王晨希，王權(quán)，李佳戈

中國(guó)食品藥品檢定研究院 醫(yī)療器械檢定所，北京 102629

引言

隨著互聯(lián)網(wǎng)技術(shù)在醫(yī)療領(lǐng)域的廣泛應(yīng)用，具備網(wǎng)絡(luò)連接功能的醫(yī)療器械不斷出現(xiàn)，用以實(shí)現(xiàn)電子數(shù)據(jù)交換或遠(yuǎn)程控制，網(wǎng)絡(luò)技術(shù)提高醫(yī)療服務(wù)質(zhì)量與效率的同時(shí)也面臨著網(wǎng)絡(luò)攻擊的威脅[1]。醫(yī)療器械網(wǎng)絡(luò)安全問(wèn)題主要是侵犯患者隱私，同時(shí)可能會(huì)產(chǎn)生醫(yī)療器械非預(yù)期運(yùn)行的風(fēng)險(xiǎn)，導(dǎo)致患者或使用者受到傷害甚至死亡。

近些年，網(wǎng)絡(luò)攻擊事件呈快速上升的趨勢(shì)。據(jù)統(tǒng)計(jì)，目前全球平均39 s就會(huì)發(fā)生一起黑客攻擊事件，而醫(yī)療器械產(chǎn)品也已經(jīng)成為黑客攻擊的重要目標(biāo)。2017年，因存在安全漏洞，美國(guó)FDA召回了Abbott公司的46.5萬(wàn)個(gè)心臟起搏器。2019年3月，美國(guó)國(guó)土安全部發(fā)出警告稱(chēng)，美敦力公司的植入式心臟裝置容易受到網(wǎng)絡(luò)安全攻擊，主要是這些設(shè)備使用未經(jīng)加密的信號(hào)[2]。由此，醫(yī)療器械的網(wǎng)絡(luò)安全問(wèn)題應(yīng)該引起有關(guān)部門(mén)的重視，如何保證醫(yī)療器械網(wǎng)絡(luò)安全風(fēng)險(xiǎn)得到有效控制已經(jīng)成為一個(gè)重大課題。

1 管理現(xiàn)狀及主要問(wèn)題

2017年，國(guó)家食品藥品監(jiān)督管理總局組織制定了《醫(yī)療器械網(wǎng)絡(luò)安全注冊(cè)技術(shù)審查指導(dǎo)原則》，成為醫(yī)療器械網(wǎng)絡(luò)安全全生命周期監(jiān)管的基礎(chǔ)要求[3]。但如何開(kāi)展醫(yī)療器械產(chǎn)品網(wǎng)絡(luò)安全的質(zhì)量控制，目前國(guó)內(nèi)尚無(wú)相關(guān)標(biāo)準(zhǔn)和明確方法。

本文通過(guò)對(duì)《中華人民共和國(guó)網(wǎng)絡(luò)安全法》《中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》《GB/T 22239-2019信息系統(tǒng)安全等級(jí)保護(hù)基本要求》《GB/T 25070-2019信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)安全設(shè)計(jì)技術(shù)要求》《IEC/TR 80001-2-2-2012醫(yī)療設(shè)備的IT網(wǎng)絡(luò)的風(fēng)險(xiǎn)管理應(yīng)用.第2-2部分:醫(yī)療設(shè)備安全需求，風(fēng)險(xiǎn)和控制的披露和通信指南》等相關(guān)法規(guī)和標(biāo)準(zhǔn)的深入研究，針對(duì)醫(yī)療器械產(chǎn)品在臨床使用場(chǎng)景中面臨的網(wǎng)絡(luò)安全問(wèn)題[4]，結(jié)合具體實(shí)例，提出了醫(yī)療器械產(chǎn)品網(wǎng)絡(luò)安全質(zhì)量控制的思路和方法。

1.1 輸液泵的入侵和DDOS攻擊

輸液泵是醫(yī)院中最常見(jiàn)的醫(yī)療器械。用于控制靜脈輸液和藥物的分配，如止痛藥或胰島素。輸液泵經(jīng)常連接到中央監(jiān)控站，因此醫(yī)務(wù)人員可以同時(shí)檢查多個(gè)患者（圖1）。研究發(fā)現(xiàn)，帶有無(wú)線(xiàn)功能的輸液泵其無(wú)線(xiàn)信號(hào)非常容易被攔截、干擾、劫持并重新編程，此時(shí)一旦被攻擊，整個(gè)輸液泵將成為黑客傷害患者的工具[5]。

