姜宗伯，李澍，劉穎穎

1.重慶大學(xué) 生物工程學(xué)院，重慶 400044；2.中國食品藥品檢定研究院 醫(yī)療器械檢定所，北京 102629；3.北京醫(yī)藥健康科技發(fā)展中心，北京 100035

引言

隨著人工智能、物聯(lián)網(wǎng)、大數(shù)據(jù)、云計算等技術(shù)不斷融入醫(yī)療行業(yè)，信息數(shù)據(jù)在患者、醫(yī)生、醫(yī)療機構(gòu)、醫(yī)療設(shè)備之間交互，醫(yī)療服務(wù)逐步走向智能化[1]。新一代信息技術(shù)正在加速與醫(yī)療器械融合創(chuàng)新，人工智能輔助診療產(chǎn)品、可穿戴健康監(jiān)測設(shè)備、遠程診療設(shè)備等新技術(shù)產(chǎn)品加速普及應(yīng)用，智能化醫(yī)療器械正在改變傳統(tǒng)的疾病預(yù)防、檢測、治療模式，為提高人民群眾健康質(zhì)量提供新的手段。智能化醫(yī)療器械具有智能化、網(wǎng)絡(luò)化、數(shù)字化等特點，其安全性直接關(guān)系到人身安全、財產(chǎn)安全以及個人信息權(quán)益。

在充分利用新技術(shù)為整個醫(yī)療器械行業(yè)帶來革命性進步的同時，如何解決隨之而來的信息安全問題值得我們分析探討[2]。如今的醫(yī)療設(shè)備已經(jīng)從獨立的系統(tǒng)過渡到互聯(lián)互通、網(wǎng)絡(luò)化的設(shè)備，這些設(shè)備嚴重依賴于更智能、更便捷的軟件，越來越多的醫(yī)療設(shè)備具備患者信息存儲、處理和網(wǎng)絡(luò)通訊能力，從而提供更高效的患者護理服務(wù)。隨著醫(yī)療設(shè)備在醫(yī)療機構(gòu)資產(chǎn)和效益中的權(quán)重逐漸增加，醫(yī)療設(shè)備更加頻繁地參與電子健康信息的交換活動，網(wǎng)絡(luò)信息安全問題變得越來越重要[3-4]。隨著互聯(lián)網(wǎng)技術(shù)在醫(yī)療領(lǐng)域的廣泛應(yīng)用，具備網(wǎng)絡(luò)連接功能以及無線連接功能的醫(yī)療器械不斷出現(xiàn)[5]，有效提升了醫(yī)療工作的質(zhì)量和效率[6]，但是網(wǎng)絡(luò)數(shù)據(jù)信息危險也相應(yīng)增加，導(dǎo)致器械信息面臨網(wǎng)絡(luò)攻擊，受到包括勒索、盜取和破壞醫(yī)療數(shù)據(jù)的威脅[7-8]。醫(yī)療器械網(wǎng)絡(luò)出現(xiàn)安全威脅后的影響十分惡劣，例如，侵犯患者隱私，同時可能產(chǎn)生醫(yī)療器械非預(yù)期運行的風(fēng)險，導(dǎo)致患者或使用者受到傷害甚至死亡[9]。造成智能醫(yī)療器械信息安全問題的主要原因有軟件質(zhì)量問題、網(wǎng)絡(luò)攻擊、信息安全監(jiān)管缺失以及木馬病毒等[10]，為了避免因發(fā)生網(wǎng)絡(luò)安全問題而造成的后果和影響，除了運行時對網(wǎng)絡(luò)安全的維護，投入使用前對潛在的網(wǎng)絡(luò)安全問題的預(yù)防也至關(guān)重要，對場景下各個醫(yī)療器械和接口之間以及數(shù)據(jù)流進行分析，發(fā)現(xiàn)可能存在的威脅及漏洞并制定預(yù)防措施成為了必不可少的步驟。

目前我國對醫(yī)療器械網(wǎng)絡(luò)信息安全性雖然已有一些標準要求，但適應(yīng)性廣[11]，并沒有完備的評價標準或流程來評判場景下醫(yī)療器械的網(wǎng)絡(luò)信息安全性，評價研究尚未充分開展，相關(guān)研究報告較少，也尚未形成標準。在醫(yī)療健康場景中，數(shù)據(jù)的時效性、完整性等尤為重要，在數(shù)據(jù)的傳輸存儲過程中，一旦發(fā)生泄露、篡改或丟失，則會侵犯使用者的隱私，甚至影響醫(yī)生的判斷進而最終影響患者的健康或治療。

