PT1862931E - Dispositivo e processo para protecção dum aparelho medicinal e dum paciente tratado neste aparelho contra influências perigosas provenientes duma rede de comunicação - Google Patents

Dispositivo e processo para protecção dum aparelho medicinal e dum paciente tratado neste aparelho contra influências perigosas provenientes duma rede de comunicação Download PDF

Info

Publication number
PT1862931E
PT1862931E PT07109289T PT07109289T PT1862931E PT 1862931 E PT1862931 E PT 1862931E PT 07109289 T PT07109289 T PT 07109289T PT 07109289 T PT07109289 T PT 07109289T PT 1862931 E PT1862931 E PT 1862931E
Authority
PT
Portugal
Prior art keywords
zone
communication network
communication
network
insecure
Prior art date
Application number
PT07109289T
Other languages
English (en)
Inventor
Hans-Martin Lauer
Alexander Steinkogler
Niko Preus
Original Assignee
Braun Melsungen Ag
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Braun Melsungen Ag filed Critical Braun Melsungen Ag
Publication of PT1862931E publication Critical patent/PT1862931E/pt

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0263Rule management
    • GPHYSICS
    • G16INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR SPECIFIC APPLICATION FIELDS
    • G16HHEALTHCARE INFORMATICS, i.e. INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR THE HANDLING OR PROCESSING OF MEDICAL OR HEALTHCARE DATA
    • G16H10/00ICT specially adapted for the handling or processing of patient-related medical or healthcare data
    • G16H10/60ICT specially adapted for the handling or processing of patient-related medical or healthcare data for patient-specific data, e.g. for electronic patient records
    • GPHYSICS
    • G16INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR SPECIFIC APPLICATION FIELDS
    • G16HHEALTHCARE INFORMATICS, i.e. INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR THE HANDLING OR PROCESSING OF MEDICAL OR HEALTHCARE DATA
    • G16H20/00ICT specially adapted for therapies or health-improving plans, e.g. for handling prescriptions, for steering therapy or for monitoring patient compliance
    • G16H20/10ICT specially adapted for therapies or health-improving plans, e.g. for handling prescriptions, for steering therapy or for monitoring patient compliance relating to drugs or medications, e.g. for ensuring correct administration to patients
    • G16H20/17ICT specially adapted for therapies or health-improving plans, e.g. for handling prescriptions, for steering therapy or for monitoring patient compliance relating to drugs or medications, e.g. for ensuring correct administration to patients delivered via infusion or injection
    • GPHYSICS
    • G16INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR SPECIFIC APPLICATION FIELDS
    • G16HHEALTHCARE INFORMATICS, i.e. INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR THE HANDLING OR PROCESSING OF MEDICAL OR HEALTHCARE DATA
    • G16H40/00ICT specially adapted for the management or administration of healthcare resources or facilities; ICT specially adapted for the management or operation of medical equipment or devices
    • G16H40/60ICT specially adapted for the management or administration of healthcare resources or facilities; ICT specially adapted for the management or operation of medical equipment or devices for the operation of medical equipment or devices
    • G16H40/67ICT specially adapted for the management or administration of healthcare resources or facilities; ICT specially adapted for the management or operation of medical equipment or devices for the operation of medical equipment or devices for remote operation

Landscapes

  • Engineering & Computer Science (AREA)
  • Health & Medical Sciences (AREA)
  • Public Health (AREA)
  • Primary Health Care (AREA)
  • Medical Informatics (AREA)
  • General Health & Medical Sciences (AREA)
  • Epidemiology (AREA)
  • Biomedical Technology (AREA)
  • General Business, Economics & Management (AREA)
  • Business, Economics & Management (AREA)
  • Bioinformatics & Cheminformatics (AREA)
  • Medicinal Chemistry (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Chemical & Material Sciences (AREA)
  • Signal Processing (AREA)
  • Computing Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Small-Scale Networks (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Electrotherapy Devices (AREA)
  • Measuring And Recording Apparatus For Diagnosis (AREA)
  • Eye Examination Apparatus (AREA)

Description

DESCRIÇÃO
Dispositivo e processo para protecção dum aparelho medicinal e dum paciente tratado neste aparelho contra influências perigosas provenientes duma rede de comunicação 0 presente invento refere-se a um dispositivo para integração num aparelho medicinal, o qual é adequado para integração numa rede de comunicação que apresenta, pelo menos, uma zona insegura, assim como, da parte do aparelho, uma zona segura. Além disso, o presente invento refere-se a um aparelho medicinal que, em si, é adequado para integração numa rede de comunicação com, pelo menos, uma zona insegura e, da parte do aparelho, com uma zona segura, assim como, a um sistema medicinal com uma quantidade de aparelhos medicinais deste tipo ou a aparelhos parciais. Para isso, o invento refere-se a um processo para comando dum dispositivo correspondente para integração num aparelho medicinal.
No campo da medicina os aparelhos na sua maioria antigamente eram concebidos como aparelhos independentes. Actualmente uma parte substancial destes aparelhos está integrada numa rede de comunicação. A causa disto deve-se, em parte, a uma consciencialização de custos nos dispositivos medicinais que tornam indispensável um aperfeiçoamento dos processos utilizados, em parte uma memorização central de dados e, com ela, a utilização de redes de comunicação, mas também na crescente complexidade dos aparelhos medicinais que não conseguem uma concretização com um único sistema de computador ou a concretização só é possível com custos demasiado elevados. Por isso, aparelhos medicinais independentes complexos são de facto sistemas que se baseiam numa quantidade de subsistemas de computadores individuais, 1 os quais estão ligados conjuntamente através duma rede de comunicação e contribuem em conjunto para a funcionalidade global do aparelho medicinal. Por outro lado, existem muitos sistemas compostos por aparelhos medicinais independentes que só através da actuação conjunta dos aparelhos medicinais existentes no sistema, se consegue a sua funcionalidade global, o que não se consegue através dos aparelhos independentes. Assim, estes sistemas de aparelhos medicinais representam, por sua vez, aparelhos medicinais que apresentam uma complexidade mais elevada que os subsistemas de aparelhos medicinais existentes. Por exemplo, no campo das bombas de infusão pode formar-se uma mais valia clara, se as bombas puderem ser juntas num sistema de bombas, no interior do qual as bombas puderem comunicar entre si. Se um sistema de bombas deste tipo também puder comunicar com o mundo exterior, isso permite que os dados da infusão que estão disponíveis dos pacientes que foram tratados com infusões sejam transmitidos para um sistema de informações dum hospital. É então possível considerar o sistema de bombas de infusão como um aparelho medicinal no âmbito do invento aqui descrito.
Também se verifica nos últimos anos, com o objectivo de redução de custos, uma passagem dos pacientes do tratamento estacionário para o ambulatório que, no entanto, só pode conduzir a uma redução convincente dos custos originados, se os dados medicinais disponibilizados, com o objectivo de análise e exploração, puderem ser transmitidos para o dispositivo medicinal correspondente rapidamente e de forma eficiente. Também isto se verifica de forma progressiva com o auxílio de redes de comunicação.
Neste contexto verificam-se, no entanto, uma série de dificuldades e de fontes de perigos que, principalmente devido à elevada segurança necessária no tratamento de 2 doentes ou na utilização de aparelhos medicinais, são de importância redobrada. Através da utilização de redes de comunicação neste campo verifica-se, também por isso, um novo tipo de perigos para os pacientes, respectivamente para os utilizadores dos aparelhos medicinais. É possível que através duma influência oriunda da rede de comunicação, o aparelho medicinal seja destruído de modo que isto possa dar lugar a um perigo para o paciente tratado ou a uma falha de funcionamento do aparelho medicinal. A influência deste tipo que pode conduzir a um possível perigo através do aparelho medicinal, é seguidamente designado como ataque ao aparelho medicinal. Este tipo de ataque pode ser provocado, por exemplo, por software que conscientemente tenta esgotar as falhas de segurança, para assim ter acesso a dados confidenciais supostamente existentes e de utilização criminosa do sistema de computador existente no aparelho medicinal ou proceder à sua falsificação. 0 software deste tipo é designado seguidamente como "Malware" (=Software pirata). Porque o "Malware" corrompe as partes objectivas da funcionalidade dum sistema de computador para espionar ou falsificar os dados tem, neste caso, que se partir dum elevado nível de risco para o paciente ou para o correcto funcionamento do aparelho medicinal, se este for atacado pelo "Malware".
Para se poder garantir a segurança e a confidencialidade dos dados existentes na rede, num projecto de redes de comunicação, parte-se com diferentes partes da rede de comunicação com diferente nível de segurança. Nos pontos de separação entre estes sectores, são normalmente instalados mecanismos de segurança, como por exemplo, "Firewall" (=barreiras de segurança). Uma barreira de segurança deste tipo é publicada, por exemplo, na WO 03/095024 e na US 6026502. O centro de gravidade duma segurança deste tipo dos 3 mecanismos de segurança antes referidos, baseia-se na protecção da segurança e confidencialidade dos dados de elevado interesse comercial e não está ou está insuficientemente ajustada às exigências provenientes dos aparelhos medicinais.