圖1 輸液泵網(wǎng)絡(luò)拓?fù)鋱D

1.1.1 危害一：獲取病人信息

黑客經(jīng)常以輸液泵為注入點(diǎn)，由于輸液泵自身軟件設(shè)計(jì)漏洞，通過(guò)欺騙無(wú)線(xiàn)網(wǎng)絡(luò)的方式入侵，獲取root用戶(hù)權(quán)限，root用戶(hù)是輸液泵軟件的最高權(quán)限者，攻擊者可以在輸液泵的機(jī)載電腦上安裝惡意固件，該電腦對(duì)輸液泵供電、監(jiān)控和控制，實(shí)現(xiàn)對(duì)泵體本身的破壞，失控、修改劑量等[6]，同樣可以實(shí)現(xiàn)對(duì)其控制之后，將以輸液泵為中轉(zhuǎn)侵入輸液泵管理平臺(tái)，進(jìn)而入侵EHR數(shù)據(jù)庫(kù)獲得病人信息（圖2～3）。

圖2 黑客攻擊輸液泵路徑圖

圖3 黑客攻擊輸液泵獲取病人信息圖

1.1.2 危害二： DDOS攻擊，通信子系統(tǒng)崩潰

黑客通常使用DDOS攻擊：是一種黑客攻擊技術(shù)，通過(guò)充斥大量流量使服務(wù)器無(wú)法實(shí)時(shí)處理所有請(qǐng)求并最終崩潰的站點(diǎn)或服務(wù)器來(lái)關(guān)閉站點(diǎn)或服務(wù)器。攻擊者使用大量請(qǐng)求來(lái)淹沒(méi)目標(biāo)設(shè)備以淹沒(méi)資源（圖4），反過(guò)來(lái)限制實(shí)際請(qǐng)求的實(shí)現(xiàn)[7]。

圖4 黑客攻擊輸液泵路徑圖

通過(guò)阻斷網(wǎng)絡(luò)連接，利用資源消耗，破壞flash文件系統(tǒng)，使得輸液泵無(wú)法發(fā)送消息和警告。匿名FTP到泵，上傳gzip文件，以root用戶(hù)遠(yuǎn)程登錄，解壓文件消耗可用RAM資源，損壞部分文件系統(tǒng)（圖5）。

圖5 黑客攻擊輸液泵破壞通信系統(tǒng)圖

1.2 影像處理軟件的MedJack攻擊

入侵者通過(guò)設(shè)計(jì)惡意軟件的方式，建立醫(yī)療器械的“后門(mén)”，來(lái)控制醫(yī)療設(shè)備和獲取數(shù)據(jù)[8]。與臺(tái)式電腦和服務(wù)器不同，網(wǎng)絡(luò)環(huán)境當(dāng)中的醫(yī)療器械產(chǎn)品不能運(yùn)行殺毒軟件和其他的端點(diǎn)數(shù)據(jù)安全檢查。它們的多樣性、和一開(kāi)始就對(duì)其安全性的漠視，使其成為攻擊的對(duì)象，攻擊者將惡意軟件注入醫(yī)療設(shè)備，然后通過(guò)網(wǎng)絡(luò)擴(kuò)散。MedJack攻擊者故意使用舊的惡意軟件來(lái)瞄準(zhǔn)過(guò)時(shí)的操作系統(tǒng)，如正在運(yùn)行Windows XP和Windows Server 2003的醫(yī)療設(shè)備[9]。通過(guò)攻擊傳統(tǒng)技術(shù)，黑客可以避免被檢測(cè)出來(lái)。因?yàn)樵诰W(wǎng)絡(luò)中，運(yùn)行這些操作系統(tǒng)的其他部分不會(huì)標(biāo)記出來(lái)這些活動(dòng)； 而較新的服務(wù)已經(jīng)修補(bǔ)舊的惡意軟件，并自動(dòng)將其分類(lèi)為次要威脅（圖6）。

圖6 MedJack攻擊剖析圖

舉例來(lái)說(shuō)，攻擊腫瘤放療計(jì)劃系統(tǒng)：這些系統(tǒng)運(yùn)行在Windows XP平臺(tái)下，通過(guò)計(jì)算機(jī)來(lái)控制精度和系統(tǒng)運(yùn)行過(guò)程的安全性[10]。惡意軟件攻擊的目標(biāo)是使用Windows XP或者Window Server 2003較低版本操作系統(tǒng)的PACS系統(tǒng)的用于圖像查看的計(jì)算機(jī)，目的是通過(guò)該計(jì)算機(jī)可以侵入患者影像數(shù)據(jù)庫(kù)。

