母親胎兒監護儀通常由主機、超聲探頭、宮縮壓力傳感器及與之相連接的其他附件（心電導聯(lián)、無(wú)創(chuàng )血壓袖套、脈搏氧飽和度傳感器、體溫傳感器等）組成，供母親的心電、無(wú)創(chuàng )血壓、脈搏、血氧飽和度、體溫、呼吸、宮縮壓力以及胎兒心率、胎動(dòng)監測用，檢測胎兒心率采用超聲多普勒原理，可在圍產(chǎn)期對胎兒進(jìn)行連續監護，并在出現異常時(shí)及時(shí)提供報警信息。母親胎兒監護儀在我國屬于第二類(lèi)醫療器械注冊產(chǎn)品，本文以此產(chǎn)品為例，說(shuō)說(shuō)醫療器械網(wǎng)絡(luò )安全風(fēng)險評估。

一、母親胎兒監護儀簡(jiǎn)介

母親胎兒監護儀通常由主機、超聲探頭、宮縮壓力傳感器及與之相連接的其他附件（心電導聯(lián)、無(wú)創(chuàng )血壓袖套、脈搏氧飽和度傳感器、體溫傳感器等）組成，供母親的心電、無(wú)創(chuàng )血壓、脈搏、血氧飽和度、體溫、呼吸、宮縮壓力以及胎兒心率、胎動(dòng)監測用，檢測胎兒心率采用超聲多普勒原理，可在圍產(chǎn)期對胎兒進(jìn)行連續監護，并在出現異常時(shí)及時(shí)提供報警信息。

隨著(zhù)網(wǎng)絡(luò )技術(shù)發(fā)展，為了提高醫院產(chǎn)科的工作效率與質(zhì)量，方便醫院同時(shí)對多個(gè)孕婦進(jìn)行監護，越來(lái)越多母親胎兒監護儀能通過(guò)網(wǎng)絡(luò )鏈接到醫院中央監護工作站，將監測到的患者生理數據傳輸到工作站方便集中管理。中央監護工作站利用獨特的聯(lián)網(wǎng)技術(shù)，負責收集、處理、分析和輸出來(lái)自多個(gè)床位的監護信息，同時(shí)對多個(gè)患者進(jìn)行監護，為醫護人員提供了大大的便利。但同時(shí)，由于鏈入網(wǎng)絡(luò )，也增加了由于網(wǎng)絡(luò )入侵而導致數據丟失、數據被惡意篡改、患者隱私泄漏的風(fēng)險，產(chǎn)品開(kāi)發(fā)商與使用者須了解產(chǎn)品的這些風(fēng)險，共同進(jìn)行防護。

二、母親胎兒監護儀網(wǎng)絡(luò )安全風(fēng)險及控制措施

2.1硬件資源

硬件固件作為信息的載體，若存在質(zhì)量問(wèn)題，會(huì )為數據的存儲、傳輸帶來(lái)風(fēng)險。常見(jiàn)風(fēng)險有：①設備故障。如無(wú)線(xiàn)超聲探頭硬件損壞，將直接影響胎兒心率的測量和與主機之間的通信。應嚴格管控物料采購，保證關(guān)鍵元器件的質(zhì)量。②電磁泄漏。網(wǎng)絡(luò )端口、傳輸線(xiàn)路都有可能因為屏蔽不嚴而造成電磁泄漏，從而影響數據傳輸。應做好相關(guān)屏蔽和防輻射工作。③電池損耗。如無(wú)線(xiàn)超聲探頭一般采用內部電池供電，若電池耗盡，直接導致設備不能工作，影響數據傳輸。可設置低電量提醒功能來(lái)提醒用戶(hù)及時(shí)更換電池或設備。

2.2網(wǎng)絡(luò )入侵

醫療器械相關(guān)數據包括健康數據與設備數據，母親胎兒監護儀可以通過(guò)有線(xiàn)或無(wú)線(xiàn)網(wǎng)絡(luò )將患者信息和生理參數數據傳輸給中央監護系統或者手機App等移動(dòng)設備。在進(jìn)行網(wǎng)絡(luò )傳輸時(shí)，很可能遭到竊聽(tīng)、篡改、竊取等惡意入侵。

