前言

按照風險管理的步驟，在風險分析之后是風險評價。風險評價需要基于不同醫療器械的預期用途來評價傷害發生的嚴重度和頻率，對于醫療器械網絡安全的風險評價，一樣也是基于器械的預期用途，在方法上沒有本質區別，所以在此略過。

對于醫療器械網絡安全的風險控制措施，原則上也是通過降低頻率和嚴重度來達到降低風險的目的。主要采取的手段同樣是：

①  固有的安全設計和制造

②  防護措施

③  安全警示信息

對于網絡安全的控制手段，通常是通過采取網絡安全功能來實現的。

在標準IEC 80001-2-2中，提到了19項網絡安全功能，在PPT中我將它們全部列出，接下來我們就來依次了解這19項網絡安全功能。

• 自動注銷 Automatic logoff（ALOF）

• 審核控制 Audit controls（AUDT）

• 授權 Authorization（AUTH）

• 安全特性配置 Configuration of security features（CNFS）

• 網絡安全產品升級 Cyber security product upgrades（CSUP）

• 健康數據身份信息去除 HEALTH DATA de-identification（DIDT）

• 數據備份與災難恢復 Data backup and disaster recovery（DTBK）

• 緊急訪問 Emergency access（EMRG）

• 健康數據完整性與真實性 HEALTH DATA integrity and authenticity（IGAU）

• 惡意軟件探測與防護 Malware detection/protection（MLDP）

• 網絡節點鑒別 Node authentication（NAUT）

• 人員鑒別 Person authentication（PAUT）

• 物理鎖 Physical locks>PLOK）

• 第三方組件維護計劃 Third-party components in product lifecycle roadmaps（RDMP）

• 系統的加固要求 System and application hardening（SAHD）

• 安全指導 Security guides（SGUD）

• 健康數據存儲保密性 HEALTH DATA storage confidentiality（STCF）

• 傳輸保密性 Transmission confidentiality（TXCF）

• 傳輸完整性 Transmission integrity（TXIG）

1.  自動注銷（ALOF）

無人值守的醫療器械終端設備，存在被進行非授權操作、顯示信息被非授權人員閱讀的風險。這項網絡安全功能可以確保醫療器械在所設時段內若未被用戶操作，則自動進入保護狀態，從而降低上述風險發生的概率。比如我們的電腦就可以設定自動休眠的時間。

2.  審核控制（AUDT）

這個功能與器械的使用方式有關，比如伴隨診斷的軟件，病人的信息編輯后需要審核后才能執行下一步流轉，沒有經過審核的數據不能再往下傳輸。

3.  授權（AUTH）

醫療器械的授權管理，不同使用者的權限不同，比如：

• 操作員可以使用一定的設備功能（例如，監視或掃描患者）

• 質量人員（例如，醫學物理學家）可以參與所有的測試活動。

• 服務人員可以進行預防性維護，訪問內部系統進行維修。

4.  安全特性配置（CNFS）

授權的IT管理員可以選擇使用產品的不同的網絡安全功能。

• 一方面有利于網絡安全在使用場景中的整體部署，

• 另一方面醫療器械在有意、無意情況下的配置錯誤也可能導致不可接受的風險，此項能力與系統的加固要求（SAHD）相矛盾，需要根據醫療器械的預期用途與使用方式綜合考慮這個能力的配置。

5.  網絡安全產品升級（CSUP）

可以由現場或遠程服務人員，或者是授權人員安裝/升級產品安全補丁，這個補丁要是可下載的補丁。

6.   健康數據身份信息去除（DIDT）

在醫療服務過程中產生的健康數據常常具有預防、診斷、治療之外的其它價值，例如科研、培訓、不良事件追溯、設備維護等。健康數據若直接用于非醫療用途，則存在隱私數據保護方面的風險。數據交付之前，去除健康數據所附帶的身份信息，是提高保密性的重要手段。但去除標識會降低數據的可追溯性。

7.   數據備份與災難恢復（DTBK）

在系統出現故障或受到破壞后，可以恢復存儲在產品上的健康數據，從而可以繼續開展業務。比如設備故障后自檢重啟，數據備份到云端或備用服務器。

8.  緊急訪問（EMRG）

在緊急情況下，臨床用戶需要能夠訪問健康數據，而無需個人用戶ID和身份驗證。緊急訪問要能被檢測，記錄和報告。比如可以用自動撥打電話或發送短信通知系統管理員或醫務人員。

9.  健康數據完整性與真實性（IGAU）

醫療器械要確保健康數據的來源可靠且未經篡改與破壞，比如用硬盤、U盤保存數據。

10.  惡意軟件探測與防護（MLDP）

醫療器械需要在使用過程中探測惡意軟件的侵入，并且可以不斷維護，必要時采取緊急措施。比如安裝防火墻和殺毒軟件。

11.  網絡節點鑒別（NAUT）

醫療器械在與其他設備通信時進行數據節點的認證，保證數據不被篡改。

12. 人員鑒別（PAUT）

為用戶創建和使用唯一帳戶，需要身份驗證才能登錄。

13.  物理鎖（PLOK）

采用物理的方式，防止系統被損壞。主要是防止存儲敏感信息的媒介被輕松取出，這里不包括移動的存儲媒介。

14.  第三方組件維護計劃（RDMP）

醫療器械可能用到第三方組件進行管理，比如包括操作系統，數據庫系統，報告生成器。

比如操作系統進行必要的升級，數據庫要進行防火墻設置。

15.  系統的加固要求（SAHD）

醫療器械中可能存在著與預期用途無關的配置，例如：某些非醫療預期用途的賬號、通信端口、共享文件、服務等。此類配置可能會成為網絡攻擊者所利用的通道，從而造成不可接受的風險，對這些配置予以關閉有利于降低風險發生的概率。

16.  安全指導（SGUD）

醫療器械的不當使用可能在醫療器械網絡安全方面造成不可接受的風險，對使用者提供產品說明、提供可索取的披露資料、予以培訓等，均有利于降低使用者操作不當的風險。

17.  健康數據存儲保密性（STCF）

健康數據的明文存儲會降低產品的保密性，將數據加密存儲可以降低數據泄露相關的風險。現在公認的加密方法可以參考Schneier B.《應用密碼學》第二版。

18.  傳輸保密性（TXCF）

健康數據的明文傳輸會降低醫療器械的保密性，對數據傳輸予以加密有利于降低數據泄露相關的風險。涉及到數據傳輸的器械，要考慮不同國家或地區相關法律法規的要求，關于傳輸的風險，可以看標準IEC / TR 80001-2-3：2012無線網絡系統的管理。

19.  傳輸完整性（TXIG）

健康數據在傳輸過程中，數據可能受到無意的信道噪聲干擾，也有可能受到惡意篡改，這都可能造成不可接受的風險。采用技術手段確保所接受到的數據與所發送出數據具有一致性，可以降低此類風險。

剛剛將19項醫療器械網絡安全功能介紹給大家，主要目的是讓大家對這些功能有初步的了解，以便大家在開展醫療器械的網絡安全工作時，找到適用于自家的器械的網絡安全功能。