1、一、醫療物聯網概述（一）醫療物聯網的定義物聯網（IoT，Internet of Things）技術，是指通過感知設備，按照約定協議，連接物、人、系統和信息資源，實現對物理和虛擬世界的信息進行處理并作出反應的智能服務系統 HYPERLINK l _bookmark0 1。隨著互聯醫療設備數量的增加，支持醫療級別數據的采集和傳輸、互聯技術、服務系統及軟件的進步，醫療物聯網（IoMT，Internet of Medical Things）由此誕生。（二）醫療物聯網的業務場景醫療物聯網綜合了遠程醫療、互聯網、物聯網、自動控制、人工智能等技術，是面向醫療機構全方位的運營和管理，致力于提高醫療品質，降低醫

2、療差錯，提升患者服務水平，提高整體運營效率的綜合系統。典型的醫療物聯網業務場景如下：面向醫務人員的智慧臨床場景智慧臨床主要面向護士群體，移動智能終端結合無線通信技術的 應用，讓護士在病房服務中實現對患者入院信息、體征信息、手術資 料、檢查信息等數據實時準確的掌握，提高查房效率和質量。智能輸 液場景中每個患者輸液位的狀態通過無線傳輸實時傳送到護士工作 站的顯示屏幕，護士在服務臺就能實時監控患者輸液進度。當液位較 低臨近更換輸液瓶時，顯示屏幕會語音提醒護士前去更換或終止輸液，1 GB/T 33745-2017 物聯網術語 2.1.1同時提醒可以同步傳輸到移動PDA HYPERLINK l _boo

3、kmark1 2上，實現護理人員對病人輸液狀態及呼叫狀態的實時掌控。智慧臨床是醫療機構邁向智慧化轉型的重要一步，也是醫院等級評審復審的加分項目。面向患者的智慧患者服務智慧患者服務主要面向院內特殊或重癥患者，服務包含院內導航、人員定位和報警求助等。通過智能穿戴手環、RFID HYPERLINK l _bookmark2 3標簽等手段，可 以通過智能監控系統實時查看患者的行走路線和實時位置，一旦患者 走出限定區域可產生告警，屆時醫護人員將及時協助患者返回安全區 域，防止發生意外。此外，當患者發生身體不適急需求助時，可以通 過智能穿戴設備實現一鍵報警，醫護人員可以快速響應，保障患者的 生命安全。面向

4、醫療機構管理的智慧管理現代醫院的院區規模呈現出快速擴張的趨勢，而對應的醫院所管理的資產數量和種類也呈現爆發式增長，傳統的資產管理手段已遠遠不能滿足醫院管理需求。而基于物聯網技術的智慧管理模式可以極大提高醫院資產管理水平。利用 RFID 技術可以在購入設備資產時進行入賬登記生成資產臺賬，由WiFi 網絡傳遞給資產綜合管理平臺，在資產分配使用、變更、回收、清點、報廢等全生命周期中都可以實現跟蹤管理，實現資產管理的精細化、規范化和專業化，滿足醫院業務快速增長的管理需要。2 PDA 是 Personal Digital Assistant 的縮寫。3 射頻識別（RFID）是 Radio Frequen

5、cy Identification 的縮寫。面向社區的遠程健康管理在公共衛生服務開展的過程中，由于醫療機構服務覆蓋人群增多、地區醫療資源不平衡等因素，導致健康篩查無法及時覆蓋到所有區域。利用 5G 技術傳輸的社區自助終端可以在家門口實現健康篩查，將身 高體重、脂肪率、水份比、血氧、血壓、心電等健康參數檢測數據通 過 5G 網絡傳輸給醫療機構的后臺分析系統，在中心端統一對檢查的 結果進行評估、分析和建議，可以讓基層醫療人員工作更加輕松高效，讓老百姓更加便捷的享受到我國公共衛生服務普惠政策。遠程健康管 理是“互聯網醫院”建設的重要環節，通過物聯網和 5G 技術，把基 層鄉村醫生和大三甲醫院的門診專

