[转帖]通过Internet远程访问临床实验室诊断设备

通过Internet远程访问临床实验室诊断设备
北京协和医学院研究生院 杨雪
卫生部临床检验中心 王治国
远程访问实验室仪器和医疗设备可以帮助医护人员及时地获取信息，利于医疗工作快速的进行。过去仪器设备之间的连接通常是使用moderm通过电话线进行访问，在少量设备和不经常访问的前提下是可以的。但是现在的情况是需要对实验室大量设备进行连续监控和访问，这显然是不能满足要求的。通过Internet，可以进行双向电子通讯，提高远程访问和监控的频率和范围，为医院内部管理和日常工作带来了极大的便利。然而，需要注意的是这可能引入了某种安全隐患。本文将介绍美国临床和实验室标准化研究院（CLSI）AUTO9-A[1]标准关于Internet远程访问临床实验室诊断设备的重要规定。
1 信息安全
信息安全应该贯穿护理设备端、供应商端及在这些端口之间的整个传输过程，重点内容包括信息加密、安全证书、访问控制和审计跟踪。
1.1 加密
加密是将一个计算机发送到另一个计算机的所有数据，以只有接受计算机可以解码的格式进行数据编码的过程。数据传输的加密可以通过使用安全协议（HTTPS,SSL）或由协议得出能确保负载信息独立安全的方式。
对于医疗机构的信息安全强烈建议对所有传输数据进行加密，如果不能对所有传输数据进行加密，那么至少也要对下列来自医疗机构的数据类进行加密：
① 所有患者相关信息（需要进行确认才能进行传输）；
② 所有医疗设备人口统计学信息（如联系人姓名，电话号码）；
③ 医疗设备/系统的配置 (如检测代码）；
④ 所使用的仪器性能数据（如质控结果）。
1.2 访问控制
有时需要通过远程访问对设备进行监测和信息修改，为了信息安全需要有访问控制来确保信息安全。医疗机构必须明确任何远程的交互式回话和任何可以影响过程或设备执行的数据操作（“敏感数据”）这两方面的访问资格，其中的“敏感数据”操作比如升级设备软件、更改设备/硬件的配置、以及对试剂/校准品等的信息进行操作。
设备供应商对设备进行远程访问时应该要求通过密码进行访问。
通常为了检修仪器，可能需要远程屏幕共享会话，发生在用户将问题通报到供应商的呼叫中心。在屏幕共享会话时，可能要求访问仪器的样本信息。这可能包含了实验室对患者的特定注释。这是对个体标识健康信息的一个附带使用/泄露，可能在一些国家中是允许的。通常应避免引入仪器，或从医疗机构的信息系统传输任何关于患者标识的信息。
1.3 审计跟踪
为了确保信息修改时信息的安全性，对信息访问和修改采用不同的规则进行监控，对整个过程进行跟踪。数据的传输和修改，定义或可能影响设备的处理过程，应该作为审计跟踪的一部分。
在通常使用访问设备和信息传输的情况下，下列事件应被供应商记录在审计跟踪里：
① 对设备通过交互式工作进行的本地和远程的访问会话(如屏幕共享)，此时应该记录的信息有本地/远程供应商的使用ID、用户连接的实验室设备、授权这个远程会话的实验室人员的姓名/ID、会话开始和结束的日期和时间。
② 任何可以影响设备执行过程的数据操作 (“敏感数据”)，此时应该记录的信息有这个数据项目来源系统的ID、对于所有的放弃步骤， 放弃这些数据的使用者的姓名/ID (在供应商端和在医疗机构端)、执行传递或修改的数据项目、取消事件或接受来自认可来源的日期和时间、与这个数据操作关联的信息（如数据项目被取消的设备信息、上传预定维护或故障信息、下载软件修订或配置变化、下载插入表，用户手册或用户注意事项）。
1.4 技术考虑
防火墙通常会安装在Internet与医疗设备专用网络或供应商网络之间。通过防火墙能够对下列进行限定：开放端口数目 (如只允许限定的端口，如80、443)、数据传输包的类型、以及采用的协议。医疗机构端的防火墙/代理服务器不应该阻止域名、IP地址、供应商连接点端口以及通用的标准协议（如HTTP、FTP）的传输。但为了使技术设备应该能通过，应该对过滤内容和状态监听进行配置。
