0
  • 聊天消息
  • 系统消息
  • 评论与回复
登录后你可以
  • 下载海量资料
  • 学习在线课程
  • 观看技术视频
  • 写文章/发帖/加入社区
会员中心
创作中心

完善资料让更多小伙伴认识你,还能领取20积分哦,立即完善>

3天内不再提示

确保安全的医疗设计

星星科技指导员 来源:嵌入式计算设计 作者:Mary Sue Haydt 2022-10-20 11:53 次阅读

直到最近,医疗器械的开发商和制造商还不需要考虑其产品的安全性。美国食品和药物管理局(FDA)的新指南以及欧盟对个人数据保护的扩展要求,现在使医疗设备的安全设计成为必要条件。虽然IT网络攻击得到了大部分的媒体报道,但重要的是要记住,物理攻击(例如访问维护串行端口)可能同样危险。

几年来,安全专家报告了医院和诊所网络的弱点。尽管这些网络包含极其敏感的患者数据并连接生命攸关的设备,但它们仍然被证明易于渗透。虽然网络设备(如路由器)可能是最先进的,但网络上的医疗设备通常几乎没有安全保护。用恶意软件破坏设备可能会打开后门,允许远程黑客访问网络上的敏感数据,更重要的是,导致设备以危险的方式运行。

自2015年以来,有许多影响医疗器械设计的安全监管活动。在欧盟,最近通过的新通用设备保护条例适用于所有设备,对个人数据的保护有严格的要求。其他法规即将发布,专门针对医疗和静脉输液装置。

对于设备设计人员来说,FDA更具体的建议为如何满足安全要求提供了更有用的指导。FDA已经发布了关于医疗器械安全上市前提交和上市后管理的正式指南。上市前指南中的一个关键项目指出,安全隐患应成为风险分析的一部分,而上市后指南明确提到需要安全的软件更新程序。新的上市后指南指出,FDA通常不需要为了更新该领域的网络安全功能而清除或批准医疗设备软件更改。这是为了能够快速响应新出现的威胁。更进一步,FDA首次发布了一份安全通信,该通信是由一种类型的输液泵的网络安全漏洞引发的。该通信建议仅基于易受攻击的脆弱性而停止使用以前批准的几种设备。

应采取哪些措施来确保安全的医疗设计

虽然医疗设备开发人员在开发系统以满足功能安全要求方面经验丰富,但网络安全为设计过程增加了另一个维度。建议咨询专家以评估不同的权衡,以实现产品的适当安全级别。诚信安全服务(ISS)是一家绿山软件公司,通过端到端嵌入式安全设计帮助客户满足FDA和欧盟的要求。ISS支持医疗设备开发人员在以下五条嵌入式安全规则中的应用。

规则 1:在不信任网络的情况下进行通信

越来越多的医疗设备始终处于连接状态,并且需要连接许多设备以进行维护或升级。虽然保护患者数据至关重要,但基本操作参数也至关重要,例如输液泵的最大剂量限制。即使没有敏感数据,如果连接到医院网络上,它也可能成为黑客渗透网络的目标。

为了防止安全漏洞,有必要对所有端点进行身份验证,包括设备本身、与设备交互的任何人类用户以及任何其他连接的系统。安全设计不应仅仅因为接收到的消息具有正确的格式就假定用户和控制软件是有效的。在作为FDA安全通信目标的输液泵中,黑客能够访问网络,对协议进行逆向工程并发送正确格式的命令,该命令将允许对患者施用致命剂量的药物。身份验证可防止医疗设备执行来自未知来源的命令。

规则 2:确保软件未被篡改

将恶意软件注入设备的方法有很多种,包括

使用硬件调试接口(如 JTAG)

访问测试和调试接口,如远程登录和 FTP

利用在不考虑安全性的情况下开发的控制协议

模拟未经验证即可假定可信度的软件更新

在被证明值得信赖之前,不应信任系统软件。身份验证开始的点称为信任根,对于高确定性系统,必须位于硬件或不可变内存中。安全启动过程从信任根开始,并在允许其执行之前验证每个软件层的真实性。

安全启动使用数字签名验证软件的来源和完整性。软件在发布期间进行签名,并在每次加载时进行验证。这保证了设备没有恶意软件,并按照其开发的质量运行。因此,通过防止恶意软件,安全启动可以防止任何针对较大网络的行为 - 符合新的FDA指南,该指南建议设备能够检测并报告其是否具有无效的软件。