2 問(wèn)題細(xì)化及分析

醫(yī)療器械網(wǎng)絡(luò)安全是指保護(hù)醫(yī)療器械產(chǎn)品自身和相關(guān)數(shù)據(jù)不受未授權(quán)活動(dòng)影響的狀態(tài)，其保密性、完整性、可得性相關(guān)風(fēng)險(xiǎn)在全生命周期內(nèi)均處于可接受水平[4]。所闡述的輸液泵和影像處理系統(tǒng)所面臨的被入侵的情況，原因就是制造商在做產(chǎn)品設(shè)計(jì)時(shí)未考慮實(shí)際應(yīng)用場(chǎng)景中面臨的風(fēng)險(xiǎn)[11-12]，應(yīng)該如何避免此類(lèi)問(wèn)題的發(fā)生，首先應(yīng)該認(rèn)識(shí)這些可能產(chǎn)生缺陷或者漏洞的方面（表1）。

表1 安全漏洞列表

醫(yī)療器械產(chǎn)品生產(chǎn)制造過(guò)程中能夠認(rèn)識(shí)到這些漏洞和設(shè)計(jì)缺陷，就能夠解決當(dāng)前遇到的網(wǎng)絡(luò)安全問(wèn)題[13]。

3 通過(guò)建立檢測(cè)方法解決問(wèn)題

漏洞掃描是指通過(guò)模擬惡意攻擊者進(jìn)行攻擊，來(lái)評(píng)估網(wǎng)絡(luò)安全的一種評(píng)估方法，從攻擊的角度測(cè)試軟件系統(tǒng)是否安全，使用工具或手工的方法模擬攻擊者的輸入，找出運(yùn)行時(shí)刻目標(biāo)系統(tǒng)所存在的安全漏洞。漏洞掃描技術(shù)是一類(lèi)重要的網(wǎng)絡(luò)安全技術(shù)[14]。它和防火墻、入侵檢測(cè)系統(tǒng)互相配合，能夠有效提高網(wǎng)絡(luò)的安全性。通過(guò)對(duì)網(wǎng)絡(luò)的掃描，能了解網(wǎng)絡(luò)的安全設(shè)置和運(yùn)行的應(yīng)用服務(wù)，及時(shí)發(fā)現(xiàn)安全漏洞，客觀(guān)評(píng)估網(wǎng)絡(luò)風(fēng)險(xiǎn)等級(jí)[15]（圖7）。漏洞掃描測(cè)試工作可從以下幾個(gè)方面開(kāi)展：

圖7 漏洞掃描技術(shù)架構(gòu)圖

（1）明確目標(biāo)。首先要確定測(cè)試范圍，如醫(yī)療器械對(duì)外發(fā)布的IP、域名、模塊。其次要確定原則，漏洞掃描到什么程度，發(fā)現(xiàn)漏洞還是繼續(xù)利用漏洞，時(shí)間限制，能否修改上傳等。最后確定需求，包括Web應(yīng)用漏洞、醫(yī)療業(yè)務(wù)邏輯漏洞、人員權(quán)限管理漏洞[16]。

（2）分析風(fēng)險(xiǎn)。分析漏洞測(cè)試可能產(chǎn)生的風(fēng)險(xiǎn)，對(duì)于患者數(shù)據(jù)的，對(duì)于醫(yī)療器械本身的。需要結(jié)合醫(yī)療器械制造商的技術(shù)人員對(duì)漏洞掃描過(guò)程中模擬攻擊對(duì)醫(yī)療器械產(chǎn)品軟硬件的影響，需要明確掃描的范圍和深度，保證風(fēng)險(xiǎn)在可接受范圍內(nèi)。

（3）信息收集。盡量多的收集關(guān)于目標(biāo)Web應(yīng)用的各種信息，包括基礎(chǔ)信息、系統(tǒng)信息、應(yīng)用信息、版本信息、服務(wù)信息、人員信息、防護(hù)信息等?；谝陨闲畔⒑头治鼋⒙┒磼呙枘Ｐ蚚17]。

