陳鈿 蔡丹丹 李小江 余永環(huán) 何澤文 廣東省藥品監(jiān)督管理局審評(píng)認(rèn)證中心 （廣東 廣州 510080）

內(nèi)容提要： 以能通過(guò)網(wǎng)絡(luò)鏈接到產(chǎn)科中央監(jiān)護(hù)系統(tǒng)的母親胎兒監(jiān)護(hù)儀為例，分析母親胎兒監(jiān)護(hù)儀在使用過(guò)程中可能遇到的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)，以期對(duì)母親胎兒監(jiān)護(hù)儀的安全生產(chǎn)和使用有所幫助。

隨著互聯(lián)網(wǎng)、大數(shù)據(jù)、云計(jì)算技術(shù)等網(wǎng)絡(luò)技術(shù)的發(fā)展，無(wú)線、網(wǎng)絡(luò)鏈接、便攜式等醫(yī)療設(shè)備隨之增加，越來(lái)越多的醫(yī)療器械能通過(guò)網(wǎng)絡(luò)鏈接進(jìn)行電子數(shù)據(jù)交換或遠(yuǎn)程控制，在提高醫(yī)療服務(wù)質(zhì)量與效率的同時(shí)也面臨著網(wǎng)絡(luò)攻擊的威脅[1]。如利用醫(yī)療器械的網(wǎng)絡(luò)安全漏洞，從遠(yuǎn)程發(fā)送未經(jīng)授權(quán)的信息，讓自動(dòng)注射泵釋放達(dá)到致死劑量的胰島素，遠(yuǎn)程入侵一臺(tái)起搏器，讓它發(fā)出一次危險(xiǎn)的顫動(dòng)，入侵護(hù)士站的電腦，竊取患者個(gè)人信息和醫(yī)療數(shù)據(jù)等。醫(yī)療器械網(wǎng)絡(luò)安全出現(xiàn)問(wèn)題不僅可能會(huì)侵犯患者隱私，而且可能會(huì)產(chǎn)生醫(yī)療器械非預(yù)期運(yùn)行的風(fēng)險(xiǎn)，導(dǎo)致患者或使用者受到傷害或死亡。因此，對(duì)醫(yī)療器械網(wǎng)絡(luò)安全進(jìn)行評(píng)價(jià)來(lái)確保醫(yī)療器械的安全有效具有重要意義。

1.母親胎兒監(jiān)護(hù)儀簡(jiǎn)介

母親胎兒監(jiān)護(hù)儀通常由主機(jī)、超聲探頭、宮縮壓力傳感器及與之相連接的其他附件（心電導(dǎo)聯(lián)、無(wú)創(chuàng)血壓袖套、脈搏氧飽和度傳感器、體溫傳感器等）組成，供母親的心電、無(wú)創(chuàng)血壓、脈搏、血氧飽和度、體溫、呼吸、宮縮壓力以及胎兒心率、胎動(dòng)監(jiān)測(cè)用，檢測(cè)胎兒心率采用超聲多普勒原理，可在圍產(chǎn)期對(duì)胎兒進(jìn)行連續(xù)監(jiān)護(hù)，并在出現(xiàn)異常時(shí)及時(shí)提供報(bào)警信息。

隨著網(wǎng)絡(luò)技術(shù)發(fā)展，為了提高醫(yī)院產(chǎn)科的工作效率與質(zhì)量，方便醫(yī)院同時(shí)對(duì)多個(gè)孕婦進(jìn)行監(jiān)護(hù)，越來(lái)越多母親胎兒監(jiān)護(hù)儀能通過(guò)網(wǎng)絡(luò)鏈接到醫(yī)院中央監(jiān)護(hù)工作站，將監(jiān)測(cè)到的患者生理數(shù)據(jù)傳輸?shù)焦ぷ髡痉奖慵泄芾怼Ｖ醒氡O(jiān)護(hù)工作站利用獨(dú)特的聯(lián)網(wǎng)技術(shù)，負(fù)責(zé)收集、處理、分析和輸出來(lái)自多個(gè)床位的監(jiān)護(hù)信息，同時(shí)對(duì)多個(gè)患者進(jìn)行監(jiān)護(hù)，為醫(yī)護(hù)人員提供了大大的便利。但同時(shí)，由于鏈入網(wǎng)絡(luò)，也增加了由于網(wǎng)絡(luò)入侵而導(dǎo)致數(shù)據(jù)丟失、數(shù)據(jù)被惡意篡改、患者隱私泄漏的風(fēng)險(xiǎn)，產(chǎn)品開(kāi)發(fā)商與使用者須了解產(chǎn)品的這些風(fēng)險(xiǎn)，共同進(jìn)行防護(hù)。

