羅維娜，李澍，王晨希，王浩，任海萍

中國食品藥品檢定研究院 醫(yī)療器械檢定所，北京 100050

移動醫(yī)療網絡安全監(jiān)管策略研究

羅維娜，李澍，王晨希，王浩，任海萍

中國食品藥品檢定研究院 醫(yī)療器械檢定所，北京 100050

移動醫(yī)療器械的網絡安全是醫(yī)療器械監(jiān)管面臨的一個新問題。一方面，數據的安全和完整性構成了大數據采集和分析的基礎，涉及到醫(yī)療器械的有效性。另一方面，移動醫(yī)療器械的網絡通信功能不僅涉及患者隱私，也存在被黑客攻擊的風險，甚至會帶來人身安全的危害，涉及醫(yī)療器械的安全性。目前，世界各國紛紛針對移動醫(yī)療器械的網絡安全提出指導文件。本文對國內外監(jiān)管情況進行了介紹，對加強我國移動醫(yī)療器械的網絡安全監(jiān)管提出了建議。

移動醫(yī)療器械；網絡安全；無線通信；安全監(jiān)管；健康數據

引言

隨著傳感器技術、移動通信技術以及云計算技術的快速發(fā)展和人們生活水平的不斷提高，人們對醫(yī)療監(jiān)護服務的實時性、可靠性和安全性提出了更高的要求。

在移動醫(yī)療監(jiān)護網絡中，由于監(jiān)護對象的特殊性，監(jiān)護的健康數據是個人十分敏感且重要的隱私信息，隱私問題已成為移動醫(yī)療監(jiān)護網絡設計中首要考慮的關鍵因素。因此，設計高效的隱私保護機制將顯得尤為重要，對移動醫(yī)療監(jiān)護網絡的快速發(fā)展和大規(guī)模應用也將有著重要的作用。

由于移動醫(yī)療的大部分信息都是通過移動通信網絡完成數據交互的。移動通信網絡由于具有異構性、信道開放、帶寬較小、無線終端性能較弱、移動設備易丟失等特點，比有線網絡面臨更多、更嚴重的安全威脅，因此，網絡安全問題成為移動醫(yī)療發(fā)展的一個重要瓶頸。針對移動網絡的威脅一般包括：身份假冒、通信偵聽攔截篡改、密碼攻擊、泄露隱私、非授權訪問等[1-2]。網絡安全是指通過采取必要措施，防范對網絡的攻擊、侵入、干擾、破壞和非法使用以及意外事故，使網絡處于穩(wěn)定可靠運行的狀態(tài)，以及保障網絡數據的完整性、保密性、可用性的能力[3-5]。由于醫(yī)療級移動網絡的特殊使命，要求其必須是一個采用各類安全手段保護的、安全可靠的網絡。

一方面無孔不入的移動醫(yī)療應用在缺乏足夠的安全規(guī)劃和保障的情況下在醫(yī)療行業(yè)內不斷滲透；另一方面，醫(yī)療行業(yè)的資源堡壘-醫(yī)院長期積累的院內網絡及系統的管理經驗面對層出不窮互聯網應用缺乏技術儲備和管理經驗因而常常以“安全問題”為理由，將互聯網拒之門外[6-10]。如何保護移動醫(yī)療網絡數據的安全、患者隱私，確保各種敏感數據不被竊取，是移動醫(yī)療推廣應用需首要解決的問題。

1 國內外醫(yī)療器械網絡安全監(jiān)管情況

1.1 國外監(jiān)管情況

美國FDA發(fā)布了Cybersecurity for Networked MedicalDevices Containing Off-the-Shelf Software、Content of Premarket Submissions for Management of Cybersecurity in Medical Devices和Postmarket Management of Cybersecurity in Medical Devices 3個關于網絡安全的指南提出，如未能保持網絡安全，將可能導致器械功能受損、數據（醫(yī)療數據或個人數據）可用性或完整性丟失，或者使連接的其他器械或網絡暴露于安全威脅。反過來有可能會造成患者疾病、損傷或死亡。FDA提出，醫(yī)療器械的安全防護應該是由醫(yī)療機構、患者、提供者等利益相關方以及醫(yī)療器械生產商共同承擔的責任。因此，生產商應在醫(yī)療器械的設計和開發(fā)過程中考慮到網絡安全，從而可以更為可靠、有效地降低患者風險。按照聯邦法規(guī)第21篇第820.30（g）條的規(guī)定，作為軟件驗證和風險分析的一部分，生產商應為其器械相關的網絡安全建立設計輸入，并建立網絡安全漏洞與管理方法[11-13]。