规则 3:保护关键数据

患者数据、关键操作参数甚至软件不仅在通过网络传输过程中需要受到保护,还需要在设备内部受到保护。这是通过安全设计实现的,该设计结合了分离和加密,以确保只有经过身份验证的软件和用户才能访问存储的数据。

保护传输中的数据要求数据只能由正确的终结点查看。请注意,标准无线加密不提供安全通信:它仅保护数据链路,但不保护数据。能够访问无线网络的任何其他系统也能够以解密的形式查看数据包。数据保护通过网络安全协议(如 TLS)实现,该协议通过相互身份验证和唯一加密的会话实现安全的客户端/服务器通信。

规则 4:可靠地保护密钥

用于加密和身份验证的密钥必须受到保护,因为如果这些密钥遭到入侵,攻击者可能会发现敏感数据或模拟有效的终结点。因此,密钥与不受信任的软件隔离。存储在非易失性存储器中的密钥应始终加密,并且仅在安全启动验证后解密。由于保护患者数据至关重要,特别是对于欧盟而言,使用高保证内核和安全模块也为故障安全设计提供了分层分离。

密钥需要在制造和整个产品生命周期中由端到端安全基础架构进行保护。如果密钥在任何时候都是可读的,则使用该密钥的所有设备都容易受到攻击。企业安全基础设施可保护分布式供应链中的密钥和数字信任资产,但还可以提供软件更新之外的其他经济效益,例如实时设备监控、伪造设备保护和许可证文件,以控制可选功能的可用性。

规则 5:可靠运行

正如所有医疗设计人员都知道的那样,系统面临的最大威胁之一是这些复杂设备开发过程中发生的未知设计错误和缺陷。这就是为什么绿山软件推广PHAS - 高保证软件工程原理的原因。

最小实现 - 代码应该只执行那些需要的功能,以避免不可测试或维护的“意大利面条代码”。

组件架构 - 大型软件系统应该从足够小的组件构建,以便于理解和维护;安全和安保关键服务应与非关键服务分开。

最小特权 – 每个组件应仅有权访问其绝对需要的资源(例如内存、通信通道、I/O 设备)。

安全开发过程 - 高保证系统,如医疗设备,需要高保证的开发过程;除了已经使用的控件之外,可能需要其他控件,例如设计工具安全性和安全编码标准,以确保安全设计。

独立专家验证 – 由已建立的第三方进行的评估可确认安全声明,并且通常需要进行认证。与功能安全一样,已经获得网络安全认证的组件是新设计中的首选可靠构建块。

这些原则用于开发绿山软件的 INTEGRITY 实时操作系统,当应用于应用程序开发时,将最大限度地减少软件错误或新的网络安全攻击的可能性和影响。

创建端到端安全解决方案

构建符合新法规环境的安全医疗系统需要端到端的安全设计,该设计可在整个产品生命周期内解决联网设备内数据的安全性和可靠性问题。这需要一个设备安全架构,通过确保密钥、证书和敏感数据在整个运营和制造供应链中受到企业安全基础设施的保护,确保安全操作。设备和企业安全解决方案的最佳选择取决于设备操作和制造环境以及业务权衡,因此值得咨询该领域的专家。

审核编辑:郭婷

声明:本文内容及配图由入驻作者撰写或者入驻合作网站授权转载。文章观点仅代表作者本人,不代表电子发烧友网立场。文章及其配图仅供工程师学习之用,如有内容侵权或者其他违规问题,请联系本站处理。 举报投诉
  • 医疗
    +关注

    关注

    8

    文章

    1822

    浏览量

    58747
  • 路由器
    +关注

    关注

    22

    文章

    3729

    浏览量

    113733
收藏 人收藏

    评论

    相关推荐

    大核桃单北斗防爆手机:精准定位,无阻通讯,确保安全无懈可击!

    单北斗防爆手机应运而生,凭借其超精准的卫星定位和无缝通讯链路,确保在高危场景中的安全防护无懈可击。‌一、超精准卫星定位,精准锁定每一刻‌在高危场景下,精准的定位是
    的头像 发表于 12-20 14:50 90次阅读
    大核桃单北斗防爆手机:精准定位,无阻通讯,<b class='flag-5'>确保安全</b>无懈可击!

    仓储货架倾斜监测:确保安全与效率的智能解决方案

    传感器安装简便、成本低、适应性强,并且一些高级型号还具备智能算法以减少误报。引入无线倾角传感器不仅保障了仓库安全,也提高了物流运作效率,是现代仓储管理的明智之选。
    的头像 发表于 12-20 13:57 152次阅读
    仓储货架倾斜监测:<b class='flag-5'>确保安全</b>与效率的智能解决方案

    集中告警管理如何提升设施安全性?

