监测类可穿戴设备如具备多种用户角色，应对设备作用用户（被监测者）和设备操作用 户（医护人员等）进行角色分离设置，在对角色权限控制的基础上，按照业务流程的需求触 发操作授权。

7.5.4网络端口安全要求

网络端口安全要求包括但不限于：

a）不应存在未经声明的外围网络端口。 b）设备网络端口不应泄露敏感Banner信息，防止攻击者获取后降低攻击难度，

7.6应用软件安全要求

7.6.1应用软件签名认证机制要求

医疗健康可穿戴设备运行的应用软件应采用认证签名机制， 经以证签名的应用软性当月 确认后才能执行下一步操作

7.6.2预置应用软件安全要求

预置应用软件不应存在后门等隐藏接口，不应存在已知或在CNVD、CNNVD等平台公布6个月以 危及以上等级漏洞，不应含有非授权收集或泄露用户信息、非法数据外传等恶意行为。

7.7管理客户端安全要求

7.7.1访问控制要求

客户端APP应能对访问者进行身份验证，只接受通过认证的用户的访问，同时应对敏感级数据 问权限控制。

7.7.2数据安全保护要求

应加密存储敏感级数据，敏感级数据存储路径应设置严格的访问控制机制，避免数据 加密的密钥应采取防护机制进行保存，避免被直接获取 应禁止日志数据包含与用户数据相关的信息

7.7.3反逆向保护要求

7.7.4反盗版保护要求

应采取签名机制，防止客户端APP被重打包。

7.7.5防算改攻击要求

应对程序的完整性、参数内容的完整性和有效性进行检查，以防御篡改攻击。

7. 8 硬件安全要求

7.8.1硬件功能安全要求

硬件功能实现应与提供给用户的说明文档相一致， 不应存在未声明或隐藏的功能。例如应关闭隐 藏调试功能，防止厂商在未获得用户授权的情况下获得对芯片内部的访问或芯片功能更改的能力。

7.8.2硬件设计安全要求

硬件设计安全要求包括但不限于： a）硬件内部模块的安全属性和芯片间通信协议等安全实现应符合有关法律、行政法规和相关国 家标准、行业标准要求，随机数源应达到相关标准要求：

b）硬件资源支持密码算法的安全性应符合有关法律、行政法规和相关国家标准、行业标准要 求，密钥的产生、分发、使用、存储、销毁应有相应安全保障机制： 对于安全等级要求高的疾病监测类可穿戴设备，宜采用符合相关国家标准、行业标准要求的 硬件安全模块进行密钥等数据的保护； d）应关闭不必要的下载、调试端口。

7.8.3芯片安全能力要求

芯片安全能力要求包括但不限于： a）应具备容错能力，能够防御由针对芯片的故障注入攻击所导致的功能失效； b）对于支持安全模块的芯片，应具备固件芯片的物理写保护的功能，防止固件被篡改； c）对于支持安全模块的芯片，宜具备侧信道攻击防护能力； d 宜具备安全启动硬件保护能力； 宜具备安全域隔离功能，提供可信执行环境； 芯片宜使用拆卸存迹硬质涂层，防止直接观察、探测芯片内部，并在企图拆卸或移动芯片后 留下证据： g) 应开启芯片的读保护功能，防止固件被读取后进行逆向、篡改。

7.9能耗保护安全能力要求

根据医疗健康可穿戴设备的安全技术要求的强弱，将产品分为基础级和增强级，具体安全技术要 求的等级划分如表2所示，其中增强级需同时满足基础级和增强级要求。

根据医疗健康可穿戴设备的安全技术要求的强弱，将产品分为基础级和增强级，具体安全技术要 求的等级划分如表2所示，其中增强级需同时满足基础级和增强级要求。

测试目的 7.1个人信息保护安全要求 a）医疗健康可穿戴设备对用户数据中用户基本信息的收集通常应在提供 相应服务的同时进行。出于业务需要而必须事先收集相关数据，应向 用户明示事先收集的目的和范围，并且只有在用户同意的情况下方可 继续。医疗健康可穿戴设备应向用户提供关闭数据采集功能； 疾病监测类可穿戴设备在关闭数据采集功能前，应对用户身份进行认 证； C 医疗健康可穿戴设备在将用户数据存储在终端内部时，敏感级信息应 要求 与监测诊疗数据分开存储。存储敏感级信息时，应采用加密形式保 存； 医疗健康可穿戴设备若通过网络接口传输用户数据，应对数据进行加 密，确保信息在网络传输过程中的安全； e 医疗健康可穿戴设备终端不应有未向用户明示且未经用户同意，擅自 修改、删除、转移或拷贝用户基本信息的行为。若将用户基本信息存 储在终端内部，终端设备应提供相应选项，允许用户修改或彻底物理 删除已存储的用户基本信息。

