医疗行业对连接设备的日益依赖使其易受网络攻击,排名仅次于小型企业。为了防止潜在的灾难,美国食品药品监督管理局(FDA)已经制定了可供医疗设备制造商遵循的设备安全实现指南。这份指南涵盖了设计、开发、产品发布、售后支持和停产等各个阶段。尽管FDA指南中的信息对于设计人员来说是必读的,但它通常以高层级角度编写,最常见的是阐述应当实现哪些功能,而没有说明如何实现。为了帮助医疗设备设计人员深入研究,本文提供了一些缺失的细节。
自2014年以来,FDA一直在发布关于医疗行业网络安全的建议,每一项都在更新之前的要求以应对快速演变的威胁态势。最新指南包含在2022年4月发布的“医疗设备中的网络安全:质量体系考虑因素和售前提交内容:行业和食品药品监督管理局员工的草案指南”中。它主要有三个部分:
一般原则:
如何以及为什么网络安全应该是设备安全、质量体系规定的一部分,如何为安全进行设计,为什么提供透明度至关重要,以及提交文档。
安全产品开发框架:
如何使用威胁模型和包含安全控制、全局系统和多模式伤害视图的安全架构来管理和评估安全风险,以及更新和补丁的需要。这部分还提供了关于网络安全测试的详细信息。
网络安全透明度:
通过贴标签和建立漏洞管理计划来传达,它承认用户具有不同的缓解能力,并且解决方案应适合每一个人。
不过,对于系统设计人员来说,最有用的信息在最后的附录1中,包括关于身份验证、授权、加密技术、执行完整性、事件检测、记录弹性、固件和软件更新的信息。
有必要单独涵盖每个主题,以填补FDA广泛指南中缺失的细节。
首先,身份验证对于安全模型而言必不可少。公钥/私钥对和关联的证书链将医疗设备连接到网络。需要将私钥与可能包含漏洞并使密钥容易获取的设备固件隔离。FDA建议将加密密钥置于类似于的CryptoAuthentication™安全IC的防篡改安全密钥存储中。
必须通过信任彼此的设备和云来验证到云服务器的连接。虽然可以对每个会话都进行验证,但这可能会在电池供电的物联网(IoT)设备中消耗大量电能。硬件加密加速器和安全密钥存储的组合显著缓解了这个问题,因为它可在休眠模式下保持纳安级的极低电流。
用户身份验证允许管理员、技术人员和其他人员进行特权设备访问,这引入了密钥认证的概念。这类用例是通过预定义的CryptoAuthentication集成电路(IC)配置利用Trust Platform Design Suite(TPDS)开发工具提供的。
信息真实性对于在系统中为消息签名并验证其可信度必不可少。虽然密码认证IC本质上处理加密或未加密的消息验证,但也可以使用采用对称的相关加密加速器的消息验证代码(MAC)。
授权是FDA指南的另一个重要贡献,因为它建立了最小特权原则,即在可信执行区和应用区之间设置权限和许可来管理关键代码。每个模块只能访问实现其目的所需的信息和资源。
加密技术显然是确保安全的另一个关键因素。FDA明智地建议使用标准加密算法,因为在大量社区用户输入的帮助下,公共组织不断对它们进行测试和更新。加密密钥将验证数据的完整性,但不会验证有效性,因此设计人员必须验证所有来自外部源的数据是否结构良好并符合相应的规范或协议。
机密性与身份验证和授权有关,如果加密密钥在硬件中未被保密,则可能发生未经授权的使用。制造商应确保对所有可能被黑客利用,从而对患者造成伤害的数据的机密性提供支持。在处理和存储用于身份验证的加密密钥时,必须确保机密性,因为披露可能导致对设备功能的未经授权使用或滥用。
FDA文件提供了正确实现授权和身份验证方案的信息,这些方案通常会确保机密性。不过,设计人员应当在威胁建模期间评估是否为这种情况,并对系统进行必要的更改以确保采取适当的控制措施。
此外,FDA还说明了事件检测和记录,同时建议将它们存储下来以供取证发现使用。这涉及保留和恢复可信的默认设备配置,设计人员必须确定如何使用安全密钥存储来实现这一点。
可以合理地假设,现在所有物联网(IoT)设备都允许进行无线(OTA)固件和软件更新,但事实是许多这样的设备没有这种能力。没有适当的固件,便无法快速部署系统更新来应对最新的威胁。代码更新也应符合已建立的用户权限,因为拥有公钥的人员可以控制OTA更新并注入有害代码。
幸运的是,CryptoAuthentication IC让这个过程变得既简单又自动化,并且可以确保更新得到执行。单个CryptoAuthentication IC可以安全地存储FDA提到的大部分(如果不是全部)用例的加密密钥。
总结
对于医疗设备制造商而言,FDA的最新指南涵盖的范围十分全面,目的是推动医疗系统网络安全领域的发展。这些指南以可纳入立法的形式编写,而不是作为嵌入式系统设计人员的“操作指南”,这就是为什么基准级别的讨论只包含在附录中。
花费多年时间开发出一套安全设备和工具的可信生态系统,在开始开发将包含在下一代医疗产品中的系统之前,它是一个很好的起点。