作者 | 陳峻

審校 | 重樓

近年來，隨著醫(yī)療物聯(lián)網(wǎng)（IoMT）設(shè)備的廣泛使用，發(fā)生在醫(yī)療領(lǐng)域的網(wǎng)絡(luò)與信息安全事件屢上新聞頭條。它們不但導致了醫(yī)療設(shè)備和醫(yī)院系統(tǒng)的癱瘓，而且擾亂了患者理應(yīng)得到的及時診斷與護理，甚至由此引發(fā)的誤診還會給對患者造成身心上的傷害。為此，人們越來越感覺到安全管理對于確保醫(yī)療器械能夠正常運行的重要性。下面，我們將從醫(yī)療器械的生命周期、以及涉及到的角色責任兩個維度，深入探討安全管理的各項優(yōu)秀實踐。

上市前

在醫(yī)療器械進入市場之前的設(shè)計和制造過程中，廠商應(yīng)通過威脅建模等工作來主動抵御網(wǎng)絡(luò)與信息安全威脅。這要比在上市之后被動地處理各類安全事故更加有效。因此，他們應(yīng)考慮的安全要素包括：基本的安全需求、保護策略、風險管理、安全測試、以及安全操作的必要提示等。同時，廠商也應(yīng)考慮器械可能被使用的真實環(huán)境、以及可以預(yù)見到的誤用情況等。下面是廠商在產(chǎn)品設(shè)計與制造階段需要重點考慮的要素：

通信安全

• 考慮可能會被用在臨時場所、家庭狀況、甚至野外環(huán)境等安全性較低的場景。
• 謹慎選擇器械與其他傳統(tǒng)器械或網(wǎng)絡(luò)連接的方式，是采取網(wǎng)線連接、還是無線通信。其中涉及到的接口協(xié)議，如：Wi-Fi、以太網(wǎng)、藍牙、或USB等是否有安全版本可用。
• 為了防止未經(jīng)授權(quán)的訪問、修改或重放，應(yīng)對器械與系統(tǒng)之間的通信進行相互驗證，驗證所有的輸入，而非僅僅源于外部的輸入，并且應(yīng)在預(yù)設(shè)時間后終止通信會話（即，設(shè)定會話超時）。

數(shù)據(jù)保護

• 考慮存儲在器械上的靜態(tài)數(shù)據(jù)（如：密碼與密鑰），以及通過器械傳輸?shù)膭討B(tài)數(shù)據(jù)（如：控制信息與序列字段），是否需要通過加密予以保護。

完整性

• 通過提供完整性檢查和日志審計功能，確保系統(tǒng)架構(gòu)能夠支持對自身固件、定制化配置、以及患者數(shù)據(jù)實施防篡改保護。
• 考慮安裝并啟用反惡意軟件等控制措施，以防止病毒、間諜軟件、勒索軟件、以及其他形式的惡意代碼，在器械上被執(zhí)行與傳播。

訪問控制

• 通過復(fù)雜密碼、硬件密鑰、生物識別技術(shù)、甚至是排他信號（即，不可由指定器械產(chǎn)生）等方式，予以用戶身份驗證和訪問控制，以確保只有授權(quán)的角色才能登錄器械、使用器械、以及在緊急情況下管控器械。
• 通過物理鎖、線纜保護、以及端口限制等控制措施，防止未經(jīng)授權(quán)的實際觸碰、甚至是器械破壞。

威脅建模

• 應(yīng)構(gòu)建一個能夠識別、發(fā)現(xiàn)和降低器械與系統(tǒng)潛在威脅的過程。該過程不限于與器械設(shè)計、制造、部署和維護有關(guān)的風險，也包括由供應(yīng)鏈所引入的外部威脅。
• 通過繪制各種惡意的、以及意外的威脅要素與相互關(guān)系，參照通用漏洞評分系統(tǒng)（CVSS），對各項威脅進行優(yōu)先級排序，以便采用不同的管控措施。

安全測試

• 通過靜態(tài)代碼分析、動態(tài)功能分析、穩(wěn)健性測試、以及軟件組成分析等安全測試，以確保器械系統(tǒng)代碼不存在已知的重大漏洞，并能有效實施安全控制。

文檔說明

• 應(yīng)編寫有關(guān)器械的合理安裝、配置加固、運行環(huán)境要求、正確使用、以及異常應(yīng)對等說明性文檔。
• 編制一份軟件物料清單（SBOM），涵括涉及到的每個軟件組件的名稱、來源、版本等信息。這種透明度將有助于使用者通過查找和比對第三方軟件的最新已識別漏洞，了解其對器械產(chǎn)生的潛在影響，進而充分利用行業(yè)最佳實踐，采取合理的應(yīng)對措施。

