移动医疗网络安全监管策略研究罗维娜,李澍,王晨希,王浩,任海萍 中国食品药品检定研究院 医疗器械检定所,北京 100050 [摘 要]移动医疗器械的网络安全是医疗器械监管面临的一个新问题。一方面,数据的安全和完整性构成了大数据采集和分析的基础,涉及到医疗器械的有效性。另一方面,移动医疗器械的网络通信功能不仅涉及患者隐私,也存在被黑客攻击的风险,甚至会带来人身安全的危害,涉及医疗器械的安全性。目前,世界各国纷纷针对移动医疗器械的网络安全提出指导文件。本文对国内外监管情况进行了介绍,对加强我国移动医疗器械的网络安全监管提出了建议。 [关键词]移动医疗器械;网络安全;无线通信;安全监管;健康数据 引言随着传感器技术、移动通信技术以及云计算技术的快速发展和人们生活水平的不断提高,人们对医疗监护服务的实时性、可靠性和安全性提出了更高的要求。 在移动医疗监护网络中,由于监护对象的特殊性,监护的健康数据是个人十分敏感且重要的隐私信息,隐私问题已成为移动医疗监护网络设计中首要考虑的关键因素。因此,设计高效的隐私保护机制将显得尤为重要,对移动医疗监护网络的快速发展和大规模应用也将有着重要的作用。 由于移动医疗的大部分信息都是通过移动通信网络完成数据交互的。移动通信网络由于具有异构性、信道开放、带宽较小、无线终端性能较弱、移动设备易丢失等特点,比有线网络面临更多、更严重的安全威胁,因此,网络安全问题成为移动医疗发展的一个重要瓶颈。针对移动网络的威胁一般包括:身份假冒、通信侦听拦截篡改、密码攻击、泄露隐私、非授权访问等[1-2]。网络安全是指通过采取必要措施,防范对网络的攻击、侵入、干扰、破坏和非法使用以及意外事故,使网络处于稳定可靠运行的状态,以及保障网络数据的完整性、保密性、可用性的能力[3-5]。由于医疗级移动网络的特殊使命,要求其必须是一个采用各类安全手段保护的、安全可靠的网络。 一方面无孔不入的移动医疗应用在缺乏足够的安全规划和保障的情况下在医疗行业内不断渗透;另一方面,医疗行业的资源堡垒-医院长期积累的院内网络及系统的管理经验面对层出不穷互联网应用缺乏技术储备和管理经验因而常常以“安全问题”为理由,将互联网拒之门外[6-10]。如何保护移动医疗网络数据的安全、患者隐私,确保各种敏感数据不被窃取,是移动医疗推广应用需首要解决的问题。 1 国内外医疗器械网络安全监管情况1.1 国外监管情况 美国FDA发布了Cybersecurity for Networked MedicalDevices Containing Off-the-Shelf Software、Content of Premarket Submissions for Management of Cybersecurity in Medical Devices和Postmarket Management of Cybersecurity in Medical Devices 3个关于网络安全的指南提出,如未能保持网络安全,将可能导致器械功能受损、数据(医疗数据或个人数据)可用性或完整性丢失,或者使连接的其他器械或网络暴露于安全威胁。反过来有可能会造成患者疾病、损伤或死亡。FDA提出,医疗器械的安全防护应该是由医疗机构、患者、提供者等利益相关方以及医疗器械生产商共同承担的责任。因此,生产商应在医疗器械的设计和开发过程中考虑到网络安全,从而可以更为可靠、有效地降低患者风险。按照联邦法规第21篇第820.30(g)条的规定,作为软件验证和风险分析的一部分,生产商应为其器械相关的网络安全建立设计输入,并建立网络安全漏洞与管理方法[11-13]。 在近期发布的Postmarket Management of Cybersecurity in Medical Devices指南中不仅囊括了新医疗设备和产品,也把上市后和临床上应用的医疗设备纳入其中,即:要求制造商、供应商有能力及时鉴别和处理网络安全所带来的各种技术问题,建立网络安全共管系统,更好地研究新对策和开发新方法。此次新规则还针对各类电子起搏器、胰岛素输液泵和医学影像设备等提出了具体要求。这些医疗设备在使用过程中应用网络通讯技术和数据平台实现远程操作或移动监控,以及临床数据采集,容易暴露网络安全隐患,让网络黑客有可乘之机。新规则关注点:有预案和手段监测医疗设备网络安全问题;了解、评估和监测网络安全风险级别,包括涉及患者人身安全问题;建立网络安全协作规则,要求厂家和网络安全研究人员以及相关人员相互配合,分享网络隐患信息和潜在事件;及时升级或完善系统和技术修补措施,避免并解决因网络安全问题造成的损失或不良影响等。 欧盟国家对医疗设备的网路安全主要是遵照在IEC 80001系列标准进行。在IEC 80001系列标准和技术文件中阐明了医疗器械网络使用时出现的新的特点和风险,并首次提出了关键特性的概念,是安全性、有效性、信息安全三者的合称。