浅谈医疗器械生命周期的安全管理

作者 | 陈峻

审校 | 重楼

近年来，随着医疗物联网（IoMT）设备的广泛使用，发生在医疗领域的网络与信息安全事件屡上新闻头条。它们不但导致了医疗设备和医院系统的瘫痪，而且扰乱了患者理应得到的及时诊断与护理，甚至由此引发的误诊还会给对患者造成身心上的伤害。为此，人们越来越感觉到安全管理对于确保医疗器械能够正常运行的重要性。下面，我们将从医疗器械的生命周期、以及涉及到的角色责任两个维度，深入探讨安全管理的各项优秀实践。

上市前

在医疗器械进入市场之前的设计和制造过程中，厂商应通过威胁建模等工作来主动抵御网络与信息安全威胁。这要比在上市之后被动地处理各类安全事故更加有效。因此，他们应考虑的安全要素包括：基本的安全需求、保护策略、风险管理、安全测试、以及安全操作的必要提示等。同时，厂商也应考虑器械可能被使用的真实环境、以及可以预见到的误用情况等。下面是厂商在产品设计与制造阶段需要重点考虑的要素：

通信安全

• 考虑可能会被用在临时场所、家庭状况、甚至野外环境等安全性较低的场景。
• 谨慎选择器械与其他传统器械或网络连接的方式，是采取网线连接、还是无线通信。其中涉及到的接口协议，如：Wi-Fi、以太网、蓝牙、或USB等是否有安全版本可用。
• 为了防止未经授权的访问、修改或重放，应对器械与系统之间的通信进行相互验证，验证所有的输入，而非仅仅源于外部的输入，并且应在预设时间后终止通信会话（即，设定会话超时）。

数据保护

• 考虑存储在器械上的静态数据（如：密码与密钥），以及通过器械传输的动态数据（如：控制信息与序列字段），是否需要通过加密予以保护。

完整性

• 通过提供完整性检查和日志审计功能，确保系统架构能够支持对自身固件、定制化配置、以及患者数据实施防篡改保护。
• 考虑安装并启用反恶意软件等控制措施，以防止病毒、间谍软件、勒索软件、以及其他形式的恶意代码，在器械上被执行与传播。

访问控制

• 通过复杂密码、硬件密钥、生物识别技术、甚至是排他信号（即，不可由指定器械产生）等方式，予以用户身份验证和访问控制，以确保只有授权的角色才能登录器械、使用器械、以及在紧急情况下管控器械。
• 通过物理锁、线缆保护、以及端口限制等控制措施，防止未经授权的实际触碰、甚至是器械破坏。

威胁建模

• 应构建一个能够识别、发现和降低器械与系统潜在威胁的过程。该过程不限于与器械设计、制造、部署和维护有关的风险，也包括由供应链所引入的外部威胁。
• 通过绘制各种恶意的、以及意外的威胁要素与相互关系，参照通用漏洞评分系统（CVSS），对各项威胁进行优先级排序，以便采用不同的管控措施。

安全测试

• 通过静态代码分析、动态功能分析、稳健性测试、以及软件组成分析等安全测试，以确保器械系统代码不存在已知的重大漏洞，并能有效实施安全控制。

文档说明

• 应编写有关器械的合理安装、配置加固、运行环境要求、正确使用、以及异常应对等说明性文档。
• 编制一份软件物料清单（SBOM），涵括涉及到的每个软件组件的名称、来源、版本等信息。这种透明度将有助于使用者通过查找和比对第三方软件的最新已识别漏洞，了解其对器械产生的潜在影响，进而充分利用行业最佳实践，采取合理的应对措施。

第三方支持

• 如果涉及到从第三方处获取对器械组件的支持，则应考虑其在本器械预计的使用期限终止之前，可能由于“断供”所产生的不利影响。

上市后

众所周知，随着器械被集成到现有的医疗信息系统中，或是被安装到全新的环境里投入使用，威胁和漏洞会随着时间的推移而发生变化。因此，我们有必要在医疗器械上市后持续进行安全管理，将风险态势维持在可接受的范围内。其中，可采取方法与要素包括：

• 维护良好的器械所在的物理环境，配套实施门禁管理系统和网络接入点的安全加固。
• 在有条件的情况下，通过配置管理来识别当前器械的状态，并跟踪未来的配置变化。
• 限制并移除不必要的网络连接通道与硬件端口。
• 在部署和使用环境中，对器械进行验收检查，开展模拟攻击、渗透测试、以及模糊测试等安全评估与分析，以找到包括：可被读取的隐藏文件、配置信息、数据流、以及硬件寄存器等未知漏洞。
• 应定期发布与更新安全、高效的系统版本、代码签名、数字证书、以及操作流程；替换或移除存在安全漏洞且无法修复的软件版本与硬件组件。
• 通过制定对器械的定期检查、维修、响应与恢复机制，来确保器械的可靠性与可用性。
• 提供基本的网络与信息安全培训，以提升诸如：医生、护士、护理人员、医学研究员、以及技术人员等角色的安全意识和良好的操作习惯。
• 根据通用漏洞披露信息，及时排查、评估和通报器械中存在的安全漏洞，详细提供缓解和/或补偿性的控制措施。
• 借鉴其他领域的标准和最佳实践，制定并实施威胁情报（Thread Intelligence）跟踪与威胁狩猎（Threat Hunting）的例行策略。

角色与职责

既然是对医疗器械的安全管理，那么就离不开人员及其安全任务。我们对此可以分为三类角色：器械厂商、使用者、以及第三方技术工程师。他们的职责可以简单地划分为：

• 器械厂商负责远程通过安全授权服务，利用网络连接对器械进行周期性地更新、补丁、升级、解锁等安全维护。
• 使用者从器械厂商指定来源（如：官方链接或可信的第三方官网处）检索、下载并安装更新包或策略组件，以及遵守器械厂商在说明文档中所规定的安全操作流程。
• 第三方技术工程师根据协议按需到达器械现场，或是以远程连接的方式，根据器械厂商的文档与说明，提供安全维护、器械诊断、及其他安全服务。

EOL 与 EOS

和其他软硬件产品类似，医疗器械的生命周期末期会依次进入 EOL（停产期限） 和 EOS（支持期限）。其中，

• 在临近EOL时，器械厂商会向使用者发出通知，告知在EOL之后，其对于同类器械的网络与信息安全的支持力度有所减弱（即：仅提供有限的支持）。对此使用者应立即开始寻求升级或替换方案，作为补偿性控制措施，以保障后续使用的连续性。
• 而在EOS之时，器械厂商将不再提供安全支持。显然，由于器械厂商的安全责任在EOS日期之后，被转移给了使用者，鉴于使用者需要承担的安全风险，他们应立即停止使用这些过期的医疗器械。当然，对于停用的器械，使用者应联系厂商或自行对其中的硬件寄存器予以消磁或销毁等操作。

小结

综上所述，安全管理是医疗器械整个生命周期中不可或缺的一部分。而在现实和默认情况下，它往往会被部分忽略，从而给器械厂商、使用者、以及第三方技术人员埋下各种安全风险与隐患。希望上述针对各个阶段的要点梳理和安全建议，能够在您管理医疗器械的实践中提供安全帮助。

作者介绍

陈峻（Julian Chen），51CTO社区编辑，具有十多年的IT项目实施经验，善于对内外部资源与风险实施管控，专注传播网络与信息安全知识与经验。