如今，醫(yī)療設(shè)備的安全性變得極其重要，以確保與您的設(shè)備交互的客戶和患者，他們的健康和個(gè)人信息得到認(rèn)真對(duì)待。在全球范圍內(nèi)，監(jiān)管機(jī)構(gòu)越來(lái)越多地要求并驗(yàn)證設(shè)備在產(chǎn)品發(fā)布前后盡可能安全。在美國(guó)，食品和藥物管理局（FDA）發(fā)布了指南，概述了醫(yī)療器械的要求，這些要求要求涉及器械開(kāi)發(fā)和維護(hù)的多個(gè)方面。

安全漏洞

安全漏洞是一種編程錯(cuò)誤（或缺陷或錯(cuò)誤），它打開(kāi)設(shè)備以受到某些意外的外部或內(nèi)部應(yīng)用程序的影響。每個(gè)產(chǎn)品都存在安全漏洞，包括醫(yī)療設(shè)備。通過(guò)認(rèn)識(shí)到這一點(diǎn)并為這種必然性做好準(zhǔn)備，嵌入式開(kāi)發(fā)人員可以限制這些漏洞可能引入的風(fēng)險(xiǎn)和潛在損害。

識(shí)別和緩解這些潛在問(wèn)題的過(guò)程中最重要的部分稱為常見(jiàn)漏洞和披露 （CVE）。CVE 最初定義于 1999 年，是產(chǎn)品中存在（或存在）的已知可利用安全問(wèn)題的存儲(chǔ)庫(kù)。CVE 由 MITRE 公司和美國(guó)國(guó)家漏洞數(shù)據(jù)庫(kù) （NVD） 共同發(fā)布和維護(hù)，該數(shù)據(jù)庫(kù)由美國(guó)國(guó)土安全部維護(hù)。從Heartbleed（CVE-2014-060）到Shellshock（CVE-2014-6271）再到URGENT/11（2019年發(fā)現(xiàn)的11個(gè)CVE），每個(gè)重大安全漏洞都被記錄為CVE。

這些 CVE 的發(fā)現(xiàn)要么是由于造成的損害（在事后分析時(shí)，發(fā)現(xiàn)了潛在的問(wèn)題，要么是由于盡職盡責(zé)的工程師發(fā)現(xiàn)了潛在的漏洞利用。好消息是，大多數(shù)漏洞利用都是在不造成損害的情況下被發(fā)現(xiàn)的;壞消息是，一旦漏洞通過(guò)CVE過(guò)程傳達(dá)給世界，它很容易被全球黑客利用，因此時(shí)間至關(guān)重要。幸運(yùn)的是，CVE 流程為產(chǎn)品或軟件開(kāi)發(fā)人員提供了在全球公布漏洞之前修復(fù)漏洞的時(shí)間，以便他們可以迅速采取行動(dòng)實(shí)施設(shè)備安全。

一旦發(fā)現(xiàn) CVE，就會(huì)為其分配一個(gè) CVE 標(biāo)識(shí) ID。如果 CVE 被確定為問(wèn)題，NVD 會(huì)為其分配漏洞分?jǐn)?shù)。這是一個(gè)介于 1 和 10 之間的數(shù)字;數(shù)字越大，受影響設(shè)備的漏洞就越嚴(yán)重。NVD 還包含有關(guān)該問(wèn)題的任何其他已知信息，以及指向進(jìn)一步描述該問(wèn)題的相關(guān)站點(diǎn)的鏈接 - 以及可用的現(xiàn)有修復(fù)程序。

CVE 報(bào)告流程的主要好處是了解問(wèn)題、潛在修復(fù)以及問(wèn)題可能對(duì)您的產(chǎn)品造成的嚴(yán)重性和風(fēng)險(xiǎn)。安全漏洞可能會(huì)使您的設(shè)備、客戶和您自己面臨多種不良后果，包括：