在近期發(fā)布的Postmarket Management of Cybersecurity in Medical Devices指南中不僅囊括了新醫(yī)療設備和產品，也把上市后和臨床上應用的醫(yī)療設備納入其中，即：要求制造商、供應商有能力及時鑒別和處理網絡安全所帶來的各種技術問題，建立網絡安全共管系統，更好地研究新對策和開發(fā)新方法。此次新規(guī)則還針對各類電子起搏器、胰島素輸液泵和醫(yī)學影像設備等提出了具體要求。這些醫(yī)療設備在使用過程中應用網絡通訊技術和數據平臺實現遠程操作或移動監(jiān)控，以及臨床數據采集，容易暴露網絡安全隱患，讓網絡黑客有可乘之機。新規(guī)則關注點：有預案和手段監(jiān)測醫(yī)療設備網絡安全問題；了解、評估和監(jiān)測網絡安全風險級別，包括涉及患者人身安全問題；建立網絡安全協作規(guī)則，要求廠家和網絡安全研究人員以及相關人員相互配合，分享網絡隱患信息和潛在事件；及時升級或完善系統和技術修補措施，避免并解決因網絡安全問題造成的損失或不良影響等。

歐盟國家對醫(yī)療設備的網路安全主要是遵照在IEC 80001系列標準進行。在IEC 80001系列標準和技術文件中闡明了醫(yī)療器械網絡使用時出現的新的特點和風險，并首次提出了關鍵特性的概念，是安全性、有效性、信息安全三者的合稱。我們熟知ISO14971 是對單個醫(yī)療器械風險管理的指導，但醫(yī)療器械網絡風險管理的對象不僅是單個醫(yī)療器械，而是整個醫(yī)療IT網絡，這使得醫(yī)療器械網絡的風險管理不僅要包括原有的安全性、有效性，還須加入網絡信息安全。而IEC 80001系列標準中的風險管理，就是針對關鍵特性的風險管理。新的風險管理的內容和方法與傳統醫(yī)療器械風險管理的內容和方法并不相同，尤其是當關鍵特性內部三方面發(fā)生競爭，而需要在它們之間作出取舍時，應以病人利益為核心進行優(yōu)先級的安排，即安全性具有最高優(yōu)先級，有效性次之，信息安全再次。

具體來說，IEC/TR 80001-2-2 Application of risk manage ment for IT-networks incorporating medical devices-Part 2-2: Guidance for the disclosure and communication of medical device security needs, risks and controls標準規(guī)范了網絡安全的19項網絡安全能力：自動注銷、審核控制、授權、安全特性配置、網絡安全產品升級、健康數據身份信息去除、數據備份與災難恢復、緊急訪問、健康數據完整性與真實性、惡意軟件探測與防護、網絡節(jié)點鑒別、人員鑒別、物理鎖、第三方組件維護計劃、系統與應用軟件硬化、安全指導、健康數據存儲保密性、傳輸保密性和傳輸完整性，制造商可根據醫(yī)療器械的產品特性考慮其網絡安全能力要求的適用性。

對比美國和歐盟針對網絡安全的要求，美國FDA監(jiān)管已經到產品級，這對不同風險級別高的產品進行了詳細要求，屬于主動防御，而歐盟相對要寬泛，屬被動防御，且沒有細到產品級。

1.2 國內監(jiān)管情況

2016年11月7日公布的《中華人民共和國網絡安全法》將網絡安全提高到國家層面，也是醫(yī)療器械的網絡安全的基本法則，要嚴格遵守，其特別強調要保障關鍵信息基礎設施的運行安全。《網絡安全法》中特別提出關鍵信息基礎設施的運營者在中華人民共和國境內運營中收集和產生的個人信息和重要數據應當在境內存儲，關鍵信息基礎設施是指那些一旦遭到破壞、喪失功能或者數據泄露，可能嚴重危害國家安全、國計民生、公共利益的系統和設施。網絡運行安全是網絡安全的重心，關鍵信息基礎設施安全則是重中之重，與國家安全和社會公共利益息息相關。

