在(zai)醫(yi)療(liao)器(qi)材(cai)研(yan)發(fa)過(guo)程(cheng)中(zhong)，大(da)量(liang)的(de)精(jing)力(li)被(bei)投(tou)注(zhu)於(yu)確(que)保(bao)安(an)全(quan)性(xing)和(he)降(jiang)低(di)患(huan)者(zhe)風(feng)險(xian)的(de)考(kao)慮(lv)。盡(jin)管(guan)如(ru)此(ci)，隨(sui)著(zhe)不(bu)同(tong)儀(yi)器(qi)聯(lian)網(wang)性(xing)能(neng)的(de)不(bu)斷(duan)提(ti)升(sheng)，安(an)全(quan)研(yan)究(jiu)人(ren)員(yuan)在(zai)很(hen)多(duo)醫(yi)療(liao)儀(yi)器(qi)中(zhong)都(dou)發(fa)現(xian)了(le)安(an)全(quan)不(bu)足(zu)，其(qi)中(zhong)一(yi)個(ge)例(li)子(zi)就(jiu)是(shi)在(zai)一(yi)種(zhong)常(chang)用(yong)輸(shu)液(ye)泵(beng)中(zhong)發(fa)現(xian)的(de)1,400個安全漏洞。

為了應對這種不利的局麵
，美國食品藥品監督管理局(FDA)發布了關於管理醫療設備安全性的規範。此公告意在重申除了使用安全之外，信息安全也應納入醫療設備研發過程中的關鍵考慮因素。

針對網絡安全與靜態分析的FDA指導原則

在意識到醫療儀器應當遵守更為嚴格的安全性目標後
，FDA在2014年頒布了網絡安全管理指導原則；隨著無線通信
、網絡和互聯網在醫療設備中更進一步的普及和應用
，醫療設備的安全性也麵臨著前所未有的挑戰。

進一步來說
，與其他儀器不同的是，醫療設備直接關係到患者的安全和隱私。風險管理(包括安全性強化和漏洞管理)是醫療設備軟件開發中最重要的組成部分——而靜態分析則是這個過程中最重要的環節。

家庭護理和“可穿戴”醫療設備數量呈現指數型成長，而它們僅是醫療設備中的一個分支。同樣，對於其他醫療和物聯網(IoT)的商業契機來說，這些發展都麵臨著安全、資料安全性和隱私的考慮。

FDA的指導原則涵蓋範圍較廣，並且意在建立高級安全性管理規範；此指導原則列舉了需要啟用自動化工具的眾多原因
，其中包括以下幾點：

•    “製造商應當在設計和開發醫療設備時滿足網絡安全”
；這也是GrammaTech公司一直著重探討的一個課題——在研發的最開始就將安全性考慮進來，而不是研發後再作為附加項目
，這是非常關鍵的。以下是詳細的說明。

•    “在進行設計和開發時就應該適當的對所涵蓋資產、威脅和安全漏洞的定義進行探討”
； 靜態分析與良好的軟件開發流程無縫集成
，並特別著重於檢測與識別程序代碼和二進製代碼中的安全漏洞。

•    “評估設備功能中的安全威脅和漏洞對最終用戶/患者中所造成的影響，以及這些威脅與漏洞被利用的可能性”；舉例來說，通過對遭汙染數據的分析，GrammaTech 的CodeSonar工具能追蹤整個軟件的數據源，並辨別來自外部的潛在安全漏洞。

•    “在提交產品上市審核前
，製造商應當提供與其醫療設備網絡安全相關的文件”
；靜態分析工具提供報告工具
，以協助處理文件、測試完成以及軟件就緒。

“安全優先”的設計

安全性(security)並非一直是醫療儀器的首要考慮因素——長時間以來，儀器間的通信僅限於本地網絡並掌握在可信賴的操作人員和設備中。然而現代化的醫療設備普遍擁有聯網功能(且往往是互聯網)， 因此這些設備也對安全性和隱私有著更高的要求。所以在研發周期的較初期階段就需要遵循安全策略。

