摘 要：隨著物聯(lián)網(wǎng)技術(shù)的不斷發(fā)展，醫(yī)療領(lǐng)域也逐漸向智能化、網(wǎng)聯(lián)化快速發(fā)展，但醫(yī)療物聯(lián)網(wǎng)在發(fā)展過程中仍不斷面臨著新的風險與挑戰(zhàn)。以醫(yī)療設備的安全測試為例，從功能安全驗證、漏洞掃描、滲透測試、模糊測試等方面來分析醫(yī)療設備在聯(lián)網(wǎng)后存在的安全問題，并提出相對應的防護措施，旨在為醫(yī)療設備的產(chǎn)品設計和網(wǎng)絡安全測試提供參考，從而促進醫(yī)療物聯(lián)網(wǎng)技術(shù)的發(fā)展，實現(xiàn)安全醫(yī)療、智慧醫(yī)療的目標。

關(guān)鍵詞：醫(yī)療物聯(lián)網(wǎng)；醫(yī)療設備；滲透測試；硬件安全；模糊測試；功能安全

中圖分類號：TP309 文獻標識碼：A 文章編號：2095-1302（2024）07-00-05

0 引 言

隨著物聯(lián)網(wǎng)技術(shù)的快速發(fā)展，其對醫(yī)療領(lǐng)域的影響逐漸擴大，具備網(wǎng)絡功能的醫(yī)療設備種類及數(shù)量日益增多。醫(yī)療物聯(lián)網(wǎng)從獨立設備發(fā)展到集成設備，到如今將網(wǎng)絡、軟件和操作系統(tǒng)等融合到醫(yī)療設備上，形成一個智慧醫(yī)療物聯(lián)網(wǎng)，實現(xiàn)了醫(yī)療設備的信息共享、設備配置、遠程操控等。近些年，網(wǎng)絡攻擊事件數(shù)量呈快速上升的趨勢。據(jù)統(tǒng)計，目前全球平均39 s就會發(fā)生一起黑客攻擊事件，而醫(yī)療器械產(chǎn)品也已經(jīng)成為黑客攻擊的重要目標[1]。目前醫(yī)療設備的互聯(lián)化會出現(xiàn)許多問題，特別是網(wǎng)絡安全問題，需要得到開發(fā)商和使用者的進一步重視。

1 物聯(lián)網(wǎng)醫(yī)療設備概述

1.1 物聯(lián)網(wǎng)醫(yī)療設備國內(nèi)發(fā)展現(xiàn)狀

我國的醫(yī)療設備信息化開始于20世紀70年代末，但前期的信息化建設較為緩慢，醫(yī)療數(shù)據(jù)的共享程度低，無法有效地給醫(yī)療提供幫助[2]。不過，近幾年我國在信息技術(shù)及通信技術(shù)領(lǐng)域?qū)崿F(xiàn)了跨越式發(fā)展，加快了物聯(lián)網(wǎng)技術(shù)在醫(yī)療領(lǐng)域的覆蓋，逐漸重視物聯(lián)網(wǎng)技術(shù)在醫(yī)療領(lǐng)域的應用。2021年6月，國務院發(fā)布的《關(guān)于推動公立醫(yī)院高質(zhì)量發(fā)展的意見》中指出：未來的醫(yī)療服務要與物聯(lián)網(wǎng)、區(qū)塊鏈、第五代移動通等新一代信息技術(shù)深度融合，要大力發(fā)展遠程醫(yī)療和互聯(lián)網(wǎng)診療，推動智能醫(yī)療設備和智能輔助診療系統(tǒng)的研發(fā)與應用。2023年我國智慧醫(yī)療應用規(guī)模約為936.6億元，預計未來該行業(yè)將繼續(xù)高速發(fā)展[3]。

1.2 物聯(lián)網(wǎng)醫(yī)療設備結(jié)構(gòu)

物聯(lián)網(wǎng)是實現(xiàn)萬物互聯(lián)的技術(shù)，醫(yī)療物聯(lián)網(wǎng)是物聯(lián)網(wǎng)在醫(yī)療領(lǐng)域的擴展應用。如圖1所示，按照功能的實現(xiàn)可以將醫(yī)療物聯(lián)網(wǎng)分為三層：感知層、網(wǎng)絡層和應用層。物聯(lián)網(wǎng)技術(shù)在醫(yī)療領(lǐng)域得到良好應用的原因之一是各類傳感器技術(shù)的支持。傳感器技術(shù)是感知層的技術(shù)核心，傳感器通過收集和轉(zhuǎn)換信號來采集溫度、血壓、心率等信息。萬物互聯(lián)的實現(xiàn)依賴于網(wǎng)絡層，通過無線或者有線網(wǎng)絡將數(shù)據(jù)傳輸?shù)骄W(wǎng)絡內(nèi)的其他設備，實現(xiàn)信息共享。應用層完成數(shù)據(jù)管理和數(shù)據(jù)處理。通過感知層收集信息，網(wǎng)絡層傳輸信息，將信息傳入移動終端、嵌入式計算裝置和醫(yī)療信息處理平臺等應用進行交換和處理。