結(jié)合醫(yī)療健康場景的特殊性，本文對模擬構(gòu)建的醫(yī)療健康場景下的醫(yī)療器械及接口的數(shù)據(jù)流進行分析并構(gòu)建出數(shù)據(jù)流圖，運用Microsoft 威脅建模工具根據(jù)STRIDE 模型生成漏洞列表，對掃描出的漏洞進行分類、分析并制定預(yù)防策略，并通過參考通用安全漏洞評分系統(tǒng)（Common Vulnerability Scoring System，CVSS）模型和滲透測試等方法驗證漏洞的可利用性與降低風(fēng)險措施的有效性，達到對可能發(fā)生的網(wǎng)絡(luò)安全問題進行預(yù)防的目的，為醫(yī)療健康場景下醫(yī)療器械網(wǎng)絡(luò)信息安全評估規(guī)范和標準的制定提供參考。

1 材料與方法

1.1 研究對象：醫(yī)療健康場景

在分析醫(yī)療健康場景的網(wǎng)絡(luò)安全問題時，由于場景的特殊性，需要特別關(guān)注通信過程中的性能，包括數(shù)據(jù)的完整性、可靠性、傳輸速率與距離、延時以及功耗等問題。醫(yī)療數(shù)據(jù)和患者信息在醫(yī)療設(shè)備、服務(wù)器系統(tǒng)、數(shù)據(jù)庫之間傳輸和存儲等過程中一旦發(fā)生泄露，則會侵犯患者的隱私。在醫(yī)生進行遠程診斷等線上操作時，數(shù)據(jù)傳輸?shù)目煽啃约把訒r成為了需要考慮的重要因素，直接影響到醫(yī)生的判斷，關(guān)系到患者或用戶的治療與健康。所以在分析場景的網(wǎng)絡(luò)安全問題時，要針對場景的特殊性制定專門的、適合場景的方法和策略。

為了針對醫(yī)療健康場景的特點及特殊性，探究其網(wǎng)絡(luò)安全問題的解決方法，本文通過模擬用戶或患者在家庭及醫(yī)院所處場景中的醫(yī)療設(shè)備及主動健康設(shè)備、場景中的節(jié)點及數(shù)據(jù)傳輸模式，構(gòu)建一個醫(yī)療健康場景，見圖1。在家庭場景中，用戶在家中使用血壓計、血糖儀、呼吸機、心電檢測儀等醫(yī)療設(shè)備及主動健康設(shè)備測量自身數(shù)據(jù)，儀器通過藍牙或者Wi-Fi 上傳至手機或PAD，經(jīng)路由器最終上傳到服務(wù)器中。醫(yī)院場景中，院內(nèi)的醫(yī)療器械設(shè)備直接通過網(wǎng)絡(luò)上傳至服務(wù)器。服務(wù)器將采集測量到的數(shù)據(jù)儲存在數(shù)據(jù)庫中，并將數(shù)據(jù)傳到報告分析系統(tǒng)，系統(tǒng)對用戶的數(shù)據(jù)進行分析并生成用戶檢測報告單上傳到PC 端及用戶手機上，醫(yī)生可以通過PC 端查看患者的數(shù)據(jù)做出診斷和給出治療意見，用戶和患者可以通過移動端查看檢測報告和醫(yī)生診斷結(jié)果和意見。

圖1 醫(yī)療健康場景示意圖

1.2 STRIDE威脅建模

STRIDE 威脅建模[12]是微軟提出的一種風(fēng)險分析和評估工具，幾乎可以涵蓋所有的安全問題[13]。該方法將威脅類型分為假冒（Spoofing，S）、篡改（Tampering，T）、否認（Repudiation，R）、信息泄漏（Information Disclosure，I）、拒絕服務(wù)（Denial of Service，D）和權(quán)限提升（Elevation of Privilege，E）。假冒（S），指用戶冒用他人的認證信息；篡改（T），指未經(jīng)授權(quán)對數(shù)據(jù)進行修改；否認（R），指用戶拒絕從事活動，并且沒有任何辦法可以證明他在拒絕承認；信息泄露（I），指信息泄露給無權(quán)知曉該信息的人員；拒絕服務(wù)（D），指拒絕服務(wù)攻擊；權(quán)限提升（E），指原本低權(quán)限的用戶獲得了更高的權(quán)限，從而可以進行危害系統(tǒng)的活動[12-14]。每類STRIDE 都會根據(jù)數(shù)據(jù)流的元素產(chǎn)生漏洞，威脅建?？梢詫ψ羁赡苡绊懴到y(tǒng)的威脅進行系統(tǒng)識別和評價[14]。

