用于网络安全的接口代理设备的制作方法

本公开总体上涉及用于医疗设备的网络安全，并且尤其涉及为医疗设备部署快速网络安全更新。

背景技术：

1、医疗设备通常面临有关设备的网络安全的严格和持续的要求。例如，美国食品和药品监督管理局(fda)目前正在起草建议书，该建议书指出发现的任何网络漏洞都应在发现网络漏洞后的30天内解决并修复而不干扰医疗设备的性能。随着医疗设备趋向于获取越来越多的网络接口以及数量越来越多的现成软件(otss)组件，由于所有这些都能够向医疗设备引入漏洞，因此及时响应可能是一个巨大的挑战。

2、当前，如果发现了诸如例如wannacry之类的漏洞，则公司的每个业务部门以及公司的网络安全部门需要确定是否有任何业务部门已受到影响，并且如果是，则马上定义一种关于如何解决该问题的方法。这是非常昂贵的，例如，一个这样的网络漏洞补丁需要大量资金(诸如，一百万chf)，并且缓慢的一般网络漏洞补丁周期可能需要大约6-12个月，因此不符合由fda设置的30天时间表。最严重的问题之一可能与暴露的远程服务的库中的漏洞有关。修复这些服务问题可能需要针对受感染的库的补丁，受感染的库通常是医疗设备软件的一部分，从而触发完整的软件发行版。通过将这些服务分隔/镜像到由所有公司医疗设备共享的单独接口代理盒中，可以在单独的接口代理盒中一次针对所有医疗设备对易受攻击的库打补丁，而无需触发个体软件更新。将易受攻击的库留在医疗设备上可以是可接受的，因为该库位于已打补丁且安全的提出的单独接口代理盒的后面。

3、现有技术文件美国专利9，485，218公开了一种用于防止、检测和响应安全威胁的保护设备。然而，现有技术没有解决如下问题：快速打补丁以解决比如来自fda的修复时间要求之类的问题。现有技术也没有考虑其试图保护基础产品中的差异以适应由其提供的服务。相反，现有技术提出了一种方案，该方案中要么针对多个实例进行打补丁，要么被部署为通用产品而没有产品特定的强化。根据现有技术提出的概念，“安全盒”要么将需要针对每个特定产品被定制，要么包含特定产品未必需要的过多服务，从而降低了所讨论的基础设备的安全性。

技术实现思路

1、提供了一种技术方案来显式监视医疗设备的所有接口，以在易于更新和/或打补丁的一般接口上创建统一的网络安全方案，从而提高该医疗设备的网络安全性。

2、本发明涉及一种用于在医疗环境中为医疗设备提供网络保护的系统。所述系统包括：医疗设备，包括多个软件服务；后端服务器，被配置为维持软件更新并向医疗设备提供软件更新；以及接口代理盒，连接到所述医疗设备并与后端服务器通信。接口代理盒被配置为确定驻留在医疗设备上的多个软件服务。接口代理盒被配置为在接口代理盒上安装被确定为驻留在医疗设备上的所述多个软件服务，并且将所安装的软件服务配置为与驻留在医疗设备上的所述多个软件服务匹配。所述接口代理盒被配置为与后端服务器周期性地通信，并且接收安全更新并将安全更新应用于在接口代理盒上安装和配置的多个软件服务。所述医疗设备被配置为利用接口代理盒上的更新的软件服务。

3、本发明提供了创造性的技术方案来解决对fda要求的对医疗设备安全问题和漏洞具有快速响应的需求。接口代理盒代表一种安全措施，其中接口代理盒可以为基础医疗设备提供一定级别的网络安全。本发明提供了一种自动化医疗设备特定设置，即可以将医疗设备的特定软件服务镜像并安装在接口代理盒上，并且在其上可以快速更新接口代理盒上的库和软件包，以确保在接口代理盒上进行最小限度的(因此强化的)安装。

4、接口代理盒包括被配置成与医疗设备通信的医疗设备接口。接口代理盒可以无线地或通过有线连接与医疗设备通信。接口代理盒被配置为具有在接口代理盒上安装和配置的软件服务，该软件服务匹配或镜像驻留在所连接的医疗设备上的软件服务。接口代理盒还包括后端服务器接口，后端服务器接口被配置为定期与后端服务器通信。后端服务器经由后端服务器接口软件服务与接口代理盒通信，以更新安装在接口代理盒上的软件服务的库和软件包。接口代理盒被配置为将软件服务库和软件包更新应用于在接口代理盒上安装和配置的软件服务。然后，所连接的医疗设备利用安装在接口代理盒上的更新的软件服务。

5、安全漏洞通常经由所连接的接口(诸如例如联网接口、usb、串口、蓝牙、wifi等)进入医疗设备系统。利用本发明，这些接口可以被馈送到接口代理盒中，而不是直接馈送到医疗设备中。在一个实施例中，接口代理盒被配置为内部放置在医疗设备本身内。

