医疗器械软件信息安全现状分析

医疗器械软件信息安全现状分析

赵洪亮

230422197306220036

摘要：近年来，我国的医疗行业有了很大进展，在医疗行业中，对器械的应用十分广泛。医疗器械软件近些年数量激增，在医疗技术创新和应用质量上取得较大进步的同时，也带来了不少新的风险，信息安全问题愈发凸显，医疗器械软件的安全性研究也因其应用对象的特殊性而显得尤为重要。本文首先分析维修医疗器械中电子设备的必要性，其次对信息安全现状原因分析，最后探索相关安全建议，从而确保医疗器械软件在上市前的信息安全性，共同创建一个安全的医疗环境。

关键词：医疗器械软件；信息安全；漏洞；风险

引言

随着大数据、人工智能、云计算、物联网等技术与医疗领域的深度融合，医疗器械软件产品如雨后春笋般蓬勃发展。

1维修医疗器械中电子设备的必要性

在维修保养医疗器械中电子设备时，需要加强对这些电子设备自身的了解，以明确设备正常运行的客观要求，特别是对于一些大型的医疗器械中电子设备来说，维修工作的开展更具实际意义。在引进大型医疗器械中电子设备时，还要加强对维修人员的培养，以此不断地提高医疗器械中电子设备的维修水平，从而保证电子设备的稳定运行，提高电子设备的完好率。维修医疗器械中电子设备的主要目的是保证其处于一个良好的运行状态，以此扩大由此产生的经济效益，同时，为社会大众提供更好的医疗服务。尤其是对于一些用于诊断和治疗老年疾病的医疗器械中电子设备，其一般发病都比较急、比较重，保证电子设备始终处于良好的运行状态，可以为其争取最佳治疗时间。

2信息安全现状原因分析

通过分析本实验室检品漏洞分布和调研相关企业，总结出造成目前现状的原因如下：所发现的漏洞大多为医疗器械软件中引入的第三方插件、框架、中间件等所带来的漏洞。作为生产企业首先考虑的是成本因素，尤其是在中小微企业中，为压缩生产成本会引入开源的第三方软件或较陈旧已停止更新维护的第三方插件，且开发维护人员缺乏相关意识，未能及时安装补丁、维护更新等，导致信息安全漏洞增多。另外，信息安全测试对测试人员有较高的专业水平要求，且信息安全测试类工具、设备等较为昂贵，受成本限制，软件开发企业无力做更多的信息安全测试。根据对检品的了解以及通过与软件开发企业的沟通，总结出医疗器械软件具有以下特点：体量较小，往往是为了处理某种疾病及数据或解决某些少量问题，功能复杂度较低，开发者在开发过程中重心大多向实现功能需求倾斜，而忽略了信息安全方面的保护。另外，据本实验室检验情况来看，医疗器械软件使用场景多数以医院为主，软件的部署方式大多采用局域网，这一特殊性也是导致软件开发者忽视信息安全防御的原因之一。医疗器械上市前的审批注册周期较长，为使软件尽快上市，开发者通常会压缩开发周期，重点关注功能的实现程度。医疗器械软件生产者中有较多以生产医疗器械硬件类器械为主的公司，所开发的医疗器械软件也多为配合自家的医疗器械使用，此类公司往往缺乏软件开发生产的经验。通过对60余家进行注册检验的生产企业调研发现，80%以上的中小微企业中没有测试人员，仅通过开发人员自测；其余测试人员与开发人员比例超过1∶10的企业寥寥无几，甚至某些500强企业中该比例只有1∶20；并且在与企业测试人员沟通中发现，绝大多数企业的测试工程师并不具备软件信息安全专业知识，他们仅能保证软件基本功能的正常运行，并未关注信息安全防御。此种不重视的现象一方面源于企业本身的利益和不专业，另一方面也源于医疗器械行业中对信息安全的监管、法规还不够成熟。

