确保安全的医疗设计

直到最近，医疗器械的开发商和制造商还不需要考虑其产品的安全性。美国食品和药物管理局（FDA）的新指南以及欧盟对个人数据保护的扩展要求，现在使医疗设备的安全设计成为必要条件。虽然IT网络攻击得到了大部分的媒体报道，但重要的是要记住，物理攻击（例如访问维护串行端口）可能同样危险。

几年来，安全专家报告了医院和诊所网络的弱点。尽管这些网络包含极其敏感的患者数据并连接生命攸关的设备，但它们仍然被证明易于渗透。虽然网络设备（如路由器）可能是最先进的，但网络上的医疗设备通常几乎没有安全保护。用恶意软件破坏设备可能会打开后门，允许远程黑客访问网络上的敏感数据，更重要的是，导致设备以危险的方式运行。

自2015年以来，有许多影响医疗器械设计的安全监管活动。在欧盟，最近通过的新通用设备保护条例适用于所有设备，对个人数据的保护有严格的要求。其他法规即将发布，专门针对医疗和静脉输液装置。

对于设备设计人员来说，FDA更具体的建议为如何满足安全要求提供了更有用的指导。FDA已经发布了关于医疗器械安全上市前提交和上市后管理的正式指南。上市前指南中的一个关键项目指出，安全隐患应成为风险分析的一部分，而上市后指南明确提到需要安全的软件更新程序。新的上市后指南指出，FDA通常不需要为了更新该领域的网络安全功能而清除或批准医疗设备软件更改。这是为了能够快速响应新出现的威胁。更进一步，FDA首次发布了一份安全通信，该通信是由一种类型的输液泵的网络安全漏洞引发的。该通信建议仅基于易受攻击的脆弱性而停止使用以前批准的几种设备。

应采取哪些措施来确保安全的医疗设计

虽然医疗设备开发人员在开发系统以满足功能安全要求方面经验丰富，但网络安全为设计过程增加了另一个维度。建议咨询专家以评估不同的权衡，以实现产品的适当安全级别。诚信安全服务（ISS）是一家绿山软件公司，通过端到端嵌入式安全设计帮助客户满足FDA和欧盟的要求。ISS支持医疗设备开发人员在以下五条嵌入式安全规则中的应用。

规则 1：在不信任网络的情况下进行通信

越来越多的医疗设备始终处于连接状态，并且需要连接许多设备以进行维护或升级。虽然保护患者数据至关重要，但基本操作参数也至关重要，例如输液泵的最大剂量限制。即使没有敏感数据，如果连接到医院网络上，它也可能成为黑客渗透网络的目标。

为了防止安全漏洞，有必要对所有端点进行身份验证，包括设备本身、与设备交互的任何人类用户以及任何其他连接的系统。安全设计不应仅仅因为接收到的消息具有正确的格式就假定用户和控制软件是有效的。在作为FDA安全通信目标的输液泵中，黑客能够访问网络，对协议进行逆向工程并发送正确格式的命令，该命令将允许对患者施用致命剂量的药物。身份验证可防止医疗设备执行来自未知来源的命令。

规则 2：确保软件未被篡改

将恶意软件注入设备的方法有很多种，包括

使用硬件调试接口（如 JTAG）

访问测试和调试接口，如远程登录和 FTP

利用在不考虑安全性的情况下开发的控制协议

模拟未经验证即可假定可信度的软件更新

在被证明值得信赖之前，不应信任系统软件。身份验证开始的点称为信任根，对于高确定性系统，必须位于硬件或不可变内存中。安全启动过程从信任根开始，并在允许其执行之前验证每个软件层的真实性。

安全启动使用数字签名验证软件的来源和完整性。软件在发布期间进行签名，并在每次加载时进行验证。这保证了设备没有恶意软件，并按照其开发的质量运行。因此，通过防止恶意软件，安全启动可以防止任何针对较大网络的行为 - 符合新的FDA指南，该指南建议设备能够检测并报告其是否具有无效的软件。

规则 3：保护关键数据

患者数据、关键操作参数甚至软件不仅在通过网络传输过程中需要受到保护，还需要在设备内部受到保护。这是通过安全设计实现的，该设计结合了分离和加密，以确保只有经过身份验证的软件和用户才能访问存储的数据。

保护传输中的数据要求数据只能由正确的终结点查看。请注意，标准无线加密不提供安全通信：它仅保护数据链路，但不保护数据。能够访问无线网络的任何其他系统也能够以解密的形式查看数据包。数据保护通过网络安全协议（如 TLS）实现，该协议通过相互身份验证和唯一加密的会话实现安全的客户端/服务器通信。

规则 4：可靠地保护密钥

用于加密和身份验证的密钥必须受到保护，因为如果这些密钥遭到入侵，攻击者可能会发现敏感数据或模拟有效的终结点。因此，密钥与不受信任的软件隔离。存储在非易失性存储器中的密钥应始终加密，并且仅在安全启动验证后解密。由于保护患者数据至关重要，特别是对于欧盟而言，使用高保证内核和安全模块也为故障安全设计提供了分层分离。

密钥需要在制造和整个产品生命周期中由端到端安全基础架构进行保护。如果密钥在任何时候都是可读的，则使用该密钥的所有设备都容易受到攻击。企业安全基础设施可保护分布式供应链中的密钥和数字信任资产，但还可以提供软件更新之外的其他经济效益，例如实时设备监控、伪造设备保护和许可证文件，以控制可选功能的可用性。

规则 5：可靠运行

正如所有医疗设计人员都知道的那样，系统面临的最大威胁之一是这些复杂设备开发过程中发生的未知设计错误和缺陷。这就是为什么绿山软件推广PHAS - 高保证软件工程原理的原因。

最小实现 - 代码应该只执行那些需要的功能，以避免不可测试或维护的“意大利面条代码”。

组件架构 - 大型软件系统应该从足够小的组件构建，以便于理解和维护;安全和安保关键服务应与非关键服务分开。

最小特权 – 每个组件应仅有权访问其绝对需要的资源（例如内存、通信通道、I/O 设备）。

安全开发过程 - 高保证系统，如医疗设备，需要高保证的开发过程;除了已经使用的控件之外，可能需要其他控件，例如设计工具安全性和安全编码标准，以确保安全设计。

独立专家验证 – 由已建立的第三方进行的评估可确认安全声明，并且通常需要进行认证。与功能安全一样，已经获得网络安全认证的组件是新设计中的首选可靠构建块。

这些原则用于开发绿山软件的 INTEGRITY 实时操作系统，当应用于应用程序开发时，将最大限度地减少软件错误或新的网络安全攻击的可能性和影响。

创建端到端安全解决方案

构建符合新法规环境的安全医疗系统需要端到端的安全设计，该设计可在整个产品生命周期内解决联网设备内数据的安全性和可靠性问题。这需要一个设备安全架构，通过确保密钥、证书和敏感数据在整个运营和制造供应链中受到企业安全基础设施的保护，确保安全操作。设备和企业安全解决方案的最佳选择取决于设备操作和制造环境以及业务权衡，因此值得咨询该领域的专家。

审核编辑：郭婷