摘要：醫(yī)療儀器設備因自身存在安全漏洞且缺乏有效安全防護，而容易遭受網(wǎng)絡攻擊或成為攻擊跳板，已成為醫(yī)院網(wǎng)絡安全最薄弱的環(huán)節(jié)。本文闡述了醫(yī)療儀器設備安全現(xiàn)狀、安全防護困境，并基于各類儀器設備的安全痛點及防護難點，提出了下一代組網(wǎng)終端安全防護技術方案，闡述了該方案涉及系統(tǒng)的特點、架構(gòu)、價值及應用案例。該方案系統(tǒng)填補了醫(yī)療儀器設備的安全防護空白，有效抵御內(nèi)外部威脅攻擊，防范醫(yī)療信息數(shù)據(jù)泄露。

關鍵詞：醫(yī)療儀器設備；網(wǎng)絡安全；；風險評估；應對措施

一、引言

近年來，醫(yī)院信息化建設取得了顯著進展，醫(yī)院信息化不僅能夠提高醫(yī)療服務的質(zhì)量和效率，還能夠為患者帶來更好的就醫(yī)體驗，同時也為醫(yī)療管理和決策提供強有力的數(shù)據(jù)支持。促進信息化建設健康發(fā)展和安全性成為關鍵考慮因素之一，構(gòu)建一個全面、立體的網(wǎng)絡安全防護體系，才能有效保障醫(yī)院網(wǎng)絡、數(shù)據(jù)以及整體業(yè)務的安全。然而，隨著醫(yī)院信息化建設需求的不斷發(fā)展，大量聯(lián)網(wǎng)醫(yī)療儀器和設備被部署進醫(yī)院內(nèi)外網(wǎng)，導致網(wǎng)絡架構(gòu)更為開放、網(wǎng)絡攻擊暴露面逐漸增大。這些儀器設備通常缺乏有效的安全防護手段，作為容易被忽略的薄弱環(huán)節(jié)，給醫(yī)院網(wǎng)絡植入了潛在的安全風險。

二、醫(yī)療儀器設備安全現(xiàn)狀概況

醫(yī)療儀器設備的網(wǎng)絡化及物聯(lián)網(wǎng)化大幅提高了醫(yī)院信息化水平，但也為醫(yī)院網(wǎng)絡安全建設帶來嚴峻考驗。根據(jù)在50余家中大型三甲醫(yī)院里的測試摸排，粗略估計，這些醫(yī)院網(wǎng)絡內(nèi)的醫(yī)療儀器設備中，約有90%的設備屬于風險設備，即缺乏有效安全防護、長期處于“裸奔”狀態(tài)的設備。而其中，約有10%～15%的儀器設備已經(jīng)失陷，它們或者已經(jīng)被攻擊利用，或者已被植入病毒木馬、伺機而動。

（一）分類

醫(yī)院聯(lián)網(wǎng)醫(yī)療儀器設備主要分為四類：

1.專業(yè)醫(yī)療設備（CT、MRI設備等）

2.醫(yī)療輔助終端（自助機、叫號機、信息顯示屏等）

3.物聯(lián)網(wǎng)啞終端（監(jiān)控攝像頭、門禁閘機等）

4.院內(nèi)辦公設備（網(wǎng)絡打印機、無紙化會議系統(tǒng)等）

（二）特點

1.資產(chǎn)直連內(nèi)部網(wǎng)絡。因業(yè)務需要，如核磁共振機、自助機等設備直連醫(yī)院內(nèi)部網(wǎng)絡，與其他終端或服務器通信，完成業(yè)務數(shù)據(jù)交互。

2.資產(chǎn)存在內(nèi)生安全問題。設備存在“先天缺陷”，即軟硬件設計缺陷導致的安全漏洞以及蓄意設計或預留的后門等，成為病毒木馬有機可乘的“入口”，威脅設備安全。

3.現(xiàn)有防護措施存在短板。院內(nèi)一部分設備受限于軟硬件性能而不支持安裝第三方安全控件，長期處于“裸奔”無防護狀態(tài)；另一部分設備雖然安裝了第三方安全控件，但其寄生于操作系統(tǒng)之上，攻擊者可借助系統(tǒng)漏洞進行提權(quán)操作，進而殺掉安全控件相關進程，或利用工具繞過安全控件檢測。