1.3 Microsoft威脅建模工具

本文選擇使用Microsoft 威脅建模工具來實現(xiàn)對場景的建模和生成威脅列表，威脅建模工具是Microsoft安全開發(fā)生命周期的核心要素。潛在安全問題處于無須花費過多成本即可相對容易解決的階段，軟件架構(gòu)師可以使用威脅建模工具提前識別這些問題，因此可以大幅減少開發(fā)總成本。此外，設(shè)計該工具時考慮到了非安全專家的體驗，為他們提供有關(guān)創(chuàng)建和分析威脅模型的清晰指導(dǎo)，讓所有開發(fā)人員都可以更輕松地使用威脅建模。

在醫(yī)療健康場景中，患者的隱私及醫(yī)療數(shù)據(jù)和醫(yī)學(xué)圖像的完整性尤為重要，即使是很小的泄露或者改變都可能會給患者或用戶造成重大影響和威脅，建模的過程中需要著重針對數(shù)據(jù)進行考慮。因此，基于醫(yī)療健康場景的特殊性，本文選擇使用Microsoft 威脅建模工具，通過Microsoft 威脅建模工具可以創(chuàng)建數(shù)據(jù)流圖，分析數(shù)據(jù)流圖自動生成潛在威脅列表，繪制數(shù)據(jù)流圖分析各個外部實體與系統(tǒng)之間的數(shù)據(jù)交互關(guān)系。系統(tǒng)體系結(jié)構(gòu)和數(shù)據(jù)流圖分析是通過對系統(tǒng)的總體架構(gòu)和業(yè)務(wù)流程的分析，劃定業(yè)務(wù)系統(tǒng)的數(shù)據(jù)流和安全邊界[15]。Microsoft威脅建模工具可以通過數(shù)據(jù)流圖分析出漏洞，根據(jù)潛在的漏洞提出緩解措施，并生成報告，列出已識別和已緩解的威脅，還可以為威脅建模創(chuàng)建自定義模板。

1.4 方法

1.4.1 建模繪制數(shù)據(jù)流圖并生成漏洞列表

對系統(tǒng)環(huán)境進行分析，確定場景下的各個設(shè)備和參與的角色，確定數(shù)據(jù)資源并將參與者映射到資源；進行系統(tǒng)分解，對每種設(shè)備類型的數(shù)據(jù)流進行建模，識別威脅面；對數(shù)據(jù)流模型進行系統(tǒng)分解，以創(chuàng)建漏洞列表；確定系統(tǒng)邊界，作為設(shè)備類型建模的一部分，邊界用于定義固有信任區(qū)域。信任邊界被描述為虛線框，當在模型中使用時，指示邊界的兩側(cè)不信任另一側(cè)。因此，當數(shù)據(jù)流跨越信任邊界時，其將成為不可信的數(shù)據(jù)流，并產(chǎn)生可能的漏洞。利用Microsoft 威脅建模工具繪制數(shù)據(jù)流圖并生成漏洞列表，通過STRIDE 模型對醫(yī)療設(shè)備系統(tǒng)中的潛在威脅進行識別并分類。

1.4.2 對漏洞威脅進行評分

CVSS 是由美國國家基礎(chǔ)設(shè)施顧問委員會（NIAC）開發(fā)、事件響應(yīng)與安全組織論壇（FIRST）維護的一個開放的計算機系統(tǒng)安全漏洞評估框架，是公開的行業(yè)評測標準，用來評估漏洞的嚴重程度。CVSS 將每個漏洞量化為0～10 的具體分值，分數(shù)越高，危險級別越高[16-18]。但由于醫(yī)療健康場景的特殊性，評分的標準應(yīng)該針對場景進行相應(yīng)的調(diào)整，需考慮到數(shù)據(jù)泄露或篡改、傳輸過程中的延時等造成的影響，根據(jù)數(shù)據(jù)存儲傳輸過程中的完整性、機密性、可利用性以及時效性等因素，調(diào)整相應(yīng)分值的比重。通過基本評估、時間評估、環(huán)境評估3個維度，在生成漏洞列表后，參考CVSS 對潛在威脅進行評分，并確定威脅的優(yōu)先級順序。

1.4.3 風(fēng)險降級

根據(jù)評分的結(jié)果，針對STRIDE 的威脅類別提出相應(yīng)的緩解措施方案，進行風(fēng)險降級。而后利用Nmap、Hscan、Nikto、SQLMap、Burpsuit 等滲透測試工具和信息收集、端口掃描、Web 端口手工訪問與探測、弱口令探測、配置文件與數(shù)據(jù)庫檢查等滲透測試技術(shù)[19]對整個場景進行滲透測試，并用CVSS 對降級后的風(fēng)險進行評估，以驗證漏洞的可利用性和降低風(fēng)險措施的有效性，確保漏洞都降低到可接受的風(fēng)險水平。