Até é possivel que um ataque a um aparelho medicinal se verifique através de outros parceiros de comunicação, portanto, em regra aparelhos medicinais, no interior da parte considerada segura duma rede de comunicação, embora os parceiros de comunicação individuais trabalhem isentos de anomalias e apresentem um comportamento de comunicação considerado cooperante que no entanto, globalmente e em determinadas situações, se pode transformar numa avaria. Isto é comparável com engarrafamentos numa auto-estrada, que se formam espontaneamente, portanto sem qualquer causa exterior identificável, a partir duma determinada densidade de veiculos. Como alternativa, um ataque a um aparelho medicinal pode ser efectuado por outros aparelhos medicinais no interior da parte considerada segura duma rede de comunicação, se os protocolos de comunicação de duas classes de aparelhos medicinais derem lugar a interpretações deficientes, ou se através da comunicação dos aparelhos medicinais o outro aparelho medicinal sofrer uma sobrecarga.
Num grau especial o perigo potencial aumenta se, para produção do aparelho medicinal, forem utilizados componentes de software "allround" (=diversifiçados) já prontos, como por exemplo, sistemas de funcionamento correntes que foram desenvolvidos para uma quantidade de casos de utilização possíveis, apresentam uma elevada complexidade inerente e por isso, são sujeitos num grau elevado ao risco de um ataque. 0 fabricante dum aparelho medicinal encontra-se, neste caso, num dilema em que, por um lado o componente de software 4 utilizado representa um perigo potencial e, por outro lado, um desenvolvimento dos aparelhos medicinais sem a utilização destes componentes é tão complexo que através disso se desenvolve um risco potencial elevado para os pacientes ou termina a função correcta do aparelho medicinal. 0 que a utilização dos referidos componentes de software ainda representa maior risco é o facto do "Malware" ser frequentemente recomendado objectivamente para estes componentes de software e, por isso, aproveita objectivamente eventuais falhas de segurança ali existentes. 0 "Malware" pode infiltrar-se no aparelho medicinal por via indirecta através duma ligação da parte segura da rede de comunicação para uma parte insegura ou por via directa por meio dum suporte de dados ou duma combinação das duas vias. É objectivo do presente invento corrigir, respectivamente eliminar, pelo menos parcialmente, estas dificuldades e disponibilizar um dispositivo, o qual permite proteger aparelhos medicinais das referidas influências prejudiciais da rede de comunicação. 0 invento será definido através das reivindicações. 0 presente invento permite introduzir as exigências especiais que são colocadas pelos aparelhos medicinais a uma segurança contra ataques da rede ou a funções defeituosas e refere-se a um dispositivo segundo a noção fundamental da reivindicação 1 que apresenta meios de transmissão para transmitir pacotes de comunicação para e do aparelho medicinal através da rede de comunicação, que apresenta meios de supervisão para supervisionar o estado da ligação do aparelho com a rede e que apresenta meios de interrupção para interromper uma ligação existente entre as zonas segura e insegura da rede, caso durante a supervisão seja detectada uma situação na 5 ligação da rede que represente um perigo para um paciente tratado pelo aparelho, respectivamente, para a correcta função do aparelho, isto tem a vantagem de, devido às exigências especiais no campo medicinal, bem como através das caracteristicas normais de paredes corta-fogo típicas, principalmente a ligação da zona segura da rede de comunicação para a zona insegura, poder ser feita completamente separada, caso seja detectado um perigo de qualquer tipo para o paciente ou para o aparelho.
Numa característica preferida do dispositivo em conformidade com o invento, os meios de transmissão dispõem dum filtro de pacotes que executa uma filtragem de pacotes dos pacotes de comunicação transmitidos entre a zona insegura e a zona segura da rede de comunicação, sendo que o filtro de pacotes é indicado para não deixar passar pacotes de comunicação potencialmente perigosos para o aparelho medicinal. Além disso, os meios de interrupção podem ser concretizados através de, pelo menos, um interruptor de ruptura, assim como os meios de supervisão apresentam, pelo menos, uma lógica de comando que na determinação duma situação na ligação da rede que represente perigo para um paciente ou para o correcto funcionamento do aparelho, activa a interrupção do ou dos interruptores de ruptura, para separar a zona insegura da zona segura da rede de comunicação directamente ligada ao aparelho medicinal. 0 filtro de pacotes antes referido pode ser concebido de modo que permita executar uma filtragem bidireccional de pacote dos pacotes transmitidos entre a zona insegura e a zona segura da rede de comunicação. Isto garante, assim, um controlo e uma filtragem dos dados transmitidos em ambos os sentidos. Além disso, pode, neste caso, ser executada a 6 separação entre a zona segura e a zona insegura da rede de comunicação preferida como uma segmentação lógica.
Através disto, o filtro de pacotes pode, principalmente, substituir parcial ou totalmente os meios de supervisão e/ou de interrupção em que ele não permite a passagem das viagens dos pacotes de comunicação ou de todos os pacotes de comunicação na operação de filtragem. A separação entre a zona segura e a zona insegura da rede de comunicação pode também ser executada como segmentação fisica, principalmente na forma de diferentes vias de transmissão físicas na zona segura ou na zona insegura da rede ou através de diferentes instâncias da mesma via de transmissão nesta zona. Caso as vias de transmissão com utilização encontrada na rede de comunicação sejam ligadas por cabo, é especialmente vantajoso utilizar cabos de fibra óptica para as vias de transmissão, assim como isto será apresentado e fundamentado na seguinte descrição.
Numa outra forma de execução preferida do presente dispositivo a lógica de comando referida possui meios para execução dum teste estático e/ou dinâmico dos dados a serem transmitidos na rede de comunicação, cujo resultado dá lugar a manutenção ou separação duma ligação existente entre a zona insegura e a zona segura da rede, através da activação dos /do interruptor de ruptura. 0 referido interruptor de ruptura pode ser aplicado no lado ligado à zona segura da rede de comunicação e/ou no lado ligado à zona insegura da rede de comunicação do dispositivo em conformidade com o invento. Através disto é possivel separar só o aparelho medicinal e/ou tanto o aparelho 7 medicinal como o próprio dispositivo da zona insegura da rede.
Numa forma de execução especialmente preferida do dispositivo em conformidade com o invento, este possui uma arquitectura redundante, em que nos meios de supervisão está integrado um modelo das funções dos meios de transmissão que permite controlar a sua forma correcta de funcionamento. Um dispositivo em conformidade com o invento pode também apresentar, pelo menos, dois canais diferentes com respectivamente, meios de transmissão, meios de supervisão, assim como meios de interrupção próprios, sendo que cada canal se supervisiona a si mesmo, como também supervisiona o outro canal de forma independente e na identificação duma situação na ligação da rede que represente perigo para o paciente ou para a função correcta do aparelho, pode efectuar a separação da zona insegura da rede de comunicação. As duas formas de execução antes referidas dum dispositivo em conformidade com o invento caracterizam-se por um elevado nivel de segurança contra ataques provenientes da zona insegura da rede de comunicação ou de outras funções deficientes. 0 presente invento está também orientado para um aparelho medicinal que é adequado para uma integração numa rede de comunicação, a qual apresenta, pelo menos, uma zona insegura, assim como, em termos de aparelho, apresenta uma zona segura e em que um dispositivo em conformidade com o invento apresenta uma das caracteristicas anteriormente referidas. No caso do aparelho medicinal pode tratar-se, principalmente, de bombas de infusão ou monitores de pacientes. 0 presente invento orienta-se também por sistemas medicinais com uma quantidade de aparelhos medicinais do tipo antes 8 referido ou de aparelhos parciais semelhantes, em que o sistema apresenta, pelo menos, um dispositivo como antes referido em conformidade com o invento.
Finalmente o presente invento orienta-se por um processo para comando dum dispositivo deste tipo, em que o processo assegura a transmissão de pacotes de comunicação para e do aparelho medicinal através da rede de comunicação, supervisiona a situação da ligação do aparelho para a rede e interrompe uma ligação existente entre a zona segura e a zona insegura da rede, caso durante a supervisão tenha sido detectada uma situação na ligação da rede que representa um perigo para o paciente ou para a função correcta do aparelho. As diferentes caracteristicas e vantagens dum processo deste tipo são esclarecidas detalhadamente na seguinte descrição.
As figuras anexas apresentam exemplarmente várias formas de execução dum dispositivo em conformidade com o invento, dum aparelho medicinal ou dum sistema em conformidade com o invento e dum processo em conformidade com o invento.
Fig. 1 apresenta a ligação normal na situação da Técnica dum aparelho medicinal localizado na residência dum paciente; fig. 2 apresenta esquematicamente e como exemplo o principio dum dispositivo em conformidade com o invento; fig. 3 apresenta um dispositivo em conformidade com o invento com filtragem de pacotes bidireccional e de forma exemplar; 9 fig. fig. fig. 4 reproduz em esboço o algoritmo dum filtro de pacotes utilizado num dispositivo em conformidade com o invento; 5 apresenta a separação de monitores de pacientes duma central; 6 apresenta exemplarmente a estruturação dum sistema de aparelhos medicinais que são ligados através duma parte insegura duma rede de comunicação; fig. fig. 7 ilustra a utilização de aspectos de comunicação modificados na parte insegura da rede de comunicação; 8 mostra a utilização de aspectos de comunicação codificados na parte insegura da rede de comunicação; fig. fig. f ig. fig. 9 apresenta uma configuração, na qual o dispositivo em conformidade com o invento pode ser separado da parte insegura da rede de comunicação; 10 ilustra uma configuração, a qual possibilita a separação de ambos os lados do dispositivo em conformidade com o invento; 11 mostra um exemplo para uma arquitectura redundante dum dispositivo em conformidade com o invento; 12 mostra uma configuração dum dispositivo em conformidade com o invento com uma arquitectura redundante diferente; 10 fig. 13 ilustra uma possível concretização diferente do dispositivo em conformidade com o invento; fig. 14 mostra de forma exemplar a protecção dum sistema de bombas de infusão contra influências da zona insegura da rede de comunicação; fig. 15 mostra a forma tradicional da ligação de monitores de pacientes a um monitor central; fig. 16 ilustra a ligação de monitores de pacientes a um monitor central através de dispositivos em conformidade com o invento; fig. 17 ilustra esquemática e exemplarmente um dispositivo formado por módulos em conformidade com o invento; fig. 18 ilustra exemplarmente uma protecção hierárquica duma instalação medicinal por meio do presente invento.
