醫療儀器設備網絡安全風險評估與應對措施

摘要：醫療儀器設備因自身存在安全漏洞且缺乏有效安全防護，而容易遭受網絡攻擊或成為攻擊跳板，已成為醫院網絡安全最薄弱的環節。本文闡述了醫療儀器設備安全現狀、安全防護困境，并基于各類儀器設備的安全痛點及防護難點，提出了下一代組網終端安全防護技術方案，闡述了該方案涉及系統的特點、架構、價值及應用案例。該方案系統填補了醫療儀器設備的安全防護空白，有效抵御內外部威脅攻擊，防范醫療信息數據泄露。

關鍵詞：醫療儀器設備；網絡安全；；風險評估；應對措施

一、引言

近年來，醫院信息化建設取得了顯著進展，醫院信息化不僅能夠提高醫療服務的質量和效率，還能夠為患者帶來更好的就醫體驗，同時也為醫療管理和決策提供強有力的數據支持。促進信息化建設健康發展和安全性成為關鍵考慮因素之一，構建一個全面、立體的網絡安全防護體系，才能有效保障醫院網絡、數據以及整體業務的安全。然而，隨著醫院信息化建設需求的不斷發展，大量聯網醫療儀器和設備被部署進醫院內外網，導致網絡架構更為開放、網絡攻擊暴露面逐漸增大。這些儀器設備通常缺乏有效的安全防護手段，作為容易被忽略的薄弱環節，給醫院網絡植入了潛在的安全風險。

二、醫療儀器設備安全現狀概況

醫療儀器設備的網絡化及物聯網化大幅提高了醫院信息化水平，但也為醫院網絡安全建設帶來嚴峻考驗。根據在50余家中大型三甲醫院里的測試摸排，粗略估計，這些醫院網絡內的醫療儀器設備中，約有90%的設備屬于風險設備，即缺乏有效安全防護、長期處于“裸奔”狀態的設備。而其中，約有10%～15%的儀器設備已經失陷，它們或者已經被攻擊利用，或者已被植入病毒木馬、伺機而動。

（一）分類

醫院聯網醫療儀器設備主要分為四類：

1.專業醫療設備（CT、MRI設備等）

2.醫療輔助終端（自助機、叫號機、信息顯示屏等）

3.物聯網啞終端（監控攝像頭、門禁閘機等）

4.院內辦公設備（網絡打印機、無紙化會議系統等）

（二）特點

1.資產直連內部網絡。因業務需要，如核磁共振機、自助機等設備直連醫院內部網絡，與其他終端或服務器通信，完成業務數據交互。

2.資產存在內生安全問題。設備存在“先天缺陷”，即軟硬件設計缺陷導致的安全漏洞以及蓄意設計或預留的后門等，成為病毒木馬有機可乘的“入口”，威脅設備安全。

3.現有防護措施存在短板。院內一部分設備受限于軟硬件性能而不支持安裝第三方安全控件，長期處于“裸奔”無防護狀態；另一部分設備雖然安裝了第三方安全控件，但其寄生于操作系統之上，攻擊者可借助系統漏洞進行提權操作，進而殺掉安全控件相關進程，或利用工具繞過安全控件檢測。