1.3 物聯(lián)網(wǎng)醫(yī)療設備安全風險分析

智慧醫(yī)療物聯(lián)網(wǎng)給醫(yī)療行業(yè)帶來了諸多的便利，例如提高醫(yī)療效率、實現(xiàn)遠程監(jiān)護、支持醫(yī)療研究與數(shù)據(jù)分析等，但各類網(wǎng)絡安全問題也隨之而來。醫(yī)療物聯(lián)網(wǎng)中存儲著大量的患者信息和醫(yī)療設備信息，存在著被攻擊導致系統(tǒng)癱瘓、患者信息泄露等風險，嚴重時甚至會威脅到患者的生命安全[4]。根據(jù)物聯(lián)網(wǎng)醫(yī)療設備的分層結(jié)構(gòu)進行判斷，其風險也大致分為硬件安全、通信安全和應用安全三個方面的安全風險，見表1所列。

2 相關(guān)標準

物聯(lián)網(wǎng)醫(yī)療設備的使用主要依據(jù)國際電工委員會發(fā)布的兩個標準：《醫(yī)用電氣設備》（IEC TR 60601-4-5）和《健康軟件和健康IT系統(tǒng)安全性、有效性和安全性》（IEC 81001-5-1）。

IEC 81001-5-1定義了安全軟件開發(fā)過程，標準中包含軟件系統(tǒng)測試的內(nèi)容，參考標準對醫(yī)療設備進行測試，分別提出安全功能驗證測試、漏洞掃描、滲透測試、模糊測試四個部分。IEC 81001-5-1建議使用IEC TR 60601-4-5中的安全等級和安全能力概念代替軟件安全等級。IEC TR 60601-4-5：2021是醫(yī)療設備的功能驗證測試標準，定義了四個安全級別和七項基本要求：識別和身份驗證控制、使用控制、系統(tǒng)完整性、數(shù)據(jù)保密、數(shù)據(jù)流受限、及時響應事件以及資源可用性[5]。

3 物聯(lián)網(wǎng)醫(yī)療設備安全測試

3.1 安全功能驗證

安全功能驗證測試是對醫(yī)療產(chǎn)品的可靠性和安全性能進行檢測，通過發(fā)現(xiàn)潛在的安全隱患和風險來保證產(chǎn)品在使用過程中的安全性能。國際電工委員會制定了IEC TR 60601-4-5標準為醫(yī)療網(wǎng)絡中醫(yī)療設備的使用提供了詳細的技術(shù)規(guī)范。根據(jù)醫(yī)療產(chǎn)品的特性可選擇特定的安全功能驗證測試和等級。安全功能測試主要關(guān)注于醫(yī)療產(chǎn)品對病人數(shù)據(jù)的保密性和完整性，為防止信息泄露和保障設備正常運行制定了較多的測試項目。

在數(shù)據(jù)的保密性測試中，對設備的數(shù)據(jù)保密性做了嚴格的要求，體現(xiàn)在敏感數(shù)據(jù)訪問、傳輸、儲存等方面。在測試可穿戴設備過程中發(fā)現(xiàn)，設備通過傳感器收集病人的身體信息，在傳輸?shù)絇C端時，病人數(shù)據(jù)為明文存儲，訪問數(shù)據(jù)庫也不需要驗證，存在未授權(quán)訪問漏洞。

醫(yī)療設備除基本功能外，還需要保護好病人的隱私，敏感數(shù)據(jù)的保密性在醫(yī)療設備上至關(guān)重要。醫(yī)療設備上生成的敏感信息，無論處于靜態(tài)還是傳輸狀態(tài)都需要做加密處理，以防止竊聽和未經(jīng)授權(quán)訪問。

3.2 漏洞掃描

漏洞是指系統(tǒng)上的硬件、軟件（包括固件）、協(xié)議等在安全策略上存在弱點或者缺陷，這些缺陷、錯誤或不合理之處可能被有意或無意地利用，影響系統(tǒng)等資產(chǎn)的保密性、完整性、可用性等，存在泄露、破壞、篡改、控制等隱患。漏洞的產(chǎn)生是一個不斷發(fā)現(xiàn)、修復的循環(huán)過程，所以沒有絕對安全的系統(tǒng)和軟件。依據(jù)應用范圍和漏洞原理對漏洞進行分類，見表2所列。

