概述

醫(yī)療數(shù)據(jù)正在緩慢而堅(jiān)定地從紙質(zhì)媒介遷移到數(shù)字化的基礎(chǔ)設(shè)施中。如今，這些數(shù)據(jù)分散地存儲(chǔ)在數(shù)據(jù)庫、門戶網(wǎng)站以及醫(yī)療設(shè)備之中。在某些情況下，這些組織的網(wǎng)絡(luò)基礎(chǔ)設(shè)施安全性經(jīng)常被忽略，而且存儲(chǔ)醫(yī)療信息的資源也可以通過外部渠道輕松地獲取到。

之前，在對(duì)智慧醫(yī)療的安全性進(jìn)行研究的過程中，我們已經(jīng)強(qiáng)調(diào)要對(duì)安全問題進(jìn)行更詳細(xì)的分析，而此次，我們將把分析重點(diǎn)集中在對(duì)醫(yī)療機(jī)構(gòu)內(nèi)部（當(dāng)然是得到了所有者的同意）安全性的分析。分析結(jié)果將有助于我們處理錯(cuò)誤問題，并為服務(wù)醫(yī)療基礎(chǔ)設(shè)施的IT專家提供一系列安全建議。

錯(cuò)誤的診斷數(shù)據(jù)是產(chǎn)生致命后果的第一步

在醫(yī)學(xué)領(lǐng)域，為數(shù)據(jù)提供安全保障是一個(gè)比實(shí)際上看起來更嚴(yán)重的問題。最明顯的場景是，大量的被盜醫(yī)療數(shù)據(jù)在黑市上被轉(zhuǎn)售，但似乎很少有人能意識(shí)到這些診斷數(shù)據(jù)被惡意篡改所引發(fā)的可能危害。無論犯罪分子的目標(biāo)是勒索醫(yī)院所有者獲取錢財(cái)，還是針對(duì)特定患者進(jìn)行攻擊，錯(cuò)誤的診斷數(shù)據(jù)都不會(huì)產(chǎn)生什么好結(jié)果：因?yàn)橐坏┗颊呓邮樟隋e(cuò)誤的數(shù)據(jù)后，醫(yī)生可能會(huì)開出錯(cuò)誤的治療方案。即便是及時(shí)檢測到了數(shù)據(jù)篡改的情況，醫(yī)療機(jī)構(gòu)的正常運(yùn)行也可能會(huì)中斷，提示需要重新檢查存儲(chǔ)在受損設(shè)備上的所有相關(guān)信息。

根據(jù)疾病控制和預(yù)防中心（Centers for Disease Control and Prevention，CDC）的報(bào)告顯示，美國第三大死因就是來自醫(yī)療失誤。建立正確的醫(yī)療診斷結(jié)果，不僅取決于醫(yī)生的專業(yè)資格，還取決于醫(yī)療設(shè)備接收數(shù)據(jù)，并將其存儲(chǔ)在醫(yī)療服務(wù)器上的準(zhǔn)確性。如此一來，“連接醫(yī)療”產(chǎn)品中的數(shù)據(jù)資源對(duì)于惡意攻擊者的吸引力也隨著增長。

什么是“連接醫(yī)療”（Connected Medicine）呢？

該術(shù)語是指連接到醫(yī)療機(jī)構(gòu)網(wǎng)絡(luò)的大量工作站、服務(wù)器和專用醫(yī)療設(shè)備（其簡化網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖如下所示）：

　　【“連接醫(yī)療”的網(wǎng)絡(luò)拓?fù)鋱D】

現(xiàn)代的醫(yī)療診斷設(shè)備可以通過例如USB連接等方式連接到組織的局域網(wǎng)或工作站中；醫(yī)療設(shè)備通?；贒ICOM格式（標(biāo)準(zhǔn)的醫(yī)學(xué)圖像文件格式）處理數(shù)據(jù)（例如病人的照片）；而為了存儲(chǔ)它們并從外部提供訪問服務(wù)，又會(huì)用到PACSs（醫(yī)學(xué)影像存檔和通信系統(tǒng)），這些都是惡意攻擊者感興趣的“切入口”。