國家衛(wèi)計委的相關規(guī)定，如《人口健康信息管理辦法（試行）》規(guī)定各級各類醫(yī)療衛(wèi)生計生服務機構（含中醫(yī)藥服務機構）不得將人口健康信息在境外服務器中存儲，不得托管、租賃境外服務器；《國家衛(wèi)生計生委關于推進醫(yī)療機構遠程醫(yī)療服務的意見》規(guī)定非醫(yī)療機構不得開展遠程醫(yī)療服務。

2017年1月20日國家食品藥品監(jiān)督管理總局發(fā)布《醫(yī)療器械網絡安全注冊技術指導原則》，其是對醫(yī)療器械網絡安全的一般性要求，制造商應根據醫(yī)療器械產品特性提交網絡安全注冊申報資料。醫(yī)療器械網絡安全主要包括保密性、可得性和完整性。網絡安全以確保業(yè)務成功和持續(xù)性以及將影響最小化為目標，涉及到應用和管理防范各種威脅的適當安全措施。網絡安全是通過實施一套適用的控制措施來實現的，包括方針策略、過程、規(guī)程、組織結構、軟件和硬件；這套控制措施通過所選用的風險管理過程來選擇，以保護已識別的信息資產。這些控制措施需要得到詳細說明、實施、監(jiān)視、評審和必要時的改進，以確保滿足組織的特定安全和業(yè)務目標。相關的網絡安全控制措施宜與組織的業(yè)務過程充分整合。

制造商應當結合醫(yī)療器械產品的預期用途、使用環(huán)境和核心功能以及相連設備或系統（如其它醫(yī)療器械、信息技術設備）的情況來確定醫(yī)療器械產品的網絡安全特性，并采用基于風險管理的方法來保證醫(yī)療器械產品的網絡安全；應當在醫(yī)療器械產品整個生命周期過程中持續(xù)關注網絡安全問題，包括醫(yī)療器械產品的設計開發(fā)、生產、分銷、部署和維護。同時，制造商應當結合自身質量管理體系的要求和醫(yī)療器械產品特點來保證醫(yī)療器械產品的網絡安全。

2 移動醫(yī)療器械網絡安全需重點關注的問題

醫(yī)療器械聯網使用帶來大量便利的同時，也給人們提出了諸多挑戰(zhàn)。有很多問題的存在使得醫(yī)療器械的聯網使用不是那么的簡單，這往往表現在：首先，移動醫(yī)療器械在技術選擇、聯網支持、兼容性等方面的評估不足；其次，很多醫(yī)療器械不具有信息安全方面的保護能力；另外，移動醫(yī)療設備需要采取各種技術手段提高數據傳輸的可靠性；再次，在復雜的電磁波環(huán)境中，如何做到互相不受干擾；最后，倫理與法律也是移動醫(yī)療發(fā)展中一個需要深入研究的問題。當這些問題暴露出來后，常常會導致無法預見的后果，這些都是在醫(yī)療器械在連接網絡后需要密切關注的。

2.1 網絡技術的選擇

開發(fā)移動醫(yī)療設備時，首先應考慮通信技術的目的，以選擇合適的網絡通信技術，保證移動醫(yī)療器械的功能和預期用途應正確地與通信技術的能力和預期表現匹配。移動醫(yī)療器械網絡由無線通信部分和有線通信部分組成，有線通信部分中采用何種物理層結構和通信協議傳輸直接影響了傳輸速度，例如TCP/IP協議屬于不可預期延時系統，而專網光纖傳輸則能夠定義系統的最大延時等；但無線通信技術直接和移動醫(yī)療器械性通信。目前使用較廣泛的無線通信技術主要有：WLAN、藍牙、ZigBee、紅外、4G等，其中，藍牙和ZigBee由于其低功耗的特性常被用作可穿戴醫(yī)療設備的近距離數據傳輸方式，普通移動醫(yī)療終端可以通過WLAN接入醫(yī)院網絡。在評價指標上，誤碼率、丟包率和信噪比等參數是評估和確保網絡質量的重要參數。

2.2 網絡安全設計

網絡安全作為當今信息領域研究的熱點和難點，涉及到多個學科的交叉，其中認證和加密在安全方案中扮演著重要的角色。盡管大多數通信技術都有可用的加密方案，移動醫(yī)療信息加密需要根據醫(yī)療器械的預定用途被使用和評估。此外，安全措施應當在醫(yī)療設備組件、配件和系統內協調好，如需要，則也要與整個主機無線網絡協調好。在設計和開發(fā)醫(yī)療設備時應重點考慮以下因素：① 防止設備數據和控制的未授權訪問。這應包括能夠保持通信安全的協議，避免現有協議的缺點（如有線等效加密）；② 軟件上數據傳輸控制和未授權訪問保護。

