浅析医院物联网安全风险及防护体系的建立

为应对日益严峻的物联网安全挑战，通过参照《网络安全等级保护基本要求》的物联网安全扩展要求，在分析了医院物联网安全风险的基础上，讨论了如何建立一套基于安全态势感知技术的医院物联网安全防护体系，从而为提升医院的医疗质量保障能力和安全运维管理水平，推动医院信息化建设提供参考。

引言

随着物联网技术的日趋成熟和医院信息化建设的不断完善，物联网（internet of things，IoT）通过结合广域网、局域网、无线网络等网络领域，使得IoT技术越来越广泛地应用于医院信息系统，如人体传感技术、患者及职工管理、医疗装备定位、移动医疗技术等应用。IoT技术给医疗行业带来智能化、自动化的同时也存在着医疗信息可能被破坏、篡改或泄露等安全隐患。2019年国家标准化管理委员会在《网络安全等级保护基本要求GB/T 22239-2019》中提出的安全要求就包括了物联网安全扩展要求，扩展要求技术部分内容主要包括安全物理环境、安全区域边界、安全计算环境和管理部分的安全运维，因为新标准强调了“物联网应作为一个整体对象定级”，由此可见物联网安全需要体系化建设。鉴于日益严峻的医院物联网安全威胁，为了让物联网安全防范工作更具有主动性，建立具有安全态势感知的医疗物联网防护体系，从而实现医院物联网监管业务全程的“可见，可管，可控”。

医院物联网基础平台架构分析

医院经过多年的信息化建设，物联网平台已逐渐融于现有的一体化开放式的医院信息系统，通过物联网与传统网络的有效结合，功能上实现了环境数据采集、业务过程控制、医疗全程跟踪追溯、医院安全管理等。现有的医院物联网平台共分为三层：感知层、网络层、应用层，其平台架构如图1。智能感知层在各类RFID传感终端及定位设备、监控设备支持下，结合多种识别技术收集物理环境中的物理属性、环境状态、行为态势等参数；传输网络的作用是负责传递和处理传感数据，其主要组成设备包括物联网AP、AP控制器AC、中间件控制器MC等，其中物联网AP有别于传统AP，AP内部除了有支持第三方RFID阅读器模块的应用插槽，还可以通过中间件技术直接将RFID阅读器的指令转换成标准的以太网数据格式，收集电子标签信息和下发控制指令来完成与应用程序的交互。应用系统层的核心作用是挖掘汇聚、综合分析，重新构建感知数据再进行逻辑处理，从而面向医院管理者提供信息资源服务。

图1 医院物联网基础平台架构

医院物联网安全风险分析

由于物联网三层结构的特殊性，目前医院物联网安全风险主要分为终端接入风险、无线传输风险和数据安全风险。

物联网终端接入风险 薄弱的身份认证和授权机制是物联网终端接入的主要风险之一。部分物联网设备厂商在设计产品的时候往往使用缺省登录帐号和密码，甚至公开设备ROOT口令。公开ROOT口令的风险会使黑客通过安全外壳协议（SSH）登录来获取物联网终端的控制权，从而进行非法节点接入、非法控制节点等操作。同时，缺少必要的用户授权机制则可能产生未授权访问、用户越权访问、误操作导致重要数据丢失等风险。

物联网无线传输风险 借助RFID无线射频信号进行通信是物联网数据传输的普遍方式，但无线网络固有的脆弱性使系统很容易受到各种形式的攻击，如常见的分布式拒绝服务攻击（distributed denial of service attack，DDos）。虽然在传统的无线网络中可以通过如PGP、IPSec、SSL等安全协议来保证端到端通信的安全，但由于物联网边缘网络（如传感器网）属于资源受限网络，具有高丢包率、低吞吐量、不对称链路等缺点，所以传统的互联网安全机制无法直接应用于物联网的无线传输方式。