Seguidamente o presente invento será esclarecido em detalhe com referência às presentes figuras. Primeiro chama-se a atenção para a fig. 1, a qual apresenta a ligação até agora usual dum aparelho medicinal de colheita de dados que se encontra na residência do paciente. Neste caso, a residência 1 do paciente e a instalação medicinal 2, cujos limites do sistema são indicados por linhas a tracejado, são ligados conjuntamente por meio duma rede WAN 3, por exemplo, a internet, , 0 aparelho medicinal de colheita de dados 4 está acoplado à rede WAN 3 através da rede LAN 5. Nela está acoplada a rede LN 6 da instalação medicinal e nela está acoplado o aparelho medicinal 7 de exploração. A zona 8 da rede de comunicação insegura, segundo o ponto de vista da 11 instalação medicinal, é simbolizada na fig. 1 por meio duma seta cinzenta. 0 objectivo do presente invento é que o aparelho medicinal aplicado na zona segura da rede de comunicação seja protegido contra influências provenientes da zona insegura 8 da rede. Isto deve ser concretizado de forma simples e eficiente, mas devendo satisfazer o nivel de segurança normalmente elevado na área da medicina.
Na fig. 2 é reproduzida uma apresentação esquemática do dispositivo em conformidade com o invento. 0 dispositivo 9 em conformidade com o invento protege um aparelho medicinal 10 contra possíveis ataques que podem ser provenientes da zona insegura 11 da rede de comunicação 11. Ele serve-se, para isso, no trajecto da zona insegura da rede de comunicação 11 para um aparelho medicinal dum filtro de pacotes 12, o qual não permite a passagem de pacotes de comunicação que poderiam pôr em perigo potencial o aparelho medicinal 10. Uma lógica de comando 13 permite separar a zona insegura 11b da rede de comunicação 11 do aparelho medicinal 10 com o auxílio do interruptor de ruptura 14. Neste caso, é aqui assinalada exemplarmente uma forma da separação, na qual o próprio dispositivo em conformidade com o invento se pode, igualmente, separar da zona segura 11a da rede de comunicação 11. O aparelho medicinal 10 pode, neste caso e se necessário, ser executado como sistema de vários aparelhos medicinais parciais 15, 16 que estão ligados a uma zona segura 11a da rede de comunicação 11. O dispositivo em conformidade com o invento pode ser aperfeiçoado de forma vantajosa, de modo que a filtragem de pacotes é executada bidireccional, ou seja, tanto no sentido da secção insegura 11b para a secção segura 11a da rede de 12 comunicação 11, como também em sentido inverso. Neste caso não só o aparelho medicinal é protegido contra um ataque, que pode ser proveniente da parte insegura da rede de comunicação 11, mas também adicionalmente é minimizada a influência que o aparelho medicinal exerce, em caso de anomalia, sobre esta parte insegura da rede de comunicação 11. Na fig. 3 é apresentado esquematicamente o desenho dum dispositivo em conformidade com o invento com filtragem bidireccional de pacotes. 0 dispositivo em conformidade com o invento com filtragem de pacotes bidireccional 18 protege um aparelho medicinal 10 contra possíveis ataques que podem surgir da zona insegura 11b da rede de comunicação e, simultaneamente, tenta obter, em caso de anomalia, uma carga minima da parte insegura 11b da rede de comunicação 11 através do aparelho medicinal 10. Serve-se disso um filtro de pacotes 12, que é composto por dois filtros de pacotes, os quais supervisionam as diferentes direcções do fluxo dos pacotes. No trajecto da parte insegura da rede de comunicação 11 para o aparelho medicinal, é aplicado um filtro de pacotes 12a que não permite a passagem de pacotes de comunicação que podem fazer perigar potencialmente o aparelho medicinal. Em sentido contrário é aplicado um filtro de pacotes 12b que pode minimizar a reacção do aparelho medicinal sobre a parte insegura da rede de comunicação 11. Uma lógica de comando 13 permite que o próprio dispositivo 9 e a zona insegura 11b da rede de comunicação 11 seja separada do aparelho medicinal 10 com o auxilio do interruptor de ruptura 14, sendo que este é composto por duas partes 14a e 14b para as diferentes direcções do fluxo de comunicação. Ambas as partes do interruptor de ruptura são accionadas simultaneamente, em situações normais, embora uma ligação alternada também pode 13 ser viável em casos especiais, por exemplo, para minimização duma sobrecarga na rede de comunicação 11. 0 aparelho medicinal 10 também pode, se necessário, ser executado como sistema de vários aparelhos medicinais parciais 15, 16 que estão ligados na zona segura 11a da rede de comunicação.
Uma separação do aparelho medicinal 10, executada completa através do interruptor de ruptura 14 ou executada parcial através do filtro de pacotes 13 (porque os pacotes de comunicação não actuam), da zona insegura 11b da rede de comunicação 11, tem que ser considerada no âmbito da análise de risco do aparelho medicinal 10 e conduzir para uma situação segura do mesmo, em que um perigo especial do utilizador ou do paciente do aparelho medicinal 10 é excluído, para se poder aplicar o dispositivo 9 em conformidade com o invento. Na prática, esta limitação na utilização do dispositivo 9 não é relevante, porque se tem que contar sempre com uma ruptura numa ligação da rede, p. ex., devido a anomalias na cablagem e outros processos para minimização de riscos, como p. ex., arquitecturas de rede redundantes têm custos muito elevados na maioria dos casos.
Para que o filtro de pacotes 12 e o interruptor de ruptura 14 possam executar as suas funções, tem que existir uma segmentação, portanto uma separação do tipo lógico e/ou físico entre a zona insegura 11b e a zona segura 10a da rede de comunicação 11. Caso contrário, os pacotes de comunicação, sem nada fazer ou com possibilidades de influência através do filtro de pacotes 12 e do interruptor de ruptura 14, podiam ser transportados como se desejasse entre a zona insegura 11b e a zona segura 10a da rede de comunicação 11. 14 A forma de como num dispositivo em conformidade com o invento tem lugar uma segmentação de ambas as peças 11 e 17 da rede de comunicação 11, pode ser, neste caso, totalmente diferente. Como exemplos para possíveis segmentações é oferecida a utilização de redes de comunicação 11 baseadas noutros princípios físicos (p. ex. LAN/WLAN), noutro protocolo, no transporte de ficheiros ou conversão de TCP/pacotes IP, embora sejam viáveis outros tipos de segmentação. 0 modo de funcionamento do interruptor de ruptura 14, depende essencialmente do tipo de segmentação utilizado entre a zona insegura 11b e a zona segura 10a da rede de comunicação 11.
Se for aplicado um dispositivo em conformidade com o invento com filtragem de pacotes 18 bidireccional, a segmentação entre a zona segura 11a e a zona insegura 11b da rede de comunicação 11 pode ter uma efectivação lógica, p. ex., em que por trás do dispositivo 18 em conformidade com o invento é utilizado um outro protocolo de comunicação na rede de comunicação 11, portanto, como antes do dispositivo em conformidade com o invento. Numa situação normal o filtro de pacotes 12 - que de todas as formas executa a análise de protocolo - efectua também uma tradução entre os diferentes protocolos de comunicação. O filtro de pacotes 12a pode, em caso de necessidade, p. ex., não efectuar a tradução de protocolos para os pacotes de comunicação a filtrar. Com isto, p. ex., na zona segura 11a da rede de comunicação 11, para os correspondentes pacotes de comunicação não são efectuadas quaisquer traduções válidas dos pacotes de comunicação. Até é provável que, neste caso, a função do interruptor de ruptura seja assumida conjuntamente com o filtro de pacotes 12a, em que este efectua a tradução 15 com carácter permanente para todos os pacotes de comunicação. 0 aparelho medicinal 10 é, então, separado por lógica da zona insegura 11b da rede de comunicação 11, se não for efectuada também uma separação fisica. Em sentido oposto o filtro de pacotes 12b tem que assumir as tarefas correspondentes e são válidos os mesmos princípios em sentido oposto. Deste modo é possível concretizar uma estruturação com custos aceitáveis do dispositivo em conformidade com o invento.
Teoricamente é possível que pacotes de comunicação do protocolo de comunicação utilizado na zona insegura 11b da rede de comunicação 11, também no protocolo de comunicação, o qual é utilizado na zona segura 11a da rede de comunicação 11, representem pacotes de comunicação válidos que executam um ataque ao aparelho medicinal 10. Embora este risco possa ser minimizado através duma selecção cuidada dos protocolos de comunicação utilizados, irá manter-se um certo risco residual, se tiver lugar um ataque à zona segura 11a da rede de comunicação 11 através dum ataque "Brut-Force" ou dum "Bubbling Idiot" que transmite pacotes de comunicação ocasionais. Neste caso, podem, passado algum tempo, ser imaginadas sequências de comunicação válidas para o protocolo de comunicação que é aplicado na zona segura 11a da rede de comunicação 11.