由于無線電波具有開放的特性，所有無線網絡安全較有線網絡安全更為復雜。WLAN安全技術由于可以提供最高級別的無線通信安全性，在醫(yī)院中得以廣泛應用，大多數醫(yī)院都選擇實施基于802.11i的認證與加密功能，以增強WLAN的安全性。在802.11i標準加密技術基礎之上，可以通過無線入侵檢測和無線終端準入認證兩種方式，確保無線網絡安全。無線入侵檢測技術是指無線網絡設備啟用監(jiān)聽功能，隨時監(jiān)聽周圍的非法無線設備，并上報無線控制器，拒絕非法無線設備接入到醫(yī)院無線網絡，并將其加入黑名單，必要時發(fā)起報文攻擊，直至其不能工作。無線入侵檢測技術的采用可徹底杜絕非法無線設備惡意接入醫(yī)院網絡竊取資料的行為，確保病人信息的安全[14-16]。同時，一些軟硬件層面的安全手段也能起到非常有效的防護效果，例如無線網絡重編程、網絡通信架構設計、安全路由協議、緊急響應調度機制等。

2.3 服務質量

服務質量（Quality of Service，QoS）指的是移動醫(yī)療器械所需的必要的服務級別和性能。例如，斷線、串號對語音通信中是可以部分容忍的，但對具備醫(yī)療功能的移動醫(yī)療器械來說就很難接受了。當移動醫(yī)療器械非常依賴無線連接的時候，無警告的連接丟失、建立連接的失敗，以及服務的輕微降級都可能會導致嚴重的后果，輕者使患者當前監(jiān)測數據丟失，重者甚至危及患者生命。因此，移動醫(yī)療器械的無線通信既然是通信網絡的一部分，那么就需要結合醫(yī)療設備的用途謹慎考慮QoS問題，對網絡的QoS能力提出了相當大的挑戰(zhàn)[5]。以下幾項是需要被重點評估的指標：可接受延遲、網路信息丟失概率及可接受水平、輔助功能以及網絡的優(yōu)先級等。

2.4 網絡共存

影響移動醫(yī)療器械無線性能的另一個關鍵因素是無線頻段的稀缺性，這一因素可以導致不同無線技術使用同一頻譜時產生潛在的競爭。這種無線信號的頻率沖突是實際存在的，因此大多數無線通信技術都含有在共享無線環(huán)境中管理沖突和最大限度減少中斷的方法。建議測試出現在設備附近的共存頻段，明確數量和類型。注意，根據移動醫(yī)療器械的預期使用環(huán)境，測試也應該包括多個設備主體單元在同一環(huán)境運行的情況，如當病人在等候室內坐在彼此相鄰的位置上的情況。

2.5 移動醫(yī)療相關的法律問題

移動醫(yī)療應用本質上就是醫(yī)療機構通過移動醫(yī)療終端向患者提供醫(yī)療服務的一種方式[17]。通過移動醫(yī)療，可以使醫(yī)療機構獲得大量含有患者個人信息在內的有關生理、心理狀況、醫(yī)生針對患者的治療手段等敏感信息。這種具備了“隱私”特性的個人信息事關人格利益和人格尊嚴，擁有強烈的人格屬性，反映出個人的生活方式、愛好、習慣等，在法律上通常被認定為隱私權的保護對象。但是這些信息同時具備很大的商業(yè)價值，在被非法轉賣或竊取由第三方獲取后，通過數據挖掘技術對信息進行挖掘整理轉化成商業(yè)信息或編輯成醫(yī)藥概況出售給相關行業(yè)。隨著公民權利意識的提高，隱私價值的凸顯，必須保證這些信息的保密性、完整性和準確性[6-7]。醫(yī)療信息隱私安全保護成為移動醫(yī)療發(fā)展需要關注的重要法律問題。

3 結束語

醫(yī)療器械網絡安全需要制造商、用戶和信息技術服務商的共同努力和通力合作才能得以保障。制造商自身難以控制和保證醫(yī)療器械的網絡安全，但這并不意味著制造商可以免除醫(yī)療器械網絡安全的相關責任，相反制造商應當保證醫(yī)療器械產品自身的網絡安全，并明確與預期相連設備或系統的接口要求，從而保證醫(yī)療器械產品的安全性和有效性。只有制造商、用戶、信息技術服務商、質量監(jiān)管部門的共同努力和通力合作，才能迎接挑戰(zhàn)，確保移動醫(yī)療器械產業(yè)健康快速發(fā)展。

[1] 何道敬.無線網絡安全的關鍵技術研究[D].浙江:浙江大學, 2012.

