医疗器械网络安全风险管理:FDA 2025 最终指南的实用实施
美国食品药品监督管理局(FDA)发布了备受期待的医疗器械网络安全风险管理最终指南《医疗器械网络安全:质量体系考虑因素及上市前提交内容》,该指南自 2025 年 6 月起生效。这份文件标志着医疗器械网络安全与监管期望的重大里程碑,强调了安全性、有效性和生命周期安全性。
定义“网络设备”
指南中的所有内容适用于“网络设备”。对此 FDA 明确定义如下:
《联邦食品、药品和化妆品法案》将“网络设备”定义为具备以下条件的设备:
包含由申办方验证、安装或授权为设备组成部分的软件;
能够连接互联网;
包含任何由申办方验证、安装或授权的可能面临网络安全威胁的技术特性。
FDA 参考了 NIST 对“软件”的定义,认为“网络设备”包括含有软件的设备,包括固件或可编程逻辑软件。
FDA 还认为,能够连接互联网的设备包括那些通过任何方式(包括在评估设备威胁面和使用环境时的任何连接点)有意或无意连接互联网的设备。这意味着即使制造商未打算让设备连接互联网,但如果其硬件或软件可能因意外使用或误用而连接互联网,该设备也可能被视为需要符合网络安全要求的“网络设备”。
FDA 认为具有以下特征的设备能够连接互联网:
网络、服务器或云服务提供商连接;
射频通信(如 Wi-Fi、蜂窝网络、蓝牙、低功耗蓝牙);
磁感应通信;
能够连接互联网的硬件连接器(如 USB、以太网、串行端口)。
安全产品开发框架(SPDF)
2025 年指南的一个核心概念是安全产品开发框架(SPDF)。这一结构化流程旨在减少产品生命周期中的网络安全漏洞数量和严重性,确保“设计安全”。SPDF 不是一项独立举措,而应整合到制造商的现有流程中,包括质量体系、风险管理和软件开发生命周期。
这与安全软件开发生命周期(SSDLC)相对应,SSDLC 不再侧重于传统的瀑布式产品开发流程,而是强调“设计安全”,从安全需求、风险评估和威胁建模开始,为安全设计提供输入,随着开发进程推进,专注于安全测试和代码审查,以交付经常扫描漏洞和渗透测试的安全配置。
FDA 表示,设计阶段早期整合 SPDF 可避免后期发现漏洞或连接特性时的昂贵重新设计。SPDF 涵盖从初始设计到退役的整个过程,包括安全编码、架构审查、可修补性和事件响应计划。SPDF 可与现有产品和软件开发、风险管理和质量体系支持流程整合。
网络安全目标
许多读者可能熟悉 NIST 提倡的机密性、完整性和可用性(C.I.A 三元组)。FDA 识别并扩展了这些基础目标如下:
真实性(包括完整性):确保设备按预期运行,未经未经授权的修改。
授权:限制对已认证用户和系统的访问和控制。
可用性:保持设备功能不间断。
机密性:保护敏感患者或系统数据免受未经授权的访问。
安全更新性:支持及时且安全的软件和固件更新。
图 1:FDA 扩展的安全目标
当这些目标在设备生命周期的任何阶段未达成时,风险就会出现。例如,TR24971: 2020 在表 F1 中将数据完整性丢失、机密性丢失和可用性丢失识别为危害。
威胁建模
FDA 建议进行威胁建模,以告知和支持风险分析活动,并识别医疗设备系统的适当安全风险和控制措施。
根据 FDA,威胁建模包括识别医疗设备系统中的安全目标、风险和漏洞,然后定义预防、减轻、监控或应对医疗设备系统威胁影响的对策。需要注意的是,FDA 认为:
威胁建模是风险评估的组成部分;
威胁建模应作为设计过程的一部分进行;
威胁建模应涵盖所有设计元素;
威胁建模不仅为风险识别提供良好起点,还为风险控制分配提供起点;
威胁建模应识别医疗设备系统风险和缓解措施,并告知作为网络安全风险评估一部分的缓解前后风险;
威胁建模练习应说明对医疗设备系统或使用环境的任何假设(例如,医院网络本质上是敌对的,因此制造商被建议假设对手控制网络,能够修改、丢弃和重放数据包)。