Por isso, pode ter lugar um nível particularmente elevado em protecção para o aparelho medicinal 10, se existir uma segmentação fisica entre a zona insegura 11b e a zona segura 11a da rede de comunicação 11.
Uma segmentação física deste tipo pode ser concretizada, em que são aplicadas diferentes vias de transmissão físicas para a zona insegura 11b e para a zona segura 11a da rede de comunicação 11. Assim, a zona insegura 11b da rede de 16 comunicação 11 podia utilizar uma transmissão via rádio e a zona segura 11a uma transmissão através de cabo da rede. É possível a utilização de diferentes instâncias da mesma via de transmissão, em que, p. ex., duas cablagens da rede separadas ou diferentes frequências portadoras de rádio podem ter utilização para ambas as zonas 11a e 11b da rede de comunicação 11.
Uma utilização particularmente vantajosa do aparelho 9 descrito é obtida com as redes de comunicação 11 eléctricas ligadas por cabos, se for executada uma segmentação física de ambas as zonas 11a e 11b da rede de comunicação 11. Neste caso, o dispositivo descrito também pode activar uma protecção do aparelho medicinal contra anomalias eléctricas, que podem ser causadas através da zona insegura 11b da rede de comunicação 11 no aparelho medicinal, assim como uma falha de funcionamento do mesmo, o que representa perigo para o paciente ou utilizador.
Também a protecção importante para o aparelho medicinal contra tensões de contacto perante tensões elevadas defeituosas na zona insegura 11b da rede de comunicação 11 pode, neste caso, ser conseguida com o auxílio do dispositivo 9 em conformidade com o invento.
Se uma protecção contra as tensões de contacto na utilização referida for particularmente crítica, pode ser vantajoso para a zona segura 11a da rede de comunicação 11, utilizar uma rede de comunicação 11 à base de fibras ópticas porque através desta não se verificam, em princípio, quaisquer ligações equipotenciais.
Tanto a zona insegura 11b da rede de comunicação 11 como a zona segura 11a da rede de comunicação 11 podem estar ligadas 17 por cabo, embora sejam possíveis realizações diferentes que transmitem os dados através de luz, rádio, som ou outras vias de transporte. Os métodos da transmissão não têm que ser iguais em ambas as zonas 11a e 11b da rede de comunicação 11; neste caso é vantajoso, se o dispositivo em conformidade com o invento puder, ele próprio, executar uma conversão entre estes métodos de transmissão, porque, assim, não é necessário outro aparelho para esta conversão.
Na fig. 4 é apresentado um algoritmo básico simples possível para o filtro de pacotes 12. 0 filtro de pacotes espera a recepção de pacotes de comunicação da zona insegura 11b da rede de comunicação 11. Logo que esteja disponível um pacote de comunicação ele assume-o e controla se o pacote é válido para a sua transmissão para o aparelho medicinal 10. Se for este o caso, o pacote de comunicação é transmitido, caso contrário, ele é rejeitado. Depois o filtro de pacotes 12 espera pela recepção do próximo pacote.
Neste caso pode, principalmente para o posterior acompanhamento do comportamento do dispositivo em conformidade com o invento, ser vantajoso se puder ser executado um "Logging" sobre pacotes de comunicação recebidos e rejeitados e, assim, ser testada a configuração correcta do filtro de pacotes 12.
Para se poder decidir quais os pacotes de comunicação da zona insegura 11b da rede de comunicação 11 devem ser aceites na zona segura 11a da rede de comunicação 11, é avaliado pelo filtro de pacotes conhecimento adicional sobre a estrutura da instalação medicinal, sobre a estrutura interior do aparelho medicinal e dos seus aparelhos secundários, suas características, situação momentânea e semelhantes. 18
Num caso mais simples possível podem, p. ex., apenas os pacotes de comunicação oriundos dos endereços fixos MAC ou endereços IP passar pelo filtro de pacotes 12 ou então apenas os que executam a comunicação a partir de portos autorizados. Também podem ser executados testes avançados da comunicação, como uma inspecção "Stateful". 0 comportamento do dispositivo 9 em conformidade com o invento seria semelhante ao de um Hardware-Firewall na fase de supervisão das ligações da rede; as regras para a filtragem de pacotes podem, no entanto, ser especificadas substancialmente mais exactas e adaptadas ao aparelho medicinal a proteger. Na diferença em relação aos Firewalls normais, neste caso e perante uma situação de pacotes de comunicação possivelmente perigosos, é cortada a ligação para a zona insegura 11b da rede 11.
Coloca-se como especialmente vantajoso relativamente a isto, se o dispositivo 9 em conformidade com o invento, executar uma análise de protocolo dos protocolos de comunicação a serem transmitidos para o aparelho medicinal 10 e só deixar passar os pacotes de comunicação para o filtro de pacotes 12 que correspondam ao protocolo de comunicação do aparelho medicinal 10. Através desta medida é claramente reduzido o perigo dum ataque contra o aparelho medicinal 10.
Para além disso, isto permite também uma análise de protocolo no âmbito dos dados surgidos no protocolo, controlar os valores de dados válidos e só deixar passar os pacotes de comunicação para o filtro de pacotes 12, cujos dados se encontrem no sector de dados permitido.
Ao contrário das "Firewalls", as quais protegem redes de comunicação 11 para sistemas de computadores geralmente utilizáveis, o filtro de pacotes 12 pode, precisamente, ser adaptado com precisão aos protocolos de comunicação a 19 utilizar, porque a instalação de quaisquer programas nos sistemas de computadores incorporados no aparelho medicinal, geralmente, não é possivel nem é autorizada pelo fabricante, se destes aparelhos isso representar um perigo para o utilizador ou para o paciente do aparelho medicinal. Por isso, os protocolos de comunicação utilizados por um aparelho medicinal assumem raramente alterações que, eventualmente, necessitem duma adaptação do filtro de pacotes, o que é o caso nos sistemas de computadores geralmente utilizados.
Uma característica especialmente vantajosa do dispositivo 18 de acordo com o invento com filtragem bidireccional de pacotes é conseguida, se um teste já efectuado aos protocolos de comunicação aplicados, também for aproveitado para traduzir os protocolos de comunicação utilizados noutros aparelhos medicinais e/ou noutra rede de comunicação 11 baseada noutros princípios físicos e, assim, possibilitar a comunicação entre aparelhos incompatíveis entre si.
Também para se poder decidir quando deve ser executada uma separação da parte potencial insegura da rede de comunicação 11 é avaliado o conhecimento adicional sobre a estrutura do dispositivo medicinal, sobre a estrutura interior do ou dos aparelhos medicinais, as suas características e aspectos semelhantes.
Além disso, o dispositivo descrito pode, no caso de identificação dum perigo potencial através da zona insegura 11b da rede de comunicação 11, interromper totalmente a ligação do mesmo para o aparelho medicinal 10, de modo que é possível uma limitação de algumas das suas funções, mantendo-se, no entanto, a sua funcionalidade nuclear. 20
No exemplo dum sistema de monitorização de pacientes que é apresentado esquematicamente na fig. 5, deve ser clarificada uma separação deste tipo. Uma central 19, que se localiza na zona insegura 11b da rede de comunicação 11, está ligada com vários monitores de pacientes 20, 21 e 22 protegidos através de vários dispositivos 9 que, cada um por si, se localizam numa zona segura 11a da rede de comunicação 11. No caso dum potencial perigo identificado pode, através do dispositivo 9 de acordo com o invento ser interrompida a ligação para a zona insegura 11b da rede de comunicação 11 e, assim, para a central 19, o que representa uma limitação da funcionalidade dos monitores para pacientes 20,21 e 22, cuja funcionalidade nuclear, a monitorização - mesmo com menor nível de conforto, ainda se encontra disponível. Durante a interrupção não é possível qualquer tipo de intervenção dos monitores de pacientes 20,21 e 22 na central 19 nem o inverso.
Uma separação deste tipo pode ser vantajosa, principalmente, se p. ex., forem utilizados aparelhos medicinais antigos, que só insuficientemente estão preparados para os volumes de dados actuais elevados das redes de comunicação 11, porque no desenvolvimento do aparelho se partiu de redes de comunicação 11 dedicadas para precisamente estes aparelhos, esta condição não existe devido à infra-estrutura do dispositivo medicinal. Se forem aplicadas rotinas de processamentos de interrupções de custos elevados nos aparelhos medicinais pode, eventualmente, uma simples sobrecarga na rede de comunicação 11, dar origem a que seja provocada uma sobrecarga não autorizada nos processadores dos aparelhos medicinais, mesmo que os próprios dados transmitidos sejam completamente inofensivos. Enquanto um único aparelho medicinal tiver que se encontrar, neste caso, numa situação segura, pode a passagem simultânea dum grande grupo de aparelhos medicinais ser colocada exactamente nesta situação provocada pela 21 situação global critica da complexidade de grupos. Se, por exemplo, um único monitor de pacientes apresentar uma anomalia numa estação intensiva, mas se o identificar automaticamente e com uma informação de alarme interromper o serviço com o alarme dum aparelho, esta situação, só por si, não deve ser classificada como critica. 0 mesmo é válido para uma bomba de infusão. Se na mesma estação intensiva, devido a anomalias que foram provocadas pela rede de comunicação 11, falharem simultaneamente todos os monitores de pacientes e todas as bombas de infusão, o perigo dai resultante para todos os pacientes ali tratados é irregularmente grande. A lógica de comando 13 pode tomar a decisão sobre a execução duma separação das zonas da rede de comunicação 11 com o auxilio de testes estáticos dos dados a serem transmitidos. Como tais, estão disponíveis, p. ex., um teste de endereços IP dos parceiros de comunicação, dos endereços MAC destes utilizados, uma utilização de determinados portos e/ou principalmente um teste de sintaxe e/ou de semântica e de consistência dos dados transmitidos.
