陳鈿 曾祥衛(wèi) ＊ 孫志剛 錢天翼 伍健榮

1 廣東省藥品監(jiān)督管理局審評認證中心 （廣東 廣州 510080）

2 騰訊醫(yī)療健康（深圳）有限公司 （廣東 深圳 518000）

內容提要：隨著深度學習技術的發(fā)展，人工智能技術在臨床上的應用研究火熱，目前已有多個深度學習輔助診斷軟件產(chǎn)品經(jīng)審批上市。大部分人工智能醫(yī)療器械軟件具備網(wǎng)絡連接功能以實現(xiàn)電子數(shù)據(jù)交換或遠程控制，從而不可避免地帶來網(wǎng)絡安全風險。人工智能醫(yī)療器械軟件是基于“醫(yī)療器械數(shù)據(jù)”，采用人工智能技術實現(xiàn)預期用途的醫(yī)療器械軟件，相比普通醫(yī)療器械軟件，具有更高的網(wǎng)絡安全要求。文章從網(wǎng)絡安全角度出發(fā)，探討人工智能醫(yī)療器械軟件的網(wǎng)絡安全方面的技術考量。

隨著人工智能技術的發(fā)展，醫(yī)療器械軟件產(chǎn)品使用人工智能技術實現(xiàn)輔助診斷、輔助分析等功能為臨床診斷和治療帶來非常大的便利。大部分應用人工智能技術的醫(yī)療器械軟件具備網(wǎng)絡連接功能以實現(xiàn)電子數(shù)據(jù)交換或遠程控制，因此在提升臨床診斷效率與質量的同時，帶來了遭受網(wǎng)絡攻擊的潛在風險。人工智能醫(yī)療器械軟件即采用機器學習、深度學習等人工智能技術實現(xiàn)輔助診斷、輔助分析等功能的醫(yī)療器械軟件。該類醫(yī)療器械軟件基于海量醫(yī)學數(shù)據(jù)，借助算力平臺，進行算法開發(fā)。其所使用的醫(yī)療數(shù)據(jù)可能會包含患者的個人標識、健康狀況、診療結果以及醫(yī)療情況等相關信息。這些信息被惡意泄露、濫用后，不僅會對患者的健康護理方式、診斷治療的方案以及醫(yī)護人員的科研造成影響，甚至于會導致臨床醫(yī)療事故的發(fā)生；而且還會給患者的生活和工作帶來諸多困擾和騷擾，影響患者正常生活和工作[1,2]。因此對于人工智能醫(yī)療器械軟件，應當在網(wǎng)絡安全方面有更多的考量，通過技術和管理手段確保個人健康醫(yī)療數(shù)據(jù)的隱私性、完整性、可用性、可控性等，以維護患者的個人隱私和公眾利益[3]。

1.人工智能醫(yī)療器械軟件網(wǎng)絡安全風險管理

人工智能醫(yī)療器械軟件除考慮軟件自身網(wǎng)絡安全能力建設外，還應當在軟件全生命周期過程中考慮網(wǎng)絡與數(shù)據(jù)安全過程控制要求，包括上市前設計開發(fā)階段和上市后使用階段[4]。在上市前設計開發(fā)階段，區(qū)別一般的醫(yī)療器械軟件，人工智能醫(yī)療器械軟件依靠海量數(shù)據(jù)訓練，應識別在數(shù)據(jù)采集、數(shù)據(jù)預處理、數(shù)據(jù)標注、數(shù)據(jù)集構建等過程中存在的網(wǎng)絡與數(shù)據(jù)安全風險，并進行有效控制。如脫敏數(shù)據(jù)由臨床機構轉移至生產(chǎn)企業(yè)過程中所用數(shù)據(jù)轉移方法可能帶來的風險[5]。還應識別在算法訓練、算法性能評估、軟件驗證、軟件確認等活動過程中可能帶來的風險，如訓練過程中數(shù)據(jù)被污染，程序代碼和數(shù)據(jù)受到惡意篡改導致軟件功能偏離預期目標。