我们熟知ISO14971 是对单个医疗器械风险管理的指导,但医疗器械网络风险管理的对象不仅是单个医疗器械,而是整个医疗IT网络,这使得医疗器械网络的风险管理不仅要包括原有的安全性、有效性,还须加入网络信息安全。而IEC 80001系列标准中的风险管理,就是针对关键特性的风险管理。新的风险管理的内容和方法与传统医疗器械风险管理的内容和方法并不相同,尤其是当关键特性内部三方面发生竞争,而需要在它们之间作出取舍时,应以病人利益为核心进行优先级的安排,即安全性具有最高优先级,有效性次之,信息安全再次。 具体来说,IEC/TR 80001-2-2 Application of risk manage ment for IT-networks incorporating medical devices-Part 2-2: Guidance for the disclosure and communication of medical device security needs, risks and controls标准规范了网络安全的19项网络安全能力:自动注销、审核控制、授权、安全特性配置、网络安全产品升级、健康数据身份信息去除、数据备份与灾难恢复、紧急访问、健康数据完整性与真实性、恶意软件探测与防护、网络节点鉴别、人员鉴别、物理锁、第三方组件维护计划、系统与应用软件硬化、安全指导、健康数据存储保密性、传输保密性和传输完整性,制造商可根据医疗器械的产品特性考虑其网络安全能力要求的适用性。 对比美国和欧盟针对网络安全的要求,美国FDA监管已经到产品级,这对不同风险级别高的产品进行了详细要求,属于主动防御,而欧盟相对要宽泛,属被动防御,且没有细到产品级。 1.2 国内监管情况 2016年11月7日公布的《中华人民共和国网络安全法》将网络安全提高到国家层面,也是医疗器械的网络安全的基本法则,要严格遵守,其特别强调要保障关键信息基础设施的运行安全。《网络安全法》中特别提出关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储,关键信息基础设施是指那些一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的系统和设施。网络运行安全是网络安全的重心,关键信息基础设施安全则是重中之重,与国家安全和社会公共利益息息相关。 国家卫计委的相关规定,如《人口健康信息管理办法(试行)》规定各级各类医疗卫生计生服务机构(含中医药服务机构)不得将人口健康信息在境外服务器中存储,不得托管、租赁境外服务器;《国家卫生计生委关于推进医疗机构远程医疗服务的意见》规定非医疗机构不得开展远程医疗服务。 2017年1月20日国家食品药品监督管理总局发布《医疗器械网络安全注册技术指导原则》,其是对医疗器械网络安全的一般性要求,制造商应根据医疗器械产品特性提交网络安全注册申报资料。医疗器械网络安全主要包括保密性、可得性和完整性。网络安全以确保业务成功和持续性以及将影响最小化为目标,涉及到应用和管理防范各种威胁的适当安全措施。网络安全是通过实施一套适用的控制措施来实现的,包括方针策略、过程、规程、组织结构、软件和硬件;这套控制措施通过所选用的风险管理过程来选择,以保护已识别的信息资产。这些控制措施需要得到详细说明、实施、监视、评审和必要时的改进,以确保满足组织的特定安全和业务目标。相关的网络安全控制措施宜与组织的业务过程充分整合。 制造商应当结合医疗器械产品的预期用途、使用环境和核心功能以及相连设备或系统(如其它医疗器械、信息技术设备)的情况来确定医疗器械产品的网络安全特性,并采用基于风险管理的方法来保证医疗器械产品的网络安全;应当在医疗器械产品整个生命周期过程中持续关注网络安全问题,包括医疗器械产品的设计开发、生产、分销、部署和维护。同时,制造商应当结合自身质量管理体系的要求和医疗器械产品特点来保证医疗器械产品的网络安全。 2 移动医疗器械网络安全需重点关注的问题医疗器械联网使用带来大量便利的同时,也给人们提出了诸多挑战。有很多问题的存在使得医疗器械的联网使用不是那么的简单,这往往表现在:首先,移动医疗器械在技术选择、联网支持、兼容性等方面的评估不足;其次,很多医疗器械不具有信息安全方面的保护能力;另外,移动医疗设备需要采取各种技术手段提高数据传输的可靠性;再次,在复杂的电磁波环境中,如何做到互相不受干扰;最后,伦理与法律也是移动医疗发展中一个需要深入研究的问题。当这些问题暴露出来后,常常会导致无法预见的后果,这些都是在医疗器械在连接网络后需要密切关注的。 2.1 网络技术的选择 开发移动医疗设备时,首先应考虑通信技术的目的,以选择合适的网络通信技术,保证移动医疗器械的功能和预期用途应正确地与通信技术的能力和预期表现匹配。移动医疗器械网络由无线通信部分和有线通信部分组成,有线通信部分中采用何种物理层结构和通信协议传输直接影响了传输速度,例如TCP/IP协议属于不可预期延时系统,而专网光纤传输则能够定义系统的最大延时等;但无线通信技术直接和移动医疗器械性通信。