Num caso normal, um teste estático de pacotes de comunicação a serem transmitidos dá antes lugar a uma rejeição dos pacotes no filtro de pacotes do que a uma separação da zona insegura 11b da rede de comunicação 11. No caso de elevadas exigências de segurança para o aparelho medicinal, pode ser razoável, se violações muito frequentes dos testes de validade estáticos, causarem a separação temporária ou mesmo permanente da zona insegura 11b da rede de comunicação 11.
Uma decisão sobre a efectivação duma separação das zonas 11a e 11b da rede de comunicação 11, também pode acontecer, se for efectuado um teste dinâmico dos dados a transmitir. Estes 22 testes podem, p. ex., ser os tempos de resposta do parceiro de comunicação, um fluxo de dados máximo permitido para os aparelhos medicinais a serem protegidos ou também um fluxo mínimo de dados que aponta para uma função correcta do parceiro de comunicação. Também supervisões baseadas em situações que incluem um modelo dos aparelhos intervenientes na comunicação são aqui muito vantajosas.
Uma forma especial da utilização do aparelho 9 de acordo com o invento obtém-se quando vários aparelhos medicinais parciais que, conjuntamente, actuam como um sistema/aparelho medicinal, são ligados entre si por meio duma zona insegura 11b da rede de comunicação 11. Nesta constelação recomenda-se que os aparelhos medicinais (parciais) sejam equipados com os dispositivos 9 de acordo com o invento. Neste caso pode até ser mais vantajoso, se dispositivos 18 de acordo com o invento, forem utilizados com filtragem de pacotes bidireccional, conforme será apresentado posteriormente.
Na fig. 6 é apresentada a estrutura dum sistema de aparelhos medicinais, os quais são ligados conjuntamente por meio duma zona insegura da rede de comunicação. Por meio da zona insegura 11b da rede de comunicação 11 são ligados conjuntamente ambos os aparelhos medicinais 10a e 10b, os quais, conjuntamente, formam um sistema medicinal. Eles dependem de zonas seguras protegidas 11a.1 e 11b.2 da rede de comunicação 11 por meio dos dispositivos de acordo com o invento com filtragem bidireccional de pacotes 18a e 18b. Um outro aparelho medicinal 10c pertencente a um sistema medicinal, no entanto, não referido antes é protegido através do dispositivo 18c de acordo com o invento a ele subordinado e ligado com a zona insegura 11b da rede de comunicação 11. 23
Se os filtros de pacotes dos dispositivos 18a, 18b e 18c de acordo com o invento, estiverem regulados de forma optimizada e se forem utilizados protocolos de comunicação adequados, entre os aparelhos medicinais 10a e 10b pode ter lugar uma comunicação sem isso ser detectado pelo aparelho medicinal 10c. Em contrapartida pode, entre o aparelho medicinal 10c e outros aparelhos localizados na zona insegura da rede de comunicação 11, ter lugar uma comunicação sem que isso influencie os aparelhos medicinais 10a e 10b. Mas se os protocolos de comunicação utilizados pelos aparelhos 10a, 10b e 10c forem iguais e p. ex., para além disso, uma parte da comunicação for executada em "broadcast" - portanto todos os participantes falando em simultâneo - o método antes referido pode falhar.
Neste caso recomenda-se, que o filtro de pacotes 13 dos dispositivos 10a e 10b de acordo com o invento subordinados aos aparelhos medicinais 18a e 18b efectuem uma tradução dos protocolos de comunicação de forma que na zona insegura 11b da rede de comunicação 11 em comparação com o protocolo original, sejam utilizados pacotes de comunicação modificados. Na fig. 7 é apresentada esquematicamente a evolução deste tipo de procedimento com referência à fig. 6.
Um pacote de comunicação 26, que inclui os dados caracterizados como "ais,Data'" é convertido pelo dispositivo 18b de acordo com o invento, na transição duma zona segura 11a.2 da rede de comunicação 11, num outro pacote de comunicação 27, o qual é transportado dentro da zona insegura 11b da rede de comunicação 11. Esta conversão pode, neste caso, ser processada de forma simples e rápida, em que o pacote de comunicação 26 original assenta num outro pacote de comunicação 27. Pode, neste caso, ser vantajoso se forem assentes dados 28 adicionais - como p. ex., uma assinatura no 24 pacote de comunicação 27, p. ex., com protocolos iguais, para separar uns dos outros diferentes grupos de aparelhos medicinais e/ou para como dispositivo 18a de acordo com o invento se poder determinar se os dados não foram alterados dentro da parte insegura 11b da rede de comunicação 11. 0 aparelho 18a de acordo com o invento, numa transmissão converte o pacote de comunicação 27 modificado num pacote de comunicação 29 utilizável pelo aparelho medicinal 10a, o qual num protocolo de comunicação de utilização igual, deverá, geralmente, ser idêntico em relação ao pacote de comunicação 26 original.
Deste modo é possível, com eficiência, reduzir ao minimo a influência reciproca de comunicação variada. Se da parte do aparelho 18a em conformidade com o invento, p. ex., através do teste duma assinatura, for verificado que o pacote de comunicação 27 detectou uma falsificação, não será produzido o pacote 29 correspondente. Existe um eventual indício de um ataque e a lógica de comando 13 só poderia executar a separação da parte insegura da rede - eventualmente só depois do aparecimento frequente desta ocorrência.
Na estrutura de rede descrita, na qual é utilizada a zona insegura 11b da rede de comunicação 11, para permitir a comunicação entre dois aparelhos parciais medicinais, para além dos perigos potenciais antes descritos do paciente e/ou do utilizador, podem também ser colocadas exigências à segurança de dados contra uma observação por parte de terceiros não autorizados. Através duma ampliação do modo de actuação mostrado na fig. 7, esta exigência pode ser satisfeita. Na fig. 8 é mostrado o curso deste procedimento ampliado. 25
Um pacote de comunicação 26 inclui os dados caracterizados como "ais,Data'" Dum dispositivo 18b de acordo com o invento, na transição duma parte segura 11a.1 da rede de comunicação 11 para a zona insegura 11b é feita a conversão para um pacote de comunicação 31 modificado. Ao contrário da actuação na fig. 7, o pacote de comunicação original não é simplesmente assente no novo pacote de comunicação, mas sim a nova área de dados é convertida numa área de dados 30 codificada, que é caracterizada como "dATA". Assim podem os processos simétricos e/ou assimétricos provenientes doutras áreas de utilização ser aplicados, eventualmente com uma assinatura adicional assente para diferenciação de diferentes grupos de aparelhos medicinais ou para teste rápido da inviolabilidade dos pacotes de comunicação. Na transição para a segunda parte segura 11a.2 da rede de comunicação 11, o pacote de comunicação 31 modificado e codificado é convertido num pacote de comunicação 29 utilizável pelo aparelho medicinal 23, cujo pacote de comunicação 29 num protocolo de comunicação de utilização igual, geralmente é idêntico ao pacote de comunicação 26 original.
Forma-se, através disto, uma espécie de rede privada virtual (VPN) entre os aparelhos 10a e 10b, de forma que os conteúdos da comunicação de outros aparelhos aptos a comunicar na zona insegura 11b da rede de comunicação 11, não podem ser notados, modificados, nem lidos. Este modo de actuação apresenta-se particularmente vantajoso, quando na zona insegura 11b da rede de comunicação 11 se trata de Internet, como quando acontece maioritariamente no caso da ligação dum aparelho medicinal na residência do paciente.
Esta segurança pode ser aplicada de forma muito vantajosa numa instalação medicinal, para transportar dados através duma "parte pública" da rede de comunicação 11, sem 26 possibilitar o acesso dos dados a estranhos. Se for executada uma análise muito detalhada dos dados transmitidos para sua segurança, o invento referido pode, de forma particularmente eficiente, efectuar uma separação dos dados numa parte descodificada "pública" e numa parte codificada "privativa".
Se tiverem que ser trocados dados entre os aparelhos medicinais parciais 10a e 10b, que apresentam um potencial de perigo particularmente elevado numa possível falsificação, pode ser vantajoso impedir este tipo de potencial falsificação na zona insegura 11b da rede de comunicação 11, através da memorização e transmissão de pacotes de comunicação "envelhecidos", em que em cada pacote de comunicação enviado por meio da zona insegura 11b da rede de comunicação 11 existe uma parte alterável, cuja correcção é testada na recepção, antes do pacote de comunicação passar o filtro de pacotes. Este pode ser, p. ex., um número simples com uma sequência definida. Se for utilizada uma parte alterável duma hora, pode até ser testado se o pacote ainda é válido ou se foi necessário demasiado tempo para o transporte na rede de comunicação 11.
