基于Microsoft威脅建模工具的醫(yī)療健康場(chǎng)景下醫(yī)療器械網(wǎng)絡(luò)安全問題分析方法

姜宗伯，李澍，劉穎穎

1.重慶大學(xué) 生物工程學(xué)院，重慶 400044；2.中國食品藥品檢定研究院 醫(yī)療器械檢定所，北京 102629；3.北京醫(yī)藥健康科技發(fā)展中心，北京 100035

引言

隨著人工智能、物聯(lián)網(wǎng)、大數(shù)據(jù)、云計(jì)算等技術(shù)不斷融入醫(yī)療行業(yè)，信息數(shù)據(jù)在患者、醫(yī)生、醫(yī)療機(jī)構(gòu)、醫(yī)療設(shè)備之間交互，醫(yī)療服務(wù)逐步走向智能化[1]。新一代信息技術(shù)正在加速與醫(yī)療器械融合創(chuàng)新，人工智能輔助診療產(chǎn)品、可穿戴健康監(jiān)測(cè)設(shè)備、遠(yuǎn)程診療設(shè)備等新技術(shù)產(chǎn)品加速普及應(yīng)用，智能化醫(yī)療器械正在改變傳統(tǒng)的疾病預(yù)防、檢測(cè)、治療模式，為提高人民群眾健康質(zhì)量提供新的手段。智能化醫(yī)療器械具有智能化、網(wǎng)絡(luò)化、數(shù)字化等特點(diǎn)，其安全性直接關(guān)系到人身安全、財(cái)產(chǎn)安全以及個(gè)人信息權(quán)益。

在充分利用新技術(shù)為整個(gè)醫(yī)療器械行業(yè)帶來革命性進(jìn)步的同時(shí)，如何解決隨之而來的信息安全問題值得我們分析探討[2]。如今的醫(yī)療設(shè)備已經(jīng)從獨(dú)立的系統(tǒng)過渡到互聯(lián)互通、網(wǎng)絡(luò)化的設(shè)備，這些設(shè)備嚴(yán)重依賴于更智能、更便捷的軟件，越來越多的醫(yī)療設(shè)備具備患者信息存儲(chǔ)、處理和網(wǎng)絡(luò)通訊能力，從而提供更高效的患者護(hù)理服務(wù)。隨著醫(yī)療設(shè)備在醫(yī)療機(jī)構(gòu)資產(chǎn)和效益中的權(quán)重逐漸增加，醫(yī)療設(shè)備更加頻繁地參與電子健康信息的交換活動(dòng)，網(wǎng)絡(luò)信息安全問題變得越來越重要[3-4]。隨著互聯(lián)網(wǎng)技術(shù)在醫(yī)療領(lǐng)域的廣泛應(yīng)用，具備網(wǎng)絡(luò)連接功能以及無線連接功能的醫(yī)療器械不斷出現(xiàn)[5]，有效提升了醫(yī)療工作的質(zhì)量和效率[6]，但是網(wǎng)絡(luò)數(shù)據(jù)信息危險(xiǎn)也相應(yīng)增加，導(dǎo)致器械信息面臨網(wǎng)絡(luò)攻擊，受到包括勒索、盜取和破壞醫(yī)療數(shù)據(jù)的威脅[7-8]。醫(yī)療器械網(wǎng)絡(luò)出現(xiàn)安全威脅后的影響十分惡劣，例如，侵犯患者隱私，同時(shí)可能產(chǎn)生醫(yī)療器械非預(yù)期運(yùn)行的風(fēng)險(xiǎn)，導(dǎo)致患者或使用者受到傷害甚至死亡[9]。造成智能醫(yī)療器械信息安全問題的主要原因有軟件質(zhì)量問題、網(wǎng)絡(luò)攻擊、信息安全監(jiān)管缺失以及木馬病毒等[10]，為了避免因發(fā)生網(wǎng)絡(luò)安全問題而造成的后果和影響，除了運(yùn)行時(shí)對(duì)網(wǎng)絡(luò)安全的維護(hù)，投入使用前對(duì)潛在的網(wǎng)絡(luò)安全問題的預(yù)防也至關(guān)重要，對(duì)場(chǎng)景下各個(gè)醫(yī)療器械和接口之間以及數(shù)據(jù)流進(jìn)行分析，發(fā)現(xiàn)可能存在的威脅及漏洞并制定預(yù)防措施成為了必不可少的步驟。

