智慧物聯網醫療設備網絡安全案例分析

摘 要：隨著物聯網技術的不斷發展，醫療領域也逐漸向智能化、網聯化快速發展，但醫療物聯網在發展過程中仍不斷面臨著新的風險與挑戰。以醫療設備的安全測試為例，從功能安全驗證、漏洞掃描、滲透測試、模糊測試等方面來分析醫療設備在聯網后存在的安全問題，并提出相對應的防護措施，旨在為醫療設備的產品設計和網絡安全測試提供參考，從而促進醫療物聯網技術的發展，實現安全醫療、智慧醫療的目標。

關鍵詞：醫療物聯網；醫療設備；滲透測試；硬件安全；模糊測試；功能安全

中圖分類號：TP309 文獻標識碼：A 文章編號：2095-1302（2024）07-00-05

0 引 言

隨著物聯網技術的快速發展，其對醫療領域的影響逐漸擴大，具備網絡功能的醫療設備種類及數量日益增多。醫療物聯網從獨立設備發展到集成設備，到如今將網絡、軟件和操作系統等融合到醫療設備上，形成一個智慧醫療物聯網，實現了醫療設備的信息共享、設備配置、遠程操控等。近些年，網絡攻擊事件數量呈快速上升的趨勢。據統計，目前全球平均39 s就會發生一起黑客攻擊事件，而醫療器械產品也已經成為黑客攻擊的重要目標[1]。目前醫療設備的互聯化會出現許多問題，特別是網絡安全問題，需要得到開發商和使用者的進一步重視。

1 物聯網醫療設備概述

1.1 物聯網醫療設備國內發展現狀

我國的醫療設備信息化開始于20世紀70年代末，但前期的信息化建設較為緩慢，醫療數據的共享程度低，無法有效地給醫療提供幫助[2]。不過，近幾年我國在信息技術及通信技術領域實現了跨越式發展，加快了物聯網技術在醫療領域的覆蓋，逐漸重視物聯網技術在醫療領域的應用。2021年6月，國務院發布的《關于推動公立醫院高質量發展的意見》中指出：未來的醫療服務要與物聯網、區塊鏈、第五代移動通等新一代信息技術深度融合，要大力發展遠程醫療和互聯網診療，推動智能醫療設備和智能輔助診療系統的研發與應用。2023年我國智慧醫療應用規模約為936.6億元，預計未來該行業將繼續高速發展[3]。

1.2 物聯網醫療設備結構

物聯網是實現萬物互聯的技術，醫療物聯網是物聯網在醫療領域的擴展應用。如圖1所示，按照功能的實現可以將醫療物聯網分為三層：感知層、網絡層和應用層。物聯網技術在醫療領域得到良好應用的原因之一是各類傳感器技術的支持。傳感器技術是感知層的技術核心，傳感器通過收集和轉換信號來采集溫度、血壓、心率等信息。萬物互聯的實現依賴于網絡層，通過無線或者有線網絡將數據傳輸到網絡內的其他設備，實現信息共享。應用層完成數據管理和數據處理。通過感知層收集信息，網絡層傳輸信息，將信息傳入移動終端、嵌入式計算裝置和醫療信息處理平臺等應用進行交換和處理。

1.3 物聯網醫療設備安全風險分析

智慧醫療物聯網給醫療行業帶來了諸多的便利，例如提高醫療效率、實現遠程監護、支持醫療研究與數據分析等，但各類網絡安全問題也隨之而來。醫療物聯網中存儲著大量的患者信息和醫療設備信息，存在著被攻擊導致系統癱瘓、患者信息泄露等風險，嚴重時甚至會威脅到患者的生命安全[4]。根據物聯網醫療設備的分層結構進行判斷，其風險也大致分為硬件安全、通信安全和應用安全三個方面的安全風險，見表1所列。

2 相關標準

物聯網醫療設備的使用主要依據國際電工委員會發布的兩個標準：《醫用電氣設備》（IEC TR 60601-4-5）和《健康軟件和健康IT系統安全性、有效性和安全性》（IEC 81001-5-1）。