Se um dos aparelhos medicinais parciais 10a e 10b num corte da comunicação exigir uma reacção especial para o outro aparelho medicinal parcial, embora a comunicação não respeite qualquer padrão fixo de tempo, podem os correspondentes dispositivos 18a e 18b de acordo com o invento, transmitir sinais de vida em intervalos fixos de tempo para controlar o modo de funcionamento da comunicação. No caso destes sinais de vida deixarem de actuar, tem o correspondente aparelho 10a ou 10b que ser informado de forma adequada. Isto pode acontecer, p. ex., através da geração dum pacote de comunicação adequado ou também através da utilização de ligações de comando dedicadas. 27
No caso de exigências mais elevadas a uma segurança contra manipulação de dados a serem transmitidos, pode do dispositivo 18a, ou 18b transmissor em conformidade com o invento, ser transmitido conjuntamente para cada pacote de comunicação relevante, um número de transacção (TAN), com o auxílio do qual o dispositivo 18b ou 18a receptor de acordo com o invento, pode determinar isento de dúvidas a origem do pacote de comunicação. Uma lista de "TANs" tem então, antecipadamente, que ser transmitida para ambos os dispositivos 18a e 18b através de outra via de dados mais segura - p. ex., suporte de dados. Com cada um dos TANs transmitido para o parceiro de comunicação respectivo, este será eliminado da lista de ambos os dispositivos 18a e 18b de acordo com o invento.
Uma forma adicional de guardar dados que são transmitidos na zona insegura 11b da rede de comunicação 11, pode também acontecer em que endereços na parte protegida da rede de comunicação 11 não podem ser dados a conhecer para o exterior. Isto dificulta claramente possíveis influências da rede de comunicação 11 potencialmente insegura.
Devido ao modo de funcionamento do dispositivo descrito, este pode, de forma muito vantajosa, assumir outras tarefas, que até agora eram exercidas por aparelhos especiais. Assim, é possível, sem custos adicionais elevados, integrar um scanner de vírus no aparelho, o qual controla o fluxo global de dados relativamente à existência de vírus no computador. 0 dispositivo descrito pode também executar um "Caching" dos dados a transmitir através do protocolo de comunicação, fazer sempre uma memorização destes dados ou guardá-los só para a duração duma separação da zona potencialmente insegura 11b da 28 rede de comunicação 11, para os transmitir automaticamente para os parceiros da comunicação após a reconstrução com êxito da ligação.
Ele pode efectuar um "Proxying" e, assim, p. ex., num aparelho, em que um aparelho deve ser ligado a um interface de série com os tempos de respostas rápidos correspondentes, numa tradução de protocolo e ligação através de Internet com tempos de resposta lentos correspondentes, reenvia em principio confirmações globais para a recepção de pacotes e só com uma falha prolongada destes sinais o aparelho a ser protegido é colocado num modo em que a ligação é considerada como separada.
Outras tarefas adicionais possíveis que podem, de forma vantajosa, ser executadas com êxito pelo aparelho descrito, são, p. ex., um controlo de acesso para os dados localizados seguros numa rede de comunicação 11 ou até a protecção de licenças SW na rede de comunicação 11.
Através do contacto directo com a zona insegura 11b da rede de comunicação 11 existe o perigo do próprio aparelho descrito poder sofrer perturbações através dum ataque da rede de comunicação 11 no seu modo de funcionamento e, por isso, não pode ou pode só com limitações assumir a sua função de protecção.
Por isso, pode ser razoável se o dispositivo de acordo com o invento se puder separar ele próprio da zona insegura 11b da rede de comunicação 11 com o auxílio do interruptor de ruptura, se a lógica de comando 13 detectar um ataque potencial sobre o aparelho medicinal ou sobre o aparelho de acordo com o invento. Na fig. 9 é mostrada esquematicamente a 29 estrutura dum dispositivo de acordo com o invento constituído desta forma.
De forma exemplar é aqui projectada bidireccional a filtragem de pacotes 12; é também viável uma filtragem de pacotes unidireccional, conforme apresentada na fig. 2. No caso do dispositivo 32 de acordo com o invento o interruptor de ruptura 14 encontra-se no lado que está ligado na zona insegura 11b da rede de comunicação 11. Assim, a lógica de comando 13 pode separar o aparelho 32 de acordo com o invento, conjuntamente com o aparelho medicinal 10, da zona insegura 11b da rede de comunicação 11.
Devido à separação completa da zona insegura 11b da rede de comunicação 11, fica excluído completamente outro ataque ao dispositivo 32 de acordo com o invento. A situação da separação da zona insegura 11b da rede de comunicação 11 tem que apresentar a situação segura para o aparelho medicinal 10 e é também assumida, p. ex., numa falha da corrente de alimentação do aparelho 32 de acordo com o invento.
Pode ser uma ampliação viável do conceito se a lógica de comando 13 tiver a possibilidade de efectuar um "Reset" e ligado com ele um novo arranque do dispositivo 32 de acordo com o invento, para se garantir que o dispositivo é colocado numa situação de início definida e correcta, depois dum ataque potencial sobre o dispositivo de acordo com o invento ter sido repelido através da abertura do interruptor de ruptura 14.
Uma situação ainda mais crítica poderia verificar-se se o aparelho 9 de acordo com o invento através duma falha de funcionamento, efectuasse um ataque ao aparelho medicinal 10 a proteger. Portanto apresenta-se como vantajoso se, conforme 30 apresentado na fig.2, a lógica de comando 13 com o auxílio do interruptor de ruptura 14, separar a zona insegura 11b da rede de comunicação 11 da zona segura 11a da rede de comunicação 11, logo que seja detectada uma limitação do modo de funcionamento do aparelho 9 de acordo com o invento. Como situação segura do dispositivo 9 de acordo com o invento é, de conformidade com isto, compreendida uma abertura do interruptor de ruptura 14 e com ela, a separação da parte insegura 11 e do dispositivo 9 de acordo com o invento da zona segura 11a da rede, Esta situação deve ser assumida, p. ex., também numa falha da tensão de alimentação do dispositivo 9 de acordo com o invento.
Para se poder verificar este tipo de limitação do próprio modo de funcionamento, podem, p. ex., ser aplicados os seguintes processos: • Watchdogs de Hardware e de Software • Supervisão lógica e/ou cronológica da marcha do programa do software aplicado • Supervisão de pilha do software aplicado • Supervisão do modo de funcionamento correcto de memórias
ROM e RAM • Supervisão da alimentação de tensão • Teste de inviolabilidade de código de programa e de dados.
Porque tanto a estrutura referida, segundo a fig. 2, como também a estrutura, segundo a fig. 9, oferecem vantagens na realização do dispositivo de acordo com o invento, afigura-se viável para as exigências de segurança especialmente elevadas, aplicar uma combinação de ambas as estruturas, conforme é apresentado na fig. 10. Na configuração ali apresentada, a lógica de comando 13 pode efectuar a separação 31 da ligação do dispositivo 33 de acordo com o invento, tanto para a zona insegura 11b como também para a zona segura 11a da rede de comunicação 11, com o auxílio do interruptor de ruptura 14a e 14b.
Neste caso a separação deste tipo pode processar-se através de ambos os interruptores de ruptura ou seguidos ou independentes entre si. Como apoio duma segmentação física de ambas as zonas 11a e 11b da rede de comunicação 11, pode ser conveniente efectuar o fechar dos interruptores 14a e 14b sempre alternadamente, porque assim a segmentação física, mesmo no caso duma falha de funcionamento do dispositivo 33 de acordo com o invento, é mantida em qualquer momento.
No caso duma incapacidade de funcionamento do aparelho 33 detectada pela lógica de comando, recomenda-se que ambos os interruptores de ruptura 14a e 14b sejam abertos simultaneamente e que se efectue um Reset, para se obter a situação definida segura do aparelho 33 de acordo com o invento disponível depois de novo arranque. A separação de ambas as partes da rede de comunicação 11 deve também apresentar a situação segura do aparelho medicinal 10 e p, ex., na falha da tensão de alimentação do aparelho 33, ser admitida deste.
Uma realização especialmente vantajosa, no âmbito da segurança, do dispositivo de acordo com o invento é conseguida, se o dispositivo de acordo com o invento for estruturado de forma redundante. Para isso, são possíveis uma série de possíveis processos.
Na fig. 11 é apresentada uma realização possível, simples e redundante do dispositivo de acordo com o invento - para 32 facilitar - apresentada novamente exemplar com filtragem de pacotes bidireccional. 0 dispositivo 34 de acordo com o invento é formado, para isso, a partir dum canal de trabalho 35 e dum canal de supervisão 36 que estão dispostos separados em sistemas parciais. 0 canal de trabalho 35 assume as funções do filtro de pacotes 12 e de todas as funções, eventualmente a elas ligadas, portanto, p. ex., também uma conversão dos protocolos de comunicação utilizados. 0 canal de supervisão 36 não assume, relativamente a isto, qualquer actividade. A sua função consiste apenas em supervisionar a forma correcta de funcionamento do canal 35. Isto pode acontecer em que um (simplificado) modelo da disposição de tarefas do canal de trabalho existe no canal de supervisão ou o canal de supervisão 36 até supervisiona a função do canal de trabalho somente segundo um principio de "Watchdog". Se o canal de supervisão 36 detectar uma anomalia no canal de trabalho 35, ele pode separar este da rede de comunicação 11, com o auxilio do interruptor de ruptura 14 e nele, se necessário, despoletar um Reset, para o trazer de volta para uma situação definida e assim desempenhar a sua função.
Neste caso é apresentada exemplarmente na fig. 11 uma separação sobre o lado da parte segura 17 da rede de comunicação 11; mas também são igualmente possíveis variantes com uma separação da zona insegura 11b ou ambas as zonas da rede de comunicação 11.