意； g 提供修改或删除已存储的用户基本信息的选项。 实测结果 与预期结果一致。 备注 无。

8.2无线通信安全测试

8.2.1协议一致性测试

8.2.2协议健壮性测试

.3.1传输完整性测试

测试目的 7.3.1传输完整性要求 a 医疗健康可穿戴设备各个执行主体之间在进行数据传输时，除传输数 据主体外，应附加用于对数据进行完整性校验的校验信息； 医疗健康可穿戴设备各个执行主体之间在进行数据传输时，可根据传 输不同分类级别的数据采用不同的数据完整性校验方法： 要求 C） 医疗健康可穿戴设备各个执行主体之间在进行数据传输时，应采用密 码机制保证数据传输完整性，采用的密码机制应符合有关法律、行政 法规和相关国家标准、行业标准要求； d 在检测到传输数据的完整性遭到破坏时，应采取措施恢复或重新获取 数据。 预置条件 保证设备正常运行。 检查是否具有传输数据的完整性校验机制； 测试步骤 b) 检查不同分类级别的数据是否采用不同的数据校验方法 C 检查数据传输时是否具有密码机制，抓包查看传输的数据是否进行了

加密，检查传输数据的加密算法； 抓包获取传输的数据，破坏其完整性，并发送完整性被破坏的数据 检查是否采取措施恢复或重新获取数据。 具有传输数据的完整性校验机制； b) 不同分类级别的数据采用不同的数据校验方法； 预期结果 C 数据传输时具有密码机制，传输的数据进行了加密，加密算法符合要 求； d）可以恢复或重新获取数据 实测结果 与预期结果一致。 备注 无。

8.3.2传输机密性测试

8.3.3传输抗重放测试

b 医疗健康可穿戴设备各执行主体之间在进行数据传输时，可使用序列 码或时间戳实现抗重放攻击； 医疗健康可穿戴设备各执行主体之间在进行数据传输时，可在数据中 加入与当前事件有关的一次性随机数。 预置条件 保证设备正常运行。 a) 检查数据传输是否具有抗重放保护措施；若有，抓包传输的数据并将 测试步骤 之重放，查看数据接收方的处理是否满足抗重放保护要求； b 检查是否使用序列码或时间戳实现抗重放攻击； C 检查是否使用随机数。 a)： 具备抗重放保护机制，数据接收方可识别重放数据并将其丢弃； 预期结果 使用序列码或时间戳实现抗重放攻击； c） 使用随机数。 实测结果 与预期结果一致。 备注 无。

8.4系统安全漏洞修复与更新测试

8.4.2安全更新测试

b 尝试使系统更新失败，验证设备是否恢复到更新前可用的版本，并给 予用户相应提示； 检查系统是否具备通过补丁或软件升级的方式消除高危及以上等级安 全漏洞的能力。 a) 能安全更新系统； 预期结果 b) 统更新失败后，设备保持更新前系统版本，并提示用户； C) 具备通过补丁或软件升级的方式消除高危及以上等级安全漏洞的能 力。 实测结果 与预期结果一致。 备注 无。

8.5.1业务接口安全测试

8.5.2身份鉴别测试

8.5.3访问控制测试

测试目的 7.5.3访问控制要求

则试目的7.5.3访问控制要求

8.5.4网络端口安全测试

8.6应用软件安全测试

8.6.1应用软件签名认证机制测试

8.6.2预置应用软件安全测试

试目的 7.6.2预置应用软件安全要求 求 预置应用软件不应存在后门等隐藏接口，不应存在已知或在CNVD、CNNVD

8.7管理客户端安全测试

8. 7. 1访问控制测试

8. 7.2数据安全保护测试

8.7.3反逆向保护测试

8.7.4反盗版保护测试

8.7.5防篡改攻击测试

8. 8 硬件安全测试

水利标准规范范本8. 8. 1硬件功能安全测试

8. 8. 2 硬件设计安全测试

B8. 8. 2 硬件设计安全测试

8.8.3芯片安全能力测试

8.9能耗保护安全能力测试

建筑造价、预算、定额能耗保护安全能力测试

电信终端产业协会团体标准 智能可穿戴设备安全医疗健康可穿戴设备安全技术要求与测试方法

电信终端产业协会团体标准 能可穿戴设备安全医疗健康可穿戴设备安全技术要求与测试方法