2 結(jié)果

對醫(yī)療健康場景進行分析，利用軟件Microsoft Threat Modeling Tool 針對場景繪制流程圖（圖2），并生成威脅建模報告。

圖2 醫(yī)療健康場景數(shù)據(jù)流圖

分析每個數(shù)據(jù)流及相關(guān)處理過程是否有STRIDE 各類威脅存在，識別并記錄威脅。針對設(shè)備及系統(tǒng)的處理過程、數(shù)據(jù)流和數(shù)據(jù)存儲及外部實體的訪問可能存在的各種威脅進行分析，共有66 個威脅，包含15 個S（假冒）、3 個T（篡改）、10 個R（否認）、4 個I（信息泄露）、14 個D（拒絕服務(wù)）和20 個E（權(quán)限提升）。由于威脅個數(shù)過多且有一定重復(fù)性，根據(jù)類型整理歸類出可能存在的威脅的風(fēng)險描述及分析如表1 所示。

表1 各類威脅的描述分析

3 討論

通過對模擬的醫(yī)療健康場景構(gòu)建數(shù)據(jù)流圖并使用Microsoft 威脅建模工具生成漏洞列表的結(jié)果表明，本研究方法用于發(fā)現(xiàn)場景下的網(wǎng)絡(luò)安全問題并尋找解決辦法是可行的。對于醫(yī)療健康場景下的網(wǎng)絡(luò)安全，應(yīng)該更加注重對患者隱私及數(shù)據(jù)的保護，要保證患者的隱私安全，保證醫(yī)療數(shù)據(jù)不會泄露或被篡改導(dǎo)致影響醫(yī)生的判斷甚至影響患者的健康和安全。在生成威脅列表對威脅進行分類分析后，結(jié)合醫(yī)療健康場景的特殊性，根據(jù)CVSS制定評分策略。新的評分策略既要關(guān)注醫(yī)療系統(tǒng)的風(fēng)險識別、安全防御、檢測、恢復(fù)、響應(yīng)以及可控性等因素，還要關(guān)注醫(yī)療數(shù)據(jù)的完整性、保密性、可用性、異常識別以及備份恢復(fù)等因素，并根據(jù)評分結(jié)果結(jié)合醫(yī)療健康場景的特殊性針對每一類威脅制定威脅緩解措施進行風(fēng)險降級。

（1）當患者、醫(yī)護人員與醫(yī)療器械及系統(tǒng)或醫(yī)療器械系統(tǒng)與數(shù)據(jù)庫發(fā)生信息的傳遞或交互時會產(chǎn)生假冒（S）威脅，可以使用強身份驗證以及加密算法進行加密等方法來緩解威脅。例如，當數(shù)據(jù)庫被攻擊者欺騙時可能會導(dǎo)致數(shù)據(jù)被寫入攻擊者的目標而不是數(shù)據(jù)庫，以及服務(wù)器或系統(tǒng)被攻擊者欺騙可能導(dǎo)致未經(jīng)授權(quán)訪問服務(wù)器或系統(tǒng)，可以使用標準身份驗證機制來標識目標數(shù)據(jù)存儲及系統(tǒng)服務(wù)器。

（2）當使用人員對醫(yī)療器械及系統(tǒng)發(fā)送請求時會產(chǎn)生篡改（T）威脅，使用者請求的數(shù)據(jù)可能被攻擊者篡改，可以采取授權(quán)管理、數(shù)字簽名、輸入驗證及物理方法等來緩解威脅。例如，使用者與醫(yī)療器械系統(tǒng)進行交互時可能缺乏輸入驗證，流經(jīng)請求的數(shù)據(jù)可能被攻擊者篡改，導(dǎo)致針對醫(yī)療器械系統(tǒng)的拒絕服務(wù)攻擊、特權(quán)提升攻擊或信息泄露。未能驗證輸入是否符合預(yù)期是問題的根本原因，可以考慮所有路徑及其處理數(shù)據(jù)的方式，使用批準的列表輸入驗證方法驗證所有輸入的正確性。

（3）當使用人員與醫(yī)療器械及系統(tǒng)進行請求及響應(yīng)時，發(fā)生數(shù)據(jù)的傳遞與交互時會產(chǎn)生否認（R）威脅，導(dǎo)致未從信任邊界另一端接收到數(shù)據(jù)，可以采取數(shù)字簽名、系統(tǒng)審計等方法來緩解威脅。例如，醫(yī)護人員對系統(tǒng)發(fā)送請求時，系統(tǒng)聲稱沒有從信任邊界之外的源接收數(shù)據(jù)，可以考慮使用日志記錄或?qū)徍藖碛涗浗邮諗?shù)據(jù)的源、時間以及摘要。