3安全建议

3.1观察医疗器械中电子设备

通常情况下，对于小型的医疗器械中电子设备来说，可以直接采用观察的方法分析故障。在观察电子设备的过程中，不单单需要仔细地观察电子设备的表面，同时，还需要全面观察设备内部的情况，尤其是电路板。通常情况因为设置错误、元件磨损、开关异常、继电器损坏等引发的故障，均可以通过观察直接发现。在采用观察法直接检查电子设备故障时，有着丰富维修经验的人员，还可以通过观察直接发现设备电容和电阻等方面是否存在异常。只要认真细致，这将大大缩短维修时间。

3.2加强财务战略管理的重视

作为医疗器械企业中的管理层，应严格把控企业在市场中的发展方向。在实际企业财务战略管理中，如果企业管理层本身不具备管理意识，一方面会导致企业财务管理过于混乱，另一方面也会对企业经济效益产生影响。基于以上，作为企业管理层应对财务战略管理给予高度重视，特别是资金投放，应充分分析当前企业经营实际来进行财务预算，并对资金投放过程中可能发生的各种风险进行评估分析;在此基础上制订科学合理的投资战略，以此保证企业资金正确投放，为企业带来正向的回报。一般来说，医疗器械企业资金投放数额相对有限，而在有限资金投放的同时还要分析各方面因素，如各职能资金需求、不同类型医疗器械品种所需运营资金等。因此，这就要求企业财务部门根据需求来制订长期性的战略资金安排规划，根据规划进行资金调配。除做好企业内部资金的财务投放战略之外，还要做好外部的财务投放战略，这部分主要有企业的运营资金、广告宣传等方面。只有做好各项资金使用规划，才能从根本上保证财务战略顺利施行。

3.3关闭不必要的服务和端口

制定合适的出站、入站规则，删除不必要的账户并为不同的账户划分相应的权限，在网络边界、路由器、防火墙上设置严格的访问控制策略，以保证网络的动态安全。

3.4对于软件产品的临床评价

产品包括多个模块，临床评价应涵盖所有模块，如模块是相对独立的，可分开进行评价。独立软件产品也可对比硬件产品的软件功能，主要关注基本原理、功能、使用方法的一致性。进行软件产品临床评价时，建议明确产品是否包括自动识别、自动标注、自动分析、自动诊断功能，有检查报告的提供报告模板，明确报告中的所有参数、波形如何产生。一般而言，自动分析、自动识别、自动诊断、人工智能产品不属于免于临床评价医疗器械目录的产品。

3.5数字示波器分析医疗器械中电子设备故障

医疗器械中电子设备具有较高的精密度，如果在对其进行维修时，仅仅是简单粗暴地采用传统的维修方式，将其拆卸开进行检测与维修，很容易损害电子设备内部的元器件，即使可以及时进行恰当的补救，往往也会对电子设备的使用寿命造成一定的影响。数字示波器的原理就是利用频率对电子设备内部存在的故障进行检测，整个检测的过程十分的安全，并且检测结果有效。并且这一维修技术手段的运用，不会因为电子设备周围存在磁场而对检修工作的开展造成干扰。在利用数字示波器对电子设备完成检测后，需要针对通过检测获得的数值进行全面的综合分析，以此更具针对性的、恰当地对其展开维修。

结语

作为检验机构，应反思当前对于信息安全检测的全面性，为何还不能完全保证医患的信息安全，需继续学习与探索更深度的测试，如通过寻求一些技术单位或高校作为合作对象的方式，逐步增强信息安全性的评估能力，为监管提供有力的技术支撑。在未来的研究中，如何创建一套全面、有效的体系来保证医疗软件的信息安全，确保医患信息安全，将是一个重点研究方向。

参考文献

[1]石景芬,胡锦梁,张岚,等.医院防范化解重大风险的策略分析[J].中国卫生事业管理,2019,36(12):902-905.

[2]王茜,竺林.国内外医疗器械软件安全性评价方法比较研究[J].医学信息(中旬刊),2011,24(4):1596.

[3]穆青风.网络产品安全漏洞管理应引起重视[N].中国贸易报,2022-03-22(6).