技術分享|智慧醫療系統安全淺析

一、智慧醫療系統概述

智慧醫療系統是一種現代醫療與信息技術相結合的產物，是醫療領域的物聯網系統。在智慧醫療系統中，醫療數據從采集、傳輸、處理和應用，需要有一套完整的技術和管理體系。相對傳統的醫療系統，智慧醫療系統具有很多優點，包括醫療資源的有效利用，醫療化驗和檢查結果的及時反饋，醫生診斷病情所依據的信息更全面有效等。另外，智慧醫療系統還能有效地提供異地醫療和診斷服務。

智慧醫療系統包括智能醫療設備（包括診斷設備、治療設備、可穿戴設備等）、醫療數據庫平臺、和用戶管理（分為醫生、病人等不同角色）。

二、智慧醫療系統安全風險分析

智慧醫療系統首先需要從醫療設備采集數據，然后將這些數字化的醫療設備檢查數據傳輸到醫療數據中心，然后醫生從醫療數據中心獲取這些檢查數據作為診斷的依據。傳統的醫療設備是直接讓病人拿到檢查結果，這種情況造成病人的長時間等待等問題。智慧醫療系統的檢查結果出來后主治醫生可以馬上看到，節省了病人的等待時間。但是，醫療設備將檢查數據電子化后，沒有考慮這些數據的安全保護。一旦這些數據通過互聯網傳輸，則會造成很大的醫療數據泄漏方面的安全隱患。事實上，目前許多這類設備都存在嚴重的安全風險，包括網絡通信接口、USB接口等，這些通信接口都沒有安全管理，容易造成數據泄漏，也容易遭受病毒木馬的入侵。

另外，醫院內部的智能醫療終端設備、PACS（Picture Archiving and Communication Systems，醫學影像信息系統）和RIS（Radiology Information System，放射學信息系統）等系統大多是網絡相通的，一旦黑客入侵到醫療機構的內部網絡，可直接攻擊智能醫療終端設備，通過修改X光、核磁共振等設備的劑量設置，可直接導致對病人的傷害，甚至危害病人的生命。

三、智能醫療終端安全事件概述

智能醫療終端設備可分為如下幾類：

1）診斷設備：X射線診斷設備、超聲診斷設備、核醫學設備等。

2）治療設備：放射治療設備、激光設備、透析治療設備等。

3）可穿戴醫療設備：監測輔助設備、胰島素泵、輸液泵等。

當前針對智能醫療終端設備的安全研究和安全事件如下：

2012年，研究人員Billy Rios發表論文闡述了入侵PHILIPS Xper的方法。

2012年，黑客攻擊美敦力公司，可以遠程控制這家公司生產的好幾種型號的胰島素泵，甚至能夠讓安全警告失效從而操縱注射劑量。

2015年，Marie Moe在德國漢堡第32屆混沌通信大會上發表演講，揭示了遠程侵入心臟起搏器和心臟除顫器的方法。

2015年，TrapX安全實驗室的研究人員發布了一篇針對醫療行業的安全研究報告。該報告中，講述了針對NOVA重癥監護設備的入侵案例。

通過對上述安全事件的分析，我們發現當前針對醫療設備的網絡攻擊，可轉變為物理攻擊，最終可危害病人的生命。因此，在醫療領域也需要一套完備的網絡安全解決方案。

四、智慧醫療系統的安全防護建議

智慧醫療系統的安全防護，可以借鑒“一個中心、三重防護”的縱深防御模型。采用“一個中心、三重發現”的建設理念，其中一個中心是指醫院的醫療系統安全集中監視平臺，三重發現是指發現醫院網絡區域邊界、網絡通信、計算環境安全問題的能力。

針對計算環境的安全防護，由于智能醫療設備、醫療數據服務器和門診辦公區的主機功能相對單一，可采用基于白名單的主機衛士類產品，有效防護非法程序啟動、非法外設接入、非法文件篡改、非法注冊表篡改等各類未知的惡意攻擊，也可以阻斷基于移動存儲介質的數據泄露和病毒木馬的傳播途徑。

針對網絡通信的安全審計，需要深度解析DICOM等醫療領域專用通信協議，可以審計醫療數據的流向，追溯數據泄露和網絡攻擊的源頭。DICOM被廣泛應用于放射醫療，心血管成像以及放射診療診斷設備。當前大約有百億級符合DICOM標準的醫學成像設備用于臨床使用。

針對區域邊界的安全防護，首頁要針對醫院的網絡進行安全分區，比如各類診斷設備、治療設備可以分到一個區，PACS、RIS、HIS等重要服務器可以分到一個區，對外門診辦公的設備可以分到一個區，區域邊界可以部署網閘、防火墻等區域隔離設備，有效的保護內網安全。

醫療系統安全防護的另一個重點是對于賬戶遠程登錄的安全管理，這一方面的工作可以通過部署堡壘機來完成，主要是給軟件廠商進行遠程服務，同時監測、記錄用戶行為。

上述設備采集的各類告警和日志信息，在醫療系統安全集中監視平臺中集中展示和處理。安全集中監視平臺通過報警防護反饋給各類安全產品，對各類安全產品的安全防護進行監督。

附錄：國內外醫療行業安全事件概述?

?