IEC 81001-5-1定義了安全軟件開發過程，標準中包含軟件系統測試的內容，參考標準對醫療設備進行測試，分別提出安全功能驗證測試、漏洞掃描、滲透測試、模糊測試四個部分。IEC 81001-5-1建議使用IEC TR 60601-4-5中的安全等級和安全能力概念代替軟件安全等級。IEC TR 60601-4-5：2021是醫療設備的功能驗證測試標準，定義了四個安全級別和七項基本要求：識別和身份驗證控制、使用控制、系統完整性、數據保密、數據流受限、及時響應事件以及資源可用性[5]。

3 物聯網醫療設備安全測試

3.1 安全功能驗證

安全功能驗證測試是對醫療產品的可靠性和安全性能進行檢測，通過發現潛在的安全隱患和風險來保證產品在使用過程中的安全性能。國際電工委員會制定了IEC TR 60601-4-5標準為醫療網絡中醫療設備的使用提供了詳細的技術規范。根據醫療產品的特性可選擇特定的安全功能驗證測試和等級。安全功能測試主要關注于醫療產品對病人數據的保密性和完整性，為防止信息泄露和保障設備正常運行制定了較多的測試項目。

在數據的保密性測試中，對設備的數據保密性做了嚴格的要求，體現在敏感數據訪問、傳輸、儲存等方面。在測試可穿戴設備過程中發現，設備通過傳感器收集病人的身體信息，在傳輸到PC端時，病人數據為明文存儲，訪問數據庫也不需要驗證，存在未授權訪問漏洞。

醫療設備除基本功能外，還需要保護好病人的隱私，敏感數據的保密性在醫療設備上至關重要。醫療設備上生成的敏感信息，無論處于靜態還是傳輸狀態都需要做加密處理，以防止竊聽和未經授權訪問。

3.2 漏洞掃描

漏洞是指系統上的硬件、軟件（包括固件）、協議等在安全策略上存在弱點或者缺陷，這些缺陷、錯誤或不合理之處可能被有意或無意地利用，影響系統等資產的保密性、完整性、可用性等，存在泄露、破壞、篡改、控制等隱患。漏洞的產生是一個不斷發現、修復的循環過程，所以沒有絕對安全的系統和軟件。依據應用范圍和漏洞原理對漏洞進行分類，見表2所列。

3.3 滲透測試

滲透測試模擬黑客攻擊的手法和技巧對目標發起攻擊，對系統的網絡安全進行評估，盡最大可能去發現漏洞，將漏洞地址、測試步驟和修復方法等以報告的方式提交給甲方，在產品上線前降低因網絡攻擊導致系統發生錯誤的風險。滲透測試的方式是由測試方獲得被測系統的信息量來決定的，大致分為黑盒測試、白盒測試、灰盒測試。滲透測試一般流程如圖2所示。

醫療設備的滲透測試可以分別從物理感知層、網絡層和應用層三個層面進行。

3.3.1 物理感知層

感知層是獲取數據的工具，主要體現在硬件上，對硬件的滲透測試主要針對的是調試接口和固件。調試接口預留在硬件電路板上，可以直接操控硬件內部代碼的執行，用于在設備開發時進行調試和功能驗證。通過連接設備的調試接口獲取權限和固件，對固件邏輯代碼、數據存儲、數據類別、數據屬性等進行全方面分析，發現其他攻擊方法無法找出潛在漏洞。本示例對某可穿戴設備的硬件安全進行測試，測試內容為調試接口、內存、固件是否做了相應的防護。圖3為硬件滲透測試流程。

在對硬件進行滲透測試時存在著印制電路板印字未擦除而導致信息泄露的問題，可以通過泄露的信息來查找芯片信息和接口信息，存在固件被提取的風險。

固件是運行在設備上的二進制程序，負責管理設備的硬件和應用程序[6]。固件的位置是在設備的FLASH/ROM芯片里，提取出的固件為16進制的BIN文件或者HEX文件，可以通過解包和分析來獲取實際的邏輯代碼。固件作為程序不僅存在著大量的漏洞，還包含了獨立的文件系統，可能存在著對設備產生嚴重威脅的敏感信息[7]。應對固件帶來的各種安全問題，需要加強對固件的防護，提高提取固件和分析固件的難度。