（4）漏洞探測(cè)?？梢钥紤]綠盟UTS、AppScan、Nessus、AWVS等工具，結(jié)合漏洞去網(wǎng)絡(luò)漏洞提交平臺(tái)找利用方式，尋找驗(yàn)證觀(guān)點(diǎn)說(shuō)明或攻擊樣例。掃描內(nèi)容包括系統(tǒng)漏洞、應(yīng)用漏洞、端口漏洞、通信安全。

（5）漏洞驗(yàn)證。要求發(fā)現(xiàn)的有可能可以成功利用的全部漏洞都驗(yàn)證一遍。結(jié)合實(shí)際情況，搭建醫(yī)療器械使用模擬環(huán)境進(jìn)行試驗(yàn)，成功后再應(yīng)用于目標(biāo)中。包括自動(dòng)化驗(yàn)證、手工驗(yàn)證、公開(kāi)資源的利用、登錄猜解。

（6）報(bào)告整理。整理測(cè)試過(guò)程中遇到的各種漏洞，各種脆弱位置信息，要對(duì)漏洞成因、驗(yàn)證過(guò)程和帶來(lái)危害進(jìn)行分析，形成報(bào)告[18]。

總結(jié)主要風(fēng)險(xiǎn)分布和漏洞風(fēng)險(xiǎn)分布（圖8），針對(duì)漏洞給出風(fēng)險(xiǎn)等級(jí)評(píng)估和對(duì)應(yīng)CVE編號(hào)（圖9），提供解決方案。

圖8 漏洞掃描風(fēng)險(xiǎn)分布圖

圖9 漏洞風(fēng)險(xiǎn)等級(jí)評(píng)估圖

此外信息共享是保障醫(yī)療器械網(wǎng)絡(luò)安全的基本原則。及時(shí)獲得網(wǎng)絡(luò)安全漏洞、事件等相關(guān)信息有助于識(shí)別、評(píng)估和應(yīng)對(duì)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)，保證醫(yī)療器械的安全有效性以及醫(yī)療活動(dòng)的業(yè)務(wù)持續(xù)性，因此鼓勵(lì)所有利益相關(guān)方在醫(yī)療器械全生命周期主動(dòng)積極共享網(wǎng)絡(luò)安全相關(guān)信息。應(yīng)基于國(guó)家互聯(lián)網(wǎng)應(yīng)急中心、國(guó)家信息安全漏洞共享平臺(tái)披露的漏洞信息定期開(kāi)展網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理工作[19]。

除漏洞掃描之外，醫(yī)療器械產(chǎn)品還應(yīng)該從功能設(shè)計(jì)上做到網(wǎng)絡(luò)安全的二十項(xiàng)安全能力。

（1）自動(dòng)注銷(xiāo): 產(chǎn)品在使用閑置期間阻止非授權(quán)用戶(hù)訪(fǎng)問(wèn)和使用的能力。

（2）審核: 產(chǎn)品提供用戶(hù)活動(dòng)可被審核的能力。

（3）授權(quán): 產(chǎn)品確定用戶(hù)已獲授權(quán)的能力。

（4）網(wǎng)絡(luò)安全特征配置: 產(chǎn)品根據(jù)用戶(hù)需求配置網(wǎng)絡(luò)安全特征的能力。

（5）網(wǎng)絡(luò)安全補(bǔ)丁升級(jí)：授權(quán)用戶(hù)或服務(wù)人員安裝/升級(jí)網(wǎng)絡(luò)安全補(bǔ)丁的能力。

（6）數(shù)據(jù)去標(biāo)識(shí)化：產(chǎn)品直接去除數(shù)據(jù)所含個(gè)人信息的能力。

（7）數(shù)據(jù)備份與災(zāi)難恢復(fù)：產(chǎn)品的數(shù)據(jù)、硬件或軟件受到損壞或破壞后恢復(fù)的能力。

（8）緊急訪(fǎng)問(wèn)：產(chǎn)品在預(yù)期緊急情況下允許用戶(hù)訪(fǎng)問(wèn)和使用的能力。

（9）數(shù)據(jù)完整性與真實(shí)性：產(chǎn)品確保數(shù)據(jù)未以非授權(quán)方式更改且來(lái)自創(chuàng)建者的能力。