目前使用较广泛的无线通信技术主要有:WLAN、蓝牙、ZigBee、红外、4G等,其中,蓝牙和ZigBee由于其低功耗的特性常被用作可穿戴医疗设备的近距离数据传输方式,普通移动医疗终端可以通过WLAN接入医院网络。在评价指标上,误码率、丢包率和信噪比等参数是评估和确保网络质量的重要参数。 2.2 网络安全设计 网络安全作为当今信息领域研究的热点和难点,涉及到多个学科的交叉,其中认证和加密在安全方案中扮演着重要的角色。尽管大多数通信技术都有可用的加密方案,移动医疗信息加密需要根据医疗器械的预定用途被使用和评估。此外,安全措施应当在医疗设备组件、配件和系统内协调好,如需要,则也要与整个主机无线网络协调好。在设计和开发医疗设备时应重点考虑以下因素:① 防止设备数据和控制的未授权访问。这应包括能够保持通信安全的协议,避免现有协议的缺点(如有线等效加密);② 软件上数据传输控制和未授权访问保护。 由于无线电波具有开放的特性,所有无线网络安全较有线网络安全更为复杂。WLAN安全技术由于可以提供最高级别的无线通信安全性,在医院中得以广泛应用,大多数医院都选择实施基于802.11i的认证与加密功能,以增强WLAN的安全性。在802.11i标准加密技术基础之上,可以通过无线入侵检测和无线终端准入认证两种方式,确保无线网络安全。无线入侵检测技术是指无线网络设备启用监听功能,随时监听周围的非法无线设备,并上报无线控制器,拒绝非法无线设备接入到医院无线网络,并将其加入黑名单,必要时发起报文攻击,直至其不能工作。无线入侵检测技术的采用可彻底杜绝非法无线设备恶意接入医院网络窃取资料的行为,确保病人信息的安全[14-16]。同时,一些软硬件层面的安全手段也能起到非常有效的防护效果,例如无线网络重编程、网络通信架构设计、安全路由协议、紧急响应调度机制等。 2.3 服务质量 服务质量(Quality of Service,QoS)指的是移动医疗器械所需的必要的服务级别和性能。例如,断线、串号对语音通信中是可以部分容忍的,但对具备医疗功能的移动医疗器械来说就很难接受了。当移动医疗器械非常依赖无线连接的时候,无警告的连接丢失、建立连接的失败,以及服务的轻微降级都可能会导致严重的后果,轻者使患者当前监测数据丢失,重者甚至危及患者生命。因此,移动医疗器械的无线通信既然是通信网络的一部分,那么就需要结合医疗设备的用途谨慎考虑QoS问题,对网络的QoS能力提出了相当大的挑战[5]。以下几项是需要被重点评估的指标:可接受延迟、网路信息丢失概率及可接受水平、辅助功能以及网络的优先级等。 2.4 网络共存 影响移动医疗器械无线性能的另一个关键因素是无线频段的稀缺性,这一因素可以导致不同无线技术使用同一频谱时产生潜在的竞争。这种无线信号的频率冲突是实际存在的,因此大多数无线通信技术都含有在共享无线环境中管理冲突和最大限度减少中断的方法。建议测试出现在设备附近的共存频段,明确数量和类型。注意,根据移动医疗器械的预期使用环境,测试也应该包括多个设备主体单元在同一环境运行的情况,如当病人在等候室内坐在彼此相邻的位置上的情况。 2.5 移动医疗相关的法律问题 移动医疗应用本质上就是医疗机构通过移动医疗终端向患者提供医疗服务的一种方式[17]。通过移动医疗,可以使医疗机构获得大量含有患者个人信息在内的有关生理、心理状况、医生针对患者的治疗手段等敏感信息。这种具备了“隐私”特性的个人信息事关人格利益和人格尊严,拥有强烈的人格属性,反映出个人的生活方式、爱好、习惯等,在法律上通常被认定为隐私权的保护对象。但是这些信息同时具备很大的商业价值,在被非法转卖或窃取由第三方获取后,通过数据挖掘技术对信息进行挖掘整理转化成商业信息或编辑成医药概况出售给相关行业。随着公民权利意识的提高,隐私价值的凸显,必须保证这些信息的保密性、完整性和准确性[6-7]。医疗信息隐私安全保护成为移动医疗发展需要关注的重要法律问题。 3 结束语医疗器械网络安全需要制造商、用户和信息技术服务商的共同努力和通力合作才能得以保障。制造商自身难以控制和保证医疗器械的网络安全,但这并不意味着制造商可以免除医疗器械网络安全的相关责任,相反制造商应当保证医疗器械产品自身的网络安全,并明确与预期相连设备或系统的接口要求,从而保证医疗器械产品的安全性和有效性。只有制造商、用户、信息技术服务商、质量监管部门的共同努力和通力合作,才能迎接挑战,确保移动医疗器械产业健康快速发展。 [参考文献] [1] 何道敬.无线网络安全的关键技术研究[D].浙江:浙江大学, 2012. [2] 徐长安.《网络安全法》解读[J].中国建设信息化,2017,(3): 62-65. [3] 刘夏娥.浅析医院信息化发展的网络安全防范[J].计算机光盘软件与应用,2013,(18):168. [4] 林达峻,任忠敏,邓晓焱,等.