3.3.2 網絡層

網絡層負責傳輸應用層和感知層之間的信息。網絡層是各種網絡架構的組合，包括互聯網、衛星、GSM網絡、GPRS、ZigBee、4G、5G、WiFi網絡等。這些網絡的安全性問題與傳統的相似，容易受到DDoS、中間人、數據篡改、數據重放和信號干擾等攻擊。由于物聯網設備的特性，通過無線傳輸數據的場景較多，常見的攻擊媒介為WiFi、藍牙、蜂窩網絡以及用于定位的GNSS模塊等。

（1）WiFi

醫療物聯網可能通過WiFi組網完成數據資源的共享，其一旦被攻破將導致醫療數據泄露，造成極大威脅。無線局域網主要通過以下幾種安全協議來提高WiFi通信安全，即有限對等保密（Wired Equivalent Privacy，WEP）、無線網絡安全接入（WiFi Protected Access，WPA）、WPA2和WPA3。

WiFi的絕大多數漏洞存在于WEP、WPA/WPA2，利用這些漏洞或者漏洞的組合發起攻擊（見表3所列），會對醫療物聯網造成威脅。WPA3是最新的WiFi安全協議，雖然也有相關研究指出了WPA3的漏洞，但是WPA3目前仍然被認為是比較安全的協議，因此建議使用WPA3協議。

（2）GNSS

GNSS是全球導航衛星系統的簡稱，包含美國GPS導航系統和中國北斗導航系統等，通過導航衛星可以不間斷地發射廣播信號，即導航電文或星歷數據，攜帶信息主要是衛星當前的時間戳與軌道坐標。物聯網設備接收到信號計算出坐標，即完成了定位。針對GNSS的攻擊主要是干擾和欺騙，常見的干擾有阻塞干擾、瞄準干擾、相關干擾等，工程實現簡單，危害通常較小[8]。危害較大的欺騙式干擾，目的是使目標定位錯誤，通常有轉發式干擾和產生式干擾。轉發式干擾是攻擊者接收了真實的衛星信號，對其進行存儲延時的轉發。產生式干擾可以產生基于欺騙位置（任意位置）的符合GPS標準的虛假衛星信號。產生式干擾首先從網上下載星歷數據，根據指定的衛星信息文件、坐標信息、采樣頻率等參數輸出二進制的信號文件，將這個二進制文件導入到USRP或者HackRF無線電射頻設備上（可參考開源項目gps-sdr-sim），然后靠近物聯網設備，發送欺騙信號。如果設備未做防護，則能輕易實現GPS的偽造。具體過程如圖4所示。

針對GNSS欺騙的防御可以從以下三個方面進行。一是對衛星信號的檢測。可以對接收的衛星信號的數目、信號強度、衛星授時等進行檢測。一般來說，為了使得欺騙成功，偽造的GPS信號數目越多越好。因此，如果GNSS信號的數目或者觀測的峰值信號強度突然變化，或者在聯網設備中需要對衛星授時時間進行異常比對，那么很可能遭到了GNSS欺騙。二是可以為GNSS使用者提供空中認證和加密手段，如軍用GNSS就不能被解密。三是采取多種形式的定位方式，比如結合蜂窩網和WiFi、藍牙等綜合定位，通過物聯網共享彼此的位置，計算距離和方位獲得定位信息。

3.3.3 應用層

在醫療物聯網中，醫療設備的使用可能會聯合其他軟件，移動端APP通過藍牙、WiFi等方式管理醫療設備，實現用戶注冊、密碼修改、綁定設備等功能。通過醫療設備的感知層得到數據，將數據傳輸到APP上進行分析和存儲。

通過APP可以實現對醫療器械的控制，將通過傳輸協議獲取到的數據和病人的信息保存到移動端，所以APP的安全性影響著病人數據的安全。APP的滲透測試流程如圖5所示。

移動端APP作為醫療設備的一部分，可以與醫療設備和傳感器通信，進行病人數據的傳輸和存儲，也可以作為醫療設備的控制端，對醫療設備進行遠程控制，起著傳輸、存儲數據和操作醫療設備的重大作用。對APP進行防護就是保障醫療物聯網的網絡安全。對APP的數據進行保護，如存儲加密、傳輸加密等，以及對APK進行加固和簽名校驗，可以防止攻擊者通過直接解析源碼和修改APK來使用移動端APP等。