另一方面，通过使用WIRESHARK网络封包分析软件检测发现，医院内大部分的物联网终端在无线通信过程中对信号只采用简单加密方式，甚至有的直接使用明文传输，由此导致信息在传输过程中容易被攻击者通过端口扫描、嗅探窃听等方式在医疗设备如血气分析仪，智能输液泵上建立后门，利用入侵医院物联网作为跳板深入医院内网网络进行横向攻击，甚至渗透进入数据库恶意篡改、伪造医疗数据。

物联网数据安全风险 医院物联网终端自身所存储或采集的数据大多属于敏感的医疗信息，如穿戴式RIFD手环存储了姓名、性别、出生日期、联系方式、主要诊断等患者的基本信息；移动护理PDA采集病人的医疗监护数据及本地下载的电子病历数据。以上重要信息一旦泄露或被黑客恶意修改，将会给医院带来难以弥补的损失，甚至也会严重损害医院的社会形象。

建立医院物联网安全防护体系

传统的医院网络安全体系一般只是面向内外网办公区域，核心业务服务区域及互联网边界区域来建设规划，但实际上并没有针对物联网的边缘网络及数据传输进行有效防护。参照《网络安全等级保护基本要求GB/T 22239-2019》中的物联网安全扩展要求，结合医院物联网所存在的具体安全风险，在不影响原有网络拓扑及医院业务的前提下，建立一套具有物联网终端安全态势感知的防护体系，能够全面预测、监控、防护和响应医院物联网环境中的安全风险行为，为医院信息管理人员提供可视化的物联网网络趋势和业务决策。该防护体系整体结构如图2，主要包括：物联网安全网关、物联网安全监测平台、物联网安全态势感知与管理中心。

图2 医院物联网安全防护体系架构图

接入物联网安全网关 物联网安全网关是具有安全网关架构的物联网中间件控制器，网关接入并不改变原有的网络结构，而是以旁路模式部署在医院网络汇聚层，在充分支持LoRA、WIFI、BLE、NFC等主流物联网协议的前提下，基于驱动层监控防护技术对物理网AP收集的医疗RFID信息在传输网络中通过TLS（transport layer security）/DTLS（datagram transport layer security）协议转换的方式，安全、高效地完成协议和数据转换任务。

针对医院物联网终端接入风险和无线传输风险，部署物联网安全网关的主要作用是：①确保被访问的数据安全，针对医疗物联网应用软件多样化，安全网关通过网络通信防护对物联网终端网络通信目标和开放端口建立黑白名单，对各种结构化及非结构化数据进行有效防护，只有被信息管理人员设置信任的物联网应用才能正常访问被保护的文档和数据库；②准入物联网终端与行为审计，通过部署辅助物联网安全管理中心，审计管理物联网终端接入权限，采用MAC认证与WPA2认证方式作为混合接入认证方式绑定接入物联网的终端，当网络中出现终端异常替换、非授权接入、未知登录事件、异常连接等行为时由网关进行阻断；③对通讯数据进行加密，安全网关与物联网终端间通信通过基于共享密钥（pre-shared key，PSK）的方法来建立完整的端到端加密体系，这种方法既保证数据交换、传输存储全过程密文传输，又保障了终端的信息安全。

部署物联网安全监测平台 在建立物联网安全监测平台前，需要以旁路方式在医院网络接入层部署物联网数据流探测设备，探测设备通过交换机端口镜像技术收集物联网终端的网络数据并利用自身的安全引擎进行有效分析，实时监控物联网终端的网络行为。

为了降低医院物联网终端普遍存在系统漏洞、用户弱口令、高危服务端口等安全隐患，在网络传输层部署物联网安全监测平台并通过WEB方式进行管理。该平台主要功能有：①监控物联网终端安全状态，在安全云数据的支撑下采用基于Shodan引擎的高速物联网扫描技术，周期性对物联网终端进行低间隔的轮询监测，当物联网终端出现如离线、故障的异常状态时，将监测结果通过安全感知平台实时通知医院信息管理员进行处理；②针对具有远程固件更新能力的物联网终端，如智能手持终端、智能门禁系统、便携式X光机（C-ARMS）等，通过平台的实时监测，一旦发现存在的系统漏洞、用户弱口令等脆弱性问题将主动提醒管理员进行排查整改；③用户与ID实时绑定，安全监测平台定期扫描物联网终端设备ID，及时整合更新硬件信息库，并按用户定义进行部门归类，当物联网中出现非法设备ID或仿冒ID请求登录时可以快速预警，为信息管理人员分析、取证、管理提供技术支撑。