4.資產缺乏東西向隔離。醫院網絡安全防護更側重南北向，缺乏有效的東西向隔離技術，某個單點被突破失陷后，“僵木蠕”迅速在網絡中橫向擴散，殃及更廣闊的范圍。

5.遠程運維引入安全隱患。部分設備廠商需要通過遠程方式進行設備日常運維，如液氦監測、系統升級等，由于缺乏有效管控，容易帶來非法訪問、數據竊取等安全隱患。

6.科室自購設備入網不可見?？剖易再徳O備入網缺乏有效管理，出事后找不到具體歸屬的科室，問題難定位。

（三）風險

1.非法入侵。非授權人員利用醫療儀器設備的系統漏洞、弱口令、高危端口等實施非法入侵，并進一步完成病毒感染、惡意控制等操作。

2.數據泄露。部分醫院已經發生了病患信息泄露或影像數據泄露等安全事件，無論從網絡安全還是國家安全的角度看，都值得高度警惕。

3.勒索攻擊。利用設備漏洞植入勒索病毒，擴散感染，對醫院核心數據進行加密綁架，進而使醫院業務系統癱瘓，影響醫院業務開展，同時帶來巨大的經濟損失。

4.挖礦攻擊。設備被植入挖礦木馬，被任意調用進行挖礦，嚴重消耗設備性能、增加運維成本、降低設備使用壽命，并且挖礦木馬會不斷擴散傳播，影響更多終端設備。

5.網絡擁塞。設備被惡意控制成為傀儡機，用于發動如DDoS（分布式拒絕服務攻擊）等網絡攻擊，在網絡中生成大量垃圾流量，造成網絡擁塞，降低醫院業務效率。

三、醫療儀器設備安全防護困境

針對上述安全問題，除了為設備安裝部署第三方安全控件外，多數醫院通常會采用在交換機上劃分VLAN的方式，將各類儀器設備隔離開，再通過設置相應的ACL策略和路由策略，限制設備網絡資源的訪問權限。然而，安裝第三方安全控件和劃分VLAN，這兩種安全解決方案雖可以起到一定作用，但防護效果不佳，實施時會遇到許多困難。

1.維護工作繁瑣。通過命令行進行配置，對維護人員技術水平要求較高。配置維護工作煩瑣，易出錯。部分設備物理位置分散且不固定，一旦發生變化，就需要對相應的接入交換機配置進行更改，維護人員工作量大。

2.改變網絡架構。前述兩種方案都需要對醫院現有網絡架構做較大的改動。另外，若額外部署安全網關，還會占用醫院的網絡IP資源，增加實施成本。

3.病毒內部傳播。通過劃分VLAN的方式進行邏輯隔離，并不能解決VLAN內部病毒傳播的問題。一旦某臺儀器設備中毒，位于同一個VLAN的其他設備也會被感染。

上述問題使醫療儀器設備的安全防護變得更為復雜，有時亦達不到防護效果，出現防護空白、死角。從管理者角度看，需要一種更精準、便捷、無感的防護手段來保護這些設備。

四、下一代組網終端安全防護技術方案

下一代組網終端安全防護技術方案基于WPDRRC信息系統安全保障體系建設模型提出，側重預警、保護、檢測三個重要環節，在潛在威脅危害終端之前便進行干預，防患于未然，最大限度地減少甚至避免損失。該方案將事前安全處置落實在網絡層、傳輸層，通過基礎、徹底、經濟的網絡層訪問控制提供“地毯式覆蓋”的安全防御手段，極大地收窄終端網絡暴露面，筑牢第一道基礎防線。這一方案結合已有的終端南北向防護手段，可實現360°精準隔離。

方案由一套系統實現，包含了兩個部分：一部分是分布式部署的無IP獨立執行單元，另一部分是對所有獨立執行單元實施集中管控的安全平臺。這套系統的用途是對如醫療儀器設備一樣的組網終端進行一對一的網絡訪問控制，基于“白名單”防御隔離屏障，有效過濾非法訪問，實現雙向精準防護，使未失陷終端獲得防御能力，已失陷終端無法再傳播病毒。

（一）系統特色

該方案系統在網絡層訪問控制的基礎上，疊加六大特色，有效破解上文提到的醫療儀器設備防護中遇到的多重困境。

特色一：獨立不寄生

系統將網絡訪問控制能力剝離出終端，置于獨立執行單元內，形成一個靠近被保護終端但又與之完全獨立的模塊。不占用終端資源，不安裝任何客戶端，不存在寄生隱患，獨立地執行安全策略，終端及用戶均無感知。

特色二：分布式部署

系統將獨立執行單元一對一串接在醫療儀器設備前，使其成為終端的“專屬保鏢”，對終端的所有網絡流量和行為進行管控，同時具備防護與探測功能。終端物理遷移時，獨立執行單元隨其遷移，相關策略變更靈活、操作簡單。

特色三：網絡隱身

獨立執行單元采用無IP部署方式，以透明模式運行，實現安全模塊網絡不可見、功能不可見、結構不可見，能夠免疫威脅掃描，具備結構加密的特性，自身安全性高。同時，部署不占用IP網絡資源，不改變現有網絡架構，降低實施難度。

特色四：無服務無響應

獨立執行單元采用經過裁剪的定制化操作系統，系統體積小、資源占用少，處理性能更優。獨立執行單元不開放任何服務端口，無服務無響應，日常以“自下而上”的形式，主動與集中式管控平臺通信，提高系統安全性。

特色五：統一管控

系統設置集中式管控平臺，能夠在獨立執行單元無IP地址的條件下，實現跨網絡一站式統一納管，精準下發安全策略，安全管控可觸達網絡邊緣。獨立執行單元作為探針，收集終端網絡行為數據，實時上報管控平臺，以供網絡安全態勢分析。