FDA 建议上市前提交文件包括威胁建模文档,以证明如何分析医疗设备系统以识别可能影响安全性和有效性的潜在安全风险。
虽然 FDA 承认制造商可以选择多种威胁建模方法或方法组合,但它允许在其他威胁建模文件旁边提供支持所选方法的理由。
威胁模型从数据流图开始。此处我们使用的版本称为 DFD3,由 Adam Shostack 推广。你可以在本视频中了解更多。
图 2:简单威胁模型
图 2 中的数据流图(DFD)展示了一个基本的 Web 应用程序架构,其中用户设备通过安全的 HTTPS 请求和响应与 Web 服务器通信。Web 服务器处理请求,通过 SQL 查询与内部 SQL 数据库交互,并将查询结果返回给用户。红色虚线“信任边界”将外部(不可信)组件(如用户设备)与内部(可信)组件(如 Web 服务器和数据库)分隔开。此边界突出了必须通过适当的控制(如加密、输入验证和身份验证)来降低网络安全风险的关键接口。
FDA 在指南中还提到:
为了全面考虑医疗设备系统的网络安全风险,应评估每个设备的安全和安全风险,评估其在设备运行的更大系统中的情况。这意味着制造商必须考虑设备运行的生态系统,无论是在医院还是患者家中。这包括评估这些位置的网络元素与设备的接口,并可能作为网络安全风险的威胁面。
DFD 在完成此任务方面特别有用,因为它可以映射设备的整个生态系统。
完成 DFD 后,至少需要在每个接口识别风险,最多可以在每个元素识别风险。这可以通过多种方式完成,我推荐使用 STRIDE,如表 1 所述。
表 1:STRIDE 模型
现在是时候在网络安全风险评估中记录这些风险了。
网络安全风险管理
根据指南:
为了全面执行根据 21 CFR 820.30(g) 进行的风险分析,FDA 建议设备制造商进行安全风险评估和单独的 accompanying 安全风险评估,以更全面地识别和管理患者安全风险。
网络安全风险评估的内容与安全风险评估不同,但应由威胁模型告知。
FDA 继续表示:
执行安全风险管理与根据 ISO 14971 描述的执行安全风险管理不同。这些过程在执行上的区别在于,在安全背景下与安全背景下相比,可能的伤害范围和风险评估因素可能不同。此外,虽然安全风险管理专注于身体伤害、财产或环境损害,或由于设备或系统不可用而导致的护理延迟和 / 或拒绝,但安全风险管理可能包括可能导致间接或直接患者伤害的风险。此外,可能还存在 FDA 安全性和有效性评估范围之外的风险,例如与业务或声誉相关的风险。
作为 SPDF 的一部分,安全风险管理流程的首要目标是揭示威胁如何通过漏洞导致影响,即患者伤害和其他潜在风险。第二个目标是确保应用风险控制措施以防止这些影响,并确保一种风险评估的控制措施不会意外引入另一种风险评估的新风险。影响可能与患者相关,也可能不相关。
我建议在网络安全风险评估的风险识别阶段,识别以下四个要素是必不可少的:
资产
威胁
漏洞
影响
“资产”可以是 DFD 中的元素,“威胁”可以使用 STRIDE(如图 2 所示)进行解析,“漏洞”是设计中的缺陷,网络安全团队需要通过询问以下问题来集思广益:威胁如何利用软件中的当前设计弱点? 最后,“影响”是网络安全风险的潜在结果。
记录这些信息后,我们需要对其进行优先级排序。
FDA 指出:
网络安全风险难以预测,这意味着无法基于历史数据或建模(也称为“概率方式”)评估和量化事件发生的可能性。这种非概率方法与 ISO 14971 下执行的安全风险管理的基本方法不同,进一步强调了为什么安全和安全风险管理是不同的但相关的过程。相反,安全风险评估过程侧重于可利用性,即利用设备和 / 或系统中存在的漏洞的能力。
CVSS 评分正迅速成为网络安全风险评估的标准,因为它允许使用经过策划的风险参数来确定可利用性和影响。CVSS 评分也在 2016 年 FDA 指南《医疗器械网络安全的上市后管理》中被引用。欲了解更多,请参阅 CVSS。