6、家連接為一體，實現醫療資源全民 共享，實現現代化技術造福于民。由此可見，醫療物聯網的應用遍布醫療行業的各個環節，國內大多數醫院利用醫院信息管理系統HIS 具備了一定的信息化基礎，但是也存在醫療信息無法及時同步錄入，各科室之間信息交互相對獨立的問題。而智慧醫院的建設，讓聯網醫療設備、移動客戶端設備、遠程護理系統、互聯臨床信息系統、安防監控系統、醫療研究數據等海量數據融合交互，物聯網技術可以打破各科室的信息孤島，讓醫院能夠進行綜合數據采集，利用大數據分析提升整個醫療機構的效能和精細化運營管理，從而提高整體的信息化水平和診療服務能力。（三）醫療物聯網產業的發展態勢和預測醫療物聯網產業發展態勢2019

7、 年 3 月，國家衛生健康委辦公廳關于印發醫院智慧服務分級評估標準體系（試行）的通知，提出建立 0 - 5 級醫療機構智慧服務分級評估體系，指導智慧醫療的落地和發展。我國醫療資源存在供需不平衡的突出問題，而智慧醫療的遠程診療、簡化溝通、自動化運營等優勢對解決各地區醫療資源不平衡有重要作用。2020 年物聯網醫療市場的規模為 725 億美元。預計到 2025 年，這一數字將增至 1882 億美元。全球物聯網醫療市場將迎來一個充滿希望的激增，從 2020 年到 2025 年，復合年增長率（CAGR）接近 39% HYPERLINK l _bookmark3 4。在我國物聯網應用領域，醫療物聯網將成

8、為僅次于工業物聯網的第二大物聯網市場應用領域。醫療物聯網產業趨勢預測IoMT 設備廠商產品技術能力不斷升級，醫療機構的業務智慧化轉型加速。隨著物聯網通信技術和大數據技術在醫療行業應用愈發成熟，越來越多的信息和聯網設備會在診療業務中為患者提供服務。如植入患者體內的單個智能設備，聯網胰島素泵和智能輸液泵等，IoMT設備在感知層的應用在醫療行業未來 5 年會保持高速增長。醫療機構和 IoMT 設備廠商將深度協同。未來 IoMT 設備供應商將深入醫療機構的診療業務，雙方不僅僅是強化固有的設備能力，還能夠基于醫療機構已開展的各類智慧化診療數據和業務場景，共同開發形成新的醫療物聯網產品。讓醫療設備更加智能

9、化，提升整個醫療系統的設備使用效率，為患者、護士、醫生等相關群體提供更加深度且有價值的醫療物聯網解決方案。4 ResearchAndMarkets. IoT in Healthcare Market by Component.2020.07醫療數據隱私保護會成為IoMT 設備廠商的首要考慮。由于IoMT 設備智慧化業務能力的持續提升，覆蓋的地點和范圍更加廣泛且呈現 出無線化通信和維護的特點，導致感知層的設備數據會變得十分復雜，為此設備廠商需要一套完善的醫療數據隱私保護體系來保障醫療數 據安全。相對應的，未來兩年國內外會持續加強相關的法律法規體系 建設，醫療衛生主管部門也會出臺更多的監管要求來保

10、障醫療物聯網 的數據安全和網絡安全。二、當前IoMT 設備普遍存在的安全隱患物聯網技術的應用驅動萬物互聯時代到來。但同時物聯網設備不同于傳統的辦公網絡，其分布廣、廠商雜、難管理的特性也帶來了更多風險和新的潛在暴露點，物聯網的設備、網絡、應用將面臨安全挑戰。尤其在醫療物聯網領域，網絡安全更是需要重點考慮的頭等大事。然而我國大多數醫療機構對新時代背景下物聯網安全的復雜性認識仍有待提高。醫療物聯網感知層由醫療設備和 IoT 設備組成，醫療設備包含 X線機、大型醫療器械等；IoT 設備包含傳感器、攝像頭、RFID 和網關等，主要功能是實現對信息的采集、識別和控制。無論是醫療設備還是 IoT 設備，由于

11、投入使用周期較長，加上建設時堅持業務先行的原則，導致設備面臨操作系統老舊、分布區域廣泛、長期無人關注等安全問題，因此很容易受到惡意攻擊進而導致醫療機構業務終端和數據泄露。醫療物聯網感知層安全風險主要面臨以下問題。（一）遠程運維帶來數據泄漏和入侵的安全風險IoMT 設備供應商主動提供全球運維服務，典型的有西門子、GE、飛利浦、邁瑞生物等。大型醫療設備配備外網通信組件通過遠程連接 到云端，通常情況下醫院一般需要提供 3 個內網 IP 給到 IoMT 設備 廠商，理論上通過外網可以和內網所有網絡通信。如圖 1 所示。境外 運維廠商的運維云平臺可能遭受外部攻擊或內部泄密，或者由于運維 廠商自身弱密碼認

