直到最近，醫(yī)療器械的開(kāi)發(fā)商和制造商還不需要考慮其產(chǎn)品的安全性。美國(guó)食品和藥物管理局（FDA）的新指南以及歐盟對(duì)個(gè)人數(shù)據(jù)保護(hù)的擴(kuò)展要求，現(xiàn)在使醫(yī)療設(shè)備的安全設(shè)計(jì)成為必要條件。雖然IT網(wǎng)絡(luò)攻擊得到了大部分的媒體報(bào)道，但重要的是要記住，物理攻擊（例如訪問(wèn)維護(hù)串行端口）可能同樣危險(xiǎn)。

幾年來(lái)，安全專家報(bào)告了醫(yī)院和診所網(wǎng)絡(luò)的弱點(diǎn)。盡管這些網(wǎng)絡(luò)包含極其敏感的患者數(shù)據(jù)并連接生命攸關(guān)的設(shè)備，但它們?nèi)匀槐蛔C明易于滲透。雖然網(wǎng)絡(luò)設(shè)備（如路由器）可能是最先進(jìn)的，但網(wǎng)絡(luò)上的醫(yī)療設(shè)備通常幾乎沒(méi)有安全保護(hù)。用惡意軟件破壞設(shè)備可能會(huì)打開(kāi)后門(mén)，允許遠(yuǎn)程黑客訪問(wèn)網(wǎng)絡(luò)上的敏感數(shù)據(jù)，更重要的是，導(dǎo)致設(shè)備以危險(xiǎn)的方式運(yùn)行。

自2015年以來(lái)，有許多影響醫(yī)療器械設(shè)計(jì)的安全監(jiān)管活動(dòng)。在歐盟，最近通過(guò)的新通用設(shè)備保護(hù)條例適用于所有設(shè)備，對(duì)個(gè)人數(shù)據(jù)的保護(hù)有嚴(yán)格的要求。其他法規(guī)即將發(fā)布，專門(mén)針對(duì)醫(yī)療和靜脈輸液裝置。

對(duì)于設(shè)備設(shè)計(jì)人員來(lái)說(shuō)，F(xiàn)DA更具體的建議為如何滿足安全要求提供了更有用的指導(dǎo)。FDA已經(jīng)發(fā)布了關(guān)于醫(yī)療器械安全上市前提交和上市后管理的正式指南。上市前指南中的一個(gè)關(guān)鍵項(xiàng)目指出，安全隱患應(yīng)成為風(fēng)險(xiǎn)分析的一部分，而上市后指南明確提到需要安全的軟件更新程序。新的上市后指南指出，F(xiàn)DA通常不需要為了更新該領(lǐng)域的網(wǎng)絡(luò)安全功能而清除或批準(zhǔn)醫(yī)療設(shè)備軟件更改。這是為了能夠快速響應(yīng)新出現(xiàn)的威脅。更進(jìn)一步，F(xiàn)DA首次發(fā)布了一份安全通信，該通信是由一種類型的輸液泵的網(wǎng)絡(luò)安全漏洞引發(fā)的。該通信建議僅基于易受攻擊的脆弱性而停止使用以前批準(zhǔn)的幾種設(shè)備。

應(yīng)采取哪些措施來(lái)確保安全的醫(yī)療設(shè)計(jì)

雖然醫(yī)療設(shè)備開(kāi)發(fā)人員在開(kāi)發(fā)系統(tǒng)以滿足功能安全要求方面經(jīng)驗(yàn)豐富，但網(wǎng)絡(luò)安全為設(shè)計(jì)過(guò)程增加了另一個(gè)維度。建議咨詢專家以評(píng)估不同的權(quán)衡，以實(shí)現(xiàn)產(chǎn)品的適當(dāng)安全級(jí)別。誠(chéng)信安全服務(wù)（ISS）是一家綠山軟件公司，通過(guò)端到端嵌入式安全設(shè)計(jì)幫助客戶滿足FDA和歐盟的要求。ISS支持醫(yī)療設(shè)備開(kāi)發(fā)人員在以下五條嵌入式安全規(guī)則中的應(yīng)用。

規(guī)則 1：在不信任網(wǎng)絡(luò)的情況下進(jìn)行通信

越來(lái)越多的醫(yī)療設(shè)備始終處于連接狀態(tài)，并且需要連接許多設(shè)備以進(jìn)行維護(hù)或升級(jí)。雖然保護(hù)患者數(shù)據(jù)至關(guān)重要，但基本操作參數(shù)也至關(guān)重要，例如輸液泵的最大劑量限制。即使沒(méi)有敏感數(shù)據(jù)，如果連接到醫(yī)院網(wǎng)絡(luò)上，它也可能成為黑客滲透網(wǎng)絡(luò)的目標(biāo)。