丟失或修改患者關(guān)鍵數(shù)據(jù)，可能對(duì)患者或醫(yī)務(wù)人員造成傷害

泄露客戶或最終用戶數(shù)據(jù)，這可能導(dǎo)致身份盜用、違反 HIPAA 和其他嚴(yán)重后果

惡意行為者滲透設(shè)備，可能導(dǎo)致注入惡意軟件、禁用設(shè)備、感染醫(yī)院或臨床醫(yī)生網(wǎng)絡(luò)的其他部分等。

安全問(wèn)題和產(chǎn)品設(shè)計(jì)

在開(kāi)發(fā)盡可能安全的設(shè)備時(shí)，重要的是要考慮潛在安全問(wèn)題的不同來(lái)源：

開(kāi)發(fā)設(shè)備時(shí)社區(qū)已知的問(wèn)題

設(shè)備發(fā)布后發(fā)現(xiàn)的問(wèn)題

由于預(yù)防性開(kāi)發(fā)技術(shù)不足，專門為設(shè)備編寫的軟件引入的問(wèn)題

針對(duì)已知問(wèn)題的設(shè)備保護(hù)

如前所述，黑客用來(lái)闖入設(shè)備的許多潛在漏洞已被全球安全社區(qū)所知，并且已經(jīng)得到修復(fù)。不幸的是，醫(yī)療設(shè)備通過(guò)設(shè)備發(fā)布時(shí)已經(jīng)修復(fù)的問(wèn)題被利用。防止這種情況發(fā)生需要付出努力，但這種努力將節(jié)省時(shí)間，保護(hù)您的聲譽(yù)，并在發(fā)生漏洞利用時(shí)限制成本和潛在的法律風(fēng)險(xiǎn)。此外，監(jiān)管機(jī)構(gòu)要求設(shè)備開(kāi)發(fā)人員在設(shè)備發(fā)布之前考慮這一點(diǎn)。在美國(guó)，這是FDA關(guān)于網(wǎng)絡(luò)安全管理上市前提交內(nèi)容的指南的一部分。這是過(guò)程。

每個(gè)顯示為漏洞利用的 CVE 都可以在 NVD 和 CVE 數(shù)據(jù)庫(kù)中搜索 - 按組件名稱、CVE ID 或任何感興趣的關(guān)鍵字進(jìn)行搜索。例如，假設(shè)您的設(shè)備使用某些 Linux 發(fā)行版。通過(guò)搜索 Linux 漏洞，您會(huì)發(fā)現(xiàn)許多問(wèn)題;作為具體示例，請(qǐng)考慮 CVE-201911683。這是一個(gè)嚴(yán)重的嚴(yán)重性問(wèn)題，不應(yīng)該出現(xiàn)在您的產(chǎn)品中，因?yàn)樗潜娝苤?，并且允許遠(yuǎn)程拒絕服務(wù)攻擊或“未指定的其他影響”。查看此缺陷的條目，它在 Linux 內(nèi)核版本 5.0.13 或更高版本中已解決，這意味著如果您的 Linux 內(nèi)核是早期版本，則應(yīng)在產(chǎn)品中升級(jí)到該版本。

對(duì)于產(chǎn)品中的開(kāi)源組件，有許多工具可用于確定軟件中是否包含重要的 CVE，其中最重要的稱為 cve-check 。此工具會(huì)生成報(bào)告，其中包括哪些軟件包包含通過(guò)執(zhí)行版本檢查在您使用的版本中未解決的 CVE。此信息可用于確定在將商品圖片視為完整之前是否需要采取任何先發(fā)制人的措施。

制造商不想進(jìn)行這種檢查和更新，因?yàn)樗麄兊氖滓蝿?wù)是嘗試設(shè)計(jì)和開(kāi)發(fā)產(chǎn)品。大多數(shù)設(shè)備制造商寧愿讓他們的工程師解決產(chǎn)品問(wèn)題，而不是管理和維護(hù)Linux發(fā)行版。但是，開(kāi)源提供的極端功能，穩(wěn)定性和社區(qū)是有代價(jià)的（您想編寫SSL層還是使用世界各地設(shè)備中使用的SSL層？設(shè)備制造商必須承擔(dān)此任務(wù)，或者使用商業(yè) Linux 發(fā)行版并要求其供應(yīng)商負(fù)責(zé)為他們完成這項(xiàng)工作。