12、證等原因，均有可能被入侵導致患者敏感數據泄露。來源：中國信息通信研究院圖 1 醫療設備直連互聯網（二）IoMT 設備無安全防護能力被仿冒接入感知層醫療設備操作系統版本多種多樣，包括安卓、linux、嵌入式 Windows 等，由于設備供應商重功能、輕安全的商業理念導致醫療設備無法擁有完備的安全防護能力，使得醫療設備易遭到攻擊，其次許多 IoMT 設備由于未進行更新補丁和漏洞修復，甚至為了便利的操作直接使用弱密碼，導致被入侵和仿冒接入。如門診樓的自助掛號機承載了掛號、繳費等核心業務，但是往往插拔網線就能實現患者個人信息和繳費信息竊取。真實攻擊案例表明，攻擊者在門診樓內利用自助掛號機網線插入隨身攜

13、帶的筆記本電腦就可以在內網訪問大量敏感數據，而目前醫療機構還未采取有效的管控手段。（三）內網互聯互通導致安全風險不可控醫療機構的網絡建設往往缺乏頂層設計，大量的辦公終端、物聯網終端、大型醫療設備混合在一張網絡中。而大多數情況下，醫療機構雖然在邊界部署了安全防護設備，但這些設備基于白名單的防護策略并未讓安全風險降低。在醫療機構的網絡中已經有大量的辦公電腦和醫療設備，而 IoMT 設備大多使用Wifi、藍牙、ZigBee 等無線通信協議導致有線設備和無線設備混合在一張網絡中，調研總結的醫院各類 IoMT 設備聯網方式如表 1 所示。由于無線設備可以私搭亂建違規接入網絡，直接加大醫療機構網絡的管理難

14、度，而無線通信協議在使用過程中存在很大的安全風險，進而影響內網有線的辦公終端和醫療設備，導致整體的網絡安全風險增加。表 1 醫院聯網設備連接方式資產類型聯網方式是否連接外網中央監護系統有線否血透機串口轉有線否監護儀無線&有線否心電圖機無線否B 超機有線否放射類設備有線部分遠程運維檢驗類設備有線部分遠程運維自助類設備 有線否來源：中國信息通信研究院（四） 缺乏全面的資產臺賬導致安全風險黑盒化全面的資產梳理是安全管理的第一步，但是不少醫療機構都存在 資產管理不清晰的問題。尤其隨著醫療物聯網業務的發展，智能輸液 泵、醫療穿戴設備、移動查房終端、智能巡檢機器人等醫療物聯網設 備爆發式增長，醫療機構的信

15、息管理員更加難以建立清晰的資產臺賬，導致內網資產管理混亂，出現安全事件無法及時精準定位，極大降低 了安全事件的處置效率。醫療機構資產管理普遍面臨以下問題：一是 IoMT 管理服務器向外網開放了高危端口，如 3306、1433 等數據庫敏 感端口；二是 IoMT 設備只需開放移動端，卻把管理后臺一起開放到 了外網；三是已下線系統或已完成測試的業務系統沒有及時回收；四 是服務器資源已回收，網絡鏈路關系未清除，服務器 IP 重新分配給 新的業務系統，導致新的業務系統被放到了外網。（五）利用通信協議漏洞中斷診療業務在智慧病房建設中，每張床約有 10 個 IoMT 設備，包括智能輸液泵、智能穿戴、傳感器

16、等。各類 IoMT 設備都部署在無人監控的場景下，直接暴露在物理環境中導致攻擊者很容易接觸并非法連接這些設備。國家信息安全漏洞共享平臺（CNVD）披露的醫療數位影像傳輸協議NEMA DICOM 存在編號為 CVE-2019-11687 的漏洞，利用該漏洞，攻擊者可以移植可執行惡意軟件，對診療數據非法篡改。由此可見，攻擊者可以通過WiFi、藍牙、DICOM 等協議漏洞造成通信中斷，也可以利用信號傳輸過程中的漏洞篡改數據，上傳被修改的血液數據和輸液情況等數據，直接影響患者的生命健康。（六）醫療機構工作人員自身安全意識薄弱混合IT 趨勢下，人是信息安全管理過程中最脆弱的環節。隨著醫療機構的聯網設備的

