技术分享|智慧医疗系统安全浅析

一、智慧医疗系统概述

智慧医疗系统是一种现代医疗与信息技术相结合的产物，是医疗领域的物联网系统。在智慧医疗系统中，医疗数据从采集、传输、处理和应用，需要有一套完整的技术和管理体系。相对传统的医疗系统，智慧医疗系统具有很多优点，包括医疗资源的有效利用，医疗化验和检查结果的及时反馈，医生诊断病情所依据的信息更全面有效等。另外，智慧医疗系统还能有效地提供异地医疗和诊断服务。

智慧医疗系统包括智能医疗设备（包括诊断设备、治疗设备、可穿戴设备等）、医疗数据库平台、和用户管理（分为医生、病人等不同角色）。

二、智慧医疗系统安全风险分析

智慧医疗系统首先需要从医疗设备采集数据，然后将这些数字化的医疗设备检查数据传输到医疗数据中心，然后医生从医疗数据中心获取这些检查数据作为诊断的依据。传统的医疗设备是直接让病人拿到检查结果，这种情况造成病人的长时间等待等问题。智慧医疗系统的检查结果出来后主治医生可以马上看到，节省了病人的等待时间。但是，医疗设备将检查数据电子化后，没有考虑这些数据的安全保护。一旦这些数据通过互联网传输，则会造成很大的医疗数据泄漏方面的安全隐患。事实上，目前许多这类设备都存在严重的安全风险，包括网络通信接口、USB接口等，这些通信接口都没有安全管理，容易造成数据泄漏，也容易遭受病毒木马的入侵。

另外，医院内部的智能医疗终端设备、PACS（Picture Archiving and Communication Systems，医学影像信息系统）和RIS（Radiology Information System，放射学信息系统）等系统大多是网络相通的，一旦黑客入侵到医疗机构的内部网络，可直接攻击智能医疗终端设备，通过修改X光、核磁共振等设备的剂量设置，可直接导致对病人的伤害，甚至危害病人的生命。

三、智能医疗终端安全事件概述

智能医疗终端设备可分为如下几类：

1）诊断设备：X射线诊断设备、超声诊断设备、核医学设备等。

2）治疗设备：放射治疗设备、激光设备、透析治疗设备等。

3）可穿戴医疗设备：监测辅助设备、胰岛素泵、输液泵等。

当前针对智能医疗终端设备的安全研究和安全事件如下：

2012年，研究人员Billy Rios发表论文阐述了入侵PHILIPS Xper的方法。

2012年，黑客攻击美敦力公司，可以远程控制这家公司生产的好几种型号的胰岛素泵，甚至能够让安全警告失效从而操纵注射剂量。

2015年，Marie Moe在德国汉堡第32届混沌通信大会上发表演讲，揭示了远程侵入心脏起搏器和心脏除颤器的方法。

2015年，TrapX安全实验室的研究人员发布了一篇针对医疗行业的安全研究报告。该报告中，讲述了针对NOVA重症监护设备的入侵案例。

通过对上述安全事件的分析，我们发现当前针对医疗设备的网络攻击，可转变为物理攻击，最终可危害病人的生命。因此，在医疗领域也需要一套完备的网络安全解决方案。

四、智慧医疗系统的安全防护建议

智慧医疗系统的安全防护，可以借鉴“一个中心、三重防护”的纵深防御模型。采用“一个中心、三重发现”的建设理念，其中一个中心是指医院的医疗系统安全集中监视平台，三重发现是指发现医院网络区域边界、网络通信、计算环境安全问题的能力。

针对计算环境的安全防护，由于智能医疗设备、医疗数据服务器和门诊办公区的主机功能相对单一，可采用基于白名单的主机卫士类产品，有效防护非法程序启动、非法外设接入、非法文件篡改、非法注册表篡改等各类未知的恶意攻击，也可以阻断基于移动存储介质的数据泄露和病毒木马的传播途径。

针对网络通信的安全审计，需要深度解析DICOM等医疗领域专用通信协议，可以审计医疗数据的流向，追溯数据泄露和网络攻击的源头。DICOM被广泛应用于放射医疗，心血管成像以及放射诊疗诊断设备。当前大约有百亿级符合DICOM标准的医学成像设备用于临床使用。

针对区域边界的安全防护，首页要针对医院的网络进行安全分区，比如各类诊断设备、治疗设备可以分到一个区，PACS、RIS、HIS等重要服务器可以分到一个区，对外门诊办公的设备可以分到一个区，区域边界可以部署网闸、防火墙等区域隔离设备，有效的保护内网安全。

