张茫茫　郑 焜*　林忠款

自20世纪80年代以来，生物医学工程领域的快速发展带动了医疗设备技术的进步，2016年全球医疗设备的种类已超过1800种[1]。随着互联网逐渐渗透到各行各业，医院信息化建设受到更多的重视，其中涵盖了医院信息系统(hospital information system，HIS)、影像归档和通信系统(picture archiving and communication systems，PACS)、实验室信息管理系统(laboratory information system，LIS)以及智慧医疗等功能系统的医院信息化系统逐步完善，使医院整体业务水平和医院管理服务能力得到提高[2]。

医疗设备的技术发展促使更多医疗设备与医院的信息化系统融合，使医疗设备的医疗数据直接整合到HIS中。联网医疗设备将直接或间接地暴露于互联网环境之中，严重的网络攻击不仅会盗取医院内网服务器中的医疗数据，更会影响医疗设备的正常运行，对医院和患者造成巨大损失[3]。通过分析联网医疗设备的网络架构及网络攻击的途径，探讨医院联网医疗设备应如何防护网络攻击，并从“患者第一”的角度提出遭受网络攻击时的现场处理策略。

1　网络攻击现状与途径

近年来，联网医疗设备在融合IT之后面临多次网络攻击。2014年“心脏出血”、“破壳”等网络安全漏洞的曝光涉及了全球数以亿计的计算机系统，其影响波及到了无法计数的医疗设备[4]。2017年5月，英国16家医院遭受“WannaCry”勒索病毒的大范围网络攻击，导致医院内部医疗系统几乎瘫痪，在意大利、德国、俄罗斯和西班牙等国家也大范围遭到此勒索病毒的攻击[5]。2017年12月，杭州某医院遭受到“勒索病毒”攻击，内网PACS系统造成部分超声影像设备工作站瘫痪。2018年2月湖南省某医院HIS遭受黑客攻击，导致系统大面积瘫痪，造成院内诊疗流程无法正常运转。

集成医疗设备医院内网系统的网络攻击主要来自于以下3个方面。

(1)医疗设备工作站的外设(包括光驱与USB接口)遭到随意使用的光盘或U盘而感染病毒。

(2)医疗设备工作站IP被非法盗用，导致内网服务器被入侵引起架构中的其他医疗设备被攻击。

(3)医院内网服务器与外界互联网进行数据交换时被病毒入侵，引起内网网络中的医疗设备被病毒感染[6]。

2　应对网络攻击方案

2.1　技术层面

作为医院重要医疗数据载体的医院内网，理论上应与医院外网做到物理隔离，物理隔离通常有两种方法：①综合布线时铺设两套线路，单独配置交换机与服务器；②在共用一套线路情况下，购置网闸以隔离内外网[7]。HIS的网络安全防护除内外网物理隔离外，在与外网进行数据交换时可通过前置机实现，同时配置防火墙与网闸。HIS网络安全防护包括网络设备、服务器以及网络终端维护，在服务器中实现有效的病毒防治，同时关注系统软件生产商关于系统安全漏洞的补丁发布，及时更新院内计算机相应补丁。

2017年12月杭州某医院受到的网络攻击的可能原因为：①某些具有挂号支付等功能的APP与内网服务器进行数据交换时，使带有“勒索病毒”的文件等进入内网系统；②未被严格限制的计算机通过授权IP进入内网服务器带入此病毒，如来自于信息系统服务商的计算机联入内网中调试内网服务器；③未被完全禁用的U盘及光驱在使用时导致病毒侵入等[8]。

在医疗设备的软件系统方面，要做到以下6方面。①医疗设备联入内网前即打好U盘禁用补丁；②拆除医疗设备工作站自带光驱；③绑定IP与MAC地址，并在相应内网管理平台登记进行控制管理，防止IP被盗用；④在医疗设备工作站中安装最新版本杀毒软件并及时更新病毒库；⑤及时更新医疗设备工作站系统补丁；⑥做好数据备份工作[9]。HIS整体框架如图1所示。

图1　HIS框架示意图

医疗设备科在联网医疗设备的采购、入院安装调试及连网过程中，需对网络安全提高警惕。临床工程师在验收过程中要做到关注联网医疗设备的系统及软件版本号、制造商是否提供系统及软件的升级等问题并做好登记。2017年，英国医院之所以成为“勒索病毒”攻击重灾区的重要因素之一在于HIS未及时更新，其仍使用Windows XP系统，而该系统在2014年4月后即停止发布新的更新补丁[10]。

2.2　管理层面

建立高效应急响应预案，以分管院长为总指挥，信息中心主任、医疗设备科主任为技术负责人，信息工程师、临床工程师需第一时间到达现场响应。由信息工程师评估受攻击的分类及事件等级，必要时切断内外网数据交换。临床工程师在必要时切断现场联网医疗设备的网络连接(如拔掉网线)，了解受影响设备类型及受损程度，评估受攻击的病毒类型及此次攻击所针对的系统类型(如Linux、Windows XP、Windows 7、Windows 10等)后作出判断，要在避免遭受更大损失的前提下尽可能地优先服务患者诊断和治疗，再检查与此服务器网络中的其他联网设备，优先关注和受损医疗设备相同系统的医疗设备。当受损医疗设备为单一诊断或治疗设备时，应结合临床科室关于接诊需求，考虑是否联系厂商工程师或自行进行工作站的系统重装，导入该设备数据备份，优先恢复该设备的诊断治疗功能[11-15]。

3　小结

互联网大数据的到来，使医院联网医疗设备有逐步暴露于互联网环境下的趋势，医疗设备网络集成将会对临床工程师带来新的工作内容和挑战，在面对联网医疗设备复杂的网络环境时，临床工程师要提高网络安全意识。除日常操作和环境等因素会损害医疗设备外，来自互联网的网络攻击也可对联网医疗设备造成重大损失，需要临床工程师提高对于联网医疗设备遭受网络攻击的防范意识。