进入医疗设备的电子和软件已经变得越来越复杂。目前,利用嵌入式Linux的平台也很常见。同样,医疗设备的安全和保障仍然是最重要的。
电子设计的Bill Wong与通用汽车平台事业部的scott Morrison进行了交谈导师的嵌入式系统部门,西门子业务,关于医疗器械开发使用Linux,管理安全性和安全,确保产品性能成功。
斯科特,Linux开源软件如何用于医疗设备的安全?
Linux已安全地部署在各种医疗设备中,但在具有安全要求的医疗设备中使用Linux,嵌入式开发人员需要遵循由认证标准遵守和认证定义的过程。
那么,Linux可以被预先认证用于医疗设备吗?
不是真的。某些实时操作系统(RTOSs),如Mentor的Nucleus RTOS,可以获得预认证,其他一些供应商的嵌入式软件组件也可以获得预认证。实现这种pre-certification,供应商必须能够显示完整的软件开发流程需求,设计,开发,测试和验证,所有的步骤发展医疗行业标准执行,如ISO 13485和/或IEC 62304。Linux和其他开源组件没有按照这些标准开发,所以它们没有预先认证。
There have been efforts to show conformance of Linux to the over-arching concepts of functional safety, like mapping to IEC 61508, from which many industry standards are derived, including IEC 62304. While this approach isn’t successful, Project ELISA, a current process, is showing promise by improving the processes for open-source software development, and in mapping the higher-quality output to these standards. However, this promise is likely years away from being completely realized.
嵌入式开发人员现在依靠什么来确保他们基于linux的医疗设备的安全?
Linux不是预先认证,而是使用IEC 62304中的一个概念来处理今天的医疗设备,这个概念被称为“未知的Providence软件”(Software of Unknown Providence, SOUP)。根据这些指导方针,Linux被认为是整个设备风险评估的一部分,如果设备中使用的Linux的潜在故障可能会对患者造成伤害,则必须考虑并减轻这些故障。这种风险评估必须满足FDA提交前和提交后指导的要求。
因此,在前端,需要在设备的设计、实现、测试和验证中考虑Linux的使用。然后,使用Linux和所有的开源软件,必须考虑到在产品发布后发现问题的可能性。认证者正在非常密切地关注开源的这个方面,特别是在安全问题方面。
当我们在看医疗设备时,安全和保障都是必要的。我们听说没有保安就不能有安全,但为什么呢?
安全是可以看待独立的东西。即使在医疗设备中,并非所有安全的各个方面都与安全相关。例如,当我们谈论保护某人的个人信息时,这是安全性不重叠的安全性。但是当我们谈论安全时,可能出现问题的事情会影响患者的健康。如果设备不安全,则使坏行为者可能会使这些负面影响发生意外或故意。
Linux和其他开源软件的使用是否有助于保护这些设备?
Linux是那些拥有大量全球开发人员的设备中使用最广泛的操作系统。这个全球开发人员社区的重点是确保Linux在所有条件下都能按预期工作,并且尽可能地安全。
作为世界上被研究最多的操作系统,绝大多数开发者都在认真地改进Linux和其他开源软件包。但是也有一小部分参与者为了自己的目的在寻找进入Linux的方法。使用开源的应用程序的安全性是这两种对立力量之间的一场拉锯战。没有安全,你就没有安全。
Linux怎么可能有这么多的安全漏洞,以至于我们总是能发现更多呢?
Linux和其他主要的开源包,如OpenSSL或SQLite,都是大型包,它们可能与运行在同一系统中的其他软件进行不可预知的交互。这与在代码检查、正常测试或静态分析中很难发现许多缺陷的事实相结合。除非将软件与任务切换和进程间通信结合起来,否则它们是无法被检测到的。最佳实践并不能识别出每一个可能的缺陷或漏洞,我们所依赖的许多开源软件在最初的开发过程中并没有采用今天的最佳实践。
然而,与五年前相比,世界各地设备中使用的最重要的开源软件现在更加稳定和安全。这主要归功于世界各地的工程师在识别开发途径方面的努力和勤奋,在他们发现这些途径时进行修复,以及全世界的社区在他们自己的项目中寻找类似的问题。这项工作永远不会完成,但是在这个重要的基础设施软件中发现可利用的缺陷变得越来越难。
在Linux中发现安全问题时会发生什么?