監(jiān)控并確保解決已知漏洞并不是現(xiàn)階段唯一要考慮的事情。如果不加以解決，可能會(huì)導(dǎo)致您的設(shè)備被利用的其他一些問(wèn)題包括：

訪問(wèn)控制 – 您是否設(shè)計(jì)了定義可以訪問(wèn)各種類型數(shù)據(jù)（用戶級(jí)別、管理級(jí)別、維護(hù)級(jí)別等）的角色的功能，并且是否確定只有授權(quán)角色才能訪問(wèn)數(shù)據(jù)？與對(duì)設(shè)備的物理訪問(wèn)相比，來(lái)自互聯(lián)網(wǎng)的更高級(jí)別的訪問(wèn)控制是否難以訪問(wèn)數(shù)據(jù)？設(shè)備的身份驗(yàn)證方法是否難以利用？是否管理默認(rèn)帳戶和密碼，使其無(wú)法在現(xiàn)場(chǎng)被利用？Linux 至少提供了兩種方法來(lái)管理訪問(wèn)控制：1） 自由裁量 （DAC），標(biāo)準(zhǔn)的 Linux 訪問(wèn)控制模型，以及 2），強(qiáng)制 （MAC），它更復(fù)雜、更安全——SELinux 包的一部分。

加密 – 存儲(chǔ)在您設(shè)備上的數(shù)據(jù)（內(nèi)存和存儲(chǔ)中）以及您的設(shè)備與其他設(shè)備之間的傳輸，是否受到保護(hù)和加密，以便只有那些想要看到它的人才能破譯？許多允許外部參與者查看數(shù)據(jù)的潛在漏洞仍然需要適當(dāng)?shù)拿荑€來(lái)解密數(shù)據(jù)。開(kāi)發(fā)人員需要確保必須克服不同的機(jī)制來(lái)訪問(wèn)密鑰，而不僅僅是訪問(wèn)加密內(nèi)存。

硬件安全協(xié)助 – 現(xiàn)代處理器的許多功能有助于確保設(shè)備和應(yīng)用程序的安全性，但系統(tǒng)設(shè)計(jì)人員有責(zé)任利用它們。諸如TrustZone，加密加速，可信平臺(tái)模塊（TPM）等功能位于現(xiàn)代微處理器上，旨在加速和協(xié)助安全設(shè)計(jì)的開(kāi)發(fā)。但是，如果您不使用這些功能，則僅在硬件中擁有這些功能是無(wú)用的。

保護(hù)未來(lái)的設(shè)備

一旦您的產(chǎn)品發(fā)布，您的工作就沒(méi)有完成，因?yàn)橐阎┒吹臄?shù)量是一個(gè)不斷變化的目標(biāo)，每天都在增加。2019 年，創(chuàng)建了 12，174 個(gè) CVE，每天超過(guò) 30 個(gè)。其中大多數(shù)都不是問(wèn)題，而且，在那些問(wèn)題中，許多不適用于您的設(shè)備，因?yàn)樵S多CVE是針對(duì)舊版本的開(kāi)源組件報(bào)告的，或者將針對(duì)您不使用的組件。也就是說(shuō)，即使針對(duì) Linux 內(nèi)核，2019 年也發(fā)布了 170 個(gè) CVE，其中一些會(huì)導(dǎo)致針對(duì)您的設(shè)備的潛在漏洞利用。

雖然沒(méi)有辦法防止這種情況發(fā)生，但您需要知道它會(huì)發(fā)生，并且您需要確保您的設(shè)備已準(zhǔn)備就緒。為將來(lái)準(zhǔn)備設(shè)備的時(shí)間是在開(kāi)發(fā)期間，以便您可以準(zhǔn)備設(shè)備，以便在發(fā)現(xiàn)并修復(fù)新的漏洞（和重大產(chǎn)品缺陷）時(shí)進(jìn)行更新。監(jiān)管機(jī)構(gòu)在這個(gè)問(wèn)題上采取了比過(guò)去強(qiáng)硬得多的立場(chǎng)，并要求將管理計(jì)劃作為設(shè)備上市后計(jì)劃的一部分（在美國(guó)，如醫(yī)療器械網(wǎng)絡(luò)安全上市后管理指南中所述）。

