關(guān)于醫(yī)療設(shè)備軟件的安全性設(shè)計(jì)分析

在醫(yī)療器材研發(fā)過程中，大量的精力被投注于確保安全性和降低患者風(fēng)險(xiǎn)的考慮；盡管如此，隨著不同儀器連網(wǎng)性能的不斷提升，安全研究人員在很多醫(yī)療儀器中都發(fā)現(xiàn)了安全漏洞，其中一個(gè)例子就是在一種非常普及的輸液幫浦(infusion pump)中發(fā)現(xiàn)的1,400個(gè)安全弱點(diǎn)。

為了因應(yīng)這種不利的局面，美國(guó)食品藥物管理局(FDA)發(fā)布了關(guān)于管理醫(yī)療設(shè)備安全性的規(guī)范。此公告意在重申除了使用安全之外，訊息安全也應(yīng)納入醫(yī)療設(shè)備研發(fā)過程中的關(guān)鍵考慮。

針對(duì)網(wǎng)絡(luò)安全與靜態(tài)分析的FDA指導(dǎo)原則

在意識(shí)到醫(yī)療儀器應(yīng)當(dāng)遵守更為嚴(yán)格的安全性目標(biāo)后，F(xiàn)DA在2014年頒布了網(wǎng)絡(luò)安全管理指導(dǎo)原則；隨著無線通信、網(wǎng)絡(luò)和因特網(wǎng)在醫(yī)療設(shè)備中更進(jìn)一步的普及和應(yīng)用，醫(yī)療設(shè)備的安全性也面臨著前所未有的挑戰(zhàn)。

進(jìn)一步來說，與其他儀器不同的是，醫(yī)療設(shè)備直接關(guān)系到患者的安全和隱私。風(fēng)險(xiǎn)管理(包括安全性強(qiáng)化和弱點(diǎn)管理)是醫(yī)療設(shè)備軟件開發(fā)中最重要的組成部分——而靜態(tài)分析(Static Analysis)則是這個(gè)過程中最重要的環(huán)節(jié)。

家庭護(hù)理和「穿戴式」醫(yī)療裝置數(shù)量呈現(xiàn)指數(shù)型成長(zhǎng)，而它們僅是醫(yī)療設(shè)備中的一個(gè)分支。同樣，對(duì)于其他醫(yī)療和物聯(lián)網(wǎng)(IoT)的商業(yè)契機(jī)來說，這些發(fā)展都面臨著安全、資料安全性和隱私的考慮。

FDA的指導(dǎo)原則涵蓋范圍較廣，并且意在建立高層級(jí)的安全性管理規(guī)范；此指導(dǎo)原則列舉了需要啟用自動(dòng)化工具的眾多原因，其中包括以下幾點(diǎn)：

˙「制造商應(yīng)當(dāng)在設(shè)計(jì)和開發(fā)醫(yī)療設(shè)備時(shí)將訊息安全性列入考慮」：這也是軟件工具暨網(wǎng)絡(luò)安全解決方案GrammaTech一直著重探討的一個(gè)課題——在研發(fā)的最開始就將安全性納入設(shè)計(jì)考慮，而不是研發(fā)后再作為附加項(xiàng)目，這是非常關(guān)鍵的。以下是詳細(xì)的說明。

˙「在進(jìn)行設(shè)計(jì)和開發(fā)時(shí)就應(yīng)該適當(dāng)?shù)膶?duì)所涵蓋資產(chǎn)、威脅和安全弱點(diǎn)的定義進(jìn)行探討」：在良好的軟件開發(fā)流程無縫整合靜態(tài)分析，并特別著重于于偵測(cè)與識(shí)別程序代碼和二進(jìn)制代碼中的安全弱點(diǎn)。