入侵检测系统/入侵保护系统 (IDS/IPS)可能会安装在医疗设备上，这些产品可以记录未授权的访问企图。IDS是一个签名或者是基础模板软件或硬件产品，当有某种类型或数量的可疑网络活动时可以发出报警，诸如：分布式拒绝访问（DDoS）或者是发生病毒攻击。IPSs 是一个主动设备，为了能够感知攻击，具有重新配置网络过滤的功能。IPS的部署必须避免过滤掉那些看上去像可疑活动的（高网络荷载，类似DoS攻击），所有有价值的合理的网络通讯。同时也要对以引发IPS警告状态，降低客户网络系统能力为目的的哄骗攻击敏感。
虚拟专用网络（VPN）是覆盖在公用网络（通常为Internet）上连接远程端或用户端的通路。大多数VPN使用防火墙和加密的方式来确保连接和数据的安全。如果供应商已经连接一个点，医疗机构的VPN可能采用卫星设备与医疗设备进行通讯。医疗设备有责任进行下游访问的管理。即使VPN完成安全要求，也存在其他对于设备到供应商之间建立连接，具有实用价值的安全解决方案。
2 患者隐私
2.1 HIPAA (健康保险流通与责任法案1996) (美国法规)HIPAA的基本目的包括：保证职员健康保险范围、减少医疗欺诈和滥用、引入/执行简化管理，增加美国医疗系统的效力，以及保护个体的健康信息在没有同意和授权的情况下不被访问。为了改善医疗系统的效率和效力，HIPAA包括了一系列“简化管理”规定，要求采用电子化医疗的卫生部门都要服从此国家标准。通过确保贯穿行业的一致性，这些国家标准使得医疗方案、医生、医院和其他医疗提供单位辩护处理和其他电子化事物的过程变得简单。

以法律的形式要求采用安全和隐私标准来保护个人健康信息，具体有如下信息：电子医疗事物、健康信息保密、员工的唯一标识、安全要求、提供者唯一标识、健康计划的唯一标识、以及强制程序。其它信息可见https://www.hhs.gov/ocr/hipaa.HIPPA对于患者隐私泄漏有着严格的惩罚，包括：① 不低于 $50,000罚款, 一年以下监禁, 或同时采用两种方式；
② 如果以欺诈的方式进行攻击, 处以不低于$100,000罚款，五年以下监禁，或同时采用两种方式；
③ 如果目的是用于销售、传输或为了商业目的使用特定可确认的健康信息，个人利益或是恶意危害的，处以不超过$250,000罚款， 十年以下监禁，或同时采用两种方式。
2003年2月, 卫生和福利部(HHS) 采用了最终版的安全标准规则，以保护电子医疗信息系统不受到不恰当的访问或更改的破坏。在安全标准之下，其下辖的单位必须建立过程和机制，来保护机密性、完整性及电子保护医疗信息的有效性。规定要求其下辖的单位执行管理的、物理的和技术安全的措施，来保护所关心的医疗信息。为了使其下辖的单位更容易遵守，安全措施采用许多相同的术语和定义作为隐私原则。
HIPAA需要确证完整性和数据通过机制的准确性，如校验、CRCs(循环冗余检查)、双密钥、消息确认码或数字签名。下辖的实体和他们的商业合作伙伴必须适当的推进程序，以确保所有的人员都知道，延续到精通HIPPA规则并执行。

2.2 欧盟隐私指令 95/46/EC
类似美国的倡议，为了主动保护受保护的健康信息（PHI），欧洲联盟制定了一个被称为欧洲联盟隐私指令95/46/ec的指令。欧洲联盟（欧盟）隐私指令95/46/ec是以解决问题“关于对于处理个人数据时和对这些数据的自由流动时采取保护”为开发目的。欧盟隐私指令95/46/EC的目标是为了：
① 在欧盟内部，促进个人资料的自由流通，同时确保一个共同的高水平的隐私保护；
② 限制从欧盟到其他国家的个人资料的流通。