目前我國對(duì)醫(yī)療器械網(wǎng)絡(luò)信息安全性雖然已有一些標(biāo)準(zhǔn)要求，但適應(yīng)性廣[11]，并沒有完備的評(píng)價(jià)標(biāo)準(zhǔn)或流程來評(píng)判場(chǎng)景下醫(yī)療器械的網(wǎng)絡(luò)信息安全性，評(píng)價(jià)研究尚未充分開展，相關(guān)研究報(bào)告較少，也尚未形成標(biāo)準(zhǔn)。在醫(yī)療健康場(chǎng)景中，數(shù)據(jù)的時(shí)效性、完整性等尤為重要，在數(shù)據(jù)的傳輸存儲(chǔ)過程中，一旦發(fā)生泄露、篡改或丟失，則會(huì)侵犯使用者的隱私，甚至影響醫(yī)生的判斷進(jìn)而最終影響患者的健康或治療。

結(jié)合醫(yī)療健康場(chǎng)景的特殊性，本文對(duì)模擬構(gòu)建的醫(yī)療健康場(chǎng)景下的醫(yī)療器械及接口的數(shù)據(jù)流進(jìn)行分析并構(gòu)建出數(shù)據(jù)流圖，運(yùn)用Microsoft 威脅建模工具根據(jù)STRIDE 模型生成漏洞列表，對(duì)掃描出的漏洞進(jìn)行分類、分析并制定預(yù)防策略，并通過參考通用安全漏洞評(píng)分系統(tǒng)（Common Vulnerability Scoring System，CVSS）模型和滲透測(cè)試等方法驗(yàn)證漏洞的可利用性與降低風(fēng)險(xiǎn)措施的有效性，達(dá)到對(duì)可能發(fā)生的網(wǎng)絡(luò)安全問題進(jìn)行預(yù)防的目的，為醫(yī)療健康場(chǎng)景下醫(yī)療器械網(wǎng)絡(luò)信息安全評(píng)估規(guī)范和標(biāo)準(zhǔn)的制定提供參考。

1 材料與方法

1.1 研究對(duì)象：醫(yī)療健康場(chǎng)景

在分析醫(yī)療健康場(chǎng)景的網(wǎng)絡(luò)安全問題時(shí)，由于場(chǎng)景的特殊性，需要特別關(guān)注通信過程中的性能，包括數(shù)據(jù)的完整性、可靠性、傳輸速率與距離、延時(shí)以及功耗等問題。醫(yī)療數(shù)據(jù)和患者信息在醫(yī)療設(shè)備、服務(wù)器系統(tǒng)、數(shù)據(jù)庫之間傳輸和存儲(chǔ)等過程中一旦發(fā)生泄露，則會(huì)侵犯患者的隱私。在醫(yī)生進(jìn)行遠(yuǎn)程診斷等線上操作時(shí)，數(shù)據(jù)傳輸?shù)目煽啃约把訒r(shí)成為了需要考慮的重要因素，直接影響到醫(yī)生的判斷，關(guān)系到患者或用戶的治療與健康。所以在分析場(chǎng)景的網(wǎng)絡(luò)安全問題時(shí)，要針對(duì)場(chǎng)景的特殊性制定專門的、適合場(chǎng)景的方法和策略。

