亞洲健康互聯
優化產業的推手,生醫商機的GPS!

首頁最新消息最新消息醫學人工智慧產品的網路安全探討

醫學人工智慧產品的網路安全探討

來源 : 中國醫療設備雜誌2018年第12期
update : 2019/02/12
引言
近年來,醫學人工智慧發展迅速,產業格局風起雲湧。人工智慧在醫療領域中的應用已非常廣泛,包括醫學影像、臨床決策支援、語音辨識、藥物挖掘、健康管理、病理學等眾多領域。人工智慧技術呈現與醫療領域不斷融合的趨勢,其中資料資源、計算能力、演算法模型等基礎條件的日臻成熟成為行業技術發展的重要力量[1-2]。醫學人工智慧技術的飛速發展的背後,醫療網路安全問題如影隨形。針對醫學人工智慧產品的勒索病毒(一種新型的病毒,主要通過檔加密的方式以程式木馬、網頁掛馬等形式傳播)、挖礦病毒(一種新型的病毒,通過的網路傳播,會導致電腦CPU 佔用率高,系統磁片可使用空間驟降,電腦溫度升高,風扇雜訊增大等問題)、醫療資訊洩露等醫療行業的網路安全事件受到廣泛關注,醫學人工智慧的發展必然需要有效防範網路攻擊。

《中華人民共和國網路安全法》自2017 年6 月1 日起施行,這是大陸建立嚴格的網路治理指導方針的一個重要里程碑。原國家食品藥品管理總局已經發佈《醫療器械網路安全的註冊技術審查指導原則》並於2018 年1 月1 日實施,該指導原則目的是醫療器械全生命週期過程中保證醫療器械產品自身的網路安全,從而保證其安全性和有效性。但是目前針對醫療器械產品的網路安全標準尚屬空白,對於網路安全的品質評價方法和措施也尚無定論。

醫學人工智慧產品作為醫療器械產品新的業態,除具有醫療器械軟體產品本身特性外,在產品設計、代碼實現、產品測試、部署運行模式上都不同於一般的醫療器械產品,同時醫學人工智慧產品又有資料集構建、演算法調優等神經網路的自身特性[3],由此考慮此類產品的網路安全風險需要這些要素,本文將針對醫學人工智慧產品研發階段和產品上市後面臨的網路安全問題,從產品的通用安全和專用安全角度結合各自防禦措施展開進行介紹。

1 醫學人工智慧產品通用安全及防禦措施
醫學人工智慧產品作為一種特殊的醫療器械軟體產品,在其運行過程中會遇到一般的網路安全威脅。例如,由於產品設計缺陷導致使用者輸入特定的用戶名和密碼能夠訪問非授權資料;由於未使用產品用戶名和密碼的加密,從而被利用,導致身份認證失效;由於產品依賴的軟體和元件未及時升級和更新,從而漏洞被利用,產品資料丟失;以及產品資料明文傳輸而導致資料被截取[4]。這些威脅都會影響產品的安全,通常包括注入攻擊漏洞、失效的身份認證和會話管理關注等,我們稱之為通用安全威脅。

1.1 注入攻擊漏洞
這些攻擊發生在當不可信的資料作為命令或者查詢語句的一部分,被發送給解譯器的時候。攻擊者發送的惡意資料可以欺騙解譯器,以執行計畫外的命令或者在未被恰當授權時訪問資料[5]。醫學人工智慧產品大部分採用B/S 架構,舉例來說,填好正確的用戶名(test)和密碼(001)後,點擊提交,將會返回給歡迎的介面,其實執行的語句是select * from users where username=test'and password=md5('001'),但是對於有SQL 注入漏洞的位址來說,只要構造個特殊的“字串”,照樣能夠成功登錄。比如:在用戶名輸入框中輸入:'or'1=1#,密碼隨便輸入,這時候合成後的SQL 查詢語句為:select * from users where username='' or 1=1#' and password=md5(''),可以繞開產品登錄介面,直接進入系統訪問資料,完成了注入攻擊。注入能導致患者影像資料丟失或破壞、缺乏可審計性或是拒絕服務。注入漏洞有時甚至能導致...完整