欧盟隐私指令适用于“个人资料”，个人资料包括特定个体（资料当事人）的有关资料，利用直接或间接的方式，例如作为一个识别号码或一个或多个因素的具体资料当事人的生理、心理、精神、经济、文化、或社会身份。收集个人资料的基本原则包括：
① 同意：必须获得个人的明确同意；
② 数据完整性：信息不能修改或被操纵；
③ 例外情况：在组织所控制的数据库指导下提供服务；
④ 注意：组织必须告知个体，关于个人信息的采集和应用的目的。如何联系该组织，访问权限，取消和修改；
⑤ 安全：组织建立，维护，并利用个人信息，必须采取预防措施，以保护它免受损失，滥用和未经授权的访问，披露，修改和破坏；
⑥ 转移：个人资料转移给第三方当事人，必须得到个人的批准。
在资料由一个欧盟国家转移到另一个非欧盟国家之前，这个非欧盟国家的隐私法律必须经过“足够”安全的审定。审定评估内容包括：数据的性质、数据处理操作的目的和持续时间、原始国家、最终目的国家、大体的和具体的法律规则，以及在第三国专业的规则和安保措施。
患者（资料当事人）有下列受到尊重的权利，来处理他们的个人信息。
① 了解管理人员、目的、类型和提议进行信息处理的接收器。
② 获取核实数据真实性与合法性的访问权限。
③ 了解自动化处理的“逻辑”。
④ 调整、清除或阻止不准确数据的处理过程。
⑤ 处理数据的对象，特别是用于市场营销目的。
⑥ 不受基于自动数据处理的结果支配。
⑦ 由于不尊重隐私权利，获取司法补救措施。例外情况包括：
统计、历史、或科学目的；国家安全、国防、公共安全、刑事犯罪活动、调整功能的监控、重要的经济利益、以及数据保护的目的。
2.3 日本规则
电子储存的临床记录(HPB No. 517) 由前日本卫生和福利部（目前的卫生劳动和福利部）于1999年4月22日发布。HPB 517是医疗卫生行业的具体内容，类似于HIPAA和欧盟的隐私指令95/46/EC；它包括对电子病例、数据真实性和准确性、存储和传输、资料易读性和安全储存、病人的隐私及存取控制的要求。
2.4 加拿大规则
个人信息保护和电子文件法（PIPEDA）2004年1月1日起生效，针对所有私营部门组织所涉及的商业活动。PIPEDA规定“收集，使用和披露”的“个人资料”。 PIPEDA等关于隐私的法律适用于广泛的隐私，此后逐渐有了专门适用于卫生部门的法律：个人健康资料保护法（PHIPA）。 PHIPA和护理质量的资料保护法，2004（QCIPA）于2004年11月1日起生效。 QCIPA给医院和其他医疗设施调查问题错在哪里的能力，包括有权收集个人资料但必须保密。该法适用于“健康资料保管员”，他们“收集、使用或披露个人健康资料。”健康资料保管人，包括医生，其他医疗从业人员，医院和长期护理设施，以及医疗保健诊所，化验室，药房，卫生部及长期照顾，和其他与健康有关的组织。

3 远程服务协议
使用Internet网络进行远程服务的协议要求加密通讯数据、防止变更以及要有合伙人证明。协议应该在不牺牲安全性的前提下，最小化医疗机构的局域网、Internet网及内网的连接要求。
4 患者安全
远程服务活动必须是在没有患者的安全风险的前提下进行的。如果活动期间，远程会话服务影响部分仪器的测量能力或测量性能，要求受仪器受影响的部件处于封锁状态，不能正常使用，同时该仪器的用户界面清楚地表明，仪器的哪个部分停止服务。如果仪器的配置或软件变更影响该仪器的执行，该仪器在医院的负责人必须在服务会话开始之前通知有关事宜，并且必须接受这些改变。通知应根据客户的政策和程序。通知和承诺以书面形式，和作为仪器服务记录的一部分进行保存。该仪器绝不能放回正常运作，直到根据制造商的建议，和/或医院的标准作业程序的确认活动执行完毕。根据当地或机构的政策对这些记录进行保留。