3.3 滲透測試

滲透測試模擬黑客攻擊的手法和技巧對目標發(fā)起攻擊，對系統(tǒng)的網(wǎng)絡安全進行評估，盡最大可能去發(fā)現(xiàn)漏洞，將漏洞地址、測試步驟和修復方法等以報告的方式提交給甲方，在產(chǎn)品上線前降低因網(wǎng)絡攻擊導致系統(tǒng)發(fā)生錯誤的風險。滲透測試的方式是由測試方獲得被測系統(tǒng)的信息量來決定的，大致分為黑盒測試、白盒測試、灰盒測試。滲透測試一般流程如圖2所示。

醫(yī)療設備的滲透測試可以分別從物理感知層、網(wǎng)絡層和應用層三個層面進行。

3.3.1 物理感知層

感知層是獲取數(shù)據(jù)的工具，主要體現(xiàn)在硬件上，對硬件的滲透測試主要針對的是調(diào)試接口和固件。調(diào)試接口預留在硬件電路板上，可以直接操控硬件內(nèi)部代碼的執(zhí)行，用于在設備開發(fā)時進行調(diào)試和功能驗證。通過連接設備的調(diào)試接口獲取權(quán)限和固件，對固件邏輯代碼、數(shù)據(jù)存儲、數(shù)據(jù)類別、數(shù)據(jù)屬性等進行全方面分析，發(fā)現(xiàn)其他攻擊方法無法找出潛在漏洞。本示例對某可穿戴設備的硬件安全進行測試，測試內(nèi)容為調(diào)試接口、內(nèi)存、固件是否做了相應的防護。圖3為硬件滲透測試流程。

在對硬件進行滲透測試時存在著印制電路板印字未擦除而導致信息泄露的問題，可以通過泄露的信息來查找芯片信息和接口信息，存在固件被提取的風險。

固件是運行在設備上的二進制程序，負責管理設備的硬件和應用程序[6]。固件的位置是在設備的FLASH/ROM芯片里，提取出的固件為16進制的BIN文件或者HEX文件，可以通過解包和分析來獲取實際的邏輯代碼。固件作為程序不僅存在著大量的漏洞，還包含了獨立的文件系統(tǒng)，可能存在著對設備產(chǎn)生嚴重威脅的敏感信息[7]。應對固件帶來的各種安全問題，需要加強對固件的防護，提高提取固件和分析固件的難度。

3.3.2 網(wǎng)絡層

網(wǎng)絡層負責傳輸應用層和感知層之間的信息。網(wǎng)絡層是各種網(wǎng)絡架構(gòu)的組合，包括互聯(lián)網(wǎng)、衛(wèi)星、GSM網(wǎng)絡、GPRS、ZigBee、4G、5G、WiFi網(wǎng)絡等。這些網(wǎng)絡的安全性問題與傳統(tǒng)的相似，容易受到DDoS、中間人、數(shù)據(jù)篡改、數(shù)據(jù)重放和信號干擾等攻擊。由于物聯(lián)網(wǎng)設備的特性，通過無線傳輸數(shù)據(jù)的場景較多，常見的攻擊媒介為WiFi、藍牙、蜂窩網(wǎng)絡以及用于定位的GNSS模塊等。

（1）WiFi

醫(yī)療物聯(lián)網(wǎng)可能通過WiFi組網(wǎng)完成數(shù)據(jù)資源的共享，其一旦被攻破將導致醫(yī)療數(shù)據(jù)泄露，造成極大威脅。無線局域網(wǎng)主要通過以下幾種安全協(xié)議來提高WiFi通信安全，即有限對等保密（Wired Equivalent Privacy，WEP）、無線網(wǎng)絡安全接入（WiFi Protected Access，WPA）、WPA2和WPA3。

WiFi的絕大多數(shù)漏洞存在于WEP、WPA/WPA2，利用這些漏洞或者漏洞的組合發(fā)起攻擊（見表3所列），會對醫(yī)療物聯(lián)網(wǎng)造成威脅。WPA3是最新的WiFi安全協(xié)議，雖然也有相關(guān)研究指出了WPA3的漏洞，但是WPA3目前仍然被認為是比較安全的協(xié)議，因此建議使用WPA3協(xié)議。