4.資產(chǎn)缺乏東西向隔離。醫(yī)院網(wǎng)絡安全防護更側(cè)重南北向，缺乏有效的東西向隔離技術，某個單點被突破失陷后，“僵木蠕”迅速在網(wǎng)絡中橫向擴散，殃及更廣闊的范圍。

5.遠程運維引入安全隱患。部分設備廠商需要通過遠程方式進行設備日常運維，如液氦監(jiān)測、系統(tǒng)升級等，由于缺乏有效管控，容易帶來非法訪問、數(shù)據(jù)竊取等安全隱患。

6.科室自購設備入網(wǎng)不可見?？剖易再徳O備入網(wǎng)缺乏有效管理，出事后找不到具體歸屬的科室，問題難定位。

（三）風險

1.非法入侵。非授權(quán)人員利用醫(yī)療儀器設備的系統(tǒng)漏洞、弱口令、高危端口等實施非法入侵，并進一步完成病毒感染、惡意控制等操作。

2.數(shù)據(jù)泄露。部分醫(yī)院已經(jīng)發(fā)生了病患信息泄露或影像數(shù)據(jù)泄露等安全事件，無論從網(wǎng)絡安全還是國家安全的角度看，都值得高度警惕。

3.勒索攻擊。利用設備漏洞植入勒索病毒，擴散感染，對醫(yī)院核心數(shù)據(jù)進行加密綁架，進而使醫(yī)院業(yè)務系統(tǒng)癱瘓，影響醫(yī)院業(yè)務開展，同時帶來巨大的經(jīng)濟損失。

4.挖礦攻擊。設備被植入挖礦木馬，被任意調(diào)用進行挖礦，嚴重消耗設備性能、增加運維成本、降低設備使用壽命，并且挖礦木馬會不斷擴散傳播，影響更多終端設備。

5.網(wǎng)絡擁塞。設備被惡意控制成為傀儡機，用于發(fā)動如DDoS（分布式拒絕服務攻擊）等網(wǎng)絡攻擊，在網(wǎng)絡中生成大量垃圾流量，造成網(wǎng)絡擁塞，降低醫(yī)院業(yè)務效率。

三、醫(yī)療儀器設備安全防護困境

針對上述安全問題，除了為設備安裝部署第三方安全控件外，多數(shù)醫(yī)院通常會采用在交換機上劃分VLAN的方式，將各類儀器設備隔離開，再通過設置相應的ACL策略和路由策略，限制設備網(wǎng)絡資源的訪問權(quán)限。然而，安裝第三方安全控件和劃分VLAN，這兩種安全解決方案雖可以起到一定作用，但防護效果不佳，實施時會遇到許多困難。

1.維護工作繁瑣。通過命令行進行配置，對維護人員技術水平要求較高。配置維護工作煩瑣，易出錯。部分設備物理位置分散且不固定，一旦發(fā)生變化，就需要對相應的接入交換機配置進行更改，維護人員工作量大。

2.改變網(wǎng)絡架構(gòu)。前述兩種方案都需要對醫(yī)院現(xiàn)有網(wǎng)絡架構(gòu)做較大的改動。另外，若額外部署安全網(wǎng)關，還會占用醫(yī)院的網(wǎng)絡IP資源，增加實施成本。

3.病毒內(nèi)部傳播。通過劃分VLAN的方式進行邏輯隔離，并不能解決VLAN內(nèi)部病毒傳播的問題。一旦某臺儀器設備中毒，位于同一個VLAN的其他設備也會被感染。

上述問題使醫(yī)療儀器設備的安全防護變得更為復雜，有時亦達不到防護效果，出現(xiàn)防護空白、死角。從管理者角度看，需要一種更精準、便捷、無感的防護手段來保護這些設備。

四、下一代組網(wǎng)終端安全防護技術方案

下一代組網(wǎng)終端安全防護技術方案基于WPDRRC信息系統(tǒng)安全保障體系建設模型提出，側(cè)重預警、保護、檢測三個重要環(huán)節(jié)，在潛在威脅危害終端之前便進行干預，防患于未然，最大限度地減少甚至避免損失。該方案將事前安全處置落實在網(wǎng)絡層、傳輸層，通過基礎、徹底、經(jīng)濟的網(wǎng)絡層訪問控制提供“地毯式覆蓋”的安全防御手段，極大地收窄終端網(wǎng)絡暴露面，筑牢第一道基礎防線。這一方案結(jié)合已有的終端南北向防護手段，可實現(xiàn)360°精準隔離。