為了針對(duì)醫(yī)療健康場(chǎng)景的特點(diǎn)及特殊性，探究其網(wǎng)絡(luò)安全問題的解決方法，本文通過模擬用戶或患者在家庭及醫(yī)院所處場(chǎng)景中的醫(yī)療設(shè)備及主動(dòng)健康設(shè)備、場(chǎng)景中的節(jié)點(diǎn)及數(shù)據(jù)傳輸模式，構(gòu)建一個(gè)醫(yī)療健康場(chǎng)景，見圖1。在家庭場(chǎng)景中，用戶在家中使用血壓計(jì)、血糖儀、呼吸機(jī)、心電檢測(cè)儀等醫(yī)療設(shè)備及主動(dòng)健康設(shè)備測(cè)量自身數(shù)據(jù)，儀器通過藍(lán)牙或者Wi-Fi 上傳至手機(jī)或PAD，經(jīng)路由器最終上傳到服務(wù)器中。醫(yī)院場(chǎng)景中，院內(nèi)的醫(yī)療器械設(shè)備直接通過網(wǎng)絡(luò)上傳至服務(wù)器。服務(wù)器將采集測(cè)量到的數(shù)據(jù)儲(chǔ)存在數(shù)據(jù)庫中，并將數(shù)據(jù)傳到報(bào)告分析系統(tǒng)，系統(tǒng)對(duì)用戶的數(shù)據(jù)進(jìn)行分析并生成用戶檢測(cè)報(bào)告單上傳到PC 端及用戶手機(jī)上，醫(yī)生可以通過PC 端查看患者的數(shù)據(jù)做出診斷和給出治療意見，用戶和患者可以通過移動(dòng)端查看檢測(cè)報(bào)告和醫(yī)生診斷結(jié)果和意見。

圖1 醫(yī)療健康場(chǎng)景示意圖

1.2 STRIDE威脅建模

STRIDE 威脅建模[12]是微軟提出的一種風(fēng)險(xiǎn)分析和評(píng)估工具，幾乎可以涵蓋所有的安全問題[13]。該方法將威脅類型分為假冒（Spoofing，S）、篡改（Tampering，T）、否認(rèn)（Repudiation，R）、信息泄漏（Information Disclosure，I）、拒絕服務(wù)（Denial of Service，D）和權(quán)限提升（Elevation of Privilege，E）。假冒（S），指用戶冒用他人的認(rèn)證信息；篡改（T），指未經(jīng)授權(quán)對(duì)數(shù)據(jù)進(jìn)行修改；否認(rèn)（R），指用戶拒絕從事活動(dòng)，并且沒有任何辦法可以證明他在拒絕承認(rèn)；信息泄露（I），指信息泄露給無權(quán)知曉該信息的人員；拒絕服務(wù)（D），指拒絕服務(wù)攻擊；權(quán)限提升（E），指原本低權(quán)限的用戶獲得了更高的權(quán)限，從而可以進(jìn)行危害系統(tǒng)的活動(dòng)[12-14]。每類STRIDE 都會(huì)根據(jù)數(shù)據(jù)流的元素產(chǎn)生漏洞，威脅建?？梢詫?duì)最可能影響系統(tǒng)的威脅進(jìn)行系統(tǒng)識(shí)別和評(píng)價(jià)[14]。

1.3 Microsoft威脅建模工具

本文選擇使用Microsoft 威脅建模工具來實(shí)現(xiàn)對(duì)場(chǎng)景的建模和生成威脅列表，威脅建模工具是Microsoft安全開發(fā)生命周期的核心要素。潛在安全問題處于無須花費(fèi)過多成本即可相對(duì)容易解決的階段，軟件架構(gòu)師可以使用威脅建模工具提前識(shí)別這些問題，因此可以大幅減少開發(fā)總成本。此外，設(shè)計(jì)該工具時(shí)考慮到了非安全專家的體驗(yàn)，為他們提供有關(guān)創(chuàng)建和分析威脅模型的清晰指導(dǎo)，讓所有開發(fā)人員都可以更輕松地使用威脅建模。

