人工智能医疗器械软件网络安全技术考量

2022-01-01陈钿曾祥卫孙志刚钱天翼伍健荣

中国医疗器械信息 2022年15期

陈钿曾祥卫＊孙志刚钱天翼伍健荣

1 广东省药品监督管理局审评认证中心（广东广州 510080）

2 腾讯医疗健康（深圳）有限公司（广东深圳 518000）

内容提要：随着深度学习技术的发展，人工智能技术在临床上的应用研究火热，目前已有多个深度学习辅助诊断软件产品经审批上市。大部分人工智能医疗器械软件具备网络连接功能以实现电子数据交换或远程控制，从而不可避免地带来网络安全风险。人工智能医疗器械软件是基于“医疗器械数据”，采用人工智能技术实现预期用途的医疗器械软件，相比普通医疗器械软件，具有更高的网络安全要求。文章从网络安全角度出发，探讨人工智能医疗器械软件的网络安全方面的技术考量。

随着人工智能技术的发展，医疗器械软件产品使用人工智能技术实现辅助诊断、辅助分析等功能为临床诊断和治疗带来非常大的便利。大部分应用人工智能技术的医疗器械软件具备网络连接功能以实现电子数据交换或远程控制，因此在提升临床诊断效率与质量的同时，带来了遭受网络攻击的潜在风险。人工智能医疗器械软件即采用机器学习、深度学习等人工智能技术实现辅助诊断、辅助分析等功能的医疗器械软件。该类医疗器械软件基于海量医学数据，借助算力平台，进行算法开发。其所使用的医疗数据可能会包含患者的个人标识、健康状况、诊疗结果以及医疗情况等相关信息。这些信息被恶意泄露、滥用后，不仅会对患者的健康护理方式、诊断治疗的方案以及医护人员的科研造成影响，甚至于会导致临床医疗事故的发生；而且还会给患者的生活和工作带来诸多困扰和骚扰，影响患者正常生活和工作[1,2]。因此对于人工智能医疗器械软件，应当在网络安全方面有更多的考量，通过技术和管理手段确保个人健康医疗数据的隐私性、完整性、可用性、可控性等，以维护患者的个人隐私和公众利益[3]。

1.人工智能医疗器械软件网络安全风险管理

人工智能医疗器械软件除考虑软件自身网络安全能力建设外，还应当在软件全生命周期过程中考虑网络与数据安全过程控制要求，包括上市前设计开发阶段和上市后使用阶段[4]。在上市前设计开发阶段，区别一般的医疗器械软件，人工智能医疗器械软件依靠海量数据训练，应识别在数据采集、数据预处理、数据标注、数据集构建等过程中存在的网络与数据安全风险，并进行有效控制。如脱敏数据由临床机构转移至生产企业过程中所用数据转移方法可能带来的风险[5]。还应识别在算法训练、算法性能评估、软件验证、软件确认等活动过程中可能带来的风险，如训练过程中数据被污染，程序代码和数据受到恶意篡改导致软件功能偏离预期目标。

在上市后使用阶段，人工智能医疗器械软件产品网络安全风险应结合产品的预期用途、使用场景、核心功能进行综合判定[6]。人工智能医疗器械系统在大大提升医护人员工作效率的同时，由于需要网络链接，也增加了由于网络入侵而导致数据丢失、数据被恶意篡改、患者隐私泄漏的风险，产品开发商与使用者须了解产品的这些风险，共同进行防护。如人工智能医疗器械软件上市后一般在医疗机构内部环境下运行，云端也应部署在具有足够防护等级的服务器环境。医疗机构应当对自己的专有网络有足够的安全防护措施和管控能力，例如选择IP地址范围、配置路由表和网关等，专有网络与其他网络之间的安全隔离，通过安全组防火墙等进行多层访问控制。医疗机构在自己的专有网络内使用云服务资源、管理患者资料、运行人工智能医疗器械软件。如人工智能医疗器械软件部署在云端，应对云服务的系统安全风险进行识别，并采用安全技术保护手段进行防护。运行环境可能存在漏洞、威胁入侵或病毒等风险，应提供漏洞扫描服务，支持入侵威胁检测、病毒查杀、漏洞智能修复、基线一键检查、网页防篡改等告警功能。并严格控制访问者的权限，并对所有操作进行日志记录，做到行为实名认证，且可追溯。

人工智能医疗器械软件产品风险管理可基于19项网络安全能力进行分析和实施，并在全生命周期中持续关注网络安全问题，包括但不限于设计开发、生产、分销、部署、更新维护、上市后监测等[7]。重点关注数据采集、数据集构建、算法学习、云计算、远程控制和外部软件环境等网络安全风险点。基于保密性、完整性、可得性、可靠性、真实性、可核查性和可抵赖等网络安全特性，确定人工智能医疗器械软件网络安全能力建设要求。

2.人工智能医疗器械软件网络安全常见风险及控制措施

2.1 数据转移

医疗数据在转移到医疗企业前应进行数据脱敏，医疗数据从临床机构转移至企业过程中有数据外泄风险，可通过对图像数据进行加密压缩、再通过硬盘拷贝进行转移。同时应确保密码掌控者使用密码的场景和方式。

2.2 数据预处理

医疗数据从临床机构转移至企业后，数据如果在网络条件下进行预处理，很容易被攻击，导致数据泄漏，一般数据预处理软件无需联网即可使用，企业内部设计开发活动应当在封闭的网络环境下开展，来控制数据被窃取风险。

