山石安服｜智慧医疗设备安全测试服务方案

【山石安服】方案·第3篇

一. 方案背景概述

医疗物联网 IoMT 通过连接智能医疗设备、传感器、网关和信息系统，实现了医疗服务的数字化、智能化和远程化，但互联互通性的提升也带来了安全风险剧增的挑战，IoMT 面临包括恶意代码入侵、未经授权的访问、数据泄露、拒绝服务攻击等多种安全威胁，医疗设备直接关联患者生命安全，其安全性、可靠性和隐私保护要求远高于普通物联网设备。

山石网科通过系统化的安全测试，全面评估 IoMT 系统在网络安全、设备安全、数据安全和隐私保护等方面的能力，识别潜在漏洞和脆弱点，提供针对性的加固建议，最终帮助医疗机构和设备制造商构建安全、可靠、合规的 IoMT 环境，支撑智慧医院建设和数字化医疗创新，同时保障患者安全、隐私权益和医疗业务的连续性。医疗机构可以将安全测试纳入信息化建设的常规工作，建立常态化的安全测试和管理机制，持续提升 IoMT 安全水平。

二. 测试服务范围

山石网科 IoMT 安全测试建立在成熟的框架和标准基础之上，以确保测试的全面性和权威性。采用分层架构的安全测试框架，涵盖设备、网络、平台和应用四个维度，每个维度包含安全特性、攻击面和测试方法三个要素，形成立体化的测试覆盖。

• 设备层：聚焦医疗设备本身的安全，包括嵌入式系统安全、固件安全、硬件接口安全和设备身份认证等。

• 网络层：关注设备与网络、设备与设备之间的通信安全，包括无线通信安全、协议实现安全和网络接入安全等。

• 平台层：涵盖 IoMT 平台和数据中心的安全机制，包括数据存储安全、隐私保护、访问控制和安全管理等。

• 应用层：针对医疗业务应用和接口的安全测试，包括用户认证、权限管理、会话安全和 API 安全等。

三. 安全测试标准

山石网科 IoMT 安全测试遵循国内外相关标准和法规要求，确保测试结果的权威性和广泛认可，帮助医疗机构和设备制造商满足国家法律法规和行业监管要求。本方案综合采用但不限于以下标准作为测试依据：

• 国际标准：ETSI EN 303 645《消费者物联网网络安全基线要求》、ISO/TS 6268-2:2025《健康信息学-远程医疗环境的网络安全框架》、FDA医疗设备网络安全指南、IEC 62304医疗设备软件生命周期标准等。

• 国内标准：GB/T 36951-2018《信息安全技术 物联网感知终端应用安全技术要求》、GB/T 37024-2018《信息安全技术 物联网感知层网关安全技术要求》、GB/T 37025-2018《信息安全技术 物联网数据传输安全技术要求》、以及中国互联网协会"智慧健康"焦点领域2025年标准项目。

• 行业规范：《智慧医疗分级评价方法及标准(2025版)》(意见函)、数字医学与健康大会发布的相关技术规范等。

四. 安全测试方法

山石网科安服方案基于设备生命周期感知型测试理念，针对 IoMT 的特点和脆弱性，采用多维度、多层次的测试方法，全面覆盖网络、设备、数据和应用各个层面的安全风险。

五. 测试服务流程

IoMT 安全测试需要遵循科学流程和合理周期，以确保测试的完整性和有效性。本方案将测试过程分为准备阶段、执行阶段、报告阶段和复测阶段，每个阶段都有明确的活动和输出物。

需求沟通 → 方案制定→合同授权→测试实施→报告输出→ 加固修复 → 复测验证 → 持续改进

六. 山石网科服务价值

通过实施本 IoMT 安全测试服务方案，医疗机构和设备制造商可以获得多方面的价值和安全能力提升，有效应对日益严峻的网络安全挑战。

• 防护能力增强：通过漏洞修复和安全加固，增强 IoMT 系统的整体防护能力。采用分层防御策略，在网络、设备、数据和应用各层面建立安全控制措施。建立针对 IoMT 安全事件的应急响应流程，提高安全事件发现、处置和恢复能力。

• 满足合规要求：通过安全测试提供符合国内外标准的证明，为医疗设备上市和市场准入提供支持。满足 FDA 关于医疗设备网络安全的要求，符合《网络安全法》、《数据安全法》和《个人信息保护法》等法律法规。

• 提升患者信任：帮助医疗机构全面掌握 IoMT 系统的安全状况，识别潜在脆弱点和安全隐患，建立安全风险视图，增强患者对数字化医疗服务的信任度，促进医疗服务创新和应用。避免因安全事件导致的声誉损失和经济损失。

• 保障设备安全：为医疗设备制造商提供安全设计建议，降低后期修改成本。为医疗机构提供运行阶段的安全测试和维护建议，确保 IoMT 系统持续安全运行，并在报废时不泄露敏感信息，提供数据销毁和设备处置指导。

山石网科是中国网络安全行业的技术创新领导厂商，由一批知名网络安全技术骨干于2007年创立，并以首批网络安全企业的身份，于2019年9月登陆科创板（股票简称：山石网科，股票代码：688030）。

现阶段，山石网科掌握30项自主研发核心技术，申请570多项国内外专利。山石网科于2019年起，积极布局信创领域，致力于推动国内信息技术创新，并于2021年正式启动安全芯片战略。2023年进行自研ASIC安全芯片的技术研发，旨在通过自主创新，为用户提供更高效、更安全的网络安全保障。目前，山石网科已形成了具备“全息、量化、智能、协同”四大技术特点的涉及基础设施安全、云安全、数据安全、应用安全、安全运营、工业互联网安全、信息技术应用创新、AI安全、安全服务、安全教育等10大类产品及服务，50余个行业和场景的完整解决方案。