    在工业或商业建筑中,集中告警管理已成为确保安全性或检测故障的必备工具。它是如何提升设施安全性的?欢迎大家阅读文章了解~
    的头像 发表于 12-13 15:51 97次阅读
    集中告警管理如何提升设施<b class='flag-5'>安全</b>性?

    充电式电源照明灯怎么接线

    充电式电源照明灯的接线过程需要确保安全并遵循正确的步骤。以下是一个基本的接线指南: 一、准备工具和材料 充电式电源照明灯 合适的电线(根据灯具要求的规格) 电线接头或端子 绝缘胶带 螺丝刀 测试笔或
    的头像 发表于 10-14 15:32 722次阅读

    电热水器继电器的正确接线方法

    电热水器继电器的正确接线方法涉及多个步骤,需要确保安全、准确,以下是详细的接线步骤和注意事项: 一、准备阶段 确定继电器类型和规格 :首先,确认所使用的继电器类型(如电阻性、电容性、感应型)及其
    的头像 发表于 09-05 16:58 1037次阅读

    Qorvo全新PAC系列为BLDC电机应用保驾护航

    随着坚固耐用型设备日益增长的市场需求,为了防止受伤,确保安全措施变得越来越重要。
    的头像 发表于 07-11 14:28 477次阅读

    存放高压接线柱需要注意什么

    德索工程师说道在存放高压接线柱时,我们需要注意几个关键点以确保安全和设备的正常运行。我们要确保所有辅助电源都已断开,避免意外送电的风险。
    的头像 发表于 07-04 15:55 281次阅读
    存放高压接线柱需要注意什么

    SAP赋能食品行业,确保安全与品质的双重飞跃

    安全与品质是消费者最关心的问题,也是食品企业的生命线。随着科技的发展和消费者需求的日益多样化,食品行业正面临着前所未有的挑战和机遇。SAP作为全球领先的企业资源规划(ERP)系统,为食品行业提供了
    的头像 发表于 06-20 14:45 357次阅读

    电源可以直接接电子负载仪吗

    电源可以直接连接到电子负载仪,但这种连接需要谨慎进行,以确保安全和测试的准确性。
    的头像 发表于 05-17 14:47 783次阅读

    电容柜更换电容器时需要停电吗

    更换电容柜中的电容器时,需要确保安全,因此必须在停电的状态下进行。以下是更换电容器时的步骤和注意事项:
    的头像 发表于 05-09 14:23 1005次阅读
    电容柜更换电容器时需要停电吗

    E-Val Pro Plus有线验证解决方案,功能升级,优化制药流程,确保安全性和合规性!

    有线验证解决方案全新升级,虹科E-Val Pro Plus新品发布!帮助您减少停机和上市时间,优化制药流程,确保合规性和安全性,是任何热验证过程的理想解决方案!
    的头像 发表于 04-18 13:36 345次阅读
    E-Val Pro Plus有线验证解决方案,功能升级,优化制药流程,<b class='flag-5'>确保安全</b>性和合规性!

    梅赛德斯-奔驰紧急召回E级、CLS及GT等部分车型

    梅赛德斯-奔驰(中国)汽车销售有限公司将为这些车辆免费检查并紧固接地线固定螺栓,若发现问题部件则予以更换,以确保安全
    的头像 发表于 04-12 16:20 587次阅读

    微软发布11项人工智能访问原则,助开发者决策,确保安全与隐私

    他强调,这份原则旨在赋予全球组织和个人全面的技术访问权,从而推动人工智能的开发及应用以服务社会公益。值得一提的是,微软在此次公告中推出了包括赋能开发者、提供选择和安全与责任等在内的11项人工智能访问原则
    的头像 发表于 02-27 14:43 622次阅读

    苹果关闭iOS 17.2验证通道

    旨在“敦促用户快速升级系统以确保安全”,苹果于新版发布后即禁用旧版 iOS 的验证权限,防范用户因降级至“安全性低的版本”而引发风险。
    的头像 发表于 01-05 11:24 672次阅读

    操作伺服系统出现突发状况时的应对措施

    停止操作:首先,立即停止对伺服系统的操作。切断电源或按下紧急停止按钮,以确保安全
    的头像 发表于 01-04 09:22 462次阅读