1、 2023 云安全联盟大中华区版权所有1 2023 云安全联盟大中华区版权所有2卫生信息管理(HIM)工作组的常设和正式地点是:https:/cloudsecurityalliance.org/research/working-groups/health-information-management/2023 云安全联盟大中华区-保留所有权利。你可以在你的电脑上下载、储存、展示、查看及打印，或者访问云安全联盟大中华区官网（https:/www.c-）。须遵守以下：(a)本文只可作个人、信息获取、非商业用途；(b)本文内容不得篡改；(c)本文不得转发；(d)本文商标、版权或其他声明不得删除。请在

2、遵循中华人民共和国著作权法相关条款情况下合理使用本文内容，使用时请注明引用于云安全联盟大中华区。2023 云安全联盟大中华区版权所有3 2023 云安全联盟大中华区版权所有4致谢致谢基于零信任架构的医疗设备安全（Medical Devices In A Zero Trust Architecture）由CSA工作组专家编写，CSA大中华区零信任工作组组织翻译并审校。中文版翻译专家组中文版翻译专家组（排名不分先后）：组 长：组 长：陈本峰严强翻译组：翻译组：江楠欧建军汪海王贵宗谢琴审校组：审校组：董雁超杨涛研究协调员：研究协调员：夏营感谢以下单位的支持与贡献：感谢以下单位的支持与贡献：北京启明星

3、辰信息安全技术有限公司北京赛虎网络空间安全技术发展有限公司北京天融信网络安全技术有限公司苏州云至深技术有限公司腾讯云计算（北京）有限责任公司湖州市中心医院 2023 云安全联盟大中华区版权所有5英文版本编写专家英文版本编写专家主要作者：主要作者：Dr.James Angle贡献者：贡献者：Michael RozaWayne Anderson审校者：审校者：Ashish VashishthaJennifer Minella(jj)David NanceShamik KackerCSA员工：员工：Alex Kaluza健康信息管理(HIM)工作组旨在直接影响健康信息服务提供商如何向其客户提供安全的

4、云解决方案(服务、传输、应用程序和存储)，并在医疗保健和相关行业的各个方面培养云意识。在此感谢以上专家。如译文有不妥当之处，敬请读者联系CSA GCR秘书处给予雅正!联系邮箱researchc-；国际云安全联盟CSA公众号。2023 云安全联盟大中华区版权所有6目录目录致谢.4序言.6概述.8介绍.8零信任.11医疗设备管理项目.12身份.13设备.14网络.16应用.19数据.21结论.22 2023 云安全联盟大中华区版权所有7序言序言医疗保健行业正面临着越来越多针对健康信息、医疗设备和关键系统的网络攻击浪潮。随着医疗设备之间的连接日益增多，漏洞继续增多，攻击面在不断扩大。传统的网络安全已

5、经不再足够应付，因为边界防御可以被突破。为了应对这些风险，医疗机构需要重新思考其安全方案。本文讨论了零信任架构如何增强医疗设备的安全性。零信任消除了对用户、设备和网络流量的隐式信任。相反,它根据细粒度的策略验证和授权每一个访问的尝试。实施零信任需要解决身份、设备、网络、应用和数据等安全支柱。需要强大的设备发现、监控、微隔离和加密技术。细粒度的访问控制、多因素认证和持续验证为设备和数据流创建了分层保护。通过全面可视性、最低权限访问和持续监控，零信任最大限度地减少了医疗设备的风险。它假设网络已被入侵，并专注于入侵后的损失遏制。尽管将零信任应用于医疗机器设备存在挑战,但本文概述了医疗机构可以遵循的策

6、略。采用零信任方法代表了一个范式的转变。随着攻击的增加和复杂化，零信任为医疗服务提供商提供了一条根据消除隐式信任而重塑安全态势的途径。本文旨在成为零信任架构在医疗设备上成功实施的指南。李雨航 Yale LiCSA 大中华区主席兼研究院院长概述概述确保某个网络的安全首先要了解与之相连的一切事物，包括用户、设备、应用程序、系统，以及访问主体试图访问的数据。当设备作为访问主体时，整个访问过程的安全性又是怎样的呢？一般来说，安全必须关注最有可能发生威胁之处。今天的医疗设备经常连接到云端，而威胁和漏洞、技术问题、软件风险和人为因素等各类问题给医疗服务交付组织(HDO)带来了攻击面扩大、风险提升的困扰1。