在醫(yī)療健康場(chǎng)景中，患者的隱私及醫(yī)療數(shù)據(jù)和醫(yī)學(xué)圖像的完整性尤為重要，即使是很小的泄露或者改變都可能會(huì)給患者或用戶造成重大影響和威脅，建模的過程中需要著重針對(duì)數(shù)據(jù)進(jìn)行考慮。因此，基于醫(yī)療健康場(chǎng)景的特殊性，本文選擇使用Microsoft 威脅建模工具，通過Microsoft 威脅建模工具可以創(chuàng)建數(shù)據(jù)流圖，分析數(shù)據(jù)流圖自動(dòng)生成潛在威脅列表，繪制數(shù)據(jù)流圖分析各個(gè)外部實(shí)體與系統(tǒng)之間的數(shù)據(jù)交互關(guān)系。系統(tǒng)體系結(jié)構(gòu)和數(shù)據(jù)流圖分析是通過對(duì)系統(tǒng)的總體架構(gòu)和業(yè)務(wù)流程的分析，劃定業(yè)務(wù)系統(tǒng)的數(shù)據(jù)流和安全邊界[15]。Microsoft威脅建模工具可以通過數(shù)據(jù)流圖分析出漏洞，根據(jù)潛在的漏洞提出緩解措施，并生成報(bào)告，列出已識(shí)別和已緩解的威脅，還可以為威脅建模創(chuàng)建自定義模板。

1.4 方法

1.4.1 建模繪制數(shù)據(jù)流圖并生成漏洞列表

對(duì)系統(tǒng)環(huán)境進(jìn)行分析，確定場(chǎng)景下的各個(gè)設(shè)備和參與的角色，確定數(shù)據(jù)資源并將參與者映射到資源；進(jìn)行系統(tǒng)分解，對(duì)每種設(shè)備類型的數(shù)據(jù)流進(jìn)行建模，識(shí)別威脅面；對(duì)數(shù)據(jù)流模型進(jìn)行系統(tǒng)分解，以創(chuàng)建漏洞列表；確定系統(tǒng)邊界，作為設(shè)備類型建模的一部分，邊界用于定義固有信任區(qū)域。信任邊界被描述為虛線框，當(dāng)在模型中使用時(shí)，指示邊界的兩側(cè)不信任另一側(cè)。因此，當(dāng)數(shù)據(jù)流跨越信任邊界時(shí)，其將成為不可信的數(shù)據(jù)流，并產(chǎn)生可能的漏洞。利用Microsoft 威脅建模工具繪制數(shù)據(jù)流圖并生成漏洞列表，通過STRIDE 模型對(duì)醫(yī)療設(shè)備系統(tǒng)中的潛在威脅進(jìn)行識(shí)別并分類。

1.4.2 對(duì)漏洞威脅進(jìn)行評(píng)分

CVSS 是由美國國家基礎(chǔ)設(shè)施顧問委員會(huì)（NIAC）開發(fā)、事件響應(yīng)與安全組織論壇（FIRST）維護(hù)的一個(gè)開放的計(jì)算機(jī)系統(tǒng)安全漏洞評(píng)估框架，是公開的行業(yè)評(píng)測(cè)標(biāo)準(zhǔn)，用來評(píng)估漏洞的嚴(yán)重程度。CVSS 將每個(gè)漏洞量化為0～10 的具體分值，分?jǐn)?shù)越高，危險(xiǎn)級(jí)別越高[16-18]。但由于醫(yī)療健康場(chǎng)景的特殊性，評(píng)分的標(biāo)準(zhǔn)應(yīng)該針對(duì)場(chǎng)景進(jìn)行相應(yīng)的調(diào)整，需考慮到數(shù)據(jù)泄露或篡改、傳輸過程中的延時(shí)等造成的影響，根據(jù)數(shù)據(jù)存儲(chǔ)傳輸過程中的完整性、機(jī)密性、可利用性以及時(shí)效性等因素，調(diào)整相應(yīng)分值的比重。通過基本評(píng)估、時(shí)間評(píng)估、環(huán)境評(píng)估3個(gè)維度，在生成漏洞列表后，參考CVSS 對(duì)潛在威脅進(jìn)行評(píng)分，并確定威脅的優(yōu)先級(jí)順序。

1.4.3 風(fēng)險(xiǎn)降級(jí)