在上市后使用階段，人工智能醫(yī)療器械軟件產(chǎn)品網(wǎng)絡安全風險應結合產(chǎn)品的預期用途、使用場景、核心功能進行綜合判定[6]。人工智能醫(yī)療器械系統(tǒng)在大大提升醫(yī)護人員工作效率的同時，由于需要網(wǎng)絡鏈接，也增加了由于網(wǎng)絡入侵而導致數(shù)據(jù)丟失、數(shù)據(jù)被惡意篡改、患者隱私泄漏的風險，產(chǎn)品開發(fā)商與使用者須了解產(chǎn)品的這些風險，共同進行防護。如人工智能醫(yī)療器械軟件上市后一般在醫(yī)療機構內部環(huán)境下運行，云端也應部署在具有足夠防護等級的服務器環(huán)境。醫(yī)療機構應當對自己的專有網(wǎng)絡有足夠的安全防護措施和管控能力，例如選擇IP地址范圍、配置路由表和網(wǎng)關等，專有網(wǎng)絡與其他網(wǎng)絡之間的安全隔離，通過安全組防火墻等進行多層訪問控制。醫(yī)療機構在自己的專有網(wǎng)絡內使用云服務資源、管理患者資料、運行人工智能醫(yī)療器械軟件。如人工智能醫(yī)療器械軟件部署在云端，應對云服務的系統(tǒng)安全風險進行識別，并采用安全技術保護手段進行防護。運行環(huán)境可能存在漏洞、威脅入侵或病毒等風險，應提供漏洞掃描服務，支持入侵威脅檢測、病毒查殺、漏洞智能修復、基線一鍵檢查、網(wǎng)頁防篡改等告警功能。并嚴格控制訪問者的權限，并對所有操作進行日志記錄，做到行為實名認證，且可追溯。

人工智能醫(yī)療器械軟件產(chǎn)品風險管理可基于19項網(wǎng)絡安全能力進行分析和實施，并在全生命周期中持續(xù)關注網(wǎng)絡安全問題，包括但不限于設計開發(fā)、生產(chǎn)、分銷、部署、更新維護、上市后監(jiān)測等[7]。重點關注數(shù)據(jù)采集、數(shù)據(jù)集構建、算法學習、云計算、遠程控制和外部軟件環(huán)境等網(wǎng)絡安全風險點?；诒Ｃ苄浴⑼暾?、可得性、可靠性、真實性、可核查性和可抵賴等網(wǎng)絡安全特性，確定人工智能醫(yī)療器械軟件網(wǎng)絡安全能力建設要求。

2.人工智能醫(yī)療器械軟件網(wǎng)絡安全常見風險及控制措施

2.1 數(shù)據(jù)轉移

醫(yī)療數(shù)據(jù)在轉移到醫(yī)療企業(yè)前應進行數(shù)據(jù)脫敏，醫(yī)療數(shù)據(jù)從臨床機構轉移至企業(yè)過程中有數(shù)據(jù)外泄風險，可通過對圖像數(shù)據(jù)進行加密壓縮、再通過硬盤拷貝進行轉移。同時應確保密碼掌控者使用密碼的場景和方式。

2.2 數(shù)據(jù)預處理

醫(yī)療數(shù)據(jù)從臨床機構轉移至企業(yè)后，數(shù)據(jù)如果在網(wǎng)絡條件下進行預處理，很容易被攻擊，導致數(shù)據(jù)泄漏，一般數(shù)據(jù)預處理軟件無需聯(lián)網(wǎng)即可使用，企業(yè)內部設計開發(fā)活動應當在封閉的網(wǎng)絡環(huán)境下開展，來控制數(shù)據(jù)被竊取風險。

2.3 數(shù)據(jù)標注

數(shù)據(jù)標注過程一般是網(wǎng)絡開放環(huán)境，指派任務、標注圖片等活動在線上完成，有數(shù)據(jù)污染風險?？蓪?shù)據(jù)標注軟件部署在云端服務器上，在云服務器中安裝云盾程序，包括SSL證書（應用安全）、定期木馬查殺、主機異常提醒、DDos攻擊防御等功能。并對用戶的登錄進行實名認證和過程記錄。

