IEC修订旨在解决连接医疗设备的网络安全问题国际标准

医院中连接医疗设备的快速发展，推动了一度分离的信息技术（IT）和运营技术（OT）领域的融合。从网络安全的角度来看，面临的问题是医院网络与商业系统不同，医院网络的设计实际上是为了方便不同网络的访问。

在IT技术环境中，网络安全策略旨在保护信息系统（CIA）的机密性、完整性和可用性。在医院中，IT技术和OT技术的融合主要是为保护各种信息传递的安全性、完整性、可用性和机密性（SIAC）。这些信息中既有关乎病人生死的医疗数据，需要立刻传达并得到回复，也有常规的管理数据。

相比一般的网络系统，医院等重要的服务系统更加重视信息是否有效。想一想系统遭到攻击时会发生什么，可以让我们更容易理解这一点。

以IT技术为主导的组织遭遇网络攻击时，会首先关闭整个系统。但是在医院中，生命维持设备必须持续运行才能保证患者的安全。此外，这些医疗设备必须能在整个医院范围内有效传递信息。

药房和护理站等其他重要的服务系统也是如此。他们不能在遭遇攻击时切断系统。

不幸的是，医院为了快速响应患者的医疗需求，需要保持开放网络，这使医院成为网络犯罪更易得手的目标。医院面对着两层风险：最糟糕的情况是网络攻击造成关键医疗设备瘫痪；另一种情况是犯罪分子通过入侵医疗设备进入医院网络系统，窃取患者的敏感数据。

2017年，全球多家医院都成为了WannaCry勒索软件的受害者。该软件会拒绝计算机访问患者的健康记录，导致医生无法查看病人的病史和过敏情况，被迫取消急诊手术，将急诊患者拒之门外。

医院的医疗设备也受到了影响。

最近修订的网络安全标准IEC 80001-1定义了对包括医疗设备的IT技术网络进行风险管理必须涉及的作用、职责和活动。该标准涉及医疗健康组织、医疗设备制造商以及其他信息技术供应商的安全性、有效性和数据及系统的保密性问题。

IEC 80001是唯一一项解决医疗设备如何连接到IT网络以实现互操作性但不影响医疗保健组织和提供的标准。

点击此处阅读更多有关IEC 80001-1:2021 PRV《连接医疗设备或连接健康软件实施和使用中的安全性、有效性和保密性-第1部分：风险管理的应用》的内容。想获悉更多的国内外标准信息，请访问中国标准信息服务网（<https://www.sacinfo.cn>）。