Linux(包括OpenSSL等其他重要软件)中的安全问题,要么是工程师偶然发现的,比如他们在项目中发现的漏洞,要么是通过协同努力发现漏洞,比如“白帽”黑客。或者,在对攻击进行事后分析时发现漏洞,但这并不常见。
在任何一种情况下,漏洞发现者都将通知社区违规的开源组件。然后,发现者或Linux社区成员将通知Common Vulnerability and exposure (CVE)组该机构由MITRE经营,该组织与该组织密切相关美国国家脆弱性数据库(NVD)这是由国家标准与技术研究所(NIST)管理。
一旦了解漏洞并可提供修复,CVE通过包含在这些列表中被列入的传统。如果利用足够严重,则全世界的安全社区讨论了该问题。这是设备可能最脆弱的程度。由于大多数漏洞被“好人”找到了“好人”,这位糟糕的演员会发现他们的其他地方会发现它们。然后,这些糟糕的演员可以部署利用新发现的漏洞的漏洞利用。
也就是说,这种宣传非常重要,因为它提醒全球社区的问题和解决方案。因此,组织可以确定特定的漏洞是否可能影响其设备,如果是,它们可以在可能攻击之前缓解此问题。当然,不是每个人都能能够更新他们的设备,这将使他们打开攻击。但由于世界上没有真正的秘密,这种开放性可以防止更多的问题。
回到安全的地方。Linux有多安全?
像Linux这样的操作系统并不能直接使设备更安全。操作系统既不能阻止故障的发生,也不能在故障发生时使系统恢复。当您将Linux放在一个没有其他应用程序的系统上并打开它时,Linux会引导;但是,它只是停留在登录提示符处。在利用Linux的应用程序运行之前,它不会做任何事情,而正是这些应用程序对设备的整体安全做出了贡献。虽然操作系统不是一种安全机制,但它支持这些机制,并被认为是一个安全元素。
在当今先进且价格合理的微处理器中,多处理器系统如何影响安全性?
今天的微处理器功能强大且复杂,旨在支持异构的多处理。它们包括运行Linux等操作系统的强大的通用内核,以及处理其他功能的更专门的内核。安全设计是一个集成的系统问题,而不仅仅是硬件或软件。
为了充分利用电路板BOM成本和高级多处理器中组件的更高集成来实现安全敏感设计,应用程序必须保持分离——这就是所谓的混合安全临界。
同时,系统的安全关键部分运行在专门用于实时处理的单独集群上。它具有紧密耦合的数据和指令存储器,具有极低的读取周期,以及高度确定性的性能,或用于错误检测的锁步模式。
先进的多处理系统包含硬件强制隔离,将应用程序世界和安全关键世界分开。然而,软件设计者必须使用诸如Mentor Hypervisor或Mentor多核框架之类的中间件来利用这些硬件特性。这些软件包使重要的系统级功能成为可能,比如处理器集群之间的安全处理器间通信(IPC)。
苏格兰人,谢谢。我们的读者在哪里可以更多地了解Linux和Mentor的嵌入式软件?
我们的网站www.mentor.com/embedded-software/提供了广泛的白皮书和随需应变的网络研讨会,主题包括LBeplay信誉inux、混合临界性、安全性和安全性,以增强嵌入式开发。
Scot Morrison是平台业务部门的总经理,导师图形嵌入式系统部门,监督Linux,Nucleus和Autosar产品线,中间件和专业服务。在2012年加入导师图形之前,Morrison在Wind River Systems Inc.的产品中担任GM和SVP,以前担任工程副总裁。他于1986年加入ISI,在那里他在各种管理职位上度过了14年,最后一直作为1999年的设计自动化解决方案业务部门的VP和GM,负责操作系统和相关的中间件和工具。
