前言
在信息化高速發(fā)展的今天�,我們大家的日常生活離不開網(wǎng)絡。與家人朋友聯(lián)系離不開手機���;辦公需要網(wǎng)絡收發(fā)郵件���;就連看電視現(xiàn)在也都要看網(wǎng)絡電視�。所以對于“網(wǎng)絡安全”這個詞,大家應該是不陌生的�。舉個最常見的例子——電腦的殺毒軟件。在網(wǎng)絡剛剛普及的時候�,曾經(jīng)的瑞星����、卡巴斯基這些殺毒軟件都是收費的,殺毒軟件作為保障網(wǎng)絡安全的措施����,我們都再熟悉不過了。
那為什么說醫(yī)療器械的網(wǎng)絡安全是“生面孔”呢�?那是因為作為醫(yī)療器械的網(wǎng)絡安全而言�,我們平時日常生活中很少會涉及到���,而且對醫(yī)療器械網(wǎng)絡安全的監(jiān)管要求也來得比較晚�,所以稱之為生面孔�。
今天我就來跟大家一起了解醫(yī)療器械的網(wǎng)絡安全���,將從三個方面說起:
一. 什么是醫(yī)療器械網(wǎng)絡安全
二. 如何保證醫(yī)療器械的網(wǎng)絡安全
三. 相關標準
什么是醫(yī)療器械網(wǎng)絡安全
網(wǎng)絡安全
我們先來了解“網(wǎng)絡安全”的定義。網(wǎng)絡安全(Network Security)包含網(wǎng)絡設備安全���、網(wǎng)絡信息安全�、網(wǎng)絡軟件安全�,是指網(wǎng)絡系統(tǒng)的硬件����、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護����,不因偶然的或者惡意的原因而遭受到破壞、更改����、泄露,系統(tǒng)連續(xù)可靠正常地運行�,網(wǎng)絡服務不中斷。
醫(yī)療器械網(wǎng)絡安全
醫(yī)療器械網(wǎng)絡安全是指保持醫(yī)療器械相關數(shù)據(jù)的保密性(confidentiality)�、完整性(integrity)和可得性(availability)。
此外�,醫(yī)療器械網(wǎng)絡安全特性還包括真實性(authenticity)���、可核查性(accountability)����、抗抵賴(non-repudiation)和可靠性(reliability)等特性����。
舉個例子�,就拿心臟起搏器為例:
植入式心臟起搏器,其導線被引導到心房心肌之上���,為患者的心臟提供電脈沖刺激���。但是,由于每個患者的情況都有不同����,甚至同一名患者的心臟狀況也會隨著時間而變化�,因此�,現(xiàn)代心臟起搏器都是可以根據(jù)具體情況而設置的,這就要用到編程器了���。編程器可以通過無線電波與病人體內的起搏器實現(xiàn)通訊�,在不進行手術的情況下可以調整起搏器的設置。
心臟起搏器的通訊編程機制:
-
1,4,5為編程器和App
-
2為通訊棒
-
3為病人體內的起搏器
-
6為無線電波的示意。
其中,2通訊棒和3病人體內的起搏器是網(wǎng)絡設備����、6無線電波是網(wǎng)絡信息�、1,4,5編程器和App是網(wǎng)絡軟件����。
心臟起搏器的網(wǎng)絡安全的三個主要特性:
保密性——編程器和起搏器的數(shù)據(jù)不能被未授權的人利用�,否則會危害到使用者的人身安全�。
完整性——編程器與起搏器之間的數(shù)據(jù)傳輸要準確和完整,不能被篡改。
可得性——當需要用到起搏器和編程器時����,被授權使用的人要能用得上。
大家都知道�,起搏器是一個風險非常高的醫(yī)療器械�,它任何一個部件都與使用者的生命息息相關���。但是����,研究人員發(fā)現(xiàn)通訊編程機制存在大量的安全隱患����。
這是幾年前的一則新聞����,當時研究人員發(fā)現(xiàn),雖然美國市場上的四大起搏器商家都聲稱其編程器是受到“嚴格控制”的設備�,但事實上這些設備在網(wǎng)上隨處可得。他們在網(wǎng)上買了幾個設備�,價格從15美元至3000美元不等。
在這些編程器上�,研究人員一共發(fā)現(xiàn)了8000多個已知安全漏洞。已知的意思是這些漏洞之前已被發(fā)現(xiàn)�,并應該被廠家通過軟件升級補上。是的�,四大心臟起搏器品牌的編程器都含有大量的漏洞。這意味著���,在心臟起搏器的生態(tài)系統(tǒng)里����,“打補丁”是個基本不存在的概念���。
編程器是心臟起搏器的網(wǎng)絡軟件����,卻存在如此多的漏洞����,這些可能對所有的網(wǎng)絡安全特性都會有影響�。由此可見�,如果不重視醫(yī)療器械的網(wǎng)絡安全,對于使用者來說是無法接受的�。
如何保證醫(yī)療器械的網(wǎng)絡安全
藥監(jiān)局于2017年發(fā)布了《醫(yī)療器械網(wǎng)絡安全注冊技術審查指導原則》,這個指導原則是作為2015年發(fā)布的《醫(yī)療器械軟件注冊技術審查指導原則》的補充���,要求企業(yè)在醫(yī)療器械產(chǎn)品全生命周期過程中持續(xù)關注網(wǎng)絡安全問題,包括醫(yī)療器械產(chǎn)品的設計開發(fā)����、生產(chǎn)、分銷����、部署和維護。
指導文件要我們根據(jù)產(chǎn)品的特性����,在器械的全生命周期過程中對網(wǎng)絡安全做全面的考量,具體有哪些考量�,我們下期再細聊���。
相關標準
要做好醫(yī)療器械的網(wǎng)絡安全���,我們可以參照相關的標準����。除了前面所說的指導原則����,還有美國FDA的指南文件����、IEC80001系列標準�,以及信息安全領域 IEC 27000系列標準����,這是專門為信息安全開發(fā)的管理體系標準——信息安全管理體系information security management system����,簡稱ISMS�。這些標準�,我們國內也等同轉化了。比如《GB/T 29246-2017 信息技術 安全技術 信息安全管理體系 概述和詞匯》就是等同轉化的《IEC/ISO 27000:2016》���。
京公網(wǎng)安備11010802046783號