医疗物联网安全研究报告 （2021 年） 中国信息通信研究院安全研究所 深信服科技股份有限公司 2021 年 7 月 版权声明 本报告版权属于中国信息通信研究院和深信服科技股 份有限公司，并受法律保护。转载、摘编或利用其它方式 使用本报告文字或者观点的，应注明“来源：中国信息通 信研究院和深信服科技股份有限公司”。违反上述声明者， 本院将追究其相关法律责任。 前 言 医疗物联网（IoMT，Internet of Medical Things）是物联网在医 疗行业的重要应用。随着物联网、大数据、区块链、人工智能等先 进技术的广泛应用，医疗物联网对加快“健康中国”建设和“智慧 医院” “智慧诊疗”等推动医疗健康产业智慧化转型起到重要的支撑 作用。 近年来，由于 IoMT 设备的激增，多类型、多型号的设备分布 在多科室，且设备厂商的远程运维方式多样，导致风险暴露面积增 加，原有安全防护手段难以应对，由此引发的医疗网络安全风险和 挑战与日俱增。黑客越来越多地将目标对准我国的公共医疗机构， 整体来看我国医疗机构的网络安全形势不容乐观。尤其在 2020 年新 冠肺炎疫情期间，医疗机构的网络攻击和数据窃取事件激增，不仅 造成了经济损失，也给患者的生命健康带来了威胁。 为促进医疗物联网及其生态系统的健康发展，厘清医疗物联网 目前面临的安全风险，中国信通院安全研究所联合深信服科技股份 有限公司共同研究编制了《医疗物联网安全研究报告（2021）》（以 下简称：报告） 。报告对后疫情时代 IoMT 设备可能面临的安全风险 进行了分析，构建了医疗物联网安全防护策略框架，并提出了医疗 物联网安全发展方向和建议，为医疗机构 IoMT 设备相关的安全规 划提供参考。 目 录 一、医疗物联网概述....................................................................................................1 （一）医疗物联网的定义.....................................................................................1 （二）医疗物联网的业务场景.............................................................................1 （三）医疗物联网产业的发展态势和预测.........................................................3 二、当前 IoMT 设备普遍存在的安全隐患.................................................................6 （一）远程运维带来数据泄漏和入侵的安全风险.............................................6 （二）IoMT 设备无安全防护能力被仿冒接入...................................................7 （三）内网互联互通导致安全风险不可控.........................................................8 （四）缺乏全面的资产台账导致安全风险黑盒化.............................................9 （五）利用通信协议漏洞中断诊疗业务.............................................................9 （六）医疗机构工作人员自身安全意识薄弱...................................................10 三、IoMT 设备安全防御有效方法............................................................................11 （一）IoMT 设备出厂前应具备安全基因.........................................................11 （二）入网时确保具备可信认证校验和威胁防护机制...................................12 （三）对远程运维数据进行审计和外发管控...................................................13 （四）IoMT 设备应重点强化开发安全.............................................................14 （五）应建立针对 IoMT 设备安全运营体系....................................................14 四、对 IoMT 设备安全的发展建议与展望...............................................................16 （一）重视体系建设，完善 IoMT 安全防护体系............................................16 （二）产业深度协同，打造 IoMT 设备安全生态............................................16 （三）面向能力建设，助力 IoMT 安全自主可控............................................17 （四）灯塔效应指引，消除 IoMT 安全落地障碍............................................18 图 目 录 图 1 医疗设备直连互联网..........................................................................................7 图 2 终端安全芯片认证接入流程............................................................................12 图 3 医疗物联网安全运营框架................................................................................15 表 目 录 表 1 医院联网设备连接方式......................................................................................8 医疗物联网安全研究报告（2021 年） 一、医疗物联网概述 （一）医疗物联网的定义 物联网（IoT，Internet of Things）技术，是指通过感知设备，按 照约定协议，连接物、人、系统和信息资源，实现对物理和虚拟世界 1 的信息进行处理并作出反应的智能服务系统 。随着互联医疗设备数 量的增加，支持医疗级别数据的采集和传输、互联技术、服务系统及 软件的进步，医疗物联网（IoMT，Internet of Medical Things）由此诞 生。 （二）医疗物联网的业务场景 医疗物联网综合了远程医疗、互联网、物联网、自动控制、人工 智能等技术，是面向医疗机构全方位的运营和管理，致力于提高医疗 品质，降低医疗差错，提升患者服务水平，提高整体运营效率的综合 系统。典型的医疗物联网业务场景如下： 1.面向医务人员的智慧临床场景 智慧临床主要面向护士群体，移动智能终端结合无线通信技术的 应用，让护士在病房服务中实现对患者入院信息、体征信息、手术资 料、检查信息等数据实时准确的掌握，提高查房效率和质量。智能输 液场景中每个患者输液位的状态通过无线传输实时传送到护士工作 站的显示屏幕，护士在服务台就能实时监控患者输液进度。当液位较 低临近更换输液瓶时，显示屏幕会语音提醒护士前去更换或终止输液， 1 GB/T 33745-2017 物联网术语 2.1.1 1 医疗物联网安全研究报告（2021 年） 同时提醒可以同步传输到移动 PDA2上，实现护理人员对病人输液状 态及呼叫状态的实时掌控。智慧临床是医疗机构迈向智慧化转型的重 要一步，也是医院等级评审复审的加分项目。 2.面向患者的智慧患者服务 智慧患者服务主要面向院内特殊或重症患者，服务包含院内导航、 人员定位和报警求助等。通过智能穿戴手环、RFID3标签等手段，可 以通过智能监控系统实时查看患者的行走路线和实时位置，一旦患者 走出限定区域可产生告警，届时医护人员将及时协助患者返回安全区 域，防止发生意外。此外，当患者发生身体不适急需求助时，可以通 过智能穿戴设备实现一键报警，医护人员可以快速响应，保障患者的 生命安全。 3.面向医疗机构管理的智慧管理 现代医院的院区规模呈现出快速扩张的趋势，而对应的医院所管 理的资产数量和种类也呈现爆发式增长，传统的资产管理手段已远远 不能满足医院管理需求。而基于物联网技术的智慧管理模式可以极大 提高医院资产管理水平。利用 RFID 技术可以在购入设备资产时进行 入账登记生成资产台账，由 WiFi 网络传递给资产综合管理平台，在 资产分配使用、变更、回收、清点、报废等全生命周期中都可以实现 跟踪管理，实现资产管理的精细化、规范化和专业化，满足医院业务 快速增长的管理需要。 2 3 PDA 是 Personal Digital Assistant 的缩写。 射频识别（RFID）是 Radio Frequency Identification 的缩写。 2 医疗物联网安全研究报告（2021 年） 4.面向社区的远程健康管理 在公共卫生服务开展的过程中，由于医疗机构服务覆盖人群增多、 地区医疗资源不平衡等因素，导致健康筛查无法及时覆盖到所有区域。 利用 5G 技术传输的社区自助终端可以在家门口实现健康筛查，将身 高体重、脂肪率、水份比、血氧、血压、心电等健康参数检测数据通 过 5G 网络传输给医疗机构的后台分析系统，在中心端统一对检查的 结果进行评估、分析和建议，可以让基层医疗人员工作更加轻松高效， 让老百姓更加便捷的享受到我国公共卫生服务普惠政策。远程健康管 理是“互联网医院”建设的重要环节，通过物联网和 5G 技术，把基 层乡村医生和大三甲医院的门诊专家连接为一体，实现医疗资源全民 共享，实现现代化技术造福于民。