為了防止安全漏洞，有必要對(duì)所有端點(diǎn)進(jìn)行身份驗(yàn)證，包括設(shè)備本身、與設(shè)備交互的任何人類用戶以及任何其他連接的系統(tǒng)。安全設(shè)計(jì)不應(yīng)僅僅因?yàn)榻邮盏降南⒕哂姓_的格式就假定用戶和控制軟件是有效的。在作為FDA安全通信目標(biāo)的輸液泵中，黑客能夠訪問(wèn)網(wǎng)絡(luò)，對(duì)協(xié)議進(jìn)行逆向工程并發(fā)送正確格式的命令，該命令將允許對(duì)患者施用致命劑量的藥物。身份驗(yàn)證可防止醫(yī)療設(shè)備執(zhí)行來(lái)自未知來(lái)源的命令。

規(guī)則 2：確保軟件未被篡改

將惡意軟件注入設(shè)備的方法有很多種，包括

使用硬件調(diào)試接口（如 JTAG）

訪問(wèn)測(cè)試和調(diào)試接口，如遠(yuǎn)程登錄和 FTP

利用在不考慮安全性的情況下開(kāi)發(fā)的控制協(xié)議

模擬未經(jīng)驗(yàn)證即可假定可信度的軟件更新

在被證明值得信賴之前，不應(yīng)信任系統(tǒng)軟件。身份驗(yàn)證開(kāi)始的點(diǎn)稱為信任根，對(duì)于高確定性系統(tǒng)，必須位于硬件或不可變內(nèi)存中。安全啟動(dòng)過(guò)程從信任根開(kāi)始，并在允許其執(zhí)行之前驗(yàn)證每個(gè)軟件層的真實(shí)性。

安全啟動(dòng)使用數(shù)字簽名驗(yàn)證軟件的來(lái)源和完整性。軟件在發(fā)布期間進(jìn)行簽名，并在每次加載時(shí)進(jìn)行驗(yàn)證。這保證了設(shè)備沒(méi)有惡意軟件，并按照其開(kāi)發(fā)的質(zhì)量運(yùn)行。因此，通過(guò)防止惡意軟件，安全啟動(dòng)可以防止任何針對(duì)較大網(wǎng)絡(luò)的行為 - 符合新的FDA指南，該指南建議設(shè)備能夠檢測(cè)并報(bào)告其是否具有無(wú)效的軟件。

規(guī)則 3：保護(hù)關(guān)鍵數(shù)據(jù)

患者數(shù)據(jù)、關(guān)鍵操作參數(shù)甚至軟件不僅在通過(guò)網(wǎng)絡(luò)傳輸過(guò)程中需要受到保護(hù)，還需要在設(shè)備內(nèi)部受到保護(hù)。這是通過(guò)安全設(shè)計(jì)實(shí)現(xiàn)的，該設(shè)計(jì)結(jié)合了分離和加密，以確保只有經(jīng)過(guò)身份驗(yàn)證的軟件和用戶才能訪問(wèn)存儲(chǔ)的數(shù)據(jù)。

保護(hù)傳輸中的數(shù)據(jù)要求數(shù)據(jù)只能由正確的終結(jié)點(diǎn)查看。請(qǐng)注意，標(biāo)準(zhǔn)無(wú)線加密不提供安全通信：它僅保護(hù)數(shù)據(jù)鏈路，但不保護(hù)數(shù)據(jù)。能夠訪問(wèn)無(wú)線網(wǎng)絡(luò)的任何其他系統(tǒng)也能夠以解密的形式查看數(shù)據(jù)包。數(shù)據(jù)保護(hù)通過(guò)網(wǎng)絡(luò)安全協(xié)議（如 TLS）實(shí)現(xiàn)，該協(xié)議通過(guò)相互身份驗(yàn)證和唯一加密的會(huì)話實(shí)現(xiàn)安全的客戶端/服務(wù)器通信。

