中国信通院：医疗物联网安全研究报告（22页）.pdf

1、全面的资产梳理是安全管理的第一步，但是不少医疗机构都存在资产管理不清晰的问题。尤其随着医疗物联网业务的发展，智能输液泵、医疗穿戴设备、移动查房终端、智能巡检机器人等医疗物联网设备爆发式增长，医疗机构的信息管理员更加难以建立清晰的资产台账，导致内网资产管理混乱，出现安全事件无法及时精准定位，极大降低了安全事件的处置效率。医疗机构资产管理普遍面临以下问题：一是IoMT 管理服务器向外网开放了高危端口，如 3306、1433 等数据库敏感端口；二是 IoMT 设备只需开放移动端，却把管理后台一起开放到了外网；三是已下线系统或已完成测试的业务系统没有及时回收；四是服务器资源已回收，网络链路关系未清除，

2、服务器 IP 重新分配给新的业务系统，导致新的业务系统被放到了外网。在智慧病房建设中，每张床约有 10 个 IoMT 设备，包括智能输液泵、智能穿戴、传感器等。各类 IoMT 设备都部署在无人监控的场景下，直接暴露在物理环境中导致攻击者很容易接触并非法连接这些设备。国家信息安全漏洞共享平台（CNVD）披露的医疗数位影像传输协议 NEMA DICOM 存在编号为 CVE-2019-11687 的漏洞，利用该漏洞，攻击者可以移植可执行恶意软件，对诊疗数据非法篡改。由此可见，攻击者可以通过 WiFi、蓝牙、DICOM 等协议漏洞造成通信中断，也可以利用信号传输过程中的漏洞篡改数据，上传被修改的血液数

3、据和输液情况等数据，直接影响患者的生命健康。混合 IT 趋势下，人是信息安全管理过程中最脆弱的环节。随着医疗机构的联网设备的增加，工作人员的信息安全意识并没有随之增强。甚至部分医疗机构错误的认为，由于他们的医疗设备由医疗器械厂商提供运维，保护其应用的安全依靠医疗器械提供商就可以了。虽然医疗器械提供商在 IoMT 设备交付使用时提供通用性的安全防护措施，但是医疗设备厂商数据备份恢复以及业务自身安全性是医疗机构的主要责任而非医疗设备提供商的责任。IoMT 设备供应商在设备生产时应结合较为成熟的网络安全体系构建终端级别的安全防护能力。在出厂前应探索内置安全芯片和身份标识，实现设备身份认证与鉴权防护，身份认证通过设备安全芯片为所有接入的设备分配唯一可信 ID 标识，设备 ID 具备不可复制、篡改与破解的强安全特性，合法设备通过 ID 实现入网的身份鉴别和授权，非法设备通过直接入网或伪造身份入网将会被快速准确识别，并阻断其入网传输，避免其对终端通信的安全造成危害。利用安全芯片实现身份认证、数据加密、安全存储，构建一个轻量级的安全体系，有效的防止设备伪造，与服务器、APP 间实现双向的安全认证，保障云端、终端、控制端的安全认证和通信。示例终端安全芯片认证接入流程如图 2 所示。在遭受物理攻击时，IoMT 设备厂商应确保设备在被突破后其身份认证以及账户信息相关的重要数据不会被攻击者利用。