中國信通院：醫療物聯網安全研究報告（22頁）.pdf

《中國信通院：醫療物聯網安全研究報告（22頁）.pdf》由會員分享，可在線閱讀，更多相關《中國信通院：醫療物聯網安全研究報告（22頁）.pdf（22頁珍藏版）》請在三個皮匠報告上搜索。

1、全面的資產梳理是安全管理的第一步，但是不少醫療機構都存在資產管理不清晰的問題。尤其隨著醫療物聯網業務的發展，智能輸液泵、醫療穿戴設備、移動查房終端、智能巡檢機器人等醫療物聯網設備爆發式增長，醫療機構的信息管理員更加難以建立清晰的資產臺賬，導致內網資產管理混亂，出現安全事件無法及時精準定位，極大降低了安全事件的處置效率。醫療機構資產管理普遍面臨以下問題：一是IoMT 管理服務器向外網開放了高危端口，如 3306、1433 等數據庫敏感端口；二是 IoMT 設備只需開放移動端，卻把管理后臺一起開放到了外網；三是已下線系統或已完成測試的業務系統沒有及時回收；四是服務器資源已回收，網絡鏈路關系未清除，

2、服務器 IP 重新分配給新的業務系統，導致新的業務系統被放到了外網。在智慧病房建設中，每張床約有 10 個 IoMT 設備，包括智能輸液泵、智能穿戴、傳感器等。各類 IoMT 設備都部署在無人監控的場景下，直接暴露在物理環境中導致攻擊者很容易接觸并非法連接這些設備。國家信息安全漏洞共享平臺（CNVD）披露的醫療數位影像傳輸協議 NEMA DICOM 存在編號為 CVE-2019-11687 的漏洞，利用該漏洞，攻擊者可以移植可執行惡意軟件，對診療數據非法篡改。由此可見，攻擊者可以通過 WiFi、藍牙、DICOM 等協議漏洞造成通信中斷，也可以利用信號傳輸過程中的漏洞篡改數據，上傳被修改的血液數

3、據和輸液情況等數據，直接影響患者的生命健康?；旌?IT 趨勢下，人是信息安全管理過程中最脆弱的環節。隨著醫療機構的聯網設備的增加，工作人員的信息安全意識并沒有隨之增強。甚至部分醫療機構錯誤的認為，由于他們的醫療設備由醫療器械廠商提供運維，保護其應用的安全依靠醫療器械提供商就可以了。雖然醫療器械提供商在 IoMT 設備交付使用時提供通用性的安全防護措施，但是醫療設備廠商數據備份恢復以及業務自身安全性是醫療機構的主要責任而非醫療設備提供商的責任。IoMT 設備供應商在設備生產時應結合較為成熟的網絡安全體系構建終端級別的安全防護能力。在出廠前應探索內置安全芯片和身份標識，實現設備身份認證與鑒權防護，身份認證通過設備安全芯片為所有接入的設備分配唯一可信 ID 標識，設備 ID 具備不可復制、篡改與破解的強安全特性，合法設備通過 ID 實現入網的身份鑒別和授權，非法設備通過直接入網或偽造身份入網將會被快速準確識別，并阻斷其入網傳輸，避免其對終端通信的安全造成危害。利用安全芯片實現身份認證、數據加密、安全存儲，構建一個輕量級的安全體系，有效的防止設備偽造，與服務器、APP 間實現雙向的安全認證，保障云端、終端、控制端的安全認證和通信。示例終端安全芯片認證接入流程如圖 2 所示。在遭受物理攻擊時，IoMT 設備廠商應確保設備在被突破后其身份認證以及賬戶信息相關的重要數據不會被攻擊者利用。