6、在另一个实施例中，接口代理盒位于医疗设备的外部并且通过通信网络(诸如例如，以太网连接)与医疗设备通信。替代地，接口代理盒可以经由有线连接与医疗设备通信。因此，接口代理盒继而具有去往医疗设备的单独定义的接口。然后，可以监视被馈送到接口代理盒中的这些多个接口，并且可以轻松地在接口代理盒上对接口驱动程序打补丁，而完全无需与医疗设备进行交互，从而避免了由于软件更新和补丁而对医疗设备进行任何重新验证的需要。

7、这样，可以在接口代理盒上对ssl库进行打补丁和更新，而不必对实际医疗设备本身上的软件服务进行打补丁和更新。此外，usb大容量存储设备可以将其内容提供作为服务器消息块(smb)共享，并且可以经由此接口代理盒解决所有安全问题和漏洞，而无需涉及医疗设备。

8、在一个实施例中，输入设备可以直接连接到接口代理盒。接口代理盒被配置为在将来自输入设备的任何输入信号发送到医疗设备之前分析该输入信号。输入设备可以是例如条形码扫描仪、rfid接收器、键盘、触摸屏或其组合。通过分析接口代理盒处的输入，可以检查这些输入是否具有已知的sql注入(或任何其他有害注入)命令，从而为医疗设备提供另一层网络安全。

9、此外，可以为接口代理盒开发附加监视模块，从而从医疗设备本身去除这些监视工作。因此，接口代理盒可以在可能依赖于该一个输入附件的几个医疗设备之间共享。

10、在另一个实施例中，还可以将病毒扫描仪添加到接口代理盒，并且还可以与数据包检查一起实现一般防火墙以在网络攻击可以到达医疗设备之前解决针对接口代理盒的任何指向特定目标的网络攻击。

11、在另一个实施例中，还可以与集成基于云的远程服务(诸如例如出于远程服务活动的目的)的支持一起把针对全部附加模块的支持构建到接口代理盒中，以允许安全特征随着时间推移被容易地扩展。

12、由于不同的医疗设备依赖于不同的软件服务，因此接口代理盒需要相应地适配。这可以通过初始接口代理盒作为通用的基本要素版本来实现，该通用的基本要素版本仅在接口代理盒最初连接到医疗设备之后才检测要保护的医疗设备的基础软件服务。与医疗设备初始连接以及确定医疗设备的软件服务后，接口代理盒可以向受控后端服务器仅请求与该特定医疗设备的特定软件服务设置相关联的那些特定库和软件包。这导致可信软件服务的存储库将被设置在连接的接口代理盒上，并提供一组受支持的可镜像软件服务，这些可镜像软件服务可以根据基础医疗设备主机的配置被自动配置。

13、接口代理盒可以是直接(优选在内部)连接到要保护的医疗设备的一件物理硬件。这是必要的，因为可能存在如下需要：有可能更新此接口代理盒上的所有软件(包括内核和类似物)。因为医疗设备上的软件服务可能仍然稍微易受攻击(但由于医疗设备唯一的接口直接连接到接口代理盒，所以不会暴露)，因此必要的是，人们不能直接访问来自医疗设备的软件服务，而是将始终需要通过接口代理盒。

14、通过将硬件接口代理盒放置在医疗系统或医疗设备旁边并使用接口代理盒连接到通信网络(诸如例如lan、wifi或wan)，在使用来自医疗设备或系统的独立生命周期的情况下允许安全和控制机制的应用被更快地发行。网络安全和控制机制可以开始于正确识别医疗设备或系统，隐匿已配置的数据，加密该数据和传输通道，遵守新的安全约束(来自客户的法规或内部要求)，利用以不同协议与多个通道同时通信的能力将消息重新引导到不同位置，并且对于每个通道，可以利用高度精细但集中化的配置来应用不同的控制准则。

15、对于由于医疗设备上安装的操作系统和/或因为过时的硬件问题而无法连接到后端服务器导致的不能更新或打补丁的较旧的传统医疗设备，此方法特别有优势。

16、这种方法将减少每个医疗设备的网络安全工作量，因为接口代理盒可以重复使用，即接口代理盒可以从一个医疗设备移动到另一个医疗设备，并且可以被重新配置以镜像新的医疗设备。接口代理盒还将允许对大多数网络安全问题做出快速、容易和负担得起的响应。接口代理盒实质上围绕接口创建了防御边界，从而保护医疗设备本身的安全，并允许将医疗设备的软件更新推迟到下一个“正常”软件更新，同时仍维持抵御日常网络安全威胁的高安全级别。