方案由一套系統(tǒng)實現(xiàn)，包含了兩個部分：一部分是分布式部署的無IP獨立執(zhí)行單元，另一部分是對所有獨立執(zhí)行單元實施集中管控的安全平臺。這套系統(tǒng)的用途是對如醫(yī)療儀器設備一樣的組網(wǎng)終端進行一對一的網(wǎng)絡訪問控制，基于“白名單”防御隔離屏障，有效過濾非法訪問，實現(xiàn)雙向精準防護，使未失陷終端獲得防御能力，已失陷終端無法再傳播病毒。

（一）系統(tǒng)特色

該方案系統(tǒng)在網(wǎng)絡層訪問控制的基礎上，疊加六大特色，有效破解上文提到的醫(yī)療儀器設備防護中遇到的多重困境。

特色一：獨立不寄生

系統(tǒng)將網(wǎng)絡訪問控制能力剝離出終端，置于獨立執(zhí)行單元內(nèi)，形成一個靠近被保護終端但又與之完全獨立的模塊。不占用終端資源，不安裝任何客戶端，不存在寄生隱患，獨立地執(zhí)行安全策略，終端及用戶均無感知。

特色二：分布式部署

系統(tǒng)將獨立執(zhí)行單元一對一串接在醫(yī)療儀器設備前，使其成為終端的“專屬保鏢”，對終端的所有網(wǎng)絡流量和行為進行管控，同時具備防護與探測功能。終端物理遷移時，獨立執(zhí)行單元隨其遷移，相關策略變更靈活、操作簡單。

特色三：網(wǎng)絡隱身

獨立執(zhí)行單元采用無IP部署方式，以透明模式運行，實現(xiàn)安全模塊網(wǎng)絡不可見、功能不可見、結(jié)構(gòu)不可見，能夠免疫威脅掃描，具備結(jié)構(gòu)加密的特性，自身安全性高。同時，部署不占用IP網(wǎng)絡資源，不改變現(xiàn)有網(wǎng)絡架構(gòu)，降低實施難度。

特色四：無服務無響應

獨立執(zhí)行單元采用經(jīng)過裁剪的定制化操作系統(tǒng)，系統(tǒng)體積小、資源占用少，處理性能更優(yōu)。獨立執(zhí)行單元不開放任何服務端口，無服務無響應，日常以“自下而上”的形式，主動與集中式管控平臺通信，提高系統(tǒng)安全性。

特色五：統(tǒng)一管控

系統(tǒng)設置集中式管控平臺，能夠在獨立執(zhí)行單元無IP地址的條件下，實現(xiàn)跨網(wǎng)絡一站式統(tǒng)一納管，精準下發(fā)安全策略，安全管控可觸達網(wǎng)絡邊緣。獨立執(zhí)行單元作為探針，收集終端網(wǎng)絡行為數(shù)據(jù)，實時上報管控平臺，以供網(wǎng)絡安全態(tài)勢分析。

特色六：松耦合

系統(tǒng)獨立執(zhí)行單元之間以及獨立執(zhí)行單元與管控平臺之間，均為松耦合關系，保持模塊間的獨立性和低依賴性。獨立執(zhí)行單元與管控平臺間斷開通信后，仍可獨立運行，不間斷地保護終端設備。整個系統(tǒng)靈活度高，易于擴展。

（二）系統(tǒng)架構(gòu)

該方案系統(tǒng)整體分為數(shù)據(jù)采集、數(shù)據(jù)處理及可視化三層，數(shù)據(jù)來源為院內(nèi)各類醫(yī)療儀器設備，系統(tǒng)架構(gòu)如圖1所示。

獨立執(zhí)行單元一對一串接于醫(yī)療儀器設備前，通過解析技術對流經(jīng)的IP數(shù)據(jù)包進行解析，包括讀取IP地址、端口號、協(xié)議號等報文信息，并與安全策略進行匹配，過濾不符合策略規(guī)則的數(shù)據(jù)包。依據(jù)收集、學習的終端網(wǎng)絡行為數(shù)據(jù)，管控平臺不僅能制定并下發(fā)安全策略，還能將網(wǎng)絡拓撲、資產(chǎn)流量狀態(tài)、策略運行狀態(tài)、事件告警等進行可視化展示。

（三）系統(tǒng)價值

1.填補醫(yī)療儀器設備防護空白

面向醫(yī)療儀器設備，提供輕量化、高安全、易部署、零干擾的網(wǎng)絡訪問控制和安全審計服務，補齊現(xiàn)有安全措施防護短板。幫助設備抵御內(nèi)外部威脅攻擊，過濾非法訪問，最大限度避免設備漏洞被利用，應對內(nèi)生安全問題。

