前言

按照风险管理的步骤，在风险分析之后是风险评价。风险评价需要基于不同医疗器械的预期用途来评价伤害发生的严重度和频率，对于医疗器械网络安全的风险评价，一样也是基于器械的预期用途，在方法上没有本质区别，所以在此略过。

对于医疗器械网络安全的风险控制措施，原则上也是通过降低频率和严重度来达到降低风险的目的。主要采取的手段同样是：

①  固有的安全设计和制造

②  防护措施

③  安全警示信息

对于网络安全的控制手段，通常是通过采取网络安全功能来实现的。

在标准IEC 80001-2-2中，提到了19项网络安全功能，在PPT中我将它们全部列出，接下来我们就来依次了解这19项网络安全功能。

• 自动注销 Automatic logoff（ALOF）

• 审核控制 Audit controls（AUDT）

• 授权 Authorization（AUTH）

• 安全特性配置 Configuration of security features（CNFS）

• 网络安全产品升级 Cyber security product upgrades（CSUP）

• 健康数据身份信息去除 HEALTH DATA de-identification（DIDT）

• 数据备份与灾难恢复 Data backup and disaster recovery（DTBK）

• 紧急访问 Emergency access（EMRG）

• 健康数据完整性与真实性 HEALTH DATA integrity and authenticity（IGAU）

• 恶意软件探测与防护 Malware detection/protection（MLDP）

• 网络节点鉴别 Node authentication（NAUT）

• 人员鉴别 Person authentication（PAUT）

• 物理锁 Physical locks>PLOK）

• 第三方组件维护计划 Third-party components in product lifecycle roadmaps（RDMP）

• 系统的加固要求 System and application hardening（SAHD）

• 安全指导 Security guides（SGUD）

• 健康数据存储保密性 HEALTH DATA storage confidentiality（STCF）

• 传输保密性 Transmission confidentiality（TXCF）

• 传输完整性 Transmission integrity（TXIG）

1.  自动注销（ALOF）

无人值守的医疗器械终端设备，存在被进行非授权操作、显示信息被非授权人员阅读的风险。这项网络安全功能可以确保医疗器械在所设时段内若未被用户操作，则自动进入保护状态，从而降低上述风险发生的概率。比如我们的电脑就可以设定自动休眠的时间。

2.  审核控制（AUDT）

这个功能与器械的使用方式有关，比如伴随诊断的软件，病人的信息编辑后需要审核后才能执行下一步流转，没有经过审核的数据不能再往下传输。

3.  授权（AUTH）

医疗器械的授权管理，不同使用者的权限不同，比如：

• 操作员可以使用一定的设备功能（例如，监视或扫描患者）

• 质量人员（例如，医学物理学家）可以参与所有的测试活动。

• 服务人员可以进行预防性维护，访问内部系统进行维修。

4.  安全特性配置（CNFS）

授权的IT管理员可以选择使用产品的不同的网络安全功能。

• 一方面有利于网络安全在使用场景中的整体部署，

• 另一方面医疗器械在有意、无意情况下的配置错误也可能导致不可接受的风险，此项能力与系统的加固要求（SAHD）相矛盾，需要根据医疗器械的预期用途与使用方式综合考虑这个能力的配置。

5.  网络安全产品升级（CSUP）

可以由现场或远程服务人员，或者是授权人员安装/升级产品安全补丁，这个补丁要是可下载的补丁。

6.   健康数据身份信息去除（DIDT）

在医疗服务过程中产生的健康数据常常具有预防、诊断、治疗之外的其它价值，例如科研、培训、不良事件追溯、设备维护等。健康数据若直接用于非医疗用途，则存在隐私数据保护方面的风险。数据交付之前，去除健康数据所附带的身份信息，是提高保密性的重要手段。但去除标识会降低数据的可追溯性。

7.   数据备份与灾难恢复（DTBK）

在系统出现故障或受到破坏后，可以恢复存储在产品上的健康数据，从而可以继续开展业务。比如设备故障后自检重启，数据备份到云端或备用服务器。

8.  紧急访问（EMRG）

在紧急情况下，临床用户需要能够访问健康数据，而无需个人用户ID和身份验证。紧急访问要能被检测，记录和报告。比如可以用自动拨打电话或发送短信通知系统管理员或医务人员。

9.  健康数据完整性与真实性（IGAU）

医疗器械要确保健康数据的来源可靠且未经篡改与破坏，比如用硬盘、U盘保存数据。

10.  恶意软件探测与防护（MLDP）

医疗器械需要在使用过程中探测恶意软件的侵入，并且可以不断维护，必要时采取紧急措施。比如安装防火墙和杀毒软件。

11.  网络节点鉴别（NAUT）

医疗器械在与其他设备通信时进行数据节点的认证，保证数据不被篡改。

12. 人员鉴别（PAUT）

为用户创建和使用唯一帐户，需要身份验证才能登录。

13.  物理锁（PLOK）

采用物理的方式，防止系统被损坏。主要是防止存储敏感信息的媒介被轻松取出，这里不包括移动的存储媒介。

14.  第三方组件维护计划（RDMP）

医疗器械可能用到第三方组件进行管理，比如包括操作系统，数据库系统，报告生成器。

比如操作系统进行必要的升级，数据库要进行防火墙设置。

15.  系统的加固要求（SAHD）

医疗器械中可能存在着与预期用途无关的配置，例如：某些非医疗预期用途的账号、通信端口、共享文件、服务等。此类配置可能会成为网络攻击者所利用的通道，从而造成不可接受的风险，对这些配置予以关闭有利于降低风险发生的概率。

16.  安全指导（SGUD）

医疗器械的不当使用可能在医疗器械网络安全方面造成不可接受的风险，对使用者提供产品说明、提供可索取的披露资料、予以培训等，均有利于降低使用者操作不当的风险。

17.  健康数据存储保密性（STCF）

健康数据的明文存储会降低产品的保密性，将数据加密存储可以降低数据泄露相关的风险。现在公认的加密方法可以参考Schneier B.《应用密码学》第二版。

18.  传输保密性（TXCF）

健康数据的明文传输会降低医疗器械的保密性，对数据传输予以加密有利于降低数据泄露相关的风险。涉及到数据传输的器械，要考虑不同国家或地区相关法律法规的要求，关于传输的风险，可以看标准IEC / TR 80001-2-3：2012无线网络系统的管理。

19.  传输完整性（TXIG）

健康数据在传输过程中，数据可能受到无意的信道噪声干扰，也有可能受到恶意篡改，这都可能造成不可接受的风险。采用技术手段确保所接受到的数据与所发送出数据具有一致性，可以降低此类风险。

刚刚将19项医疗器械网络安全功能介绍给大家，主要目的是让大家对这些功能有初步的了解，以便大家在开展医疗器械的网络安全工作时，找到适用于自家的器械的网络安全功能。