根據(jù)評(píng)分的結(jié)果，針對(duì)STRIDE 的威脅類別提出相應(yīng)的緩解措施方案，進(jìn)行風(fēng)險(xiǎn)降級(jí)。而后利用Nmap、Hscan、Nikto、SQLMap、Burpsuit 等滲透測(cè)試工具和信息收集、端口掃描、Web 端口手工訪問與探測(cè)、弱口令探測(cè)、配置文件與數(shù)據(jù)庫檢查等滲透測(cè)試技術(shù)[19]對(duì)整個(gè)場(chǎng)景進(jìn)行滲透測(cè)試，并用CVSS 對(duì)降級(jí)后的風(fēng)險(xiǎn)進(jìn)行評(píng)估，以驗(yàn)證漏洞的可利用性和降低風(fēng)險(xiǎn)措施的有效性，確保漏洞都降低到可接受的風(fēng)險(xiǎn)水平。

2 結(jié)果

對(duì)醫(yī)療健康場(chǎng)景進(jìn)行分析，利用軟件Microsoft Threat Modeling Tool 針對(duì)場(chǎng)景繪制流程圖（圖2），并生成威脅建模報(bào)告。

圖2 醫(yī)療健康場(chǎng)景數(shù)據(jù)流圖

分析每個(gè)數(shù)據(jù)流及相關(guān)處理過程是否有STRIDE 各類威脅存在，識(shí)別并記錄威脅。針對(duì)設(shè)備及系統(tǒng)的處理過程、數(shù)據(jù)流和數(shù)據(jù)存儲(chǔ)及外部實(shí)體的訪問可能存在的各種威脅進(jìn)行分析，共有66 個(gè)威脅，包含15 個(gè)S（假冒）、3 個(gè)T（篡改）、10 個(gè)R（否認(rèn)）、4 個(gè)I（信息泄露）、14 個(gè)D（拒絕服務(wù)）和20 個(gè)E（權(quán)限提升）。由于威脅個(gè)數(shù)過多且有一定重復(fù)性，根據(jù)類型整理歸類出可能存在的威脅的風(fēng)險(xiǎn)描述及分析如表1 所示。

表1 各類威脅的描述分析

3 討論

通過對(duì)模擬的醫(yī)療健康場(chǎng)景構(gòu)建數(shù)據(jù)流圖并使用Microsoft 威脅建模工具生成漏洞列表的結(jié)果表明，本研究方法用于發(fā)現(xiàn)場(chǎng)景下的網(wǎng)絡(luò)安全問題并尋找解決辦法是可行的。對(duì)于醫(yī)療健康場(chǎng)景下的網(wǎng)絡(luò)安全，應(yīng)該更加注重對(duì)患者隱私及數(shù)據(jù)的保護(hù)，要保證患者的隱私安全，保證醫(yī)療數(shù)據(jù)不會(huì)泄露或被篡改導(dǎo)致影響醫(yī)生的判斷甚至影響患者的健康和安全。在生成威脅列表對(duì)威脅進(jìn)行分類分析后，結(jié)合醫(yī)療健康場(chǎng)景的特殊性，根據(jù)CVSS制定評(píng)分策略。新的評(píng)分策略既要關(guān)注醫(yī)療系統(tǒng)的風(fēng)險(xiǎn)識(shí)別、安全防御、檢測(cè)、恢復(fù)、響應(yīng)以及可控性等因素，還要關(guān)注醫(yī)療數(shù)據(jù)的完整性、保密性、可用性、異常識(shí)別以及備份恢復(fù)等因素，并根據(jù)評(píng)分結(jié)果結(jié)合醫(yī)療健康場(chǎng)景的特殊性針對(duì)每一類威脅制定威脅緩解措施進(jìn)行風(fēng)險(xiǎn)降級(jí)。