（4）當對數(shù)據(jù)庫的數(shù)據(jù)進行讀取和使用人員對醫(yī)療器械及系統(tǒng)發(fā)送請求時，會產(chǎn)生信息泄露（I）的威脅，發(fā)送請求的數(shù)據(jù)可能會被攻擊者嗅探，用來攻擊系統(tǒng)的其他部分。當信息可以被未經(jīng)授權(quán)的一方讀取時，就會發(fā)生信息泄露，可以對數(shù)據(jù)流進行加密，使用授權(quán)管理、隱私增強協(xié)議等方法來預(yù)防。例如，服務(wù)器讀取數(shù)據(jù)庫信息時可能會發(fā)生資源的弱訪問控制，導(dǎo)致攻擊者可以讀取其他信息，可以使用查看授權(quán)設(shè)置；醫(yī)護人員對系統(tǒng)發(fā)生請求時流經(jīng)請求的數(shù)據(jù)可能會被攻擊者嗅探，根據(jù)攻擊者可以讀取的數(shù)據(jù)類型可能被用來攻擊系統(tǒng)的其他部分導(dǎo)致泄露信息，可以使用加密數(shù)據(jù)流。

（5）當進程或數(shù)據(jù)存儲無法為傳入請求提供服務(wù)或無法按規(guī)范執(zhí)行時，會發(fā)生拒絕服務(wù)（D）。當醫(yī)療器械及系統(tǒng)發(fā)生故障停止運行或運行緩慢，以及數(shù)據(jù)庫發(fā)生過度的資源消耗時，會對傳入的請求拒絕服務(wù)，可以提高網(wǎng)絡(luò)帶寬或關(guān)閉不必要的服務(wù)和端口來提高抵抗拒絕服務(wù)的能力，使用身份驗證、過濾、限流等方法來緩解威脅。

（6）醫(yī)療器械系統(tǒng)及服務(wù)器可能會被利用bug 來實現(xiàn)獲得增強的功能或特權(quán)產(chǎn)生權(quán)限提升（E）威脅。例如，攻擊者將數(shù)據(jù)傳遞到系統(tǒng)中，以便將系統(tǒng)中的程序執(zhí)行流程更改為攻擊者的選擇；醫(yī)生對系統(tǒng)發(fā)生請求時，攻擊者可以模擬請求的上下文來獲得額外的特權(quán)；攻擊者對系統(tǒng)使用遠程執(zhí)行代碼獲得特權(quán)提升，可以采取最小權(quán)限原則及強授權(quán)等方法來預(yù)防威脅。

進行風(fēng)險降級后，根據(jù)醫(yī)療健康場景的特殊性，針對場景下的數(shù)據(jù)傳輸存儲及醫(yī)療系統(tǒng)等，進行側(cè)重于醫(yī)療健康場景的滲透測試，并使用新的評分策略進行評分以驗證漏洞的可利用性和降低風(fēng)險措施的有效性，確保漏洞都降低到可接受的風(fēng)險水平。

本文根據(jù)醫(yī)療健康場景的特點及特殊性，通過模擬移動救治和個人家庭的場景討論檢測并解決其網(wǎng)絡(luò)安全的方法，為場景下的網(wǎng)絡(luò)安全問題分析和預(yù)防提供思路。但是沒有實際搭建場景和系統(tǒng)來通過實驗具體驗證其可行性，未來的研究方向可以針對醫(yī)療健康場景，制定符合醫(yī)療健康場景特殊性的漏洞評分標準及滲透測試方法，搭建實際的場景和系統(tǒng)來驗證其科學(xué)性及可行性。

4 結(jié)論

本文結(jié)合醫(yī)療健康場景的特殊性，通過Microsoft 威脅建模工具對模擬的醫(yī)療健康場景進行建模分析，繪制數(shù)據(jù)流圖生成威脅列表，對威脅進行分類、分析并參照CVSS 制定針對醫(yī)療健康場景的評分策略，提出解決辦法緩解威脅并進行風(fēng)險降級。可以科學(xué)有效地分析出醫(yī)療健康場景下可能遇到的威脅及網(wǎng)絡(luò)安全問題，在一定程度上避免或預(yù)防了由網(wǎng)絡(luò)安全問題帶來的后果及影響，為場景下的醫(yī)療器械網(wǎng)絡(luò)安全問題的分析和預(yù)防提供思路。