直到最近，醫(yī)療器械的開發(fā)商和制造商還不需要考慮其產品的安全性。美國食品和藥物管理局（FDA）的新指南以及歐盟對個人數(shù)據保護的擴展要求，現(xiàn)在使醫(yī)療設備的安全設計成為必要條件。雖然IT網絡攻擊得到了大部分的媒體報道，但重要的是要記住，物理攻擊（例如訪問維護串行端口）可能同樣危險。

幾年來，安全專家報告了醫(yī)院和診所網絡的弱點。盡管這些網絡包含極其敏感的患者數(shù)據并連接生命攸關的設備，但它們仍然被證明易于滲透。雖然網絡設備（如路由器）可能是最先進的，但網絡上的醫(yī)療設備通常幾乎沒有安全保護。用惡意軟件破壞設備可能會打開后門，允許遠程黑客訪問網絡上的敏感數(shù)據，更重要的是，導致設備以危險的方式運行。

自2015年以來，有許多影響醫(yī)療器械設計的安全監(jiān)管活動。在歐盟，最近通過的新通用設備保護條例適用于所有設備，對個人數(shù)據的保護有嚴格的要求。其他法規(guī)即將發(fā)布，專門針對醫(yī)療和靜脈輸液裝置。

對于設備設計人員來說，F(xiàn)DA更具體的建議為如何滿足安全要求提供了更有用的指導。FDA已經發(fā)布了關于醫(yī)療器械安全上市前提交和上市后管理的正式指南。上市前指南中的一個關鍵項目指出，安全隱患應成為風險分析的一部分，而上市后指南明確提到需要安全的軟件更新程序。新的上市后指南指出，F(xiàn)DA通常不需要為了更新該領域的網絡安全功能而清除或批準醫(yī)療設備軟件更改。這是為了能夠快速響應新出現(xiàn)的威脅。更進一步，F(xiàn)DA首次發(fā)布了一份安全通信，該通信是由一種類型的輸液泵的網絡安全漏洞引發(fā)的。該通信建議僅基于易受攻擊的脆弱性而停止使用以前批準的幾種設備。

應采取哪些措施來確保安全的醫(yī)療設計

雖然醫(yī)療設備開發(fā)人員在開發(fā)系統(tǒng)以滿足功能安全要求方面經驗豐富，但網絡安全為設計過程增加了另一個維度。建議咨詢專家以評估不同的權衡，以實現(xiàn)產品的適當安全級別。誠信安全服務（ISS）是一家綠山軟件公司，通過端到端嵌入式安全設計幫助客戶滿足FDA和歐盟的要求。ISS支持醫(yī)療設備開發(fā)人員在以下五條嵌入式安全規(guī)則中的應用。

規(guī)則 1：在不信任網絡的情況下進行通信

越來越多的醫(yī)療設備始終處于連接狀態(tài)，并且需要連接許多設備以進行維護或升級。雖然保護患者數(shù)據至關重要，但基本操作參數(shù)也至關重要，例如輸液泵的最大劑量限制。即使沒有敏感數(shù)據，如果連接到醫(yī)院網絡上，它也可能成為黑客滲透網絡的目標。

為了防止安全漏洞，有必要對所有端點進行身份驗證，包括設備本身、與設備交互的任何人類用戶以及任何其他連接的系統(tǒng)。安全設計不應僅僅因為接收到的消息具有正確的格式就假定用戶和控制軟件是有效的。在作為FDA安全通信目標的輸液泵中，黑客能夠訪問網絡，對協(xié)議進行逆向工程并發(fā)送正確格式的命令，該命令將允許對患者施用致命劑量的藥物。身份驗證可防止醫(yī)療設備執(zhí)行來自未知來源的命令。

規(guī)則 2：確保軟件未被篡改

將惡意軟件注入設備的方法有很多種，包括

使用硬件調試接口（如 JTAG）

訪問測試和調試接口，如遠程登錄和 FTP

利用在不考慮安全性的情況下開發(fā)的控制協(xié)議

模擬未經驗證即可假定可信度的軟件更新

在被證明值得信賴之前，不應信任系統(tǒng)軟件。身份驗證開始的點稱為信任根，對于高確定性系統(tǒng)，必須位于硬件或不可變內存中。安全啟動過程從信任根開始，并在允許其執(zhí)行之前驗證每個軟件層的真實性。