1）入侵PHILIPS Xper

2012年12月30日，研究人員Billy Rios入侵PHILIPS Xper，型號如下（略）

通過檢查發現此設備安裝了Windows XP操作系統，并且可以通過6000端口進行連接；通過Metasploit對其進行攻擊導致Crash。

?

成功的利用漏洞，可以遠程控制PHILIPS Xper設備，如下圖（略）

?

2）入侵美敦力公司的胰島素泵

2012年黑客攻擊美敦力公司，可以遠程控制這家公司生產的好幾種型號的胰島素泵，甚至能夠讓安全警告失效從而操縱注射劑量。胰島素泵裝置雖然外觀并不常見，但其內部系統就和PC或Mac一樣可被入侵。當你真的把它們當成攻擊目標時，設備安全性之脆弱令人震驚。

?

3）遠程侵入心臟起搏器和心臟除顫器

Marie Moe，前挪威計算機應急響應小組的成員，在德國漢堡第32屆混沌通信大會上發表演講，揭示了現代起搏器設備不安全的一面。

心臟起搏器是一種植入于體內的電子治療儀器，通過脈沖發生器發放由電池提供能量的電脈沖，通過導線電極的傳導，刺激電極所接觸的心肌，使心臟激動和收縮，從而達到治療由于某些心律失常所致的心臟功能障礙的目的。?

心臟起搏器誕生于19世紀20年代，這些設備現在擁有了越來越多的功能，最值得注意的是它能夠在病人的身體內與附近的接入點設備通信，甚至可以與遠程的服務器通信。?

在 Marie Moe 的演講中提到，為了便于醫療護理，大部分起搏器都具有收集病人信息的功能，并通過無線傳輸將這些信息傳給病床旁邊的接入點。?

幫助Marie Moe分析這些設備底層環境的Leverett指出，收集病人信息的起搏器與接入點設備間采用的是非常簡單的通信協議，與遠程服務器的通信同樣如此。傳輸過程如下圖所示（略）

這些關于病人的數據有可能會被傳輸到其他國家，這就涉及到了管轄權的問題。?

Marie Moe的身體里就有一個心臟起搏器，因為擔心發生危險，研究人員沒有真正的攻擊起搏器。但是研究人員也表示這是非常容易的，甚至可以從eBay上購買到心臟起搏器編程器。?

2015年9月南阿拉巴馬大學模擬人體課程的主任教師Mike Jacobs，通過無線虛擬病人iStan還原了這個過程。實驗發現iStan身上的這些設備和功能大多數都有可能受到拒絕服務攻擊，暴力破解攻擊，以及安全控制攻擊等等。

?

4）入侵NOVA重癥監護設備

2015年5月7日，TrapX安全實驗室的研究人員發布了一篇針對醫療行業的安全研究報告。該報告中，講述了針對NOVA重癥監護設備（CRITICAL CARE EXPRESS，以下簡稱CCX）設備的入侵案例。通過入侵醫院HIS系統，找到ICU病房中的NOVA CCX設備，發現安裝了Windows 2000操作系統，實施入侵行為并安裝后門，導出數據庫beacon.db，并獲得可以摧毀系統的相關權限；同樣的行為也會出現在USB等移動介質的感染途徑。

?

5）醫院信息系統安全事件

醫院的信息系統不是一個孤立的系統，同合作單位（如社保部門）甚至互聯網都存在接口，存在被黑客入侵的風險。

2013年8月26日，加利福尼亞護士協會的一篇報道稱，加利福尼亞北部薩特醫院的電子健康記錄（Electronic Health Record，EHR）系統全線黑屏，該系統在此之前就被曝存在問題，此次更是將廣大患者置于危險境地。該醫院的護士報告說上個月出現了多種問題并登記了無數投訴。

2013年7月，寧波兩家醫院掛號系統癱瘓事件，同樣也引起了社會各界對醫院信息系統安全的高度關注。

醫院信息系統承擔著醫院內各項業務，其安全狀況事關的患者隱私和健康、社會秩序及穩定等等。

6）醫療行業大量安全事件

醫院信息系統與醫療行業存在眾多交互的接口，如果上游設備廠商與第三方外聯機構出現問題，也會影響醫院信息系統的安全。

以下是從原烏云漏洞平臺摘錄的近年內出現的醫療行業安全事件：

●某通用網上醫療服務平臺系統2處SQL注入漏洞。

●中國移動醫療健康平臺兩處sql注入。

●掛號網某醫療服務平臺漏洞打包。

●華潤醫療某處SQL注入漏洞。

●某省醫療救助基金會7處SA權限SQL涉及14個庫。

●和睦家醫療某分站漏洞打包。

●醫療咨詢師培訓平臺存在SQL注入。

●和睦家醫療某分站存在漏洞可控制服務器。

●廣州市某醫療中心SQL注入數據庫泄露。

●某省新型農村合作醫療系統存在漏洞。

●深圳邁瑞生物醫療電子股份有限公司漏洞列表。

●上海微創醫療科學有限公司FortiGate防火墻后門漏洞。

●陜西某醫療系統管理弱口令。

●臺灣某醫療教育平臺存在SQL注入。

●金蝶醫療預約掛號通用平臺支付漏洞。

●北大醫療股份有限公司SQL注射一枚。

●睿明醫療主站多處SQL注入漏洞可UNION。

●醫療電子網SQL注入漏洞涉及50W+條用戶信息泄漏。

… …