安全建議

安全建議1：刪除從公共網(wǎng)絡(luò)訪問醫(yī)療數(shù)據(jù)的所有節(jié)點(diǎn)

很顯然，醫(yī)療信息應(yīng)該只限定在機(jī)構(gòu)的局域網(wǎng)內(nèi)可訪問。然而，目前，大約有超過1000臺(tái)DICOM設(shè)備可被公共訪問，這是通過SHODAN搜索引擎得以確認(rèn)的統(tǒng)計(jì)的結(jié)果，具體如下圖所示：

　　【DICOM設(shè)備的地域分布（數(shù)據(jù)來自Shodan搜索引擎）】

總體來說，所有存儲(chǔ)了對(duì)惡意攻擊者有價(jià)值數(shù)據(jù)的PACS服務(wù)器都是公開訪問的，這種情況非常危險(xiǎn)。PACSs應(yīng)該部署在企業(yè)內(nèi)網(wǎng)中，免受第三方未經(jīng)授權(quán)的使用，并定期備份系統(tǒng)上的數(shù)據(jù)。

安全建議2：為資源分配反直覺／不明顯的名稱

即使在偵察階段，攻擊者也可能獲取對(duì)一些對(duì)攻擊非常重要的數(shù)據(jù)。例如，當(dāng)枚舉可用資源時(shí)，攻擊者會(huì)嘗試找出內(nèi)部資源（服務(wù)器和工作站）的名稱，從而確定哪些網(wǎng)絡(luò)節(jié)點(diǎn)是對(duì)其有用的，哪些是對(duì)其無用的。

　　【可公開獲取到的關(guān)于組織局域網(wǎng)（LAN）上相關(guān)資源的數(shù)據(jù)】

以攻擊者認(rèn)為的“有趣”資源為例，他們會(huì)在數(shù)據(jù)庫服務(wù)器和其他收集醫(yī)療信息的工作站上積極尋找目標(biāo)資源，如果這些資源的名稱非常明顯，那么攻擊者就可以輕易地識(shí)別目標(biāo)。

上圖所示的是一個(gè)醫(yī)療機(jī)構(gòu)局域網(wǎng)上內(nèi)部資源命名不好的例子，它顯示，攻擊者可以根據(jù)命名很輕松地定位到存儲(chǔ)有價(jià)值的數(shù)據(jù)的站點(diǎn)信息。

為了增加攻擊者的難度，醫(yī)療基礎(chǔ)設(shè)施應(yīng)該使用一些反直覺／反常規(guī)的命名策略，關(guān)于這一點(diǎn)，可以參考《how to name workstations and servers that have been compiled bycompetent organizations》一文，文中詳述了組織內(nèi)部工作站和服務(wù)器的命名建議，建議大家閱讀。

安全建議3：定期更新設(shè)備上安裝的軟件并刪除不需要的應(yīng)用程序

在對(duì)那些“存儲(chǔ)了有價(jià)值數(shù)據(jù)的網(wǎng)絡(luò)節(jié)點(diǎn)”上安裝的軟件進(jìn)行分析的過程中，惡意攻擊者可能會(huì)發(fā)現(xiàn)很多潛在的切入點(diǎn)。在下面的示例中，一個(gè)工作站上安裝了多個(gè)與醫(yī)學(xué)無關(guān)的應(yīng)用程序（W32. MyDoom蠕蟲和Half-Life游戲引擎）。此外，該列表中還存在一系列“含有已發(fā)布的關(guān)鍵漏洞的”應(yīng)用程序。

　　【一個(gè)“連接醫(yī)療”設(shè)備工作站上安裝的應(yīng)用程序示例】

另一個(gè)例子是在負(fù)責(zé)機(jī)構(gòu)網(wǎng)站運(yùn)行的服務(wù)器上安裝第三方遠(yuǎn)程控制軟件，允許醫(yī)生和病人遠(yuǎn)程訪問醫(yī)療數(shù)據(jù)。