˙「評(píng)估設(shè)備功能中之安全威脅和弱點(diǎn)對(duì)終端使用者/患者中所造成的影響，以及這些威脅與弱點(diǎn)被利用的可能性」：舉例來說，透過對(duì)遭污染數(shù)據(jù)的分析，GrammaTech的CodeSonar工具能追蹤整個(gè)軟件的數(shù)據(jù)源，并辨別來自外部的潛在安全弱點(diǎn)。

˙「在提交產(chǎn)品上市審核前，制造商應(yīng)當(dāng)提供與其醫(yī)療設(shè)備資安相關(guān)的文件」：靜態(tài)分析工具能提供報(bào)告功能，以協(xié)助準(zhǔn)備這類文件、測(cè)試完備度以及軟件是否就緒。

「安全性優(yōu)先」的設(shè)計(jì)

安全性(security)并非一直是醫(yī)療儀器的首要考慮因素——長(zhǎng)時(shí)間以來，儀器間的通訊僅限于本地網(wǎng)絡(luò)并掌握在可信賴的操作人員和設(shè)備中。然而現(xiàn)代化的醫(yī)療設(shè)備普遍擁有連網(wǎng)功能(且通常能連上因特網(wǎng))， 因此這些設(shè)備也對(duì)安全性和隱私有著更高的要求。所以在研發(fā)周期的較初期階段就需要遵循安全策略。

軟件開發(fā)周期中的軟件安全性

「安全性優(yōu)先」的設(shè)計(jì)理念，意味著將整合安全性視為軟件開發(fā)周期(SDLC)中的首要考慮，如圖1所示；開發(fā)者和項(xiàng)目經(jīng)理應(yīng)該在以下的關(guān)鍵階段注意各種情況。

圖 1 迭加于軟件開發(fā)周期的安全性設(shè)計(jì)流程。

˙需求階段(requirements stage)：一旦可進(jìn)行系統(tǒng)范圍內(nèi)的威脅評(píng)估，就可以了解醫(yī)療設(shè)備中的威脅面(threat surface)。在需求階段，可以導(dǎo)入安全性相關(guān)的需求以及已知的「濫用案例(abuse cases，即黑客可能會(huì)追蹤的使用案例)」和風(fēng)險(xiǎn)分析；后面會(huì)進(jìn)一步提及應(yīng)該被導(dǎo)入并加以考慮的安全性需求。此階段十分關(guān)鍵，因?yàn)樵谶@個(gè)時(shí)間點(diǎn)，安全性成為一個(gè)已知的項(xiàng)目目標(biāo)并已擁有適當(dāng)水平的風(fēng)險(xiǎn)管理、開發(fā)時(shí)程和成本。

˙設(shè)計(jì)和架構(gòu)(Design and architecture)：在候選架構(gòu)完成時(shí)，安全性必須納入審核項(xiàng)目中(之前可能并未納入)；根據(jù)已知威脅評(píng)估和安全性需求對(duì)架構(gòu)進(jìn)行審核，為這個(gè)開發(fā)階段增加了一個(gè)新的環(huán)節(jié)。在這個(gè)階段，應(yīng)該建立測(cè)試計(jì)劃，涵蓋針對(duì)預(yù)知「濫用案例」的安全性分析。

˙程序代碼開發(fā)(Code development)：在撰寫程序代碼階段，遵循安全性指南和編碼標(biāo)準(zhǔn)非常重要；使用例如靜態(tài)分析等自動(dòng)化工具，是確保安全性弱點(diǎn)不被導(dǎo)入產(chǎn)品的關(guān)鍵。測(cè)試和對(duì)自動(dòng)化測(cè)試(包含安全性分析)在此階段十分重要。

˙整合和測(cè)試(Integration and Test)：在系統(tǒng)整體上開始成形時(shí)，子系統(tǒng)和系統(tǒng)測(cè)試可以在整合，以及上市之前發(fā)現(xiàn)安全弱點(diǎn)。自動(dòng)化滲透測(cè)試(penetration testing)工具在這個(gè)階段十分有效，可以發(fā)現(xiàn)在較早開發(fā)階段未能發(fā)現(xiàn)的安全性弱點(diǎn)；最終產(chǎn)品上市前的包裝與配置是此階段最后一個(gè)步驟的關(guān)鍵，需要確保這款開箱即可使用的產(chǎn)品的具備最高的安全性，可預(yù)防大多數(shù)目前市面上連網(wǎng)裝置常見的問題。