（2）GNSS

GNSS是全球?qū)Ш叫l(wèi)星系統(tǒng)的簡稱，包含美國GPS導航系統(tǒng)和中國北斗導航系統(tǒng)等，通過導航衛(wèi)星可以不間斷地發(fā)射廣播信號，即導航電文或星歷數(shù)據(jù)，攜帶信息主要是衛(wèi)星當前的時間戳與軌道坐標。物聯(lián)網(wǎng)設備接收到信號計算出坐標，即完成了定位。針對GNSS的攻擊主要是干擾和欺騙，常見的干擾有阻塞干擾、瞄準干擾、相關(guān)干擾等，工程實現(xiàn)簡單，危害通常較小[8]。危害較大的欺騙式干擾，目的是使目標定位錯誤，通常有轉(zhuǎn)發(fā)式干擾和產(chǎn)生式干擾。轉(zhuǎn)發(fā)式干擾是攻擊者接收了真實的衛(wèi)星信號，對其進行存儲延時的轉(zhuǎn)發(fā)。產(chǎn)生式干擾可以產(chǎn)生基于欺騙位置（任意位置）的符合GPS標準的虛假衛(wèi)星信號。產(chǎn)生式干擾首先從網(wǎng)上下載星歷數(shù)據(jù)，根據(jù)指定的衛(wèi)星信息文件、坐標信息、采樣頻率等參數(shù)輸出二進制的信號文件，將這個二進制文件導入到USRP或者HackRF無線電射頻設備上（可參考開源項目gps-sdr-sim），然后靠近物聯(lián)網(wǎng)設備，發(fā)送欺騙信號。如果設備未做防護，則能輕易實現(xiàn)GPS的偽造。具體過程如圖4所示。

針對GNSS欺騙的防御可以從以下三個方面進行。一是對衛(wèi)星信號的檢測?？梢詫邮盏男l(wèi)星信號的數(shù)目、信號強度、衛(wèi)星授時等進行檢測。一般來說，為了使得欺騙成功，偽造的GPS信號數(shù)目越多越好。因此，如果GNSS信號的數(shù)目或者觀測的峰值信號強度突然變化，或者在聯(lián)網(wǎng)設備中需要對衛(wèi)星授時時間進行異常比對，那么很可能遭到了GNSS欺騙。二是可以為GNSS使用者提供空中認證和加密手段，如軍用GNSS就不能被解密。三是采取多種形式的定位方式，比如結(jié)合蜂窩網(wǎng)和WiFi、藍牙等綜合定位，通過物聯(lián)網(wǎng)共享彼此的位置，計算距離和方位獲得定位信息。

3.3.3 應用層

在醫(yī)療物聯(lián)網(wǎng)中，醫(yī)療設備的使用可能會聯(lián)合其他軟件，移動端APP通過藍牙、WiFi等方式管理醫(yī)療設備，實現(xiàn)用戶注冊、密碼修改、綁定設備等功能。通過醫(yī)療設備的感知層得到數(shù)據(jù)，將數(shù)據(jù)傳輸?shù)紸PP上進行分析和存儲。

通過APP可以實現(xiàn)對醫(yī)療器械的控制，將通過傳輸協(xié)議獲取到的數(shù)據(jù)和病人的信息保存到移動端，所以APP的安全性影響著病人數(shù)據(jù)的安全。APP的滲透測試流程如圖5所示。

移動端APP作為醫(yī)療設備的一部分，可以與醫(yī)療設備和傳感器通信，進行病人數(shù)據(jù)的傳輸和存儲，也可以作為醫(yī)療設備的控制端，對醫(yī)療設備進行遠程控制，起著傳輸、存儲數(shù)據(jù)和操作醫(yī)療設備的重大作用。對APP進行防護就是保障醫(yī)療物聯(lián)網(wǎng)的網(wǎng)絡安全。對APP的數(shù)據(jù)進行保護，如存儲加密、傳輸加密等，以及對APK進行加固和簽名校驗，可以防止攻擊者通過直接解析源碼和修改APK來使用移動端APP等。

3.4 模糊測試

模糊測試的實現(xiàn)方式是生成并向目標程序發(fā)送大量有可能觸發(fā)未知錯誤的攻擊載荷，來發(fā)現(xiàn)目標中的各種弱點，如軟件缺陷和漏洞[9]。相對于漏洞掃描和滲透測試側(cè)重于發(fā)現(xiàn)已知漏洞，模糊測試更加側(cè)重于發(fā)現(xiàn)未知漏洞。模糊測試需要被測設備具備輸入接口，目前模糊測試的范圍廣泛，如模糊源代碼、API接口、通信協(xié)議、數(shù)據(jù)庫系統(tǒng)等。對醫(yī)療設備的模糊測試需要確認設備所具備的接口。本文以營養(yǎng)泵的Web接口的模糊測試為例，測試流程如圖6所示。