2.3 数据标注

数据标注过程一般是网络开放环境，指派任务、标注图片等活动在线上完成，有数据污染风险。可将数据标注软件部署在云端服务器上，在云服务器中安装云盾程序，包括SSL证书（应用安全）、定期木马查杀、主机异常提醒、DDos攻击防御等功能。并对用户的登录进行实名认证和过程记录。

2.4 数据集构建

为防止数据被窃取，数据集构建应在封闭的网络环境下开展，企业可通过将数据库划分在本地电脑进行风险控制，数据应定期及时完整备份。

2.5 算法训练、测试

算法训练、测试过程中有数据被污染风险，可在封闭的网络环境中离线训练，从而避免训练数据被污染。

2.6 数据传输

数据传输过程中有数据被窃取、篡改风险，数据传输采用加密传输，可通过加强通信密钥实现，各种数据传输通道都应加密。数据传输增加检验参数，如数据上传到云端时需提交数字签名，云端通过对称加密方法来对传入的数据进行安全核验，防止数据被篡改。

2.7 数据存储

为防止数据泄漏，数据存储通过加密方式实现。上传数据时对收到的用户数据进行加密存储，下载数据时对存储数据解密。若数据存储时受到不安全攻击或危险事件，获取的数据为密文，不会泄露患者数据。对于保存在移动介质中的健康数据进行加密，在写入文件前对文件进行加密，读取文件时解密，防止非预期的用户控制。

3.网络安全技术考量

3.1 网络通信的要求

医疗器械的健康数据在网络通信传输或者数据交换过程中，注册申请人可采用校验码技术、密码技术、加密、数字签名和标准协议等技术保证数据的保密性、完整性和可得性。

设置人工智能医疗器械软件跨网访问权限，在信息交互过程中，应具备内容过滤能力，实现对内容的访问控制，利用专门的登录控制方式进行访问，从而防止恶意用户非法访问，避免安全问题的发生[8]。设置网络访问其权限，能够加强网络的安全性和稳定性。

3.2 主机安全技术

防火墙作为网络安全防御的重要屏障，能够为主机阻挡和过滤诸多安全问题的访问。人工智能医疗器械软件使用者可以一直开放防火墙，运用防火墙的抵御功能，阻挡恶意访问，同时结合网络上提出的最新恶意访问类型，及时完善和补充防火墙的各项功能，进而维护主机网络的安全性，减少风险发生[8]。

防火墙之后的第二道防线是入侵检测。入侵防范和恶意代码防范服务器应遵循最小安装的原则，仅安装需要的软件组件和应用程序，关闭不需要的系统服务、默认共享和高危端口，定期对人工智能医疗器械软件及涉及到的主机、操作系统、中间件进行漏洞扫描、安全检测和恶意代码检测，并及时进行修补[9-11]。应对主机进行实时安全监控，能够识别违规操作或攻击行为，并及时告警。由于检测时间比较久，入侵检测技术与病毒查杀软件结合使用，效果更明显，确保网络安全。

申请人采用防火墙、入侵检测和恶意代码防护技术来保证人工智能医疗器械软件的网络安全。并建立异常检测，建立用户正常使用模式及已知攻击的知识库，及时识别不符合正常模式的行为活动，保证人工智能医疗器械软件的网络安全。

3.3 数据集安全要求

应制定明确的数据安全策略，对数据集的保密性负责，包括受试者隐私、数据集从一种硬件或软件转换至另外一种环境的安全性等，开发与使用过程应防止数据泄露、数据篡改、数据丢失，可采用技术手段包括但不限于数据脱敏、数据匿名化、授权访问机制、隔离保护机制。应从存储方式（如普通网络、单机或者云服务存储）和存储路径、备份、恢复等方面考虑数据存储安全性。如果使用云服务储存，应考虑其安全性，如服务商资质、访问路径、使用权限等。

用户访问控制机制包括但是不限于用户类型、权限分配、授权机制，设置访问控制等级，适当时，制定明确的访问控制策略[12]。通过设置资源、环境、方法、数据接口、协议、工具等访问条件，进一步形成对数据集的用户访问控制机制。同时数据集信息应可视化，设置可视化呈现方式，便于用户访问。

3.4 云计算安全要求

当人工智能医疗器械软件采用公有云方式进行部署和运行时，应满足如下要求：①应确保云计算基础设施位于数据来源所在国境内；②云计算平台的安全保护等级不低于人工智能医疗器械软件系统；③应与云计算平台中其他应用系统或软件实现虚拟网络的隔离；④云计算平台应具有通信传输、边界防护、入侵防范等安全能力；⑤具有定义访问路径、选择安全组件、配置安全策略的能力；⑥云计算平台具有流量访问异常告警服务；⑦云计算平台应在虚拟化网络边界部署访问控制措施；⑧对远程管理时需要进行身份验证，并对整个过程进行审计和记录；⑨应明确与云计算平台供应商的责任划分；⑩应确保人工智能医疗器械软件的虚拟机使用独占的内存空间；⑪云计算平台应提供镜像和快照服务，并具备保护机制；⑫限制人工智能医疗器械软件的数据的跨境传输；⑬规定云服务商的权限（如管理范围、职责划分、访问授权、隐私保护）和责任（如行为准则和违约责任）；⑭软件下架时，云服务商应保证彻底清除软件相关配置和数据。