規(guī)則 4：可靠地保護(hù)密鑰

用于加密和身份驗(yàn)證的密鑰必須受到保護(hù)，因?yàn)槿绻@些密鑰遭到入侵，攻擊者可能會(huì)發(fā)現(xiàn)敏感數(shù)據(jù)或模擬有效的終結(jié)點(diǎn)。因此，密鑰與不受信任的軟件隔離。存儲(chǔ)在非易失性存儲(chǔ)器中的密鑰應(yīng)始終加密，并且僅在安全啟動(dòng)驗(yàn)證后解密。由于保護(hù)患者數(shù)據(jù)至關(guān)重要，特別是對(duì)于歐盟而言，使用高保證內(nèi)核和安全模塊也為故障安全設(shè)計(jì)提供了分層分離。

密鑰需要在制造和整個(gè)產(chǎn)品生命周期中由端到端安全基礎(chǔ)架構(gòu)進(jìn)行保護(hù)。如果密鑰在任何時(shí)候都是可讀的，則使用該密鑰的所有設(shè)備都容易受到攻擊。企業(yè)安全基礎(chǔ)設(shè)施可保護(hù)分布式供應(yīng)鏈中的密鑰和數(shù)字信任資產(chǎn)，但還可以提供軟件更新之外的其他經(jīng)濟(jì)效益，例如實(shí)時(shí)設(shè)備監(jiān)控、偽造設(shè)備保護(hù)和許可證文件，以控制可選功能的可用性。

規(guī)則 5：可靠運(yùn)行

正如所有醫(yī)療設(shè)計(jì)人員都知道的那樣，系統(tǒng)面臨的最大威脅之一是這些復(fù)雜設(shè)備開(kāi)發(fā)過(guò)程中發(fā)生的未知設(shè)計(jì)錯(cuò)誤和缺陷。這就是為什么綠山軟件推廣PHAS - 高保證軟件工程原理的原因。

最小實(shí)現(xiàn) - 代碼應(yīng)該只執(zhí)行那些需要的功能，以避免不可測(cè)試或維護(hù)的“意大利面條代碼”。

組件架構(gòu) - 大型軟件系統(tǒng)應(yīng)該從足夠小的組件構(gòu)建，以便于理解和維護(hù);安全和安保關(guān)鍵服務(wù)應(yīng)與非關(guān)鍵服務(wù)分開(kāi)。

最小特權(quán) – 每個(gè)組件應(yīng)僅有權(quán)訪問(wèn)其絕對(duì)需要的資源（例如內(nèi)存、通信通道、I/O 設(shè)備）。

安全開(kāi)發(fā)過(guò)程 - 高保證系統(tǒng)，如醫(yī)療設(shè)備，需要高保證的開(kāi)發(fā)過(guò)程;除了已經(jīng)使用的控件之外，可能需要其他控件，例如設(shè)計(jì)工具安全性和安全編碼標(biāo)準(zhǔn)，以確保安全設(shè)計(jì)。

獨(dú)立專家驗(yàn)證 – 由已建立的第三方進(jìn)行的評(píng)估可確認(rèn)安全聲明，并且通常需要進(jìn)行認(rèn)證。與功能安全一樣，已經(jīng)獲得網(wǎng)絡(luò)安全認(rèn)證的組件是新設(shè)計(jì)中的首選可靠構(gòu)建塊。

這些原則用于開(kāi)發(fā)綠山軟件的 INTEGRITY 實(shí)時(shí)操作系統(tǒng)，當(dāng)應(yīng)用于應(yīng)用程序開(kāi)發(fā)時(shí)，將最大限度地減少軟件錯(cuò)誤或新的網(wǎng)絡(luò)安全攻擊的可能性和影響。

創(chuàng)建端到端安全解決方案

構(gòu)建符合新法規(guī)環(huán)境的安全醫(yī)療系統(tǒng)需要端到端的安全設(shè)計(jì)，該設(shè)計(jì)可在整個(gè)產(chǎn)品生命周期內(nèi)解決聯(lián)網(wǎng)設(shè)備內(nèi)數(shù)據(jù)的安全性和可靠性問(wèn)題。這需要一個(gè)設(shè)備安全架構(gòu)，通過(guò)確保密鑰、證書(shū)和敏感數(shù)據(jù)在整個(gè)運(yùn)營(yíng)和制造供應(yīng)鏈中受到企業(yè)安全基礎(chǔ)設(shè)施的保護(hù)，確保安全操作。設(shè)備和企業(yè)安全解決方案的最佳選擇取決于設(shè)備操作和制造環(huán)境以及業(yè)務(wù)權(quán)衡，因此值得咨詢?cè)擃I(lǐng)域的專家。

審核編輯：郭婷