常見(jiàn)風(fēng)險有：①用戶(hù)密碼被獲取。涉及到患者信息的軟件一般有設置用戶(hù)訪(fǎng)問(wèn)控制，在用戶(hù)注冊、登錄中央監護系統軟件或者App軟件時(shí)，密碼可能通過(guò)網(wǎng)絡(luò )、界面被獲取，而導致患者隱私信息和健康數據泄漏。可以通過(guò)將用戶(hù)登錄界面密碼輸入的部分設計為輸入密碼隱藏，用戶(hù)注冊信息經(jīng)本地加密后通過(guò)密文傳輸并在數據庫中以密文形式存放等措施，來(lái)保護用戶(hù)密碼不被竊取。用戶(hù)也可以通過(guò)以設置復雜密碼的形式來(lái)減少密碼被盜風(fēng)險。②未經(jīng)授權設備接入系統。偽裝的設備或程序可能通過(guò)網(wǎng)絡(luò )惡意接入系統，給設備發(fā)送錯誤指令，例如停止對某床位的監護，導致該床患者未能被及時(shí)監護可能引發(fā)醫療事故。控制措施：使系統與設備的通迅通過(guò)私有協(xié)議完成，必須完成協(xié)議規定的交互邏輯，方可允許設備鏈接。③數據被竊取。網(wǎng)絡(luò )傳輸的數據可能被惡意竊取，導致患者信息、健康數據泄漏，例如有的母親胎兒監護儀將數據無(wú)線(xiàn)傳輸給手機App，傳輸過(guò)程被第三方非法獲取。控制措施：數據傳輸中，健康數據和患者敏感數據加密后在網(wǎng)絡(luò )上傳和存儲。④數據完整性被破壞。網(wǎng)絡(luò )傳輸的數據可能被第三方通過(guò)特殊工具篡改，當母親胎兒監護儀通過(guò)有線(xiàn)或者無(wú)線(xiàn)向中央監護系統或者手機App發(fā)送數據時(shí)，第三方截取數據篡改后再發(fā)送到接收端，使監護人員得到錯誤的數據，不能準確地進(jìn)行監護而對患者造成傷害。控制措施：系統數據協(xié)議使用檢驗來(lái)判斷數據完整性，通訊雙方對收到的報文進(jìn)行協(xié)議格式、規則的一致性核對，對一致性核對或者校驗錯誤的報文一律丟棄，并提醒用戶(hù)檢查。

2.3軟件系統

軟件漏洞：中央監護系統軟件或手機App存在安全漏洞，或者軟件所運行系統存在漏洞，設備很容易受到攻擊，影響系統的正常運行，可能導致患者數據丟失。控制措施：設置防火墻，定期進(jìn)行漏洞掃描。

惡意軟件：互聯(lián)網(wǎng)紛繁復雜，當中央監護系統或手機遭到病毒、木馬、蠕蟲(chóng)等惡意軟件攻擊，將導致整個(gè)系統癱瘓，可能導致患者數據丟失。控制措施：安裝防病毒軟件，經(jīng)常對系統進(jìn)行殺毒，不要安裝一些來(lái)源不明的軟件，將數據進(jìn)行存儲備份。

軟件更新失?。?/span>當中央監護系統軟件或手機App在通過(guò)網(wǎng)絡(luò )更新時(shí)，如果升級包受到惡意軟件攻擊，導致更新失敗或對運行環(huán)境造成損害。控制措施：所有升級包進(jìn)行校驗，校驗失敗時(shí)安裝自動(dòng)中斷，并提醒用戶(hù)升級包可能存在安全隱患，App軟件更新指定用戶(hù)到主流的應用市場(chǎng)更新軟件。

2.4云服務(wù)

母親胎兒監護儀將數據傳輸到手機App，為了方便數據存儲與管理，有的手機App有云服務(wù)功能，儲存患者數據。第三方用戶(hù)可能未經(jīng)授權登錄云服務(wù)臺，對配置進(jìn)行惡意更改，云服務(wù)也可能受到惡意攻擊，導致大量患者信息或者健康數據泄漏。控制措施：云服務(wù)控制臺通過(guò)賬號設置手機綁定，憑密碼登錄的同時(shí)還需要手機驗證才能通過(guò)，否則無(wú)法登錄。通過(guò)控制臺程序設置安全組策略，啟用專(zhuān)用VPC，必要時(shí)購買(mǎi)云盾服務(wù)，通過(guò)多種手段來(lái)抵御互聯(lián)網(wǎng)不明的惡意攻擊。

2.5 U盤(pán)、移動(dòng)硬盤(pán)

患者的健康數據可能通過(guò)U盤(pán)或者移動(dòng)硬盤(pán)進(jìn)行轉移或儲存，若U盤(pán)或者移動(dòng)硬盤(pán)中毒，將通過(guò)網(wǎng)絡(luò )接口將病毒傳入系統，從而影響系統正常運行或者數據丟失。控制措施：確保所用存儲設備經(jīng)過(guò)殺毒軟件全盤(pán)掃描，且無(wú)安全威脅時(shí)方可拷貝。

網(wǎng)絡(luò )安全威脅無(wú)處不在，本文以母親胎兒監護儀為例，列舉了部分網(wǎng)絡(luò )安全風(fēng)險，并不是全部的風(fēng)險都被識別。為了保障醫療器械的安全有效使用，醫療器械的網(wǎng)絡(luò )安全需要醫療器械注冊申請人、用戶(hù)和信息技術(shù)服務(wù)商的共同努力和通力合作才能得以保障。