请参阅表 2 以获取基本网络安全风险评估。现在是时候分配风险控制了。
安全风险控制
威胁建模练习应提供一组良好的初步风险控制。在图 2 的威胁模型中,让我们分析“HTTPS 请求”的交互。Microsoft 威胁建模器的示例输出如图 3 所示。
图 3:威胁建模练习输出
有效的网络安全依赖于将安全性“内置”到设备中,而不是在设备设计完成后“附加”上去。这就是设计安全。
FDA 建议设备制造商的设计流程包括网络安全控制的设计输入。安全控制使制造商能够实现之前概述的安全目标。
FDA 建议,充分的安全控制应包括但不限于以下类别的控制:
身份验证;
授权;
密码学;
代码、数据和执行完整性;
机密性;
事件检测和记录;
弹性和恢复能力;
可更新性和可修补性。
安全控制的实施应基于与主题连接和设备相关的风险确定,应用于系统架构。如果没有跨越医疗设备系统的充分安全控制,包括管理、技术和操作控制,就无法合理保证安全性和有效性。此外,选定安全控制的设计或这些控制的实施中的缺陷可能会对设备展示或维持其安全性和有效性产生重大影响。
制造商应在上市前提交文件中提交文档,证明上述类别的安全控制已:
已实施;
已测试以验证其有效实施。
网络安全风险评估 – 综合所有内容
表 2 展示了一个基本的网络安全风险评估,综合了我们讨论的所有元素。它轻松接受来自威胁模型的输入,并适用于 CVSS 评分以进行优先级排序。根据操作环境,可以在此评估中添加其他字段,如剩余分数、环境分数、原因、实施和有效性验证等。
表 2:基本网络安全风险评估
潜在的网络安全风险可能对安全产生影响。AAMI TIR57:2016/R2019 在图 4 中明确说明,需要通过安全风险管理流程将具有潜在安全影响的网络安全风险评估为安全风险。不仅如此,该报告进一步澄清,任何影响安全的网络安全控制应被分析和评估为安全风险,反之亦然。
网络安全测试
与其他产品开发领域一样,测试用于证明设计控制的有效性。网络安全控制需要超出标准软件验证和验证活动的测试,以证明控制在适当的安全背景下有效,从而证明设备在合理范围内安全有效。
FDA 建议制造商对其上市前提交文件中包含的医疗设备系统的网络安全进行充分测试,通过这些测试,制造商验证和验证其输入和输出,如适当。制造商应将安全测试文档及相关报告或评估包含在上市前提交文件中,并在网络安全风险评估的适当列中记录。
除了标准验证测试外,FDA 建议将以下类型的测试(包括但不限于)纳入提交文件:
表 3:网络安全测试类型
在某些情况下,可能需要使用第三方以确保两个小组之间适当的独立性,以便在测试期间发现的漏洞或其他问题得到适当解决。对于任何第三方测试报告,制造商应提供原始第三方报告。对于所有测试,制造商应提供对任何发现的评估,包括不实施或推迟任何发现到未来版本的理由。在测试期间发现的漏洞和异常应在安全风险管理流程中评估其安全影响。
## 具有网络安全风险的设备标签建议
对于具有网络安全风险的设备,通过标签告知用户相关的安全信息可能是符合此类风险相关标签要求的有效方式。FDA 还认为,通过标签告知用户安全信息可能是设计和开发活动的重要组成部分,有助于降低网络安全风险,并确保设备的持续安全性和有效性。任何转移给用户的风险应详细说明,并考虑纳入可用性测试(例如,人类因素测试)的任务中,以确保用户类型具备采取适当措施管理这些风险的能力。
结论
FDA 2025 年最终指南是医疗器械网络安全管理和监管演变中的一个重要正式步骤。尽管内容没有重大意外,但通过定义 SPDF 整合、网络安全风险管理、威胁建模、生命周期监控和健壮文档的期望,明确了 FDA 的期望。
制造商必须立即采取行动,使其开发和质量体系与本指南对齐,以确保监管合规,并在日益互联的医疗生态系统中保护患者免受网络相关伤害。