医疗行业中的无线网络技术应用[J].中国数字医学,2009,4(4):19-20. [5] 林敏,乔自知.移动医疗的需求和发展思考[J].移动通信,2010, 34(6):31-35. [6] 余文清,邓勇.移动医疗信息安全保护与法律监管机制建构探讨[J].中国医院,2016,20(9):53-56. [7] 邢辉.无线移动医疗监护网络的隐私保护技术研究[D].上海:上海交通大学硕士学位论文,2014. [8] 赖幸君.无线电安全保障的意义和方法探讨[J].中国无线电,2014,(4):11-12. [9] 王美玲.无线电管理在保障通信安全中的作用探究[J].中国新通信,2017,(1):39. [10] 王陈海,吴太虎.短距离无线通信技术发展及在医疗监护中的应用[J].医疗卫生装备,2008,29(1):30-34. [11] 张博.UWB超宽带通信技术在无线医疗监护体系中的应用前景[J].计算机与数字工程,2012,40(10):67-69. [12] 徐雷.医院信息化建设过程中的网络安全防护分析[J].网络安全技术与应用,2016,(5):106-107. [13] 徐亚雄.医院信息化建设中的网络安全分析与防护[J].网络安全技术与应用,2015,(11):43. [14] 韩辉.医院信息化建设中网络安全分析与防护[J].信息安全与技术,2014,5(5):91-93. [15] 李扬.浅谈医院信息化建设中的网络安全分析与防护[J].工程技术:文摘版,2016,(6):00295. [16] 陈程.院信息化建设中网络安全分析与防护[J].电子技术与软件工程,2016,(18):230. [17] 张彤,王高玲,王玉芳,等.基于“互联网+”视角我国移动医疗现状与监管对策分析[J].中国医疗设备,2016,31(12):161-163. 本文编辑 苏欣 Study on the Regulation Strategy of Cyber Security of Mobile Medical Device LUO Wei-na, LI Shu, WANG Chen-xi, WANG Hao, REN Hai-ping Abstract:The cyber-security of mobile medical device is a new issue in the regulation of the medical device industry. On the one hand, the safety and integrity of data constitute the basis of big data collection and analysis, which impact the effectiveness of mobile medical device. On the other hand, the cyber communication function of mobile medical device not only involves with patients’ privacy, but also has risks on hacker attack and even on health hazard, which impacts the safety of mobile medical device. Currently, various countries are publishing regulation documents on the cyber safety of mobile medical device. This paper summarized the regulation status in China and other countries, and provided suggestion on the enhancement of cyber safety regulation in China. Key words:mobile medical devices; cyber security; wireless communication; security control; health data [中图分类号]TP181;TH772;TH776 [文献标识码]A doi:10.3969/j.issn.1674-1633.2017.06.006 [文章编号]1674-1633(2017)06-0020-03 收稿日期:2017-03-29 基金项目:中国药品监督管理研究会课题“移动医疗发展趋势与监管政策研究”。 通讯作者:任海萍,中国食品药品检定研究院光机电医疗器械检验室主任,主要研究方向为有源医疗器械、医用软件的检测及质量控制。 通讯作者邮箱:renhaiping@nifdc.org.cn |