2.母親胎兒監(jiān)護(hù)儀網(wǎng)絡(luò)安全風(fēng)險(xiǎn)及控制措施

2.1 硬件資源

硬件固件作為信息的載體，若存在質(zhì)量問(wèn)題，會(huì)為數(shù)據(jù)的存儲(chǔ)、傳輸帶來(lái)風(fēng)險(xiǎn)。

常見(jiàn)風(fēng)險(xiǎn)有：①設(shè)備故障。如無(wú)線超聲探頭硬件損壞，將直接影響胎兒心率的測(cè)量和與主機(jī)之間的通信。應(yīng)嚴(yán)格管控物料采購(gòu)，保證關(guān)鍵元器件的質(zhì)量。②電磁泄漏。網(wǎng)絡(luò)端口、傳輸線路都有可能因?yàn)槠帘尾粐?yán)而造成電磁泄漏，從而影響數(shù)據(jù)傳輸。應(yīng)做好相關(guān)屏蔽和防輻射工作。③電池?fù)p耗。如無(wú)線超聲探頭一般采用內(nèi)部電池供電，若電池耗盡，直接導(dǎo)致設(shè)備不能工作，影響數(shù)據(jù)傳輸?？稍O(shè)置低電量提醒功能來(lái)提醒用戶及時(shí)更換電池或設(shè)備。

2.2 網(wǎng)絡(luò)入侵

醫(yī)療器械相關(guān)數(shù)據(jù)包括健康數(shù)據(jù)與設(shè)備數(shù)據(jù)，母親胎兒監(jiān)護(hù)儀可以通過(guò)有線或無(wú)線網(wǎng)絡(luò)將患者信息和生理參數(shù)數(shù)據(jù)傳輸給中央監(jiān)護(hù)系統(tǒng)或者手機(jī)App等移動(dòng)設(shè)備。在進(jìn)行網(wǎng)絡(luò)傳輸時(shí)，很可能遭到竊聽(tīng)、篡改、竊取等惡意入侵。

常見(jiàn)風(fēng)險(xiǎn)有：①用戶密碼被獲取。涉及到患者信息的軟件一般有設(shè)置用戶訪問(wèn)控制，在用戶注冊(cè)、登錄中央監(jiān)護(hù)系統(tǒng)軟件或者App軟件時(shí)，密碼可能通過(guò)網(wǎng)絡(luò)、界面被獲取，而導(dǎo)致患者隱私信息和健康數(shù)據(jù)泄漏?？梢酝ㄟ^(guò)將用戶登錄界面密碼輸入的部分設(shè)計(jì)為輸入密碼隱藏，用戶注冊(cè)信息經(jīng)本地加密后通過(guò)密文傳輸并在數(shù)據(jù)庫(kù)中以密文形式存放等措施，來(lái)保護(hù)用戶密碼不被竊取。用戶也可以通過(guò)以設(shè)置復(fù)雜密碼的形式來(lái)減少密碼被盜風(fēng)險(xiǎn)。②未經(jīng)授權(quán)設(shè)備接入系統(tǒng)。偽裝的設(shè)備或程序可能通過(guò)網(wǎng)絡(luò)惡意接入系統(tǒng)，給設(shè)備發(fā)送錯(cuò)誤指令，例如停止對(duì)某床位的監(jiān)護(hù)，導(dǎo)致該床患者未能被及時(shí)監(jiān)護(hù)可能引發(fā)醫(yī)療事故。控制措施：使系統(tǒng)與設(shè)備的通迅通過(guò)私有協(xié)議完成，必須完成協(xié)議規(guī)定的交互邏輯，方可允許設(shè)備鏈接。③數(shù)據(jù)被竊取。網(wǎng)絡(luò)傳輸?shù)臄?shù)據(jù)可能被惡意竊取，導(dǎo)致患者信息、健康數(shù)據(jù)泄漏，例如有的母親胎兒監(jiān)護(hù)儀將數(shù)據(jù)無(wú)線傳輸給手機(jī)App，傳輸過(guò)程被第三方非法獲取。控制措施：數(shù)據(jù)傳輸中，健康數(shù)據(jù)和患者敏感數(shù)據(jù)加密后在網(wǎng)絡(luò)上傳和存儲(chǔ)。④數(shù)據(jù)完整性被破壞。網(wǎng)絡(luò)傳輸?shù)臄?shù)據(jù)可能被第三方通過(guò)特殊工具篡改，當(dāng)母親胎兒監(jiān)護(hù)儀通過(guò)有線或者無(wú)線向中央監(jiān)護(hù)系統(tǒng)或者手機(jī)App發(fā)送數(shù)據(jù)時(shí)，第三方截取數(shù)據(jù)篡改后再發(fā)送到接收端，使監(jiān)護(hù)人員得到錯(cuò)誤的數(shù)據(jù)，不能準(zhǔn)確地進(jìn)行監(jiān)護(hù)而對(duì)患者造成傷害?？刂拼胧合到y(tǒng)數(shù)據(jù)協(xié)議使用檢驗(yàn)來(lái)判斷數(shù)據(jù)完整性，通訊雙方對(duì)收到的報(bào)文進(jìn)行協(xié)議格式、規(guī)則的一致性核對(duì)，對(duì)一致性核對(duì)或者校驗(yàn)錯(cuò)誤的報(bào)文一律丟棄，并提醒用戶檢查。