軟件開發周期中的軟件安全性

“安全優先”的設計方法
，意味著將集成安全性視為軟件開發周期(SDLC)中的一個最高優先級，如圖1所示
；開發者和項目經理應該在以下的關鍵階段注意各種情況。

•    需求階段：一旦可進行係統範圍內的威脅評估，就可以了解醫療設備中的威脅麵(threat surface)。在需求階段
，可以導入安全性相關的需求以及已知的“濫用案例(黑客可能會追蹤的用例)”和風險分析
；後(hou)麵(mian)會(hui)進(jin)一(yi)步(bu)提(ti)及(ji)應(ying)該(gai)被(bei)導(dao)入(ru)並(bing)加(jia)以(yi)考(kao)慮(lv)的(de)安(an)全(quan)性(xing)需(xu)求(qiu)。此(ci)階(jie)段(duan)十(shi)分(fen)關(guan)鍵(jian)，因(yin)為(wei)在(zai)這(zhe)個(ge)時(shi)間(jian)點(dian)，安(an)全(quan)性(xing)成(cheng)為(wei)一(yi)個(ge)已(yi)知(zhi)的(de)項(xiang)目(mu)目(mu)標(biao)並(bing)已(yi)擁(yong)有(you)適(shi)當(dang)水(shui)平(ping)的(de)風(feng)險(xian)管(guan)理(li)、調度和成本計算。

•    設計和架構：在候選架構完成時
，安全性必須納入審核項目中(之前可能並未納入)；根(gen)據(ju)已(yi)知(zhi)威(wei)脅(xie)評(ping)估(gu)和(he)安(an)全(quan)性(xing)需(xu)求(qiu)對(dui)架(jia)構(gou)進(jin)行(xing)審(shen)核(he)
，為(wei)這(zhe)個(ge)開(kai)發(fa)階(jie)段(duan)增(zeng)加(jia)了(le)一(yi)個(ge)新(xin)的(de)環(huan)節(jie)。在(zai)這(zhe)個(ge)階(jie)段(duan)
，應(ying)該(gai)建(jian)立(li)測(ce)試(shi)計(ji)劃(hua)
，涵(han)蓋(gai)針(zhen)對(dui)預(yu)知(zhi)“濫用案例”的安全性分析。

•    代碼開發：在撰寫程序代碼階段，遵循安全性指南和編碼標準是非常重要的
；使用例如靜態分析等自動化工具，是確保安全漏洞不被導入產品的關鍵。測試和對自動化測試(包含安全性分析)在此階段十分重要。

•    集成和測試：在(zai)係(xi)統(tong)整(zheng)體(ti)上(shang)開(kai)始(shi)成(cheng)形(xing)時(shi)，子(zi)係(xi)統(tong)和(he)係(xi)統(tong)測(ce)試(shi)可(ke)以(yi)在(zai)集(ji)成(cheng)以(yi)及(ji)上(shang)市(shi)之(zhi)前(qian)發(fa)現(xian)安(an)全(quan)漏(lou)洞(dong)。自(zi)動(dong)化(hua)滲(shen)透(tou)測(ce)試(shi)工(gong)具(ju)在(zai)這(zhe)個(ge)階(jie)段(duan)十(shi)分(fen)有(you)效(xiao)，可(ke)以(yi)發(fa)現(xian)在(zai)較(jiao)早(zao)開(kai)發(fa)階(jie)段(duan)未(wei)能(neng)發(fa)現(xian)的(de)安(an)全(quan)漏(lou)洞(dong)；最(zui)終(zhong)產(chan)品(pin)上(shang)市(shi)前(qian)的(de)包(bao)裝(zhuang)與(yu)配(pei)置(zhi)是(shi)此(ci)階(jie)段(duan)最(zui)後(hou)一(yi)個(ge)步(bu)驟(zhou)的(de)關(guan)鍵(jian)，需(xu)要(yao)確(que)保(bao)這(zhe)款(kuan)開(kai)箱(xiang)即(ji)用(yong)產(chan)品(pin)具(ju)備(bei)最(zui)高(gao)的(de)安(an)全(quan)性(xing)

，可(ke)預(yu)防(fang)大(da)多(duo)數(shu)目(mu)前(qian)市(shi)麵(mian)上(shang)聯(lian)網(wang)設(she)備(bei)常(chang)見(jian)的(de)問(wen)題(ti)。