医疗系统安全防护的另一个重点是对于账户远程登录的安全管理，这一方面的工作可以通过部署堡垒机来完成，主要是给软件厂商进行远程服务，同时监测、记录用户行为。

上述设备采集的各类告警和日志信息，在医疗系统安全集中监视平台中集中展示和处理。安全集中监视平台通过报警防护反馈给各类安全产品，对各类安全产品的安全防护进行监督。

附录：国内外医疗行业安全事件概述 

1）入侵PHILIPS Xper

2012年12月30日，研究人员Billy Rios入侵PHILIPS Xper，型号如下（略）

通过检查发现此设备安装了Windows XP操作系统，并且可以通过6000端口进行连接；通过Metasploit对其进行攻击导致Crash。

成功的利用漏洞，可以远程控制PHILIPS Xper设备，如下图（略）

2）入侵美敦力公司的胰岛素泵

2012年黑客攻击美敦力公司，可以远程控制这家公司生产的好几种型号的胰岛素泵，甚至能够让安全警告失效从而操纵注射剂量。胰岛素泵装置虽然外观并不常见，但其内部系统就和PC或Mac一样可被入侵。当你真的把它们当成攻击目标时，设备安全性之脆弱令人震惊。

3）远程侵入心脏起搏器和心脏除颤器

Marie Moe，前挪威计算机应急响应小组的成员，在德国汉堡第32届混沌通信大会上发表演讲，揭示了现代起搏器设备不安全的一面。

心脏起搏器是一种植入于体内的电子治疗仪器，通过脉冲发生器发放由电池提供能量的电脉冲，通过导线电极的传导，刺激电极所接触的心肌，使心脏激动和收缩，从而达到治疗由于某些心律失常所致的心脏功能障碍的目的。 

心脏起搏器诞生于19世纪20年代，这些设备现在拥有了越来越多的功能，最值得注意的是它能够在病人的身体内与附近的接入点设备通信，甚至可以与远程的服务器通信。 

在 Marie Moe 的演讲中提到，为了便于医疗护理，大部分起搏器都具有收集病人信息的功能，并通过无线传输将这些信息传给病床旁边的接入点。 

帮助Marie Moe分析这些设备底层环境的Leverett指出，收集病人信息的起搏器与接入点设备间采用的是非常简单的通信协议，与远程服务器的通信同样如此。传输过程如下图所示（略）

这些关于病人的数据有可能会被传输到其他国家，这就涉及到了管辖权的问题。 

Marie Moe的身体里就有一个心脏起搏器，因为担心发生危险，研究人员没有真正的攻击起搏器。但是研究人员也表示这是非常容易的，甚至可以从eBay上购买到心脏起搏器编程器。 

2015年9月南阿拉巴马大学模拟人体课程的主任教师Mike Jacobs，通过无线虚拟病人iStan还原了这个过程。实验发现iStan身上的这些设备和功能大多数都有可能受到拒绝服务攻击，暴力破解攻击，以及安全控制攻击等等。

4）入侵NOVA重症监护设备

2015年5月7日，TrapX安全实验室的研究人员发布了一篇针对医疗行业的安全研究报告。该报告中，讲述了针对NOVA重症监护设备（CRITICAL CARE EXPRESS，以下简称CCX）设备的入侵案例。通过入侵医院HIS系统，找到ICU病房中的NOVA CCX设备，发现安装了Windows 2000操作系统，实施入侵行为并安装后门，导出数据库beacon.db，并获得可以摧毁系统的相关权限；同样的行为也会出现在USB等移动介质的感染途径。

5）医院信息系统安全事件

医院的信息系统不是一个孤立的系统，同合作单位（如社保部门）甚至互联网都存在接口，存在被黑客入侵的风险。

2013年8月26日，加利福尼亚护士协会的一篇报道称，加利福尼亚北部萨特医院的电子健康记录（Electronic Health Record，EHR）系统全线黑屏，该系统在此之前就被曝存在问题，此次更是将广大患者置于危险境地。该医院的护士报告说上个月出现了多种问题并登记了无数投诉。

2013年7月，宁波两家医院挂号系统瘫痪事件，同样也引起了社会各界对医院信息系统安全的高度关注。

医院信息系统承担着医院内各项业务，其安全状况事关的患者隐私和健康、社会秩序及稳定等等。

6）医疗行业大量安全事件

医院信息系统与医疗行业存在众多交互的接口，如果上游设备厂商与第三方外联机构出现问题，也会影响医院信息系统的安全。

以下是从原乌云漏洞平台摘录的近年内出现的医疗行业安全事件：

●某通用网上医疗服务平台系统2处SQL注入漏洞。

●中国移动医疗健康平台两处sql注入。

●挂号网某医疗服务平台漏洞打包。

●华润医疗某处SQL注入漏洞。

●某省医疗救助基金会7处SA权限SQL涉及14个库。

●和睦家医疗某分站漏洞打包。

●医疗咨询师培训平台存在SQL注入。

●和睦家医疗某分站存在漏洞可控制服务器。

●广州市某医疗中心SQL注入数据库泄露。

●某省新型农村合作医疗系统存在漏洞。

●深圳迈瑞生物医疗电子股份有限公司漏洞列表。

●上海微创医疗科学有限公司FortiGate防火墙后门漏洞。

●陕西某医疗系统管理弱口令。

●台湾某医疗教育平台存在SQL注入。

●金蝶医疗预约挂号通用平台支付漏洞。

●北大医疗股份有限公司SQL注射一枚。

●睿明医疗主站多处SQL注入漏洞可UNION。

●医疗电子网SQL注入漏洞涉及50W+条用户信息泄漏。

… …