前言
按照風(fēng)險(xiǎn)管理的步驟��,在風(fēng)險(xiǎn)分析之后是風(fēng)險(xiǎn)評(píng)價(jià)�。風(fēng)險(xiǎn)評(píng)價(jià)需要基于不同醫(yī)療器械的預(yù)期用途來評(píng)價(jià)傷害發(fā)生的嚴(yán)重度和頻率��,對(duì)于醫(yī)療器械網(wǎng)絡(luò)安全的風(fēng)險(xiǎn)評(píng)價(jià)����,一樣也是基于器械的預(yù)期用途,在方法上沒有本質(zhì)區(qū)別�,所以在此略過。
對(duì)于醫(yī)療器械網(wǎng)絡(luò)安全的風(fēng)險(xiǎn)控制措施����,原則上也是通過降低頻率和嚴(yán)重度來達(dá)到降低風(fēng)險(xiǎn)的目的。主要采取的手段同樣是:
① 固有的安全設(shè)計(jì)和制造
② 防護(hù)措施
③ 安全警示信息
對(duì)于網(wǎng)絡(luò)安全的控制手段����,通常是通過采取網(wǎng)絡(luò)安全功能來實(shí)現(xiàn)的�。
在標(biāo)準(zhǔn)IEC 80001-2-2中,提到了19項(xiàng)網(wǎng)絡(luò)安全功能��,在PPT中我將它們?nèi)苛谐?�,接下來我們就來依次了解這19項(xiàng)網(wǎng)絡(luò)安全功能��。
-
自動(dòng)注銷 Automatic logoff(ALOF)
-
審核控制 Audit controls(AUDT)
-
授權(quán) Authorization(AUTH)
-
安全特性配置 Configuration of security features(CNFS)
-
網(wǎng)絡(luò)安全產(chǎn)品升級(jí) Cyber security product upgrades(CSUP)
-
健康數(shù)據(jù)身份信息去除 HEALTH DATA de-identification(DIDT)
-
數(shù)據(jù)備份與災(zāi)難恢復(fù) Data backup and disaster recovery(DTBK)
-
緊急訪問 Emergency access(EMRG)
-
健康數(shù)據(jù)完整性與真實(shí)性 HEALTH DATA integrity and authenticity(IGAU)
-
惡意軟件探測(cè)與防護(hù) Malware detection/protection(MLDP)
-
網(wǎng)絡(luò)節(jié)點(diǎn)鑒別 Node authentication(NAUT)
-
人員鑒別 Person authentication(PAUT)
-
物理鎖 Physical locks>PLOK)
-
第三方組件維護(hù)計(jì)劃 Third-party components in product lifecycle roadmaps(RDMP)
-
系統(tǒng)的加固要求 System and application hardening(SAHD)
-
安全指導(dǎo) Security guides(SGUD)
-
健康數(shù)據(jù)存儲(chǔ)保密性 HEALTH DATA storage confidentiality(STCF)
-
傳輸保密性 Transmission confidentiality(TXCF)
-
傳輸完整性 Transmission integrity(TXIG)
1. 自動(dòng)注銷(ALOF)
無人值守的醫(yī)療器械終端設(shè)備,存在被進(jìn)行非授權(quán)操作��、顯示信息被非授權(quán)人員閱讀的風(fēng)險(xiǎn)��。這項(xiàng)網(wǎng)絡(luò)安全功能可以確保醫(yī)療器械在所設(shè)時(shí)段內(nèi)若未被用戶操作��,則自動(dòng)進(jìn)入保護(hù)狀態(tài)��,從而降低上述風(fēng)險(xiǎn)發(fā)生的概率��。比如我們的電腦就可以設(shè)定自動(dòng)休眠的時(shí)間��。
2. 審核控制(AUDT)
這個(gè)功能與器械的使用方式有關(guān)��,比如伴隨診斷的軟件��,病人的信息編輯后需要審核后才能執(zhí)行下一步流轉(zhuǎn)�,沒有經(jīng)過審核的數(shù)據(jù)不能再往下傳輸。
3. 授權(quán)(AUTH)
醫(yī)療器械的授權(quán)管理����,不同使用者的權(quán)限不同,比如:
-
操作員可以使用一定的設(shè)備功能(例如����,監(jiān)視或掃描患者)
-
質(zhì)量人員(例如�,醫(yī)學(xué)物理學(xué)家)可以參與所有的測(cè)試活動(dòng)��。
-
服務(wù)人員可以進(jìn)行預(yù)防性維護(hù)�,訪問內(nèi)部系統(tǒng)進(jìn)行維修。
4. 安全特性配置(CNFS)
授權(quán)的IT管理員可以選擇使用產(chǎn)品的不同的網(wǎng)絡(luò)安全功能����。
5. 網(wǎng)絡(luò)安全產(chǎn)品升級(jí)(CSUP)
可以由現(xiàn)場(chǎng)或遠(yuǎn)程服務(wù)人員��,或者是授權(quán)人員安裝/升級(jí)產(chǎn)品安全補(bǔ)丁����,這個(gè)補(bǔ)丁要是可下載的補(bǔ)丁��。
6. 健康數(shù)據(jù)身份信息去除(DIDT)