17、增加，工作人員的信息安全意識并沒有隨之增強。甚至部分醫療機構錯誤的認為，由于他們的醫療設備由醫療器械廠商提供運維，保護其應用的安全依靠醫療器械提供商就可以了。雖然醫療器械提供商在IoMT 設備交付使用時提供通用性的安全防護措施，但是醫療設備廠商數據備份恢復以及業務自身安全性是醫療機構的主要責任而非醫療設備提供商的責任。三、IoMT 設備安全防御有效方法IoMT 安全不是單一維度可以解決的，需要從設備自身、軟件開發設計、數據安全管控、安全運營等多維度綜合考量。本章節從設備供應商、軟件設計人員、醫療機構 IT 管理員、醫療機構 IT 運維人員的職責角度給出建議。（一）IoMT 設備出廠前應具備安全

18、基因IoMT 設備供應商在設備生產時應結合較為成熟的網絡安全體系構建終端級別的安全防護能力。在出廠前應探索內置安全芯片和身份標識，實現設備身份認證與鑒權防護，身份認證通過設備安全芯片為所有接入的設備分配唯一可信 ID 標識，設備 ID 具備不可復制、篡改與破解的強安全特性，合法設備通過 ID 實現入網的身份鑒別和授權，非法設備通過直接入網或偽造身份入網將會被快速準確識別，并阻斷其入網傳輸，避免其對終端通信的安全造成危害。利用安全芯片實現身份認證、數據加密、安全存儲，構建一個輕量級的安全體系，有效的防止設備偽造，與服務器、APP 間實現雙向的安全認證，保障云端、終端、控制端的安全認證和通信。示例

19、終端安全芯片認證接入流程如圖 2 所示。在遭受物理攻擊時，IoMT 設備廠商應確保設備在被突破后其身份認證以及賬戶信息相關的重要數據不會被攻擊者利用。來源：中國信息通信研究院圖 2 終端安全芯片認證接入流程通過終端安全芯片實現對IoMT 設備身份認證與鑒權及通信過程中會話、數據、攻擊防御等多維度的安全防護。通過終端安全防護能力實現對設備的統一身份標識與安全可信認證，并在此基礎上解決設備通信過程中安全會話、通信數據密鑰管理與分發等安全防護需求與難點，保障醫療機構系統中各類設備運行期間通信安全。（二）入網時確保具備可信認證校驗和威脅防護機制可信認證的校驗機制是 IoMT 設備自身安全防護的第一道屏

20、障。醫療機構應對大型醫療器械強制進行多重身份認證鑒權；確保只有經過授權的醫療設備才能連接醫療機構的內網；確保終端設備在接入時經過嚴格的標識和認證，接入系統中應具有可用于 IoMT 系統中通信識別的唯一標識，如序列號、設備 ID、MAC 地址等。醫療機構信息化部門應建立精準可靠的 IoMT 設備臺賬，包含設備廠商、型號、類型、通信協議、開放端口、責任科室、責任人、責任人聯系方式等信息。利用安全接入設備實現對入網請求的 IoMT 設備的指紋特征進行校驗，確保符合入網標準的設備才能聯網。設備威脅防護機制可以為 IoMT 設備建立一道安全的護城河。利用漏洞防御技術和權限收斂技術，通過深入分析網絡及應用

21、層協議對隱藏在流量中深層次攻擊行為進行識別、控制、阻斷，實現對 IoMT設備的漏洞攻擊實時檢測和防護，達到在網絡層降低威脅的目的。同時對 IoMT 設備日常訪問的對象建立訪問基線，利用基線在邊界防護設備建立訪問白名單策略避免設備過多訪問后端主機對象造成風險暴露面的增加。（三）對遠程運維數據進行審計和外發管控對存在遠程運維大型醫療設備的廠商應建立運維數據審計機制。設備供應商應明確遠程運維過程中使用的數據明細，確保只采集醫療設備的自身狀態信息。醫療機構 IT 管理部門應對醫療設備上傳的數據進行監測分析，對各類IoMT 設備向外網發送的數據進行統一采集，利用大數據分析技術和 AI 技術進行建模分析，