需要管理的不僅僅是 CVE;例如，在2016年，一個(gè)通常被稱為Mirai僵尸網(wǎng)絡(luò)的漏洞通過(guò)接管網(wǎng)絡(luò)攝像頭和路由器等小型物聯(lián)網(wǎng)設(shè)備，并使用它們對(duì)美國(guó)和法國(guó)的Web基礎(chǔ)設(shè)施提供商執(zhí)行分布式拒絕服務(wù)攻擊（DDoS攻擊），從而破壞了大部分互聯(lián)網(wǎng)。這些受感染設(shè)備的大多數(shù)所有者都不知道他們的系統(tǒng)已被感染，而Mirai（及其衍生產(chǎn)品）今天仍然是一個(gè)威脅。甚至今天制造的設(shè)備也容易受到它的影響，即使根本原因很簡(jiǎn)單，就像嘗試訪問(wèn)具有 64 個(gè)眾所周知的默認(rèn)登錄名/密碼（例如用戶/用戶或用戶/密碼）的根級(jí)訪問(wèn)帳戶一樣簡(jiǎn)單。由于這些設(shè)備的大多數(shù)用戶不知道或無(wú)法更改這些簡(jiǎn)單的默認(rèn)值，因此Mirai僵尸網(wǎng)絡(luò)能夠控制這些系統(tǒng)。

在開(kāi)發(fā)過(guò)程中應(yīng)考慮許多因素，以使設(shè)備面向未來(lái)，但最重要的是能夠安全地更新系統(tǒng)。支持此方法的方法和設(shè)施很多且復(fù)雜，超出了本文的范圍。有關(guān)詳細(xì)信息（請(qǐng)參閱本文末尾），提供了涉及此重要主題的資源。

應(yīng)用預(yù)防性開(kāi)發(fā)技術(shù)

如果您使用 Linux 和其他開(kāi)源軟件作為產(chǎn)品設(shè)計(jì)的一部分，那么當(dāng)您發(fā)布設(shè)備時(shí)，您的設(shè)備中將存在您（或其他任何人）知道的漏洞。因此，您不僅希望在發(fā)布時(shí)消除盡可能多的已知漏洞，而且還必須假設(shè)，在某些時(shí)候，某些不良行為者將能夠未經(jīng)授權(quán)訪問(wèn)設(shè)備。發(fā)生這種情況時(shí)，您希望使他們盡可能難以利用該訪問(wèn)權(quán)限獲利。對(duì)于掌握設(shè)備漏洞知識(shí)的堅(jiān)定黑客來(lái)說(shuō)，沒(méi)有完美的防御措施，但您希望讓他們盡可能困難地做到這一點(diǎn)。您無(wú)法保護(hù)自己免受正在使用的開(kāi)源模塊中的缺陷的影響，但您可以控制自己的應(yīng)用程序中的潛在缺陷。當(dāng)然，您應(yīng)該考慮上述技術(shù)來(lái)設(shè)計(jì)更好的保護(hù)，但是您的應(yīng)用程序的開(kāi)發(fā)方式呢？

如上所述，開(kāi)源和應(yīng)用軟件中的大多數(shù)漏洞都是由于反復(fù)發(fā)生的開(kāi)發(fā)缺陷造成的。諸如 NULL 指針取消引用、釋放已釋放的內(nèi)存、溢出固定長(zhǎng)度緩沖區(qū)等都是黑客很容易利用的編碼錯(cuò)誤來(lái)破壞您的設(shè)備。但是，有幾種方法可以用來(lái)提供幫助。具體技術(shù)超出了本文的范圍，但可以從以下地方開(kāi)始尋找：