3.4 模糊測試

模糊測試的實現方式是生成并向目標程序發送大量有可能觸發未知錯誤的攻擊載荷，來發現目標中的各種弱點，如軟件缺陷和漏洞[9]。相對于漏洞掃描和滲透測試側重于發現已知漏洞，模糊測試更加側重于發現未知漏洞。模糊測試需要被測設備具備輸入接口，目前模糊測試的范圍廣泛，如模糊源代碼、API接口、通信協議、數據庫系統等。對醫療設備的模糊測試需要確認設備所具備的接口。本文以營養泵的Web接口的模糊測試為例，測試流程如圖6所示。

Web 應用程序容易遭受各種類型的網絡攻擊， 如拒絕服務、跨站點編寫腳本等。通過對Web的接口函數進行模糊測試，可保證Web應用程序的安全性和穩定性。對醫療設備的Web接口進行模糊測試，需要了解Web應用程序和Web應用的漏洞原理，生成有效的測試用例，這是整個模糊測試的關鍵步驟[10]。運行測試用例，發送攻擊載荷嘗試觸發漏洞，檢測是否發生異常并記錄異常情況，通過分析異常和攻擊載荷來判斷是否能對數據包進一步利用。在測試中發現，通過發送特定數據包可以使得營養泵的Web服務掉線，無法正常訪問，需要重新啟動Web服務。模糊測試屬于自動化測試方式，避免因測試人員的水平不同導致測試結果不同。該測試方式能發掘未知漏洞，有效降低醫療設備上市前被成功攻擊的風險，提前做好防護。

4 結 語

醫療領域正向著數字化、智能化的方向轉型，物聯網醫療設備數量日益增長。但隨著醫療物聯網向著智慧化、共享化的方向發展，對醫療物聯網的攻擊途徑越來越多，出現了許多網絡安全問題。本文概述了醫療設備的發展現狀，并從感知層、網絡層和應用層的結構分析了存在的安全風險；從功能安全驗證、漏洞掃描、滲透測試、模糊測試四個角度介紹了智慧醫療物聯網設備的測試方法、易出現的安全問題及對應的修復建議和防護措施。旨在為智慧物聯網醫療設備的安全測試和產品設計、智慧醫療物聯網的智能化發展、醫療質量的提高提供參考。

注：本文通訊作者為卓圣鈞。

參考文獻

[1]劉陽，俞準，翁昌晶.智慧醫院物聯網安全體系構建與思考[J].海南醫學，2023，34（17）：2548-2552.

[2]許俊杰，陳軍.基于物聯網的智慧醫療系統及其發展應用[J].中國醫療設備，2017，32（10）：118-121.

[3]中商情報網. 2023年中國智慧醫療市場前景及投資研究預測報告[EB/OL].（2022-12-23）. https：//m.askci.com/news/chanye/20221223/1756112071889.shtml.

[4]張杰，張鞠成，徐洪良，等.物聯網在醫療設備管理領域的應用與發展[J].醫療裝備，2022，35（7）：186-189.

[5]王建，王天屹，翟亞紅，等. IEC 62443系統安全要求與等級保護基本要求對比研究[J].華電技術，2021，43（2）：72-76.

[6]隨唐. 智能IoT固件敏感信息檢測技術的研究[D].南京：南京郵電大學，2022.

[7]楊毅宇，周威，趙尚儒，等.物聯網安全研究綜述：威脅、檢測與防御[J].通信學報，2021，42（8）：188-205.

[8]張泰閣. 基于自適應卡爾曼濾波的GPS抗欺騙干擾方法的研究[D].哈爾濱：哈爾濱工程大學，2018.

[9] LIANG H，PEI X，JIA X，et al. Fuzzing：state of the art [J]. IEEE transactions on reliability，2018，67（3）：1199-1218.

[10]鄭巖. 面向嵌入式設備Web接口的模糊測試技術研究[D].鄭州：戰略支援部隊信息工程大學，2021.