作者 | 陳峻

審校 | 重樓

近年來，隨著醫療物聯網（IoMT）設備的廣泛使用，發生在醫療領域的網絡與信息安全事件屢上新聞頭條。它們不但導致了醫療設備和醫院系統的癱瘓，而且擾亂了患者理應得到的及時診斷與護理，甚至由此引發的誤診還會給對患者造成身心上的傷害。為此，人們越來越感覺到安全管理對于確保醫療器械能夠正常運行的重要性。下面，我們將從醫療器械的生命周期、以及涉及到的角色責任兩個維度，深入探討安全管理的各項優秀實踐。

上市前

在醫療器械進入市場之前的設計和制造過程中，廠商應通過威脅建模等工作來主動抵御網絡與信息安全威脅。這要比在上市之后被動地處理各類安全事故更加有效。因此，他們應考慮的安全要素包括：基本的安全需求、保護策略、風險管理、安全測試、以及安全操作的必要提示等。同時，廠商也應考慮器械可能被使用的真實環境、以及可以預見到的誤用情況等。下面是廠商在產品設計與制造階段需要重點考慮的要素：

通信安全

• 考慮可能會被用在臨時場所、家庭狀況、甚至野外環境等安全性較低的場景。
• 謹慎選擇器械與其他傳統器械或網絡連接的方式，是采取網線連接、還是無線通信。其中涉及到的接口協議，如：Wi-Fi、以太網、藍牙、或USB等是否有安全版本可用。
• 為了防止未經授權的訪問、修改或重放，應對器械與系統之間的通信進行相互驗證，驗證所有的輸入，而非僅僅源于外部的輸入，并且應在預設時間后終止通信會話（即，設定會話超時）。

數據保護

• 考慮存儲在器械上的靜態數據（如：密碼與密鑰），以及通過器械傳輸的動態數據（如：控制信息與序列字段），是否需要通過加密予以保護。

完整性

• 通過提供完整性檢查和日志審計功能，確保系統架構能夠支持對自身固件、定制化配置、以及患者數據實施防篡改保護。
• 考慮安裝并啟用反惡意軟件等控制措施，以防止病毒、間諜軟件、勒索軟件、以及其他形式的惡意代碼，在器械上被執行與傳播。

訪問控制

• 通過復雜密碼、硬件密鑰、生物識別技術、甚至是排他信號（即，不可由指定器械產生）等方式，予以用戶身份驗證和訪問控制，以確保只有授權的角色才能登錄器械、使用器械、以及在緊急情況下管控器械。
• 通過物理鎖、線纜保護、以及端口限制等控制措施，防止未經授權的實際觸碰、甚至是器械破壞。

威脅建模

• 應構建一個能夠識別、發現和降低器械與系統潛在威脅的過程。該過程不限于與器械設計、制造、部署和維護有關的風險，也包括由供應鏈所引入的外部威脅。
• 通過繪制各種惡意的、以及意外的威脅要素與相互關系，參照通用漏洞評分系統（CVSS），對各項威脅進行優先級排序，以便采用不同的管控措施。

安全測試

• 通過靜態代碼分析、動態功能分析、穩健性測試、以及軟件組成分析等安全測試，以確保器械系統代碼不存在已知的重大漏洞，并能有效實施安全控制。

文檔說明

• 應編寫有關器械的合理安裝、配置加固、運行環境要求、正確使用、以及異常應對等說明性文檔。
• 編制一份軟件物料清單（SBOM），涵括涉及到的每個軟件組件的名稱、來源、版本等信息。這種透明度將有助于使用者通過查找和比對第三方軟件的最新已識別漏洞，了解其對器械產生的潛在影響，進而充分利用行業最佳實踐，采取合理的應對措施。

第三方支持

• 如果涉及到從第三方處獲取對器械組件的支持，則應考慮其在本器械預計的使用期限終止之前，可能由于“斷供”所產生的不利影響。

上市后

眾所周知，隨著器械被集成到現有的醫療信息系統中，或是被安裝到全新的環境里投入使用，威脅和漏洞會隨著時間的推移而發生變化。因此，我們有必要在醫療器械上市后持續進行安全管理，將風險態勢維持在可接受的范圍內。其中，可采取方法與要素包括：

• 維護良好的器械所在的物理環境，配套實施門禁管理系統和網絡接入點的安全加固。
• 在有條件的情況下，通過配置管理來識別當前器械的狀態，并跟蹤未來的配置變化。
• 限制并移除不必要的網絡連接通道與硬件端口。
• 在部署和使用環境中，對器械進行驗收檢查，開展模擬攻擊、滲透測試、以及模糊測試等安全評估與分析，以找到包括：可被讀取的隱藏文件、配置信息、數據流、以及硬件寄存器等未知漏洞。
• 應定期發布與更新安全、高效的系統版本、代碼簽名、數字證書、以及操作流程；替換或移除存在安全漏洞且無法修復的軟件版本與硬件組件。
• 通過制定對器械的定期檢查、維修、響應與恢復機制，來確保器械的可靠性與可用性。
• 提供基本的網絡與信息安全培訓，以提升諸如：醫生、護士、護理人員、醫學研究員、以及技術人員等角色的安全意識和良好的操作習慣。
• 根據通用漏洞披露信息，及時排查、評估和通報器械中存在的安全漏洞，詳細提供緩解和/或補償性的控制措施。
• 借鑒其他領域的標準和最佳實踐，制定并實施威脅情報（Thread Intelligence）跟蹤與威脅狩獵（Threat Hunting）的例行策略。

角色與職責

既然是對醫療器械的安全管理，那么就離不開人員及其安全任務。我們對此可以分為三類角色：器械廠商、使用者、以及第三方技術工程師。他們的職責可以簡單地劃分為：

• 器械廠商負責遠程通過安全授權服務，利用網絡連接對器械進行周期性地更新、補丁、升級、解鎖等安全維護。
• 使用者從器械廠商指定來源（如：官方鏈接或可信的第三方官網處）檢索、下載并安裝更新包或策略組件，以及遵守器械廠商在說明文檔中所規定的安全操作流程。
• 第三方技術工程師根據協議按需到達器械現場，或是以遠程連接的方式，根據器械廠商的文檔與說明，提供安全維護、器械診斷、及其他安全服務。

EOL 與 EOS

和其他軟硬件產品類似，醫療器械的生命周期末期會依次進入 EOL（停產期限） 和 EOS（支持期限）。其中，

• 在臨近EOL時，器械廠商會向使用者發出通知，告知在EOL之后，其對于同類器械的網絡與信息安全的支持力度有所減弱（即：僅提供有限的支持）。對此使用者應立即開始尋求升級或替換方案，作為補償性控制措施，以保障后續使用的連續性。
• 而在EOS之時，器械廠商將不再提供安全支持。顯然，由于器械廠商的安全責任在EOS日期之后，被轉移給了使用者，鑒于使用者需要承擔的安全風險，他們應立即停止使用這些過期的醫療器械。當然，對于停用的器械，使用者應聯系廠商或自行對其中的硬件寄存器予以消磁或銷毀等操作。

小結

綜上所述，安全管理是醫療器械整個生命周期中不可或缺的一部分。而在現實和默認情況下，它往往會被部分忽略，從而給器械廠商、使用者、以及第三方技術人員埋下各種安全風險與隱患。希望上述針對各個階段的要點梳理和安全建議，能夠在您管理醫療器械的實踐中提供安全幫助。

作者介紹

陳峻（Julian Chen），51CTO社區編輯，具有十多年的IT項目實施經驗，善于對內外部資源與風險實施管控，專注傳播網絡與信息安全知識與經驗。