2.4 數(shù)據(jù)集構建

為防止數(shù)據(jù)被竊取，數(shù)據(jù)集構建應在封閉的網(wǎng)絡環(huán)境下開展，企業(yè)可通過將數(shù)據(jù)庫劃分在本地電腦進行風險控制，數(shù)據(jù)應定期及時完整備份。

2.5 算法訓練、測試

算法訓練、測試過程中有數(shù)據(jù)被污染風險，可在封閉的網(wǎng)絡環(huán)境中離線訓練，從而避免訓練數(shù)據(jù)被污染。

2.6 數(shù)據(jù)傳輸

數(shù)據(jù)傳輸過程中有數(shù)據(jù)被竊取、篡改風險，數(shù)據(jù)傳輸采用加密傳輸，可通過加強通信密鑰實現(xiàn)，各種數(shù)據(jù)傳輸通道都應加密。數(shù)據(jù)傳輸增加檢驗參數(shù)，如數(shù)據(jù)上傳到云端時需提交數(shù)字簽名，云端通過對稱加密方法來對傳入的數(shù)據(jù)進行安全核驗，防止數(shù)據(jù)被篡改。

2.7 數(shù)據(jù)存儲

為防止數(shù)據(jù)泄漏，數(shù)據(jù)存儲通過加密方式實現(xiàn)。上傳數(shù)據(jù)時對收到的用戶數(shù)據(jù)進行加密存儲，下載數(shù)據(jù)時對存儲數(shù)據(jù)解密。若數(shù)據(jù)存儲時受到不安全攻擊或危險事件，獲取的數(shù)據(jù)為密文，不會泄露患者數(shù)據(jù)。對于保存在移動介質中的健康數(shù)據(jù)進行加密，在寫入文件前對文件進行加密，讀取文件時解密，防止非預期的用戶控制。

3.網(wǎng)絡安全技術考量

3.1 網(wǎng)絡通信的要求

醫(yī)療器械的健康數(shù)據(jù)在網(wǎng)絡通信傳輸或者數(shù)據(jù)交換過程中，注冊申請人可采用校驗碼技術、密碼技術、加密、數(shù)字簽名和標準協(xié)議等技術保證數(shù)據(jù)的保密性、完整性和可得性。

設置人工智能醫(yī)療器械軟件跨網(wǎng)訪問權限，在信息交互過程中，應具備內容過濾能力，實現(xiàn)對內容的訪問控制，利用專門的登錄控制方式進行訪問，從而防止惡意用戶非法訪問，避免安全問題的發(fā)生[8]。設置網(wǎng)絡訪問其權限，能夠加強網(wǎng)絡的安全性和穩(wěn)定性。

3.2 主機安全技術

防火墻作為網(wǎng)絡安全防御的重要屏障，能夠為主機阻擋和過濾諸多安全問題的訪問。人工智能醫(yī)療器械軟件使用者可以一直開放防火墻，運用防火墻的抵御功能，阻擋惡意訪問，同時結合網(wǎng)絡上提出的最新惡意訪問類型，及時完善和補充防火墻的各項功能，進而維護主機網(wǎng)絡的安全性，減少風險發(fā)生[8]。

防火墻之后的第二道防線是入侵檢測。入侵防范和惡意代碼防范服務器應遵循最小安裝的原則，僅安裝需要的軟件組件和應用程序，關閉不需要的系統(tǒng)服務、默認共享和高危端口，定期對人工智能醫(yī)療器械軟件及涉及到的主機、操作系統(tǒng)、中間件進行漏洞掃描、安全檢測和惡意代碼檢測，并及時進行修補[9-11]。應對主機進行實時安全監(jiān)控，能夠識別違規(guī)操作或攻擊行為，并及時告警。由于檢測時間比較久，入侵檢測技術與病毒查殺軟件結合使用，效果更明顯，確保網(wǎng)絡安全。