　　【服務(wù)器上安裝了查看DICOM圖像的工具，還有遠(yuǎn)程監(jiān)控軟件——Teamviewer】

為了排除通過第三方軟件進(jìn)行數(shù)據(jù)訪問的可能性，應(yīng)該定期檢查和更新服務(wù)器或工作站上已安裝的應(yīng)用程序。此外，在“連接醫(yī)療”設(shè)備的工作站上不應(yīng)該存在額外的、不需要的軟件。

上圖所示是一個(gè)脆弱的醫(yī)療門戶網(wǎng)站的例子，其中包含了可導(dǎo)致醫(yī)療數(shù)據(jù)泄漏的嚴(yán)重漏洞。

安全建議4：避免將昂貴的設(shè)備連接到組織內(nèi)部的主要局域網(wǎng)中

用于幫助執(zhí)行診斷和操作的醫(yī)療設(shè)備在維護(hù)（例如校準(zhǔn)）方面通常十分昂貴，這需要管理者進(jìn)行大量的資金投入。而一旦惡意攻擊者成功獲取醫(yī)療連接設(shè)備或工作站的訪問權(quán)限后，就可能會(huì)執(zhí)行以下操作：

直接從設(shè)備上滲漏醫(yī)療數(shù)據(jù)；

篡改診斷信息；

重置設(shè)備的設(shè)置信息，這將導(dǎo)致輸出的數(shù)據(jù)不準(zhǔn)確或暫時(shí)無法輸出數(shù)據(jù)。

為了獲得設(shè)備產(chǎn)生的數(shù)據(jù)，攻擊者只需要搜索特定的軟件。

【惡意攻擊者可以在工作站上安裝的軟件列表中隔離醫(yī)療應(yīng)用程序并修改醫(yī)療設(shè)備的操作參數(shù)】

為了防止未經(jīng)授權(quán)訪問設(shè)備的行為，有必要將連接到它們的所有醫(yī)療設(shè)備和工作站作為一個(gè)獨(dú)立的局域網(wǎng)段進(jìn)行隔離，同時(shí)仔細(xì)監(jiān)測該網(wǎng)段中發(fā)生的任何異?；顒?dòng)（另見安全建議5）。

安全建議 5：及時(shí)檢測局域網(wǎng)內(nèi)的惡意活動(dòng)

如果沒有條件在設(shè)備本身安裝安全解決方案的話（有時(shí)設(shè)備會(huì)禁止任何操作系統(tǒng)級(jí)別的修改），那么可以選擇檢測和/或蜜罐方案作為替代選項(xiàng)來保障局域網(wǎng)安全。

防御方可以準(zhǔn)備一套專用的蜜罐系統(tǒng)，其中包括模擬醫(yī)療設(shè)備的局域網(wǎng)節(jié)點(diǎn)。任何未經(jīng)授權(quán)的訪問都可以作為“有人正在試圖入侵／破壞網(wǎng)絡(luò)”的一種信號(hào)，醫(yī)療機(jī)構(gòu)的IT部門可以根據(jù)信號(hào)及時(shí)采取適當(dāng)?shù)男袆?dòng)。

此外，檢測惡意活動(dòng)的方法還有很多，但是我認(rèn)為，列出所有這些建議是沒有意義的。每個(gè)IT部門都應(yīng)當(dāng)依據(jù)大量實(shí)際因素（包括網(wǎng)絡(luò)規(guī)模、資源優(yōu)先級(jí)、可用資金等）選擇適當(dāng)?shù)募夹g(shù)、產(chǎn)品以及策略來保障自身信息安全。但是，重要的是要記住，醫(yī)療基礎(chǔ)設(shè)施缺乏適當(dāng)?shù)谋Ｗo(hù)將會(huì)造成人身危害，隨時(shí)危及患者生命安全。