建立物联网安全态势感知与管理中心 物联网安全态势感知与管理中心是整个安全防护体系的核心管理部分，服务器的部署方式类似于传统的安全态势感知平台，在核心网络层使用旁路的接入方式避免了物联网业务的单点故障。工作过程为首先利用物联网安全网关对物联网前端设备进行状态监控、行为审计、异常分析和安全管控，然后通过物联网安全监测平台在云端威胁情报支撑下及时感知海量物联网设备的安全状态、漏洞弱点、异常威胁及非法接入等安全情况，从而实现物联网设备安全态势的预测、防护、监控和响应，最后依托可视化展示技术向医院信息管理人员清晰展示整网资产安全威胁全景。其中，物理网安全态势感知平台使用的主要技术手段如下。

全网终端可视化 通过物联网安全网关的安全监控技术，安全态势感知中心在WEB后台管理界面展示医院物联网网络业务对象的访问关系，如使用不同颜色标识终端遭受攻击的不同程度等级，标明终端是否违规、被登录、被攻击等访问关系。信息管理人员通过全网资产安全状态可视化可以从全局角度有效地掌握当前物联网状况，并准确地分析与决策。

风险预警与分析 系统利用态势感知采集汇总物联网终端设备的数据得到原始安全信息，结合云端威胁情报数据进行自动分析和判断物联网业务系统或终端是否存在异常威胁，最后通过邮件告警等方式及时向信息管理员通报重要安全事件。

各组件协同工作 安全感知平台在物联网监测平台的辅助下识别来自的各种威胁和攻击，然后信息管理人员对异常行为可以直接采取处置命令，将攻击行为或外部威胁情报提取形成策略并同步到安全网关防护模块，从而实现物联网终端的安全管理与策略控制。防护体系内各安全组件间协同工作，极大地提高了医院物理网安全管理的效率，对避免安全风险的进一步扩散具有重要作用。

制定物联网安全运维管理制度

由于物联网的设备数量多、区域分散，为提高医院内部运维效率，首先成立责任管理部门，设置相应的组织机构，明确信息科管理员与临床用户的职责和权限；然后建立一套完整的医院物联网安全运维管理制度，主要涵盖物联网终端安全接入、身份认证、用户权限分配、安全教育、故障申报等；最后编制并保存物联网设备资产清单，对涉及关键功能及敏感信息的物联网应用进行电子归档，对需要涉外维修的物联网终端，应该检查并清除故障终端的敏感数据，防止信息泄露。

成效与不足

面对日益严峻的物联网安全挑战，通过参照《网络安全等级保护基本要求》的安全扩展要求，详细分析了本院物联网在整改前存在的安全风险，建立了一套从技术层面和管理层面上有效防范物联网安全攻击的防护体系。通过初步实践，医院物联网安全由被动化管理转为主动化，医院信息管理人员对管理医院物联网终端有了更直观准确的把握，医疗敏感数据的安全加固提升了医疗质量保障能力和医院的安全管理水平，务实推动了信息安全等级保护新标准下的医院信息化建设。

由于医院信息技术人员在医院物联网安全研究方面仍处于起步阶段，故本次方案仍存在一些不足之处。虽然采用了物联网安全网关代替了传统的物联网中间件控制器进行数据协议转换，但大量的数据安全计算任务也会增加控制器硬件性能的消耗，当医院物联网网络规模越来越庞大，物联网安全网关必将成为网络瓶颈；与此同时，网关容易成为黑客攻击的首要目标，一旦被攻陷将随时导致网络层设备的直接瘫痪。另外，在医院物联网环境中还存在其他安全问题亟待解决，这也是医院信息管理人员的进一步研究方向。

【引用本文：黄捷 潘愈嘉 莫禹钧.贵港市人民医院[J]. 中国数字医学,2021,16(5)111-114.】

声明：本文来自中国数字医学，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。