2.加強醫(yī)療儀器設備東西向隔離

通過一對一精準防護，加強設備東西向隔離，避免因網(wǎng)絡中單一設備遭遇威脅攻擊而感染網(wǎng)絡中其他終端設備。保證已失陷的設備可繼續(xù)“帶病工作”，未失陷的設備能夠有效抵御威脅攻擊，防范病毒交叉感染。

3.防范醫(yī)療信息數(shù)據(jù)泄露

通過訪問控制、文件審計、大流量預警等功能，對設備流入流出數(shù)據(jù)進行監(jiān)測與管控，及時發(fā)現(xiàn)設備異常流量，避免醫(yī)療信息數(shù)據(jù)泄露、外流。

4.規(guī)范廠家遠程運維訪問行為

借助系統(tǒng)對設備運維人員的遠程操作進行審計和管控，實現(xiàn)網(wǎng)絡層面的行為跟蹤。收窄廠家遠程維護時的網(wǎng)絡訪問權(quán)限，管控細粒度能夠達到IP級、端口級，縮小設備對廠家的暴露面，避免病毒趁虛而入。

五、方案應用實例

下一代組網(wǎng)終端安全防護技術方案系統(tǒng)部署方式簡單，能夠輕松適配各類醫(yī)療儀器設備。方案現(xiàn)已在華南區(qū)多家中大型三甲醫(yī)院落地實施，達到了預期的防護效果。

某醫(yī)院核磁共振機接入內(nèi)網(wǎng)，且未做有效安全防護。日常廠家通過4G路由器創(chuàng)建遠程連接VPN通道，監(jiān)測設備液氦指數(shù)并完成例行運維工作，此行為導致該核磁共振機及醫(yī)院內(nèi)網(wǎng)直接暴露于廠家視野內(nèi)。由于長期未做管控，設備感染了病毒，并向外網(wǎng)發(fā)起非法連接。后續(xù)該醫(yī)院采用下一代組網(wǎng)終端安全防護技術方案，收窄廠家遠程維護時的訪問權(quán)限，僅允許廠家指定IP/端口的主機訪問院內(nèi)指定設備。攔截該核磁共振機對外非法連接，避免病毒交叉感染。實時監(jiān)控異常流量，防范PACS影像數(shù)據(jù)泄露。

六、結(jié)束語

綜上所述，醫(yī)院正向著數(shù)字化、智能化快速發(fā)展，醫(yī)院網(wǎng)絡中海量部署卻缺乏統(tǒng)一安全防護的醫(yī)療儀器設備，給其整體網(wǎng)絡安全防護體系帶來了新的風險與挑戰(zhàn)。下一代組網(wǎng)終端安全防護技術方案能夠有效填補醫(yī)療儀器設備安全防護空白，通過基礎、徹底、經(jīng)濟的網(wǎng)絡層訪問控制提供“地毯式覆蓋”的安全防御手段，極大地收窄儀器設備網(wǎng)絡暴露面，筑牢第一道基礎防線。

方案在訪問控制基礎上疊加六大特色，破解當前醫(yī)療儀器設備防護難點及實施困境，為醫(yī)院網(wǎng)絡安全建設帶去輕量化、高安全、易部署、零干擾的終端安全解決方案。

作者單位：閆維瑋 鄧越 賽姆科技（廣東）有限公司

參考文獻

[1]國家市場監(jiān)督管理總局，中國國家標準化管理委員會.信息安全技術 網(wǎng)絡安全等級保護基本要求： GB/T 22239-2019[S]. （2019-12-01）.

[2]中華人民共和國國家質(zhì)量監(jiān)督檢驗檢疫總局，中國國家標準化管理委員會.信息安全技術 網(wǎng)絡安全等級保護安全設計技術要求：GB/T 25070-2019[S]. （2019-12-01）.

[3]國家市場監(jiān)督管理總局，中國國家標準化管理委員會.信息安全技術 健康醫(yī)療數(shù)據(jù)安全指南： GB/T 39725-2020[S]（ 2021-07-01）.

[4] T/GDNS 001—2022醫(yī)療設備安全規(guī)范[S].2022.

[5] 鄔江興.內(nèi)生安全賦能網(wǎng)絡彈性工程[M].北京：科學出版社，2023.