申請人采用防火墻、入侵檢測和惡意代碼防護技術來保證人工智能醫(yī)療器械軟件的網(wǎng)絡安全。并建立異常檢測，建立用戶正常使用模式及已知攻擊的知識庫，及時識別不符合正常模式的行為活動，保證人工智能醫(yī)療器械軟件的網(wǎng)絡安全。

3.3 數(shù)據(jù)集安全要求

應制定明確的數(shù)據(jù)安全策略，對數(shù)據(jù)集的保密性負責，包括受試者隱私、數(shù)據(jù)集從一種硬件或軟件轉換至另外一種環(huán)境的安全性等，開發(fā)與使用過程應防止數(shù)據(jù)泄露、數(shù)據(jù)篡改、數(shù)據(jù)丟失，可采用技術手段包括但不限于數(shù)據(jù)脫敏、數(shù)據(jù)匿名化、授權訪問機制、隔離保護機制。應從存儲方式（如普通網(wǎng)絡、單機或者云服務存儲）和存儲路徑、備份、恢復等方面考慮數(shù)據(jù)存儲安全性。如果使用云服務儲存，應考慮其安全性，如服務商資質、訪問路徑、使用權限等。

用戶訪問控制機制包括但是不限于用戶類型、權限分配、授權機制，設置訪問控制等級，適當時，制定明確的訪問控制策略[12]。通過設置資源、環(huán)境、方法、數(shù)據(jù)接口、協(xié)議、工具等訪問條件，進一步形成對數(shù)據(jù)集的用戶訪問控制機制。同時數(shù)據(jù)集信息應可視化，設置可視化呈現(xiàn)方式，便于用戶訪問。

3.4 云計算安全要求

當人工智能醫(yī)療器械軟件采用公有云方式進行部署和運行時，應滿足如下要求：①應確保云計算基礎設施位于數(shù)據(jù)來源所在國境內；②云計算平臺的安全保護等級不低于人工智能醫(yī)療器械軟件系統(tǒng)；③應與云計算平臺中其他應用系統(tǒng)或軟件實現(xiàn)虛擬網(wǎng)絡的隔離；④云計算平臺應具有通信傳輸、邊界防護、入侵防范等安全能力；⑤具有定義訪問路徑、選擇安全組件、配置安全策略的能力；⑥云計算平臺具有流量訪問異常告警服務；⑦云計算平臺應在虛擬化網(wǎng)絡邊界部署訪問控制措施；⑧對遠程管理時需要進行身份驗證，并對整個過程進行審計和記錄；⑨應明確與云計算平臺供應商的責任劃分；⑩應確保人工智能醫(yī)療器械軟件的虛擬機使用獨占的內存空間；?云計算平臺應提供鏡像和快照服務，并具備保護機制；?限制人工智能醫(yī)療器械軟件的數(shù)據(jù)的跨境傳輸；?規(guī)定云服務商的權限（如管理范圍、職責劃分、訪問授權、隱私保護）和責任（如行為準則和違約責任）；?軟件下架時，云服務商應保證徹底清除軟件相關配置和數(shù)據(jù)。

4.合規(guī)管理

應及時識別網(wǎng)絡安全管理相關的法律法規(guī)、監(jiān)管要求和行業(yè)標準，補充完善網(wǎng)絡安全管理制度，為后續(xù)執(zhí)行、監(jiān)督、檢查安全各項工作提供指導依據(jù)。因人工智能醫(yī)療器械軟件需要所使用到的軟件、中間件、操作系統(tǒng)等，應確保購買和使用正版，優(yōu)先使用具有中國自主知識產(chǎn)權的產(chǎn)品，禁止侵權盜版。

按照法律法規(guī)、合同和業(yè)務要求，保護使用人工智能醫(yī)療器械軟件的記錄和文件，防止遭到破壞、偽造和篡改。建立健全的人工智能醫(yī)療器械軟件的安全檢查、評審機制，定期檢查軟件本身和安全管理策略，及早發(fā)現(xiàn)潛在問題，并予以解決。