•    部署和維護：當產品進入市場並大範圍部署後，修補安全漏洞所需的費用將會大幅飆升；一款以“安全優先”設she計ji方fang法fa出chu發fa的de產chan品pin，發fa生sheng安an全quan漏lou洞dong事shi件jian的de幾ji率lv較jiao低di，但dan是shi供gong貨huo商shang必bi須xu具ju備bei能neng持chi續xu應ying對dui安an全quan性xing挑tiao戰zhan的de能neng力li。在zai設she計ji產chan品pin時shi至zhi關guan重zhong要yao的de一yi點dian就jiu是shi采cai用yong可ke更geng新xin的de固gu件jian和he軟ruan件jian，從cong而er能neng迅xun速su應ying對dui新xin出chu現xian的de問wen題ti
；不過在產品進行維護和改版時，安全性仍然是一個持續性的目標
，新出現的安全漏洞和威脅也需要以新一代的方案反饋到係統設計中。


安全性需求

確保醫療設備安全性需要經過許多考慮
；以下列出了安全性需求的關鍵案例——其中有一些可能淩駕於對產品功能性的需求：

•    用戶驗證──根據不同的用戶等級，驗證用戶存取數據與執行功能的權限。 •    防篡改──防止通過改變設備軟硬件來規避安全防護機製的行為。 •    安全存儲──確保存儲的數據受到在線或離線訪問保護，包括利用加密文件存儲與數字版權管理(DRM)等技術。 •    安全通信──確保數據傳輸安全性，同時避免通過連接通道(如網絡、USB端口)的有害存取

；雖然網絡連接通常是第一個被注意到的，別忘了還有其他可能遭遇攻擊的通道。 •    可靠性和可用性──在麵臨進行中的黑客攻擊時

，仍能維持醫療設備的安全工作。

靜態分析工具對IEC 62304標準和醫療設備軟件的適用性

盡管IEC 62304標準沒有明確要求開發工具，卻列出了對嚴格測試
、驗收標準和可追溯性的要求；有鑒於目前大部分醫療設備軟件項目的涵蓋範圍
，在沒有工具的情況下要完成那些功能要求是不實際的。例如：

•    第5.5.2節 對一個軟件單元驗證步驟的要求： 製造商需要建立相關策略、方法和步驟來驗證每一個軟件單元

•    第5.5.3節要求： 製造商需要在較大型軟件項目的集成之前，為軟件單元建立適當的驗收標準，並確保軟件單元符合驗收標準……軟件程序代碼是否符合程序編寫流程和編碼標準？

•    第 5.5.4節提供額外驗收標準： 當呈現於設計時
，製造商需要依以下情況包含適合的額外驗收標準：正確的事件序列
；數據和控製流程；經計劃的資源分配；錯誤處理(錯誤描述、隔離和複原)；變量初始化
；自我診斷

；內存管理和內存溢出；以及邊界條件。

這些驗收標準中的大多數非常適合靜態應用程序安全檢測(SAST)
，即靜態分析工具；實際上已經有采用靜態分析的強力佐證──FDA曾使用GrammaTech的CodeSonar工具，在一連串的輸液泵故障事件中，分析醫療設備軟件並評估其源代碼的質量。

SAST工具在安全性設計中所扮演的角色

SAST工具在編碼和集成階段為軟件開發提供了關鍵性的支持；無論是在開發還是維護階段，持續確保程序代碼質量，能大幅降低軟件安全性與質量可能帶來的成本與風險。以下是其主要優勢：

•    靜態分析可以找出基於覆蓋的測試無法發現的錯誤(bug)──後者的單元測試一般通過軟件覆蓋程度的量測來進行，諸如聲明或判定覆蓋等；盡管已經很嚴苛，但仍有一些缺陷會通過這類測試。靜態分析工具能識別這類缺陷。

•    靜態分析工具能在較早階段發現缺陷──能在產品開發者手上就避免缺陷發生是最理想的情況，這樣可以節省隨著項目進展而不斷增加的測試和修複所需成本。

•    靜態分析可以應對SOUP──在醫療設備軟件中
，未知來源軟件(SOUP)需要特別的應對方式；一款良好的靜態分析工具能夠評估第三方和商用現成軟件(包括二進製可執行文件和庫)的質量和安全性。

•    靜態分析可以加速上市前核準文件的建立：將軟件單元驗收結果建文件，是證明產品遵循認證標準的關鍵；靜態分析工具擁有大量的報告功能，可符合FDA審核要求。

結論

安全性現在已經成為醫療設備軟件研發過程中的首要風險/責任管理因素
；在研發初期就將安全性納入到產品設計考慮，不但是FDA的要求
，也是一個良好的習慣。在縮短醫療設備上市時間以及上市前的審批流程當中，靜態分析工具扮演了重要角色。

文章來源於電子技術設計。


推薦閱讀：