第三方支持

• 如果涉及到從第三方處獲取對器械組件的支持，則應(yīng)考慮其在本器械預(yù)計的使用期限終止之前，可能由于“斷供”所產(chǎn)生的不利影響。

上市后

眾所周知，隨著器械被集成到現(xiàn)有的醫(yī)療信息系統(tǒng)中，或是被安裝到全新的環(huán)境里投入使用，威脅和漏洞會隨著時間的推移而發(fā)生變化。因此，我們有必要在醫(yī)療器械上市后持續(xù)進行安全管理，將風險態(tài)勢維持在可接受的范圍內(nèi)。其中，可采取方法與要素包括：

• 維護良好的器械所在的物理環(huán)境，配套實施門禁管理系統(tǒng)和網(wǎng)絡(luò)接入點的安全加固。
• 在有條件的情況下，通過配置管理來識別當前器械的狀態(tài)，并跟蹤未來的配置變化。
• 限制并移除不必要的網(wǎng)絡(luò)連接通道與硬件端口。
• 在部署和使用環(huán)境中，對器械進行驗收檢查，開展模擬攻擊、滲透測試、以及模糊測試等安全評估與分析，以找到包括：可被讀取的隱藏文件、配置信息、數(shù)據(jù)流、以及硬件寄存器等未知漏洞。
• 應(yīng)定期發(fā)布與更新安全、高效的系統(tǒng)版本、代碼簽名、數(shù)字證書、以及操作流程；替換或移除存在安全漏洞且無法修復(fù)的軟件版本與硬件組件。
• 通過制定對器械的定期檢查、維修、響應(yīng)與恢復(fù)機制，來確保器械的可靠性與可用性。
• 提供基本的網(wǎng)絡(luò)與信息安全培訓，以提升諸如：醫(yī)生、護士、護理人員、醫(yī)學研究員、以及技術(shù)人員等角色的安全意識和良好的操作習慣。
• 根據(jù)通用漏洞披露信息，及時排查、評估和通報器械中存在的安全漏洞，詳細提供緩解和/或補償性的控制措施。
• 借鑒其他領(lǐng)域的標準和最佳實踐，制定并實施威脅情報（Thread Intelligence）跟蹤與威脅狩獵（Threat Hunting）的例行策略。

角色與職責

既然是對醫(yī)療器械的安全管理，那么就離不開人員及其安全任務(wù)。我們對此可以分為三類角色：器械廠商、使用者、以及第三方技術(shù)工程師。他們的職責可以簡單地劃分為：

• 器械廠商負責遠程通過安全授權(quán)服務(wù)，利用網(wǎng)絡(luò)連接對器械進行周期性地更新、補丁、升級、解鎖等安全維護。
• 使用者從器械廠商指定來源（如：官方鏈接或可信的第三方官網(wǎng)處）檢索、下載并安裝更新包或策略組件，以及遵守器械廠商在說明文檔中所規(guī)定的安全操作流程。
• 第三方技術(shù)工程師根據(jù)協(xié)議按需到達器械現(xiàn)場，或是以遠程連接的方式，根據(jù)器械廠商的文檔與說明，提供安全維護、器械診斷、及其他安全服務(wù)。

EOL 與 EOS

和其他軟硬件產(chǎn)品類似，醫(yī)療器械的生命周期末期會依次進入 EOL（停產(chǎn)期限） 和 EOS（支持期限）。其中，

• 在臨近EOL時，器械廠商會向使用者發(fā)出通知，告知在EOL之后，其對于同類器械的網(wǎng)絡(luò)與信息安全的支持力度有所減弱（即：僅提供有限的支持）。對此使用者應(yīng)立即開始尋求升級或替換方案，作為補償性控制措施，以保障后續(xù)使用的連續(xù)性。
• 而在EOS之時，器械廠商將不再提供安全支持。顯然，由于器械廠商的安全責任在EOS日期之后，被轉(zhuǎn)移給了使用者，鑒于使用者需要承擔的安全風險，他們應(yīng)立即停止使用這些過期的醫(yī)療器械。當然，對于停用的器械，使用者應(yīng)聯(lián)系廠商或自行對其中的硬件寄存器予以消磁或銷毀等操作。

小結(jié)

綜上所述，安全管理是醫(yī)療器械整個生命周期中不可或缺的一部分。而在現(xiàn)實和默認情況下，它往往會被部分忽略，從而給器械廠商、使用者、以及第三方技術(shù)人員埋下各種安全風險與隱患。希望上述針對各個階段的要點梳理和安全建議，能夠在您管理醫(yī)療器械的實踐中提供安全幫助。

作者介紹

陳峻（Julian Chen），51CTO社區(qū)編輯，具有十多年的IT項目實施經(jīng)驗，善于對內(nèi)外部資源與風險實施管控，專注傳播網(wǎng)絡(luò)與信息安全知識與經(jīng)驗。