沈玉强：医疗设备联网安全建设实践

　　浙江大学医学院附属第四医院（以下简称“浙大四院”）是浙江大学直属附属医院的省级综合性三甲医院，于2009年2月由浙江大学与义乌市政府合作共建，在2021年的“国考”全国排名第63位，浙江省位列第7位。在医院快速发展历程中，信息化发挥了提质增效的作用，推动了服务规模和效能的快速提升。“我们在信息化建设过程中，非常重视医疗物联网的建设。医疗物联网是智慧医院建设的重要组成部分，医疗设备是医疗物联网的关键部分。”浙大四院信息中心主任沈玉强谈到，随着万物互联的发展趋势，以及SDN和IPv6的大力推进，未来将会有越来越多的物联网设备接入医院网络，实现万物互联，数据由物联网设备产生，更加原始、更大量、更加可靠。

现状分析，探究联网安全风险

　　医疗物联网在医院主要应用在医疗器械/医疗设备、移动终端设备、远程监控类设备、终端屏幕类设备、智慧病房监测类设备和手术急救操作设备。

　　沈玉强介绍，浙大四院构建了医疗物联网IOT智能接入控制平台，可对接病区智慧管理平台、病人数据实时监测、智能家居控制平台，可实现统一数据管理、统一标准接口和数据实时监控。

　　在物联网安全领域，国家出台了相关的标准，并在《信息安全等级保护2.0》对物联网安全的扩展提出要求，包括感知节点设备物理防护、数据融合处理、接入控制、入侵防范等内容。

　　在沈玉强看来，医疗设备联网存在以下安全风险：购买的医疗设备私接入网，缺乏有效的安全管理手段，这种不易发现；医疗设备漏洞/弱口令分布广，极易成为医院网络安全薄弱点。一旦医疗设备遭受攻击，导致设备停摆、数据泄露等事件；医疗设备自带外联4G网关，导致外网打通引入安全风险。厂商人员远程运维操作不可见，敏感数据存在泄露风险；医院多网融合下，在资产中精准管控医疗设备是难点，传统IT安全防护对医疗设备缺乏针对性，出现防护短板。

　　同时，医疗设备中产生了大量的数据，因此需要进行数据治理。数据治理的主要范围有基础数据、主数据、事务数据、监测数据、规则数据和报告数据。

　　监测数据治理主要有以下方式：监测数据通常是数据量较大且是过程性的，主要用作监控分析，包括医疗设备的生命相关数据、视频监控产生的视频数据、操作系统的日志数据；监测数据由设备/机器自动采集生成，各种传感器或探针记录监测对象产生的数据；软感知/硬感知，软感知是使用软件等技术进行数据收集，通常不依赖物理设备，一般是自动运行的程序或脚本，而硬感知是利用设备或装置进行数据收集；原始的数据采集，监测数据时监测工具采集回来的原始数据，不做任何业务规则解析。

　　沈玉强谈到，业内主要有以下主流医疗设备安全方案：SDK改造类，需医疗设备厂商配合开发，落地难，是侵入式方案，影响设备运行安全性；传统准入类，重点管理办公设备，医疗设备管理粗放，功能单一，无法解决漏洞和外联监控；划区隔离类，前期资产梳理困难，网络改造成本高，网络层方案，无法解决外联漏洞问题。对此，沈玉强总结道：“目前医疗设备联网主要存在以下挑战：安全管控不完整，未提供完整的设备梳理、风险发现、接入管控的安全能力；远程运维不可控，缺乏对设备厂商人员远程运维行为进行检测和管控的能力；安全运营不闭环，缺乏对医疗联网设备安全事件进行快速、精准处置的能力。”

管控措施，保障联网安全实践

　　具体实践中，浙大四院采取了针对医疗设备的安全管控措施进行联动。“我们在部署医疗设备时，将4G、5G网络断掉，走院内网络，对流量进行分析和控制，增设了安全网关，设置了下一代防火墙。通过这些措施，加强对医疗设备的安全管控。”沈玉强介绍。

　　浙大四院主要采取的是“四步一体”的安全管控思路：摸清家底，主要是AI+资产识别能力，包括医院共有多少大型医疗设备、X光机、CT影像、自助挂号终端、移动查房设备；发现风险，对未知威胁进行检测，包括上位机漏洞扫描、设备弱密码发现、网络威胁监测分析和无侵入式安全防护；有效管控，是AI+异常行为监测，包括设备可信入网管控、内网外联流量监控、设备行为流量监控、设备访问权限收敛；闭环处置，实现网络安全可视化，包括全院资产安全统管、科室设备入网审批、远程运维一键放通、安全事件联动处置。

　　在浙大四院，医疗设备数据包括运维监控数据和临床医疗数据，医院加强了对主流关键设备的监测，在安全优先保障下进行事前监测预警，实现了远程监测预警。

未来展望，提升联网安全等级

　　谈及对医疗设备联网未来安全展望时，沈玉强强调标准化工作很重要，目前，由浙江省卫生信息学会宣布提出并归口管理，浙江大学医学院附属第四医院、浙江省卫生健康信息中心等多家单位共同参与起草的《医疗物联网设备安全管控基本要求》这一团体标准已发布，《医疗物联网应用安全管控基本要求》和《医疗物联网数据安全管控基本要求》这两个团体标准正在制定中。

　　医院还应该采取基于零信任的动态信任评估措施，帮助运维人员了解设备访问安全状态和行为，实现全院医疗设备和物联网设备的访问行为可视化，同时基于历史访问行为的实际业务情况，构建物联网设备精细化、可视化的访问控制体系。

　　沈玉强建议：“我们还应该进一步扩大医疗设备的应用保护范围，覆盖各种非IP的物联网感知设备，探索自动化防护，深化AI技术在医疗物联网安全中的应用，并在当前网关+平台的防护能力基础上，探索终端侧的防护，同时还要重点关注医院工业互联网的应用安全，由此全方位保障医疗设备的联网安全。”