22、對 IoMT 設備的數據外發時間、目的地址、數據包、頻率等建立行為基線，及時發現非常見用戶訪問、非常見地址外發、非常見時間段外發、非常見數據包外發等風險行為，對非法外發敏感數據及時發現和阻斷，確保不包含患者診療數據和患者個人隱私數據。醫療機構 IT 部門應針對第二章提出的遠程運維帶來的安全風險對供應商提出管理要求。如采用運營商或公網環境運維，對運維產生的數據流量應配合 IT 管理部門進行檢測分析，避免供應商內部管理和自身平臺漏洞導致患者診療數據泄露。同時應配合 IT 部門采用基于風險閉環的管理方法保證其網絡安全。（四）IoMT 設備應重點強化開發安全IoMT 設備供應商的開發人員應當從開發階段

23、充分考慮安全架構的設計。IoMT 設備開發人員會習慣性利用第三方組件提高開發效率，但三方組件會依賴其它更多組件，多層級依賴關系形成一個復雜的樹狀結構，這種結構對于研發人員和使用人員來說都是黑盒，導致 IoMT設備供應商無法證明開發的醫療設備所部署的軟件是安全的。比如證明從身份認證、授權、訪問控制、可審計、設備保護等方面描述產品安全功能初始化過程中為何是安全的。開發人員應提供產品設計文檔描述產品的安全結構，安全測試方案和測試用例，提供相應的安全測試報告。開發人員應通過代碼檢查工具對編寫完成的代碼進行靜態、動態的檢查，盡早發現代碼層面的缺陷、漏洞。醫療機構的信息化部門應當定期組織對 IoMT 設備

24、進行安全漏洞檢查，及時發現代碼漏洞并制定處置閉環的流程。（五）應建立針對 IoMT 設備安全運營體系IoMT 設備作為醫療機構智慧化轉型的核心，醫療機構的 IT 部門應建設立體化的 IoMT 設備的安全運營體系，包括對醫療設備網絡安全威脅的識別、防護、探測、響應、恢復的能力。建立覆蓋感知層、網絡層、平臺層和應用層的立體化安全運營體系，完整的 IoMT 安全運營體系如圖 3 所示。來源：中國信息通信研究院圖 3 醫療物聯網安全運營框架參考網絡安全等級保護 2.0 的建設標準，通過大數據、機器學習、 UEBA、SOAR、威脅情報等技術和工具，結合自動化流程和安全運營專家服務，打造“威脅感知、分析定

25、位、智能決策、響應處置”的快速安全閉環能力，最終實“自動響應閉環、持續安全運營”的目標。對 IoMT 設備實行全面綜合防護，保障智慧醫療業務的穩定運行。四、對 IoMT 設備安全的發展建議與展望（一）重視體系建設，完善 IoMT 安全防護體系醫療機構智慧發展是必然趨勢，我國 IoMT 業務正面臨著嚴峻的安全挑戰，完善 IoMT 安全體系的建設已經刻不容緩。同時，國內網絡安全企業和醫療器械生產企業都缺乏針對IoMT 設備的安全管控以及 IoMT 安全頂層設計與統籌管理。醫療機構應提高對于醫療領域網絡安全防護的重視程度。IoMT設備安全應等同于麻醉安全、手術安全、藥品安全。應為 IoMT 設備建立

26、科學分類、風險分級、安全審查、責任管理規章制度，建立網絡安全事件應急響應機制；第二，醫療機構網絡安全管理部門應加強對 IoMT 安全產品質量及技能的測試評估機制，加大對 IoMT 安全企業產品及服務的監督管理；第三，網絡安全企業應進一步完善 IoMT 安全體系架構，大力研發針對 IoMT 領域的網絡安全產品，完善醫療 IoMT 運營平臺的建設。從而以醫療機構、管理部門、安全廠商三者為重要抓手，持續完善 IoMT 安全體系的建設。（二）產業深度協同，打造 IoMT 設備安全生態首先，在政府鼓勵其自主創新的前提下，國內 IoMT 設備供應商應繼續加大對近距離無線通信、數據存儲、數據挖掘、云計算等物聯網關鍵技術的研究投入、增加大型醫療設備的研發投入。其次，應鼓勵國內網絡安全廠商將已有的網絡安全技術與醫療領域相結合，用網絡安全技術為 IoMT 賦能，讓 IoMT 設備在產品開發中納入安全性并進行測試，確保滿足所有法律法規的安全性要求。最后，應鼓勵從事物聯網技術研發的科研院所、高校與網絡安全廠商、醫療機構三者間的深度合作及技術交流，