靜態(tài)（和動(dòng)態(tài)）分析。您可能會(huì)看到的第一個(gè)靜態(tài)分析是來(lái)自編譯器的警告。令人驚訝的是，有多少組織在錯(cuò)誤地急于發(fā)布某些東西時(shí)忽略了這個(gè)有價(jià)值的診斷工具。除此之外，開(kāi)源社區(qū)提供了幾個(gè)有用的靜態(tài)分析工具，如cppcheck和clang，并且有許多商業(yè)解決方案可用。所有這些都將檢測(cè)代碼審查中容易遺漏的問(wèn)題，并且只要管理這些工具的報(bào)告，您就可以防止應(yīng)用程序中的幾個(gè)主要類別的潛在漏洞利用。

使用編碼標(biāo)準(zhǔn)。通常，MISRA 編碼標(biāo)準(zhǔn) 是這些標(biāo)準(zhǔn)的金牌標(biāo)準(zhǔn)，并為保護(hù)您的應(yīng)用程序提供了許多經(jīng)過(guò)深思熟慮的建議。雖然它的起源來(lái)自汽車行業(yè)和安全領(lǐng)域，但它沒(méi)有任何特定于汽車（或安全）的內(nèi)容，任何希望保護(hù)其應(yīng)用的設(shè)備制造商都應(yīng)該考慮MISRA。請(qǐng)注意，大多數(shù)靜態(tài)分析工具也大大簡(jiǎn)化了應(yīng)用程序與MISRA規(guī)則的檢查。雖然還有其他可用的編碼標(biāo)準(zhǔn)，但MISRA將常識(shí)與良好實(shí)踐相結(jié)合，可以由各種規(guī)模的組織實(shí)施。

另一個(gè)有用的編碼標(biāo)準(zhǔn)來(lái)自卡內(nèi)基梅隆大學(xué)軟件工程學(xué)院;已知 SEI 證書 C。這和MISRA之間有很大的重疊，但SEI標(biāo)準(zhǔn)超越了C和C++，延伸到Android，Java和Perl。

在開(kāi)發(fā)安全軟件時(shí)，還有許多其他有用的信息來(lái)源需要考慮，但是如果您尚未使用上述技術(shù)，請(qǐng)從那里開(kāi)始，并在擁有智能編碼標(biāo)準(zhǔn)和靜態(tài)分析范式后考慮擴(kuò)展您的思維。

結(jié)論

在本文的開(kāi)頭，我們討論了醫(yī)療設(shè)備中連接的激增，以及這種連接給我們的生活帶來(lái)的好處和安全風(fēng)險(xiǎn)。我們還討論了美國(guó)FDA等監(jiān)管機(jī)構(gòu)對(duì)這些設(shè)備內(nèi)置和維護(hù)安全性的日益嚴(yán)格的審查。此外，我們還討論了如何在醫(yī)療設(shè)備的設(shè)計(jì)、開(kāi)發(fā)和維護(hù)中克服這些挑戰(zhàn)。按照本文中的指導(dǎo)，您的產(chǎn)品將：

更難成功利用

在發(fā)布時(shí)防止已知和未知的攻擊

更新速度更快，以關(guān)閉任何新發(fā)現(xiàn)的漏洞

更安全，讓您的客戶確信即使出現(xiàn)問(wèn)題，他們也受到保護(hù)。

最后一點(diǎn)特別重要?？蛻糁?，沒(méi)有設(shè)備是完全沒(méi)有錯(cuò)誤的。他們想知道的是，您如何最大限度地減少缺陷及其影響，以及在不可避免地出現(xiàn)問(wèn)題時(shí)做好的準(zhǔn)備情況。本文中的方法不會(huì)阻止所有潛在的未來(lái)安全問(wèn)題，但它們將使您處于有利地位，以便在這些問(wèn)題出現(xiàn)時(shí)快速解決這些問(wèn)題。

通過(guò)接近安全性并限制被利用的風(fēng)險(xiǎn)，您的設(shè)備將不易受到攻擊，更好地準(zhǔn)備保護(hù)患者數(shù)據(jù)，并且更有可能順利獲得監(jiān)管批準(zhǔn)并改善全球患者的醫(yī)療結(jié)果。

審核編輯：郭婷