[2] 徐長安.《網絡安全法》解讀[J].中國建設信息化,2017,(3): 62-65.

[3] 劉夏娥.淺析醫(yī)院信息化發(fā)展的網絡安全防范[J].計算機光盤軟件與應用,2013,(18):168.

[4] 林達峻,任忠敏,鄧曉焱,等.醫(yī)療行業(yè)中的無線網絡技術應用[J].中國數字醫(yī)學,2009,4(4):19-20.

[5] 林敏,喬自知.移動醫(yī)療的需求和發(fā)展思考[J].移動通信,2010, 34(6):31-35.

[6] 余文清,鄧勇.移動醫(yī)療信息安全保護與法律監(jiān)管機制建構探討[J].中國醫(yī)院,2016,20(9):53-56.

[7] 邢輝.無線移動醫(yī)療監(jiān)護網絡的隱私保護技術研究[D].上海:上海交通大學碩士學位論文,2014.

[8] 賴幸君.無線電安全保障的意義和方法探討[J].中國無線電,2014,(4):11-12.

[9] 王美玲.無線電管理在保障通信安全中的作用探究[J].中國新通信,2017,(1):39.

[10] 王陳海,吳太虎.短距離無線通信技術發(fā)展及在醫(yī)療監(jiān)護中的應用[J].醫(yī)療衛(wèi)生裝備,2008,29(1):30-34.

[11] 張博.UWB超寬帶通信技術在無線醫(yī)療監(jiān)護體系中的應用前景[J].計算機與數字工程,2012,40(10):67-69.

[12] 徐雷.醫(yī)院信息化建設過程中的網絡安全防護分析[J].網絡安全技術與應用,2016,(5):106-107.

[13] 徐亞雄.醫(yī)院信息化建設中的網絡安全分析與防護[J].網絡安全技術與應用,2015,(11):43.

[14] 韓輝.醫(yī)院信息化建設中網絡安全分析與防護[J].信息安全與技術,2014,5(5):91-93.

[15] 李揚.淺談醫(yī)院信息化建設中的網絡安全分析與防護[J].工程技術:文摘版,2016,(6):00295.

[16] 陳程.院信息化建設中網絡安全分析與防護[J].電子技術與軟件工程,2016,(18):230.

[17] 張彤,王高玲,王玉芳,等.基于“互聯網+”視角我國移動醫(yī)療現狀與監(jiān)管對策分析[J].中國醫(yī)療設備,2016,31(12):161-163.

本文編輯 蘇欣

Study on the Regulation Strategy of Cyber Security of Mobile Medical Device

LUO Wei-na, LI Shu, WANG Chen-xi, WANG Hao, REN Hai-ping
Institute for Medical Devices Control, National Institutes for Food and Drug Control, Beijing 100050, China

The cyber-security of mobile medical device is a new issue in the regulation of the medical device industry. On the one hand, the safety and integrity of data constitute the basis of big data collection and analysis, which impact the effectiveness of mobile medical device. On the other hand, the cyber communication function of mobile medical device not only involves with patients’ privacy, but also has risks on hacker attack and even on health hazard, which impacts the safety of mobile medical device. Currently, various countries are publishing regulation documents on the cyber safety of mobile medical device. This paper summarized the regulation status in China and other countries, and provided suggestion on the enhancement of cyber safety regulation in China.

mobile medical devices; cyber security; wireless communication; security control; health data

TP181；TH772；TH776

A

10.3969/j.issn.1674-1633.2017.06.006

1674-1633(2017)06-0020-03

2017-03-29

中國藥品監(jiān)督管理研究會課題“移動醫(yī)療發(fā)展趨勢與監(jiān)管政策研究”。

任海萍，中國食品藥品檢定研究院光機電醫(yī)療器械檢驗室主任，主要研究方向為有源醫(yī)療器械、醫(yī)用軟件的檢測及質量控制。

通訊作者郵箱：renhaiping@nifdc.org.cn