安全啟動使用數(shù)字簽名驗證軟件的來源和完整性。軟件在發(fā)布期間進行簽名，并在每次加載時進行驗證。這保證了設備沒有惡意軟件，并按照其開發(fā)的質量運行。因此，通過防止惡意軟件，安全啟動可以防止任何針對較大網絡的行為 - 符合新的FDA指南，該指南建議設備能夠檢測并報告其是否具有無效的軟件。

規(guī)則 3：保護關鍵數(shù)據

患者數(shù)據、關鍵操作參數(shù)甚至軟件不僅在通過網絡傳輸過程中需要受到保護，還需要在設備內部受到保護。這是通過安全設計實現(xiàn)的，該設計結合了分離和加密，以確保只有經過身份驗證的軟件和用戶才能訪問存儲的數(shù)據。

保護傳輸中的數(shù)據要求數(shù)據只能由正確的終結點查看。請注意，標準無線加密不提供安全通信：它僅保護數(shù)據鏈路，但不保護數(shù)據。能夠訪問無線網絡的任何其他系統(tǒng)也能夠以解密的形式查看數(shù)據包。數(shù)據保護通過網絡安全協(xié)議（如 TLS）實現(xiàn)，該協(xié)議通過相互身份驗證和唯一加密的會話實現(xiàn)安全的客戶端/服務器通信。

規(guī)則 4：可靠地保護密鑰

用于加密和身份驗證的密鑰必須受到保護，因為如果這些密鑰遭到入侵，攻擊者可能會發(fā)現(xiàn)敏感數(shù)據或模擬有效的終結點。因此，密鑰與不受信任的軟件隔離。存儲在非易失性存儲器中的密鑰應始終加密，并且僅在安全啟動驗證后解密。由于保護患者數(shù)據至關重要，特別是對于歐盟而言，使用高保證內核和安全模塊也為故障安全設計提供了分層分離。

密鑰需要在制造和整個產品生命周期中由端到端安全基礎架構進行保護。如果密鑰在任何時候都是可讀的，則使用該密鑰的所有設備都容易受到攻擊。企業(yè)安全基礎設施可保護分布式供應鏈中的密鑰和數(shù)字信任資產，但還可以提供軟件更新之外的其他經濟效益，例如實時設備監(jiān)控、偽造設備保護和許可證文件，以控制可選功能的可用性。

規(guī)則 5：可靠運行

正如所有醫(yī)療設計人員都知道的那樣，系統(tǒng)面臨的最大威脅之一是這些復雜設備開發(fā)過程中發(fā)生的未知設計錯誤和缺陷。這就是為什么綠山軟件推廣PHAS - 高保證軟件工程原理的原因。

最小實現(xiàn) - 代碼應該只執(zhí)行那些需要的功能，以避免不可測試或維護的“意大利面條代碼”。

組件架構 - 大型軟件系統(tǒng)應該從足夠小的組件構建，以便于理解和維護;安全和安保關鍵服務應與非關鍵服務分開。

最小特權 – 每個組件應僅有權訪問其絕對需要的資源（例如內存、通信通道、I/O 設備）。

安全開發(fā)過程 - 高保證系統(tǒng)，如醫(yī)療設備，需要高保證的開發(fā)過程;除了已經使用的控件之外，可能需要其他控件，例如設計工具安全性和安全編碼標準，以確保安全設計。

獨立專家驗證 – 由已建立的第三方進行的評估可確認安全聲明，并且通常需要進行認證。與功能安全一樣，已經獲得網絡安全認證的組件是新設計中的首選可靠構建塊。

這些原則用于開發(fā)綠山軟件的 INTEGRITY 實時操作系統(tǒng)，當應用于應用程序開發(fā)時，將最大限度地減少軟件錯誤或新的網絡安全攻擊的可能性和影響。

創(chuàng)建端到端安全解決方案

構建符合新法規(guī)環(huán)境的安全醫(yī)療系統(tǒng)需要端到端的安全設計，該設計可在整個產品生命周期內解決聯(lián)網設備內數(shù)據的安全性和可靠性問題。這需要一個設備安全架構，通過確保密鑰、證書和敏感數(shù)據在整個運營和制造供應鏈中受到企業(yè)安全基礎設施的保護，確保安全操作。設備和企業(yè)安全解決方案的最佳選擇取決于設備操作和制造環(huán)境以及業(yè)務權衡，因此值得咨詢該領域的專家。

審核編輯：郭婷