˙布建和維護(hù)(deployment and maintenance)：當(dāng)產(chǎn)品進(jìn)入市場(chǎng)并大范圍布建后，修補(bǔ)安全性弱點(diǎn)所需的費(fèi)用將會(huì)大幅飆升；一款以「安全性優(yōu)先」設(shè)計(jì)理念出發(fā)的產(chǎn)品，發(fā)生安全漏洞事件的機(jī)率較低，但是供貨商必須具備能持續(xù)因應(yīng)安全性挑戰(zhàn)的能力。在設(shè)計(jì)產(chǎn)品時(shí)至關(guān)重要的一點(diǎn)就是采用可更新的韌體和軟件，從而能迅速因應(yīng)新出現(xiàn)的問題；不過在產(chǎn)品進(jìn)行維護(hù)和改版時(shí)，安全性仍然是一個(gè)持續(xù)性的目標(biāo)，新出現(xiàn)的安全性弱點(diǎn)和威脅也需要以新一代的方案回饋到系統(tǒng)設(shè)計(jì)中。

安全性需求

確保醫(yī)療設(shè)備安全性需要經(jīng)過許多考慮；以下列出了安全性需求的關(guān)鍵案 例──其中有一些可能凌駕于對(duì)產(chǎn)品功能性的需求：

__˙使用者身份驗(yàn)證(User authentication)──__根據(jù)不同的用戶等級(jí)，驗(yàn)證用戶存取數(shù)據(jù)與 執(zhí)行功能的權(quán)限。

__˙防篡改(Tamper resistance)──__防止透過改變?cè)O(shè)備軟硬件來規(guī)避安全防護(hù)機(jī)制的行為。

__˙安全儲(chǔ)存(Secure storage)──__確保設(shè)備儲(chǔ)存數(shù)據(jù)無論透過在線或脫機(jī)存取的安全性，包括用檔案加密與數(shù)字版權(quán)管理(DRM)技術(shù)。

__˙安全通訊(Secure communication)──__確保數(shù)據(jù)傳輸安全性，同時(shí)避免透過鏈接通路(如網(wǎng)絡(luò)、USB端口)的有害存取；雖然網(wǎng)絡(luò)鏈接通常是第一個(gè)被注意到的，別忘了還有其他可能遭遇攻擊的通道。

__˙可靠性和可用性(Reliability and availability)──__在面臨進(jìn)行中的黑客攻擊時(shí)，仍能維持醫(yī)療設(shè)備的安全運(yùn)作。

靜態(tài)分析工具對(duì)IEC 62304標(biāo)準(zhǔn)和醫(yī)療設(shè)備軟件的適用性

盡管IEC62304標(biāo)準(zhǔn)沒有明確要求開發(fā)工具，卻列出了對(duì)嚴(yán)格測(cè)試、驗(yàn)收標(biāo)準(zhǔn)(acceptance criteria)和可追溯性(traceability)的要求；有鑒于目前大部分醫(yī)療設(shè)備軟件項(xiàng)目的涵蓋范圍，在沒有工具的情況下要完成那些功能要求是不實(shí)際的。例如：

IEC62304標(biāo)準(zhǔn)Section 5.5.2對(duì)一個(gè)軟件單元(software unit)驗(yàn)證步驟的要求：制造商需要建立相關(guān)策略、方法和步驟來驗(yàn)證每一個(gè)軟件單元。