Uma variante muito segura consiste em canais completamente independentes "diferentes", dos quais, cada um se pode separar da parte potencial insegura da rede de comunicação 11 e supervisionar o modo de funcionamento correcto do outro canal. 33
Uma variante deste tipo é apresentada simplificada na fig. 12. A parte global dos pacotes de comunicação transportada da zona segura 11a para a zona insegura 11b da rede de comunicação 11, é aqui omitida. Ela pode, no caso duma filtragem de pacotes bidireccional ser realizada de imagem simétrica em relação à parte apresentada, caso contrário, através da simples transmissão dos pacotes de comunicação. Também aqui tem lugar uma separação, de novo exemplar, na parte da zona segura 11a da rede de comunicação 11. 0 dispositivo 37 de acordo com o invento é formado por dois sistemas parciais independentes entre si 38 e 39 que incluem, respectivamente, um interruptor de ruptura 40 ou 41, uma lógica de comando 42 ou 43 e um filtro de pacotes 44 ou 45. Se ambos os filtros de pacotes 44 e 45 chegaram ao resultado de, se necessário, traduzir e transmitir um pacote de comunicação, ambos os resultados parciais são testados por um comparador 46 e, em caso de igualdade, são transmitidos. As duas instâncias 42 e 43 da lógica de comando podem, respectivamente, independentes entre si efectuar a separação de ambas as zonas 11a e 11b da rede de comunicação 11. Neste caso elas, a partir do respectivo sistema parcial 38 ou 39, podem avaliar informações oriundas deles sobre ataques possivelmente a acontecer ou uma funcionalidade limitada do respectivo sistema parcial. Especialmente vantajoso é se entre ambos os sistemas parciais 38 e 39 existir uma via de comunicação 47, com cuja ajuda as duas instâncias 42 e 43 da lógica de comando recebem indicações sobre o funcionamento correcto do outro sistema parcial 39 ou 39' de modo a poderem efectuar uma separação das partes 11b e 11a da rede de comunicação 11. 34
Também neste caso é vantajoso se ambas as instâncias 42 e 43 da lógica de comando puderem efectuar um Reset do sistema contrário respectivo ou até do dispositivo 37 global.
Para desenvolvimento do dispositivo 37 de acordo com o invento se forem utilizados, por exemplo, sistemas de serviço para minimizar o tempo de desenvolvimento e anomalias de desenvolvimento recomenda-se utilizar, por exemplo, nos dois canais sistemas de serviço independentes entre si e se possivel também diferente hardware de rede, porque a possibilidade de ambos os canais, simultaneamente e da mesma forma, serem influenciados pelo potencial da rede de comunicação 11 insegura é extremamente diminuta e, assim, a segurança contra comportamento defeituoso é elevada. Para além disso, uma realização diferente do aparelho descrito oferece também a vantagem de erros que surgiram no design e no desenvolvimento do software e ou do hardware do mesmo ou que foram identificados através de alteração acidental de conteúdos de dados das memórias dos computadores e que dão lugar a uma separação permanente, até se fazer uma correcção, da rede de comunicação 11 potencialmente insegura.
Com isto é minimizado o risco de uma anomalia impedir a função do aparelho, mas este ainda não ter sido identificado até uma possivel influência do aparelho medicinal, através da rede de comunicação 11 potencialmente insegura e uma influencia causadora dum risco para o paciente pode, através disso, efectivamente acontecer.
Na fig. 13 é apresentada uma possível estrutura esquemática dum dispositivo 48 diferente de acordo com o invento; também aqui de novo só para um sentido de transporte da zona insegura 11b para a zona segura 11a da rede de comunicação 11. 35
Da zona insegura 11b da rede de comunicação 11 os dados passam através do sistema de funcionamento 53 para o primeiro canal 51, dali eles percorrem a "Firewall" 55, um scanner de virus 57 e a análise de protocolo 59. Cada uma destas fases rejeita os dados, desde que estes sejam potencialmente perigosos. Seguidamente os dados passam para o comparador 61. Paralelamente a isso, os dados atingem o segundo canal 52, através do segundo sistema de funcionamento 54, da segunda "Firewall" 56, do segundo scanner de virus 58 e da segunda análise de protocolo 60 igualmente no comparador 61. Unicamente para o caso de ambos os canais terem chegado à conclusão de que os dados estão correctos e são inofensivos, então é que são transmitidos para a zona segura 11a da rede de comunicação 11. Ambos os canais executam uma supervisão 62 reciproca com eventualmente um despoletar dum Reset e podem separar-se reciprocamente através das vias de desconexão 49 e 50 da zona insegura 11b da rede de comunicação 11.
Formas de execução possíveis do aparelho 9 descrito podem, neste caso, ser um aparelho independente, assim como um aparelho inserido num aparelho medicinal. Uma realização do dispositivo 9 de acordo com o invento é, na maioria dos casos, concretizada através duma combinação de software e de hardware dedicada ou também como uma combinação de software permanente e hardware (p. ex., com o auxílio dum FPGA) . Uma realização através só dum software puro só é viável se o aparelho medicinal a supervisionar já contiver o software necessário para a realização. Sobre muitos micro-controlos poderia, p. ex., processar-se uma separação completa da zona insegura 11b da rede de forma que os pinos de I/O, os quais são subordinados à comunicação com a zona segura 11a da rede de comunicação 11, são ligados num modo passivo. 36
Seguidamente são referidos alguns exemplos possíveis para campos de aplicação do dispositivo de acordo com o invento:
Na fig. 14 é apresentada de forma exemplar e esquemática a segurança dum sistema de bombas de infusão através do aparelho de acordo com o invento. Um sistema de bombas de infusão consiste em exemplos apresentados num módulo de comunicação 63, o qual está ligado a um CAN-Bus 64 central com tipologia de bus linear e resistências de terminação 65 e 66, assim como num sistema de alarme central 6 7 e nas bombas de infusão 68 até 72. 0 módulo de comunicação 63 pode converter o protocolo de comunicação Pi das bombas de infusão 68 até 72 utilizado no CAN-Bus, num outro protocolo de comunicação P2, p. ex., baseado na Ethernet. Este sistema de bombas de infusão apresenta um aparelho medicinal 62, no âmbito de definições anteriores e por causa de potências adicionais produzidas pelo sistema (comunicação central e alarme central). Para o proteger de possíveis ataques provenientes da zona insegura 11b da rede de comunicação 11, é utilizado um dispositivo 73 de acordo com o invento. Na zona insegura 11b da rede de comunicação 11 está ligado um PC 74 que pode executar actividades, como uma supervisão central do sistema de alarme ou uma distribuição central de dados terapêuticos.
Neste caso é especialmente vantajoso seleccionar um dispositivo de acordo com o invento com filtragem de pacotes bidireccional e com uma codificação conhecida do PC 74, para se evitar o possível conhecimento de dados relativos a pessoas dignos de protecção na parte insegura da rede e poder impedir uma manipulação não autorizada de dados terapêuticos na zona insegura 11b da rede de comunicação 11. Os interruptores 14a e 14 da fig. 3 podem, neste caso, executar 37 um aparecimento do cabo Ethernet numa finalização correcta. Deste modo é possível a execução duma separação física dos aparelhos medicinais 62 da zona insegura 11b da rede 11. Numa realização de acordo com a fig. 3 o dispositivo 73 de acordo com o invento, mantém-se ligado com a zona insegura 11b da rede de comunicação 11 e pode, assim, (eventualmente depois dum Reset próprio) identificar quando já não existe um ataque potencial contra o aparelho medicinal 62. Só neste caso os interruptores de ruptura voltam a fechar e o aparelho medicinal 62 volta ser ligado com a zona insegura 11b da rede de comunicação 11.
Neste exemplo é identificável que podem existir vantagens de segurança e/ou de custos numa realização, se o dispositivo 73 de acordo com o invento e o módulo de comunicação 63 forem resumidos numa unidade 75, a qual reúne as funções de ambos os aparelhos individuais. Isto pode, p. ex., com custos comparáveis, ser preparado redundante, para se conseguir um elevado nível de segurança. Ao contrário da realização com dois aparelhos individuais é possível evitar-se que o módulo de comunicação 63, devido a uma falha de funcionamento, efectue um ataque contra os outros aparelhos parciais do aparelho medicinal 62. Um dispositivo 75 deste tipo pode, então, como aparelho independente ou como integrado no aparelho medicinal 62 ser realizado - p. ex., como cartão de encaixe. Em ambos os casos recomenda-se que os interruptores 14a e 14b possam executar uma separação do CAN-Bus 64 já correctamente concluído.
Como outro exemplo é referida a ligação dum grupo de monitores de pacientes num monitor central.
Vantagens especiais podem obter-se mais exactamente, através da utilização do dispositivo de acordo com o invento, se um 38 parque de aparelhos medicinais antigos em funcionamento - p. ex., numa mudança para outro edifício - tiver que ser ligado novamente à rede. Os aparelhos antigos ainda dispõem, frequentemente, de interfaces de série (p. ex., RS-485) que exigem uma ligação directa entre todos os participantes na comunicação. Na fig. 15 é apresentada exemplarmente uma ligação deste tipo à rede de vários monitores de pacientes ligados com um monitor central 76. 0 monitor central 76 está ligado, por meio duma quantidade de interfaces de série RS-485 77 até 81, com os monitores de pacientes ligados 82 até 86. Para cada ligação individual deve ser instalado um cabo dedicado entre o monitor central 76 e o respectivo monitor de paciente.