（1）當(dāng)患者、醫(yī)護(hù)人員與醫(yī)療器械及系統(tǒng)或醫(yī)療器械系統(tǒng)與數(shù)據(jù)庫發(fā)生信息的傳遞或交互時(shí)會(huì)產(chǎn)生假冒（S）威脅，可以使用強(qiáng)身份驗(yàn)證以及加密算法進(jìn)行加密等方法來緩解威脅。例如，當(dāng)數(shù)據(jù)庫被攻擊者欺騙時(shí)可能會(huì)導(dǎo)致數(shù)據(jù)被寫入攻擊者的目標(biāo)而不是數(shù)據(jù)庫，以及服務(wù)器或系統(tǒng)被攻擊者欺騙可能導(dǎo)致未經(jīng)授權(quán)訪問服務(wù)器或系統(tǒng)，可以使用標(biāo)準(zhǔn)身份驗(yàn)證機(jī)制來標(biāo)識(shí)目標(biāo)數(shù)據(jù)存儲(chǔ)及系統(tǒng)服務(wù)器。

（2）當(dāng)使用人員對(duì)醫(yī)療器械及系統(tǒng)發(fā)送請(qǐng)求時(shí)會(huì)產(chǎn)生篡改（T）威脅，使用者請(qǐng)求的數(shù)據(jù)可能被攻擊者篡改，可以采取授權(quán)管理、數(shù)字簽名、輸入驗(yàn)證及物理方法等來緩解威脅。例如，使用者與醫(yī)療器械系統(tǒng)進(jìn)行交互時(shí)可能缺乏輸入驗(yàn)證，流經(jīng)請(qǐng)求的數(shù)據(jù)可能被攻擊者篡改，導(dǎo)致針對(duì)醫(yī)療器械系統(tǒng)的拒絕服務(wù)攻擊、特權(quán)提升攻擊或信息泄露。未能驗(yàn)證輸入是否符合預(yù)期是問題的根本原因，可以考慮所有路徑及其處理數(shù)據(jù)的方式，使用批準(zhǔn)的列表輸入驗(yàn)證方法驗(yàn)證所有輸入的正確性。

（3）當(dāng)使用人員與醫(yī)療器械及系統(tǒng)進(jìn)行請(qǐng)求及響應(yīng)時(shí)，發(fā)生數(shù)據(jù)的傳遞與交互時(shí)會(huì)產(chǎn)生否認(rèn)（R）威脅，導(dǎo)致未從信任邊界另一端接收到數(shù)據(jù)，可以采取數(shù)字簽名、系統(tǒng)審計(jì)等方法來緩解威脅。例如，醫(yī)護(hù)人員對(duì)系統(tǒng)發(fā)送請(qǐng)求時(shí)，系統(tǒng)聲稱沒有從信任邊界之外的源接收數(shù)據(jù)，可以考慮使用日志記錄或?qū)徍藖碛涗浗邮諗?shù)據(jù)的源、時(shí)間以及摘要。

（4）當(dāng)對(duì)數(shù)據(jù)庫的數(shù)據(jù)進(jìn)行讀取和使用人員對(duì)醫(yī)療器械及系統(tǒng)發(fā)送請(qǐng)求時(shí)，會(huì)產(chǎn)生信息泄露（I）的威脅，發(fā)送請(qǐng)求的數(shù)據(jù)可能會(huì)被攻擊者嗅探，用來攻擊系統(tǒng)的其他部分。當(dāng)信息可以被未經(jīng)授權(quán)的一方讀取時(shí)，就會(huì)發(fā)生信息泄露，可以對(duì)數(shù)據(jù)流進(jìn)行加密，使用授權(quán)管理、隱私增強(qiáng)協(xié)議等方法來預(yù)防。例如，服務(wù)器讀取數(shù)據(jù)庫信息時(shí)可能會(huì)發(fā)生資源的弱訪問控制，導(dǎo)致攻擊者可以讀取其他信息，可以使用查看授權(quán)設(shè)置；醫(yī)護(hù)人員對(duì)系統(tǒng)發(fā)生請(qǐng)求時(shí)流經(jīng)請(qǐng)求的數(shù)據(jù)可能會(huì)被攻擊者嗅探，根據(jù)攻擊者可以讀取的數(shù)據(jù)類型可能被用來攻擊系統(tǒng)的其他部分導(dǎo)致泄露信息，可以使用加密數(shù)據(jù)流。