Section5.5.3要求：制造商需要在較大型軟件項(xiàng)目的整合之前，為軟件單元建立適當(dāng)?shù)尿?yàn)收標(biāo)準(zhǔn)，并確保軟件單元符合驗(yàn)收標(biāo)準(zhǔn)…軟件程序代碼是否符合程序編寫流程和編碼標(biāo)準(zhǔn)？

Section 5.5.4提供額外驗(yàn)收標(biāo)準(zhǔn)：當(dāng)呈現(xiàn)于設(shè)計(jì)時(shí)，制造商需要依以下情況包含適合的額外驗(yàn)收標(biāo)準(zhǔn)：正確的事件序列(event sequence)；數(shù)據(jù)和控制流程；經(jīng)計(jì)劃的資源分配；錯(cuò)誤處理(錯(cuò)誤描述、隔離和復(fù)原)；變量初始化；自我診斷；內(nèi)存管理和內(nèi)存溢位(overflow)；以及邊界條件。

這些驗(yàn)收標(biāo)準(zhǔn)中的大多數(shù)非常適合靜態(tài)應(yīng)用程序安全檢測(cè)(SAST)，即靜態(tài)分析工具；實(shí)際上已經(jīng)有采用靜態(tài)分析的強(qiáng)力左證──FDA曾使用GrammaTech的CodeSonar工具，在一連串的輸液幫浦故障事件中，分析醫(yī)療設(shè)備軟件并評(píng)估其源代碼的質(zhì)量。

SAST工具在安全性設(shè)計(jì)中所扮演的角色

SAST工具在編碼和整合階段為軟件開發(fā)提供了關(guān)鍵性的支持；無論是在開發(fā)還是維護(hù)階段，持續(xù)確保程序代碼質(zhì)量，能大幅降低軟件安全性與質(zhì)量可能帶來的成本與風(fēng)險(xiǎn)。以下是其主要優(yōu)勢(shì)：

__˙靜態(tài)分析可以找出基于覆蓋(coverage-based)的測(cè)試無法發(fā)現(xiàn)的錯(cuò)誤(bug)──__后者的單元測(cè)試一般透過軟件覆蓋程度的量測(cè)來進(jìn)行，諸如聲明(statement)決策(decision)的覆蓋等；盡管已經(jīng)很嚴(yán)苛，但仍有一些缺陷會(huì)通過這類測(cè)試。靜態(tài)分析工具能識(shí)別這類缺陷。

__˙靜態(tài)分析工具能在較早階段發(fā)現(xiàn)缺陷──__能在產(chǎn)品開發(fā)者手上就避免缺陷發(fā)生是最理想的情況，這樣可以節(jié)省隨著項(xiàng)目進(jìn)展而不斷增加的測(cè)試和修復(fù)所需成本。

__˙靜態(tài)分析可以因應(yīng)SOUP──__在醫(yī)療設(shè)備軟件中，未知來源軟件(SOUP)需要特別的因應(yīng)方式；一款良好的靜態(tài)分析工具能夠評(píng)估第三方和商用現(xiàn)成軟件(包括二進(jìn)制應(yīng)用程序和鏈接庫)的質(zhì)量和安全性。

__˙靜態(tài)分析可以加速上市前核準(zhǔn)文件的建立──__將軟件單元驗(yàn)收結(jié)果建文件，是證明產(chǎn)品遵循認(rèn)證標(biāo)準(zhǔn)的關(guān)鍵；靜態(tài)分析工具擁有大量的報(bào)告功能，可符合FDA審核要求。

結(jié)論

安全性現(xiàn)在已經(jīng)成為醫(yī)療設(shè)備軟件研發(fā)過程中的首要風(fēng)險(xiǎn)/責(zé)任管理因素；在研發(fā)初期就將安全性納入產(chǎn)品設(shè)計(jì)考慮，不但是FDA的要求也是一個(gè)良好的習(xí)慣；對(duì)于縮短醫(yī)療設(shè)備上市時(shí)程，以及產(chǎn)品通過上市前核準(zhǔn)流程，靜態(tài)分析工具扮演了重要角色。