特色六：松耦合

系統獨立執行單元之間以及獨立執行單元與管控平臺之間，均為松耦合關系，保持模塊間的獨立性和低依賴性。獨立執行單元與管控平臺間斷開通信后，仍可獨立運行，不間斷地保護終端設備。整個系統靈活度高，易于擴展。

（二）系統架構

該方案系統整體分為數據采集、數據處理及可視化三層，數據來源為院內各類醫療儀器設備，系統架構如圖1所示。

獨立執行單元一對一串接于醫療儀器設備前，通過解析技術對流經的IP數據包進行解析，包括讀取IP地址、端口號、協議號等報文信息，并與安全策略進行匹配，過濾不符合策略規則的數據包。依據收集、學習的終端網絡行為數據，管控平臺不僅能制定并下發安全策略，還能將網絡拓撲、資產流量狀態、策略運行狀態、事件告警等進行可視化展示。

（三）系統價值

1.填補醫療儀器設備防護空白

面向醫療儀器設備，提供輕量化、高安全、易部署、零干擾的網絡訪問控制和安全審計服務，補齊現有安全措施防護短板。幫助設備抵御內外部威脅攻擊，過濾非法訪問，最大限度避免設備漏洞被利用，應對內生安全問題。

2.加強醫療儀器設備東西向隔離

通過一對一精準防護，加強設備東西向隔離，避免因網絡中單一設備遭遇威脅攻擊而感染網絡中其他終端設備。保證已失陷的設備可繼續“帶病工作”，未失陷的設備能夠有效抵御威脅攻擊，防范病毒交叉感染。

3.防范醫療信息數據泄露

通過訪問控制、文件審計、大流量預警等功能，對設備流入流出數據進行監測與管控，及時發現設備異常流量，避免醫療信息數據泄露、外流。

4.規范廠家遠程運維訪問行為

借助系統對設備運維人員的遠程操作進行審計和管控，實現網絡層面的行為跟蹤。收窄廠家遠程維護時的網絡訪問權限，管控細粒度能夠達到IP級、端口級，縮小設備對廠家的暴露面，避免病毒趁虛而入。

五、方案應用實例

下一代組網終端安全防護技術方案系統部署方式簡單，能夠輕松適配各類醫療儀器設備。方案現已在華南區多家中大型三甲醫院落地實施，達到了預期的防護效果。

某醫院核磁共振機接入內網，且未做有效安全防護。日常廠家通過4G路由器創建遠程連接VPN通道，監測設備液氦指數并完成例行運維工作，此行為導致該核磁共振機及醫院內網直接暴露于廠家視野內。由于長期未做管控，設備感染了病毒，并向外網發起非法連接。后續該醫院采用下一代組網終端安全防護技術方案，收窄廠家遠程維護時的訪問權限，僅允許廠家指定IP/端口的主機訪問院內指定設備。攔截該核磁共振機對外非法連接，避免病毒交叉感染。實時監控異常流量，防范PACS影像數據泄露。

六、結束語

綜上所述，醫院正向著數字化、智能化快速發展，醫院網絡中海量部署卻缺乏統一安全防護的醫療儀器設備，給其整體網絡安全防護體系帶來了新的風險與挑戰。下一代組網終端安全防護技術方案能夠有效填補醫療儀器設備安全防護空白，通過基礎、徹底、經濟的網絡層訪問控制提供“地毯式覆蓋”的安全防御手段，極大地收窄儀器設備網絡暴露面，筑牢第一道基礎防線。

方案在訪問控制基礎上疊加六大特色，破解當前醫療儀器設備防護難點及實施困境，為醫院網絡安全建設帶去輕量化、高安全、易部署、零干擾的終端安全解決方案。

作者單位：閆維瑋 鄧越 賽姆科技（廣東）有限公司

參考文獻

[1]國家市場監督管理總局，中國國家標準化管理委員會.信息安全技術 網絡安全等級保護基本要求： GB/T 22239-2019[S]. （2019-12-01）.

[2]中華人民共和國國家質量監督檢驗檢疫總局，中國國家標準化管理委員會.信息安全技術 網絡安全等級保護安全設計技術要求：GB/T 25070-2019[S]. （2019-12-01）.

[3]國家市場監督管理總局，中國國家標準化管理委員會.信息安全技術 健康醫療數據安全指南： GB/T 39725-2020[S]（ 2021-07-01）.

[4] T/GDNS 001—2022醫療設備安全規范[S].2022.

[5] 鄔江興.內生安全賦能網絡彈性工程[M].北京：科學出版社，2023.