2.3 軟件系統(tǒng)

軟件漏洞：中央監(jiān)護(hù)系統(tǒng)軟件或手機(jī)App存在安全漏洞，或者軟件所運(yùn)行系統(tǒng)存在漏洞，設(shè)備很容易受到攻擊，影響系統(tǒng)的正常運(yùn)行，可能導(dǎo)致患者數(shù)據(jù)丟失?？刂拼胧涸O(shè)置防火墻，定期進(jìn)行漏洞掃描。

惡意軟件：互聯(lián)網(wǎng)紛繁復(fù)雜，當(dāng)中央監(jiān)護(hù)系統(tǒng)或手機(jī)遭到病毒、木馬、蠕蟲(chóng)等惡意軟件攻擊，將導(dǎo)致整個(gè)系統(tǒng)癱瘓，可能導(dǎo)致患者數(shù)據(jù)丟失。控制措施：安裝防病毒軟件，經(jīng)常對(duì)系統(tǒng)進(jìn)行殺毒，不要安裝一些來(lái)源不明的軟件，將數(shù)據(jù)進(jìn)行存儲(chǔ)備份。

軟件更新失?。寒?dāng)中央監(jiān)護(hù)系統(tǒng)軟件或手機(jī)App在通過(guò)網(wǎng)絡(luò)更新時(shí)，如果升級(jí)包受到惡意軟件攻擊，導(dǎo)致更新失敗或?qū)\(yùn)行環(huán)境造成損害?？刂拼胧核猩?jí)包進(jìn)行校驗(yàn)，校驗(yàn)失敗時(shí)安裝自動(dòng)中斷，并提醒用戶升級(jí)包可能存在安全隱患，App軟件更新指定用戶到主流的應(yīng)用市場(chǎng)更新軟件。

2.4 云服務(wù)

母親胎兒監(jiān)護(hù)儀將數(shù)據(jù)傳輸?shù)绞謾C(jī)App，為了方便數(shù)據(jù)存儲(chǔ)與管理，有的手機(jī)App有云服務(wù)功能，儲(chǔ)存患者數(shù)據(jù)。第三方用戶可能未經(jīng)授權(quán)登錄云服務(wù)臺(tái)，對(duì)配置進(jìn)行惡意更改，云服務(wù)也可能受到惡意攻擊，導(dǎo)致大量患者信息或者健康數(shù)據(jù)泄漏?？刂拼胧涸品?wù)控制臺(tái)通過(guò)賬號(hào)設(shè)置手機(jī)綁定，憑密碼登錄的同時(shí)還需要手機(jī)驗(yàn)證才能通過(guò)，否則無(wú)法登錄。通過(guò)控制臺(tái)程序設(shè)置安全組策略，啟用專(zhuān)用VPC，必要時(shí)購(gòu)買(mǎi)云盾服務(wù)，通過(guò)多種手段來(lái)抵御互聯(lián)網(wǎng)不明的惡意攻擊。

2.5 U盤(pán)、移動(dòng)硬盤(pán)

患者的健康數(shù)據(jù)可能通過(guò)U盤(pán)或者移動(dòng)硬盤(pán)進(jìn)行轉(zhuǎn)移或儲(chǔ)存，若U盤(pán)或者移動(dòng)硬盤(pán)中毒，將通過(guò)網(wǎng)絡(luò)接口將病毒傳入系統(tǒng)，從而影響系統(tǒng)正常運(yùn)行或者數(shù)據(jù)丟失?？刂拼胧捍_保所用存儲(chǔ)設(shè)備經(jīng)過(guò)殺毒軟件全盤(pán)掃描，且無(wú)安全威脅時(shí)方可拷貝。

網(wǎng)絡(luò)安全威脅無(wú)處不在，本文以母親胎兒監(jiān)護(hù)儀為例，列舉了部分網(wǎng)絡(luò)安全風(fēng)險(xiǎn)，并不是全部的風(fēng)險(xiǎn)都被識(shí)別。為了保障醫(yī)療器械的安全有效使用，醫(yī)療器械的網(wǎng)絡(luò)安全需要注冊(cè)申請(qǐng)人、用戶和信息技術(shù)服務(wù)商的共同努力和通力合作才能得以保障。