随着网络攻击的大幅增加,医疗行业需要确保系统和设备的安全。医疗机构通常拥有数百甚至数千台医疗设备，都面临多种漏洞。这些设备包括植入设备到服务器系统等。为确保这些设备的安全,一个正在采用的前沿方案是实施零信任安全架构。

云安全联盟大中华区正式发布《基于零信任架构的医疗设备安全》（以下简称报告），报告对医疗服务机构（HDO）如何基于零信任成熟度模型对医疗设备实施零信任方案进行了详细分析，基于零信任成熟度的五个支柱，零信任为医疗服务机构提供了一条根据消除隐式信任而重塑安全态势的途径。

近年来发生的大量勒索软件攻击和数据泄露事件表明，医疗行业在安全性方面面临高风险。随着攻击技术的飞速发展，突破网络边界变得越来越容易，零信任网架构使今天的医疗企业拥有面对风险的弹性。

零信任架构不建立边界，而是认为网络上的所有连接和事件都是存在威胁和不可靠的。报告将基于零信任成熟度模型，探讨医疗服务机构如何为医疗设备实施零信任安全架构。

零信任成熟度模型代表了五个不同支柱的实施梯度，随着时间的推移可以在优化方面不断推进和提升。这些支柱包括身份、设备、网络、应用程序工作负载和数据。每个支柱都包括关于可见性分析、自动化编排以及治理有关的一般细节。通过五个支柱来检验医疗设备安全，将为医疗服务机构（HDO）提供明确的医疗设备安全状况。

零信任（Zero Trust）原则消除了对设备、主体和网络的信任假设。零信任专注于无论网络位置、主体或资产如何，实施基于风险的访问控制，确保安全访问。

零信任要求设备健康检查、数据级别的保护、强大的身份架构以及策略级的微隔离，以在医疗机构的数字资源周围创建细粒度的信任区域。零信任实时评估访问请求和通信行为。访问权限不断根据医疗服务机构（HDO）的资源进行重新调整。
 

成熟度模型的第一个支柱是身份（Identity），身份是零信任架构的核心组成部件。对于医疗设备来说,它们大多是机器对机器的通信，无法像其他用户设备那样进行身份验证，这给医疗机构带来挑战。

以下是应对挑战的关键策略：

• 医疗服务机构应确保正确用户和设备在正确的时间能够访问正确的资源。
• 在将零信任策略应用于医疗设备之前，医疗服务机构必须知道存在哪些设备及它们的功能，用途和位置。
• 医疗服务机构需要一种可靠的方法来发现、分类和清点管辖范围内的所有医疗设备。
• 在医疗服务机构的环境中，身份认证和授权必须基于机器固有的方式，使用安全存储和注入的凭据，联用/或单用证书等机制作为整个过程的一部分。
• 医疗设备属性应被当做设备安全运行环境信任状态的上下文信息，且设备的安全运行环境信任状态是动态的。
•  

此外，医疗设备管理系统可以在零信任环境中充当网络的策略决策点（PDP）。医疗设备属性结合设备强标识、运行环境、当前运行条件等信息将被持续地用于判定安全操作环境的安全性。使用医疗设备管理系统可以使医疗服务机构收集有关每个医疗器械的所有相关信息，这些信息可以用于确定应将哪些策略应用于哪个设备中。

第二个支柱是设备。在设备方面，与网络连接的医疗设备提高了医疗保健质量，但也带来了安全问题。这些设备面临的挑战包括：

• 对医疗设备缺乏清晰的可见性，不了解风险暴露面。
• 未知漏洞带来的风险呈指数增长。
• 威胁变化快于医疗机构的应对能力。
• 传统安全架构阻碍合规性。
• 物联网医疗设备可能被未经授权的个人物理访问、篡改或偷窃，以获取敏感数据。
• 物联网医疗设备通常无法实时更新补丁来修复漏洞。
• 物联网医疗设备可能无法使用现代化的身份验证方法。

医疗机构可以通过对医疗设备进行完整准确的清单盘点和风险评估来解决这些挑战。在零信任安全框架下，可以最小化联网医疗设备的安全风险。具体建议包括：

• 编排的可见性：需要医疗设备管理方案提供完整配置文件、动态风险评分的所有托管和非托管医疗设备的清单。
• 扩展检测和响应：扩展端点检测和响应功能，在医疗机构内提供实时的多领域检测和编排响应。
• 动态分段：医疗设备管理方案可以自动生成策略基线,通过微分段可以理解设备关系、模拟安全策略影响、在不中断临床操作的情况下测试。

第三个支柱是网络，网络是指开放的通信媒介，包括内部网络、无线和互联网。在网络方面，医疗设备使用网络连接将面临安全风险。当设备需要连接其他设备时，需要标准来识别彼此，该标准是IEEE 802.1X。但并非所有医疗设备都可以使用802.1X中的安全认证方法。在接入边缘侧，最好、最安全的解决方案是利用网络情报。

通过MAC认证旁路(MAB)，认证服务器可以使用客户端设备的MAC地址对其进行认证。MAB在网络边缘为不支持IEEE 802.1X的IoMT设备提供可见性和基于身份的访问控制。下面展示了使用IEEE 802.1X之前和之后的网络接入情况。

报告还强调了微隔离在包含攻击方面的重要性。微隔离解决的是安全性和业务敏捷性相关的问题，通过将IT环境划分为可控的隔离域来解决阻止横向移动的挑战，允许基于应用概念的安全规则，当应用程序和基础设施发生变化时自动重新配置，从而使安全具有动态性。

第四个支柱是应用，包括在本地和云端执行的应用程序。确保医疗设备应用程序的安全性是防止设备被攻击的关键。零信任安全模型可以做到这一点，本质上，它是一个解决方案生态系统的融合，能够确保默认情况下没有任何内部或外部的用户或设备是被信任的，在获得应用程序访问权限之前需要进行验证。

为保护医疗设备应用，采取的措施包括：在访问之前进行身份验证、最小特权访问模型、微隔离、持续验证/监控等。此外，无论是内部还是外部访问的动态和静态数据加密对于应用进程安全性都至关重要。

第五个支柱是数据。医疗服务机构应该采用以数据为中心的安全方法，需要识别、分类和清点所有数据资产。医疗设备产生大量电子健康信息，这些敏感数据需要在传输和静态情况下加密保护，并通过零信任细粒度访问控制来使用数据。此外，医疗机构还应采用数据防泄露解决方案。

零信任框架下的数据使用是基于颗粒化的访问控制。零信任数据管理侧重于基于零信任原则的基础、以数据为中心的网络空间安全方案。无论数据位于何处，数据都受到保护，对单个资源的访问基于单个会话，动态策略通过对所有数据源的访问控制来保护企业业务。

报告认为，通过识别所有设备、访问控制、微隔离和持续监控等手段，零信任架构可以大大增强医疗设备的安全性、识别漏洞并应用补救措施，是目前最佳的安全方案。