（5）當(dāng)進(jìn)程或數(shù)據(jù)存儲(chǔ)無法為傳入請(qǐng)求提供服務(wù)或無法按規(guī)范執(zhí)行時(shí)，會(huì)發(fā)生拒絕服務(wù)（D）。當(dāng)醫(yī)療器械及系統(tǒng)發(fā)生故障停止運(yùn)行或運(yùn)行緩慢，以及數(shù)據(jù)庫發(fā)生過度的資源消耗時(shí)，會(huì)對(duì)傳入的請(qǐng)求拒絕服務(wù)，可以提高網(wǎng)絡(luò)帶寬或關(guān)閉不必要的服務(wù)和端口來提高抵抗拒絕服務(wù)的能力，使用身份驗(yàn)證、過濾、限流等方法來緩解威脅。

（6）醫(yī)療器械系統(tǒng)及服務(wù)器可能會(huì)被利用bug 來實(shí)現(xiàn)獲得增強(qiáng)的功能或特權(quán)產(chǎn)生權(quán)限提升（E）威脅。例如，攻擊者將數(shù)據(jù)傳遞到系統(tǒng)中，以便將系統(tǒng)中的程序執(zhí)行流程更改為攻擊者的選擇；醫(yī)生對(duì)系統(tǒng)發(fā)生請(qǐng)求時(shí)，攻擊者可以模擬請(qǐng)求的上下文來獲得額外的特權(quán)；攻擊者對(duì)系統(tǒng)使用遠(yuǎn)程執(zhí)行代碼獲得特權(quán)提升，可以采取最小權(quán)限原則及強(qiáng)授權(quán)等方法來預(yù)防威脅。

進(jìn)行風(fēng)險(xiǎn)降級(jí)后，根據(jù)醫(yī)療健康場(chǎng)景的特殊性，針對(duì)場(chǎng)景下的數(shù)據(jù)傳輸存儲(chǔ)及醫(yī)療系統(tǒng)等，進(jìn)行側(cè)重于醫(yī)療健康場(chǎng)景的滲透測(cè)試，并使用新的評(píng)分策略進(jìn)行評(píng)分以驗(yàn)證漏洞的可利用性和降低風(fēng)險(xiǎn)措施的有效性，確保漏洞都降低到可接受的風(fēng)險(xiǎn)水平。

本文根據(jù)醫(yī)療健康場(chǎng)景的特點(diǎn)及特殊性，通過模擬移動(dòng)救治和個(gè)人家庭的場(chǎng)景討論檢測(cè)并解決其網(wǎng)絡(luò)安全的方法，為場(chǎng)景下的網(wǎng)絡(luò)安全問題分析和預(yù)防提供思路。但是沒有實(shí)際搭建場(chǎng)景和系統(tǒng)來通過實(shí)驗(yàn)具體驗(yàn)證其可行性，未來的研究方向可以針對(duì)醫(yī)療健康場(chǎng)景，制定符合醫(yī)療健康場(chǎng)景特殊性的漏洞評(píng)分標(biāo)準(zhǔn)及滲透測(cè)試方法，搭建實(shí)際的場(chǎng)景和系統(tǒng)來驗(yàn)證其科學(xué)性及可行性。

4 結(jié)論

本文結(jié)合醫(yī)療健康場(chǎng)景的特殊性，通過Microsoft 威脅建模工具對(duì)模擬的醫(yī)療健康場(chǎng)景進(jìn)行建模分析，繪制數(shù)據(jù)流圖生成威脅列表，對(duì)威脅進(jìn)行分類、分析并參照CVSS 制定針對(duì)醫(yī)療健康場(chǎng)景的評(píng)分策略，提出解決辦法緩解威脅并進(jìn)行風(fēng)險(xiǎn)降級(jí)?？梢钥茖W(xué)有效地分析出醫(yī)療健康場(chǎng)景下可能遇到的威脅及網(wǎng)絡(luò)安全問題，在一定程度上避免或預(yù)防了由網(wǎng)絡(luò)安全問題帶來的后果及影響，為場(chǎng)景下的醫(yī)療器械網(wǎng)絡(luò)安全問題的分析和預(yù)防提供思路。