17、隔离的接口代理盒还可以用于实现医疗设备中的某些安全特征。

18、例如：

19、*将结果传输到打印机——可以将结果和任何其他信息传输给打印机协议，以便可以通过接口代理盒将医疗设备连接到打印机。如果将任何新打印机添加到医疗系统环境，或者客户需要打印同一消息的多于一个标签，则接口代理盒可以创建去往不同打印机的多个通道，并相应地传输消息。

20、*直接连接和消息变换以与emr和企业方案集成——将医疗设备和系统连接到其他系统可能需要复杂的消息变换和集成开销。在每个医疗设备中实现这些特征可能是昂贵的，并且需要在医疗设备的生命周期中包括，医疗设备的生命周期可能会很长或难以改变。接口代理盒允许开发定制的驱动程序，该定制的驱动程序可以在附加系统(如果需要)的支持下与医疗设备和目标系统进行交互，以便可以独立于医疗设备本身来实现和处置该集成功能。

21、*与rfid阅读器集成以便在传统设备中实现容易的登录过程——随着法规和医院/实验室基础设施复杂性随着时间推移而改变，可能会出现新的安全需求，该新的安全需求仍然需要包括每个医疗设备的所有功能，这在制造商不想在生命周期中包括该医疗设备的情况下可能是困难或不可能的。如果医疗设备实现用于验证用户的工作流程或事件，则接口代理盒可被用作支持新特征(诸如经由rfid验证用户)的接口，从而简化过程并提高效率。

22、*监视和分析——接口代理盒可通过实现监视和分析特征而不修改系统的内部行为来扩展公司的系统，从而使医疗设备公司能够跟踪医疗设备的状态(当可用时包括商业事件)和现场的系统，并促进客户的需求。

23、将来自连接的接口的安全漏洞分离到隔离的接口代理盒中具有多个优点，该隔离的接口代理盒具有去往主医疗设备的定义接口。一个这样的优点是接口代理盒可以被打补丁和更新，而不会干扰或涉及主医疗设备。

24、另一个重要的优点是，接口代理盒可以针对许多不同的医疗设备进行自我配置，并且仅安装它物理连接到的医疗设备所需的软件。

25、另外，接口代理盒具有以下优点：它可以重复使用或容易地从一个医疗设备移动到另一个医疗设备。

26、此外，接口代理盒可以支持全部附加模块，其中可以将所述支持构建到接口代理盒中，从而允许随时间推移轻松扩展安全特征。接口代理盒还可以支持集成的远程服务，诸如例如出于远程服务活动的目的。

27、在另一个替代实施例中，可以例如通过调换接口代理盒或在接口代理盒上安装新特征来手动更新接口代理盒。这可以提供以下优点：接口代理盒可以在不连接到后端服务器的情况下运行。但是，使用该实施例，用于解决安全漏洞的时间表对于监管机构来说仍然可能持续太长时间，并且医疗设备可能仍然易受到攻击。

28、还提供了一种用于在医疗环境中向医疗设备提供网络保护的计算机实现的方法。该方法包括：将接口代理盒连接到医疗设备；经由通信连接将接口代理盒连接到后端服务器；由接口代理盒获得关于驻留在医疗设备上的基础软件服务的详细信息；由接口代理盒向后端服务器请求医疗设备的基础软件服务；从后端服务器接收医疗设备的软件服务并将其安装到接口代理盒上；在接口代理盒上配置和映射医疗设备的软件服务，使得安装在接口代理上的软件服务镜像与驻留在医疗设备上的基础软件服务相关联的软件服务；周期性地将接口代理盒与后端服务器同步；当检测到更新和补丁时，从后端服务器接收并应用针对在接口代理盒上安装并配置的医疗设备的软件服务的更新和补丁；以及由医疗设备利用接口代理盒上的更新的医疗设备软件服务。

29、该计算机实现的方法还包括：在医疗设备接收来自输入设备的输入之前，由接口代理盒分析该输入。

30、该计算机实现的方法还包括：经由无线连接(诸如例如以太网连接)将接口代理盒连接到医疗设备。接口代理盒也可以经由直接连接(诸如例如usb连接)连接到医疗设备。

31、在一个实施例中，手动执行以下步骤：从后端服务器接收安全更新并将安全更新应用到在接口代理盒上安装和配置的库。

32、在一个实施例中，更新和补丁是安全更新。当检测到此类安全漏洞时，可以在接口代理盒上安装和配置这些安全更新。

33、在一个实施例中，手动执行以下步骤：从后端服务器接收更新和补丁，并将更新和补丁应用到在接口代理盒上安装和配置的库。

34、总而言之，接口代理盒可以允许对大多数网络安全问题做出快速、容易和负担得起的响应，从而在此类网络安全问题可能可以到达所连接的医疗设备之前在接口周围创建防御边界。另外，对驻留在接口代理盒上的软件服务的任何更新或补丁将不依赖于所连接的医疗设备的软件更新或补丁。