Web 應用程序容易遭受各種類型的網(wǎng)絡攻擊， 如拒絕服務、跨站點編寫腳本等。通過對Web的接口函數(shù)進行模糊測試，可保證Web應用程序的安全性和穩(wěn)定性。對醫(yī)療設備的Web接口進行模糊測試，需要了解Web應用程序和Web應用的漏洞原理，生成有效的測試用例，這是整個模糊測試的關(guān)鍵步驟[10]。運行測試用例，發(fā)送攻擊載荷嘗試觸發(fā)漏洞，檢測是否發(fā)生異常并記錄異常情況，通過分析異常和攻擊載荷來判斷是否能對數(shù)據(jù)包進一步利用。在測試中發(fā)現(xiàn)，通過發(fā)送特定數(shù)據(jù)包可以使得營養(yǎng)泵的Web服務掉線，無法正常訪問，需要重新啟動Web服務。模糊測試屬于自動化測試方式，避免因測試人員的水平不同導致測試結(jié)果不同。該測試方式能發(fā)掘未知漏洞，有效降低醫(yī)療設備上市前被成功攻擊的風險，提前做好防護。

4 結(jié) 語

醫(yī)療領(lǐng)域正向著數(shù)字化、智能化的方向轉(zhuǎn)型，物聯(lián)網(wǎng)醫(yī)療設備數(shù)量日益增長。但隨著醫(yī)療物聯(lián)網(wǎng)向著智慧化、共享化的方向發(fā)展，對醫(yī)療物聯(lián)網(wǎng)的攻擊途徑越來越多，出現(xiàn)了許多網(wǎng)絡安全問題。本文概述了醫(yī)療設備的發(fā)展現(xiàn)狀，并從感知層、網(wǎng)絡層和應用層的結(jié)構(gòu)分析了存在的安全風險；從功能安全驗證、漏洞掃描、滲透測試、模糊測試四個角度介紹了智慧醫(yī)療物聯(lián)網(wǎng)設備的測試方法、易出現(xiàn)的安全問題及對應的修復建議和防護措施。旨在為智慧物聯(lián)網(wǎng)醫(yī)療設備的安全測試和產(chǎn)品設計、智慧醫(yī)療物聯(lián)網(wǎng)的智能化發(fā)展、醫(yī)療質(zhì)量的提高提供參考。

注：本文通訊作者為卓圣鈞。

參考文獻

[1]劉陽，俞準，翁昌晶.智慧醫(yī)院物聯(lián)網(wǎng)安全體系構(gòu)建與思考[J].海南醫(yī)學，2023，34（17）：2548-2552.

[2]許俊杰，陳軍.基于物聯(lián)網(wǎng)的智慧醫(yī)療系統(tǒng)及其發(fā)展應用[J].中國醫(yī)療設備，2017，32（10）：118-121.

[3]中商情報網(wǎng). 2023年中國智慧醫(yī)療市場前景及投資研究預測報告[EB/OL].（2022-12-23）. https：//m.askci.com/news/chanye/20221223/1756112071889.shtml.

[4]張杰，張鞠成，徐洪良，等.物聯(lián)網(wǎng)在醫(yī)療設備管理領(lǐng)域的應用與發(fā)展[J].醫(yī)療裝備，2022，35（7）：186-189.

[5]王建，王天屹，翟亞紅，等. IEC 62443系統(tǒng)安全要求與等級保護基本要求對比研究[J].華電技術(shù)，2021，43（2）：72-76.

[6]隨唐. 智能IoT固件敏感信息檢測技術(shù)的研究[D].南京：南京郵電大學，2022.

[7]楊毅宇，周威，趙尚儒，等.物聯(lián)網(wǎng)安全研究綜述：威脅、檢測與防御[J].通信學報，2021，42（8）：188-205.

[8]張?zhí)╅w. 基于自適應卡爾曼濾波的GPS抗欺騙干擾方法的研究[D].哈爾濱：哈爾濱工程大學，2018.

[9] LIANG H，PEI X，JIA X，et al. Fuzzing：state of the art [J]. IEEE transactions on reliability，2018，67（3）：1199-1218.

[10]鄭巖. 面向嵌入式設備Web接口的模糊測試技術(shù)研究[D].鄭州：戰(zhàn)略支援部隊信息工程大學，2021.