如果仪器的配置或软件改变影响与其他医院的IT系统通信，系统负责人必须在服务会话开始前进行通报，并且必须在系统恢复正常操作之前校验一起的通讯能力。通知应参考客户的方针和流程。仪器的软件变更，并不影响测量性能必须履行相关仪器操作，和依照服务提供商和仪器负责人之间达成的协定。定期更新操作系统软件或病毒防护软件的条款和条件，在买卖双方的合同中有概要说明。
4.1 电子记录的完整性
远程服务活动绝不能对包含患者敏感信息的电子记录的完整性妥协。在远程服务会话中，不能更改或删除患者相关信息（包括结果）。如果患者敏感信息在服务提供商和仪器之间进行传输，那么必须符合当地的数据保护标准。
4.2 操作者安全
远程服务必须在不伤害操作者安全的前提下执行。该仪器的用户界面，必须清楚的表明，服务活动正在进行，并且建议仪器操作者，不要干涉仪器直到服务会话终止，校验结束。只有当仪器操作负责人同意远程会话并在活动执行中眺望仪器的时候，才能进行服务会话初期的物理活动（移动部件等）。
5 系统安全
系统保护和安全的目的是防止供应商/设备进行病毒、蠕虫的交换或不必要的访问，并保护设备在三个环境中的安全：实验室网站，供应商的设备，和设施的供应商。
5.1 医疗设备的IT环境-通过供应商连接进行的恶意攻击（如病毒）
对供应商的系统进行保护是供应商同医疗机构共同的明确的责任。这个责任，适用于适当的安全基础设施的安装（例如，防毒[AV]保护，设备上有本地防火墙）及维修的基础设施（例如，定期更新的安全补丁或病毒定义文件） 。除了供应商的职责外，医疗机构对于上述保护方法，应回顾和接受供应商的方法。
此外，供应商应回顾医疗结构当前的安全方针和程序，以确保“主机”的设备，在当前最佳安全识别方法，保护仪器和设备抵抗安全攻击。
防病毒软件应被安装在按照需求调整许可的设备上，将来可以自动升级配置或其他方式和过程来确保病毒定义文件是最新的。在设备上的病毒防护软件是供应商指定的，并由供应商进行维护。每个部分的维护，都有其自己的保护软件。这对于易受攻击的操作系统而言不过是一个要求（即由于感染病毒的风险很低，大多数嵌入式操作系统都没有防病毒软件。
5.2 供应商IT环境
供应商应保持安全的方针和程序，确保供应商设施使用目前的最佳做法来保障仪器或设备对安全攻击。现行的政策，必须尽可能解决以下几个方面：设备强化方法；测试/抽查设备的漏洞和弱点；如果可能,安装和监控入侵检测系统(IDS)；对于设备维护访问，创建网络和系统管理方针；阅读和理解设备安全日志文件和信息（在这里应测试/抽查什么）；当检测到安全被打破，设备给供应商发送邮件或网页。报告这种违反行为何时何种方式发生，以及如何进行弱点修复。
供应商应在提供的文件中罗列下列可能会影响仪器，主机和供应商环境的技术领域：访问要求的小时 (即一些特殊计划，或24小时访问）；带宽 (最小的）；常规传输数据量—进出；协议和所需要的端口；采用的加密；用于通讯的有效节点 (即，如果仪器试图连接不在列表中的节点，应被考虑是一个感染迹象或是“后门活动”？）；关于常规和异常系统行为的定义或方针；系统可能通过网络连接特定的主机或主机群。系统应只与特定的系统相连，不应在网络里以任何方式与其他系统进行通讯。如果可能，系统不要作为网络中的节点，除非是与其他信任的系统进行通讯。假定网站IT不能通过维护仪器获取全部的访问和控制权（例如根据服务合同）。
参考文献
[ 1 ] C l i n i c a l L a b o r a t o r y S t a n d a r d s I n s t i t u t e . R e m o t e
access to clinical laboratory diagnostic devices via the Internet;approved standard.CLSI document AUTO09-A[S].Wayne,PA:CLSI,2006.