（10）惡意軟件探測(cè)與防護(hù)：產(chǎn)品有效阻止、探測(cè)和移除惡意軟件的能力。

（11）節(jié)點(diǎn)鑒別：產(chǎn)品鑒別網(wǎng)絡(luò)節(jié)點(diǎn)的能力。

（12）人員鑒別：產(chǎn)品鑒別授權(quán)用戶(hù)的能力。

（13）物理防護(hù)：產(chǎn)品提供防止非授權(quán)用戶(hù)訪(fǎng)問(wèn)和使用的物理防護(hù)措施的能力。

（14）現(xiàn)成軟件維護(hù)：產(chǎn)品在全生命周期中對(duì)現(xiàn)成軟件提供網(wǎng)絡(luò)安全維護(hù)的能力。

（15）系統(tǒng)固化：產(chǎn)品通過(guò)固化措施對(duì)網(wǎng)絡(luò)攻擊和惡意軟件的抵御能力。

（16）網(wǎng)絡(luò)安全指導(dǎo)：產(chǎn)品為用戶(hù)提供網(wǎng)絡(luò)安全指導(dǎo)的能力。

（17）存儲(chǔ)保密性：產(chǎn)品確保未授權(quán)訪(fǎng)問(wèn)不會(huì)損壞存儲(chǔ)媒介所存數(shù)據(jù)保密性和完整性的能力。

（18）傳輸保密性：產(chǎn)品確保數(shù)據(jù)傳輸保密性的能力。

（19）傳輸完整性：產(chǎn)品確保數(shù)據(jù)傳輸完整性的能力。

（20）遠(yuǎn)程訪(fǎng)問(wèn)與控制：產(chǎn)品確保用戶(hù)遠(yuǎn)程訪(fǎng)問(wèn)與控制的網(wǎng)絡(luò)安全的能力。

從產(chǎn)品設(shè)計(jì)到使用要嚴(yán)格貫穿二十項(xiàng)安全能力的落實(shí)，真正做到產(chǎn)品的網(wǎng)絡(luò)安全[20]。

4 討論

本文是通過(guò)對(duì)醫(yī)療器械產(chǎn)品進(jìn)行漏洞掃描測(cè)試建立了網(wǎng)絡(luò)安全的質(zhì)量評(píng)價(jià)平臺(tái)，通過(guò)搭載IDS和WAF雙檢測(cè)引擎系統(tǒng)，結(jié)合威脅情報(bào)、惡意文件檢測(cè)、DDOS檢測(cè)、WEBSHELL檢測(cè)和異常行為檢測(cè)等手段[21]，能快速檢測(cè)傳統(tǒng)威脅和高級(jí)威脅，同時(shí)配合自身的阻斷策略對(duì)威脅進(jìn)行快速旁路阻斷，縮短用戶(hù)響應(yīng)處置時(shí)間，此外還可通過(guò)輸出標(biāo)準(zhǔn)化日志對(duì)接態(tài)勢(shì)平臺(tái)進(jìn)行統(tǒng)一威脅呈現(xiàn)和回溯分析。首次創(chuàng)新性地提出了醫(yī)療器械領(lǐng)域網(wǎng)絡(luò)安全評(píng)價(jià)機(jī)制，降低了醫(yī)療器械臨床使用網(wǎng)絡(luò)安全風(fēng)險(xiǎn)[22]。

醫(yī)療器械網(wǎng)絡(luò)安全質(zhì)量評(píng)價(jià)方法是保證醫(yī)療器械產(chǎn)品質(zhì)量的重要因素，應(yīng)當(dāng)貫穿于醫(yī)療器械產(chǎn)品的全生命周期過(guò)程中，不限于設(shè)計(jì)開(kāi)發(fā)、生產(chǎn)、分銷(xiāo)、部署、更新維護(hù)、上市后監(jiān)測(cè)。此外，網(wǎng)絡(luò)安全問(wèn)題是社會(huì)問(wèn)題，需要注冊(cè)人、用戶(hù)（含醫(yī)療機(jī)構(gòu)、個(gè)人）、信息技術(shù)服務(wù)商等利益相關(guān)者的共同努力和通力合作方能得以保障[23]。

醫(yī)療器械的網(wǎng)絡(luò)安全問(wèn)題屬于監(jiān)管領(lǐng)域新的課題，伴隨著新技術(shù)和新方法的出現(xiàn)，醫(yī)療器械網(wǎng)絡(luò)安全質(zhì)量控制方法也應(yīng)該動(dòng)態(tài)更新，應(yīng)緊跟技術(shù)發(fā)展的腳步，為醫(yī)療器械產(chǎn)品的安全有效提供智力支持和技術(shù)保障。