在醫(yī)療服務(wù)過程中產(chǎn)生的健康數(shù)據(jù)常常具有預(yù)防��、診斷、治療之外的其它價(jià)值�,例如科研、培訓(xùn)�、不良事件追溯、設(shè)備維護(hù)等����。健康數(shù)據(jù)若直接用于非醫(yī)療用途,則存在隱私數(shù)據(jù)保護(hù)方面的風(fēng)險(xiǎn)�。數(shù)據(jù)交付之前,去除健康數(shù)據(jù)所附帶的身份信息�,是提高保密性的重要手段。但去除標(biāo)識(shí)會(huì)降低數(shù)據(jù)的可追溯性��。
7. 數(shù)據(jù)備份與災(zāi)難恢復(fù)(DTBK)
在系統(tǒng)出現(xiàn)故障或受到破壞后��,可以恢復(fù)存儲(chǔ)在產(chǎn)品上的健康數(shù)據(jù)����,從而可以繼續(xù)開展業(yè)務(wù)。比如設(shè)備故障后自檢重啟�,數(shù)據(jù)備份到云端或備用服務(wù)器。
8. 緊急訪問(EMRG)
在緊急情況下�,臨床用戶需要能夠訪問健康數(shù)據(jù),而無需個(gè)人用戶ID和身份驗(yàn)證。緊急訪問要能被檢測(cè)����,記錄和報(bào)告。比如可以用自動(dòng)撥打電話或發(fā)送短信通知系統(tǒng)管理員或醫(yī)務(wù)人員����。
9. 健康數(shù)據(jù)完整性與真實(shí)性(IGAU)
醫(yī)療器械要確保健康數(shù)據(jù)的來源可靠且未經(jīng)篡改與破壞,比如用硬盤�、U盤保存數(shù)據(jù)。
10. 惡意軟件探測(cè)與防護(hù)(MLDP)
醫(yī)療器械需要在使用過程中探測(cè)惡意軟件的侵入�,并且可以不斷維護(hù),必要時(shí)采取緊急措施����。比如安裝防火墻和殺毒軟件。
11. 網(wǎng)絡(luò)節(jié)點(diǎn)鑒別(NAUT)
醫(yī)療器械在與其他設(shè)備通信時(shí)進(jìn)行數(shù)據(jù)節(jié)點(diǎn)的認(rèn)證�,保證數(shù)據(jù)不被篡改。
12. 人員鑒別(PAUT)
為用戶創(chuàng)建和使用唯一帳戶����,需要身份驗(yàn)證才能登錄。
13. 物理鎖(PLOK)
采用物理的方式�,防止系統(tǒng)被損壞。主要是防止存儲(chǔ)敏感信息的媒介被輕松取出��,這里不包括移動(dòng)的存儲(chǔ)媒介��。
14. 第三方組件維護(hù)計(jì)劃(RDMP)
醫(yī)療器械可能用到第三方組件進(jìn)行管理�,比如包括操作系統(tǒng),數(shù)據(jù)庫(kù)系統(tǒng)�,報(bào)告生成器。
比如操作系統(tǒng)進(jìn)行必要的升級(jí)�,數(shù)據(jù)庫(kù)要進(jìn)行防火墻設(shè)置。
15. 系統(tǒng)的加固要求(SAHD)
醫(yī)療器械中可能存在著與預(yù)期用途無關(guān)的配置�,例如:某些非醫(yī)療預(yù)期用途的賬號(hào)、通信端口��、共享文件����、服務(wù)等。此類配置可能會(huì)成為網(wǎng)絡(luò)攻擊者所利用的通道�,從而造成不可接受的風(fēng)險(xiǎn),對(duì)這些配置予以關(guān)閉有利于降低風(fēng)險(xiǎn)發(fā)生的概率��。
16. 安全指導(dǎo)(SGUD)
醫(yī)療器械的不當(dāng)使用可能在醫(yī)療器械網(wǎng)絡(luò)安全方面造成不可接受的風(fēng)險(xiǎn)����,對(duì)使用者提供產(chǎn)品說明、提供可索取的披露資料����、予以培訓(xùn)等��,均有利于降低使用者操作不當(dāng)?shù)娘L(fēng)險(xiǎn)��。
17. 健康數(shù)據(jù)存儲(chǔ)保密性(STCF)
健康數(shù)據(jù)的明文存儲(chǔ)會(huì)降低產(chǎn)品的保密性�,將數(shù)據(jù)加密存儲(chǔ)可以降低數(shù)據(jù)泄露相關(guān)的風(fēng)險(xiǎn)?�,F(xiàn)在公認(rèn)的加密方法可以參考Schneier B.《應(yīng)用密碼學(xué)》第二版�。
18. 傳輸保密性(TXCF)
健康數(shù)據(jù)的明文傳輸會(huì)降低醫(yī)療器械的保密性,對(duì)數(shù)據(jù)傳輸予以加密有利于降低數(shù)據(jù)泄露相關(guān)的風(fēng)險(xiǎn)��。涉及到數(shù)據(jù)傳輸?shù)钠餍?�,要考慮不同國(guó)家或地區(qū)相關(guān)法律法規(guī)的要求����,關(guān)于傳輸?shù)娘L(fēng)險(xiǎn),可以看標(biāo)準(zhǔn)IEC / TR 80001-2-3:2012無線網(wǎng)絡(luò)系統(tǒng)的管理����。
19. 傳輸完整性(TXIG)
健康數(shù)據(jù)在傳輸過程中,數(shù)據(jù)可能受到無意的信道噪聲干擾����,也有可能受到惡意篡改��,這都可能造成不可接受的風(fēng)險(xiǎn)��。采用技術(shù)手段確保所接受到的數(shù)據(jù)與所發(fā)送出數(shù)據(jù)具有一致性,可以降低此類風(fēng)險(xiǎn)�。
剛剛將19項(xiàng)醫(yī)療器械網(wǎng)絡(luò)安全功能介紹給大家,主要目的是讓大家對(duì)這些功能有初步的了解�,以便大家在開展醫(yī)療器械的網(wǎng)絡(luò)安全工作時(shí),找到適用于自家的器械的網(wǎng)絡(luò)安全功能����。
京公網(wǎng)安備11010802046783號(hào)