Se existir a capacitação de que dentro duma instalação medicinal também muitos outros grupos de aparelhos medicinais, para além da monitorização dos pacientes, têm que ser disponibilizados ligados à rede, são claros os elevados custos duma forma de actuação deste tipo. Em contrapartida a isto, é apresentada na fig. 16 a estrutura formada utilizando o dispositivo de acordo com o invento e aproveitando uma infra-estrutura de Ethernet já existente. 0 monitor central 76 está agora ligado a um dispositivo 87 de acordo com o invento, o qual dispõe de vários interfaces RS-485. 0 dispositivo 87 de acordo com o invento está ligado com um Ethernet-Switch 88, ao qual estão ligados os dispositivos 89 até 93 de acordo com o invento. Com os interfaces RS-485 estão, por sua vez, ligados os monitores de pacientes 82 até 86 .
Em princípio esta forma de ligação tem um aspecto claramente mais complicado, neste caso a cablagem, que a cablagem em 39 forma de estrela da fig. 15. Mas é importante que se actualize o facto dos componentes e ligações da rede de comunicação 11 localizados na caixa ponteada 94 fazem parte da infra-estrutura IT de qualquer instalação medicinal moderna e podem assim, sem custos adicionais dignos de referência, ser utilizados. Além disso, uma estrutura de rede deste tipo possibilita uma movimentação simples de monitores de pacientes e/ou de monitores centrais, porque estes conjuntamente com os seus dispositivos de acordo com o invento, podem ser facilmente ligados a outras tomadas de Ethernet da instalação medicinal. A utilização dos dispositivos 87 e 89 até 93 de acordo com o invento pode, p. ex., neste caso, garantir o seguinte: • Os dados de comunicação RS-485 originais são transportados através da Ethernet, por meio de pacotes TCP/IP com encapsulamento, • Os dados estão protegidos por meio duma codificação contra uma consulta não autorizada na Ethernet, • Os dados estão protegidos contra uma falsificação não autorizada na Ethernet, • Através de dados que se alteram dentro dos pacotes TCP/IT com encapsulamento, os pacotes memorizados por outros participantes da rede, não podem ser utilizados posteriormente, • Um comportamento que os sistemas 76 e 82 até 86 numa comunicação em série podem alcançar sem problemas (p. ex., tempos de resposta a sinais de vida que, devido a particularidades técnicas, frequentemente com maior rapidez do que seria necessário, por questões de risco, são respondidos e aguardados), o que condicionado por princípio num transporte através da Ethernet não pode ser assegurado, será garantido pelos dispositivos de 40 acordo com o invento por meio de "Caching" e "Proxying". Só com a identificação duma anomalia efectiva da comunicação (através da falha dos sinais de vida do outro aparelho medicinal), as respostas aos sinais de vida não serão dadas pelos dispositivos de acordo com o invento, • Diversos grupos de monitores de pacientes e centrais, como, p. ex., são provenientes de diversas estações não se podem influenciar reciprocamente dentro da rede de comunicação 11 da instalação medicinal, • Na chegada à Ethernet dum fluxo de dados potencialmente perigosos, os monitores de pacientes e o monitor central serão desligados da Ethernet. Isto torna o monitor central incapaz de trabalhar, embora receba a capacidade local de funcionamento dos monitores de pacientes.
Com o auxilio da fig. 16 reconhece-se que o dispositivo de acordo como invento deveria, de forma razoável, ser disponibilizado numa quantidade de diferentes configurações.
Estas configurações podem, p. ex., diferenciar-se em: • Tipo dos princípios de transmissão físicos na parte de entrada ou de saída, • Tipo dos protocolos de comunicação utilizados, • Tipo dos protocolos de aplicação utilizados, • Quantidade de diferentes entradas e de saídas do dispositivo de acordo com o invento, • Condições secundárias temporais e/ou lógicas para separação do interruptor de ruptura, • Condições secundárias temporais e/ou lógicas para fechar o interruptor de ruptura e • Condições secundárias temporais e/ou lógicas para execução dum Reset do aparelho de acordo com o invento. 41
Uma quantidade deste tipo de possíveis configurações pode ser produzida de forma razoável, em que são aplicados conceitos modulares para o dispositivo de acordo com o invento. Um exemplo para um dispositivo modular deste tipo de acordo com o invento é apresentado na fig. 17. 0 dispositivo modular 103 de acordo com o invento é composto pelo módulo 94 de filtro de pacotes, o qual inclui o filtro de pacote 12 bidireccional, bem como dois módulos excitadores 95 e 96, os quais estão ligados, respectivamente, independentes num dos lados do módulo de filtro de pacotes por meio dum interface de comunicação. Os módulos excitadores 95 e 96 incluem, cada um, um excitador 97 ou 98 que executa uma conversão nos meios físicos necessários e, eventualmente, uma implementação dos níveis inferiores do protocolo de comunicação. Além disso, os módulos excitadores 95 e 96 incluem cada um uma lógica de segurança 99 ou 100, as quais comandam os interruptores de ruptura 101 ou 102 e, se necessário, podem despoletar um Reset do dispositivo 103 de acordo com o invento.
Uma estrutura modular assim concebida do dispositivo de acordo com o invento simplifica claramente a adaptação a diferentes casos de aplicação. Neste caso é especialmente viável também estruturar o software do dispositivo de acordo com o invento de forma modular, p. ex., em que é implementada uma arquitectura de excitadores para comando dos diferentes módulos de excitadores. Igualmente também muito vantajoso é o desenvolvimento dum gerador de códigos ou um API dum "Framework", com o qual as diferentes tarefas do filtro de pacotes são implementadas em diferentes níveis do modelo ISO/OSI, ou um nível de protocolo de aplicações, independente da estrutura exacta do dispositivo de acordo com o invento. 42
Em modificações do dispositivo modular de acordo com o invento apresentado na fig. 17 pode - principalmente numa realização redundante - ser vantajoso, se as lógicas de segurança 99 e 100 estiverem, parcialmente, contidas no módulo de filtro de pacotes 94 e através do respectivo interface de comunicação, podem excitar as peças simplificadas da lógica de comando existentes nos módulos excitadores para uma abertura e fecho dos respectivos interruptores de ruptura.
Uma utilização do dispositivo de acordo com o invento dentro duma instalação medicinal pode, em aparelhos/sistemas medicinais formados a partir de redes secundárias ligadas, conjuntamente com conhecidas tecnologias de rede ser utilizada para uma segurança hierárquica de zonas parciais da rede de comunicação 11, em conformidade com a sua distribuição por diferentes zonas de segurança. Na fig. 18 é apresentada exemplarmente a segurança hierárquica deste tipo por meio dum dispositivo de acordo com o invento.
As redes de comunicação 106 e 107 de dois locais de implantação duma instalação medicinal estão ligadas conjuntamente através da internet por meio de dois aparelhos 104 e 106 com as funções de "Firewall" e VPN. Na rede de comunicação 106 está ligado um monitor central 110, por meio dum dispositivo de acordo com o invento 108 e de um PC 114 de liquidação, por meio de um aparelho 112 com a função de "Firewall" e VPN. Através do dispositivo 128 de acordo com o invento está, neste caso, ligada exemplarmente a câmara intensiva A na sua rede de comunicação 116 considerada como aparelho medicinal. Ali estão ligados um PC 118 de prescrição, assim como através dos dispositivos 120 e 124 de acordo com o invento, um sistema de bombas de infusão 122 ou um monitor de pacientes 126. O monitor de pacientes 126 43 fornece os dados dos pacientes para o monitor central 110, para tornar possível a sua observação conjuntamente com os dados dos pacientes de outros monitores de pacientes no monitor central. O PC de prescrição 118 serve para transmitir listas completas de dados de infusão para o sistema de bombas de infusão 122 para distribuição pelas bombas individuais. Isto permite que, confortavelmente, todas as bombas do sistema de bombas de infusão 122 sejam configuradas para um arranque ou para uma adaptação da terapia de infusão. Com o PC de prescrição 118 podem ser transmitidos, se necessário, também dados para outros sistemas de bombas de infusão localizados na mesma sala intensiva. Na rede de comunicação 107 do segundo local de implantação localiza-se a mesma estrutura da rede de comunicação 11. Ali estás ligado um monitor central 111 por meio dum dispositivo de acordo com o invento e dum PC de liquidação 115 por meio dum aparelho 113 com a função de "Firewall" e de VPN. Por meio do dispositivo 129 de acordo com o invento a sala intensiva B está ligada à rede de comunicação 117. Nesta está ligado um PC de prescrição, assim como por meio dos dispositivos de acordo com o invento 121 e 125, um sistema de bombas de infusão 123 ou um monitor de pacientes 127.
Esta arquitectura de redes pode, p. ex., ser utilizada nas seguintes vias de comunicação: • Local de implantação A e local de implantação B dividem entre si uma rede de comunicação 11 comum, a qual é formada por duas partes 106 e 107. Para que na Internet não possam ser vistos ou manipulados dados sem autorização, é utilizado um VPN. As "Firewalls" em 104 e 105 protegem ambas as redes de comunicação 11 contra ataques provenientes da Internet. 44 • Os PCs de liquidação 114 e 115 estão ligados conjuntamente por meio dum VPN. Isto impede que os dados confidenciais para liquidação possam ser observados ou alterados por pessoas não autorizadas dentro das partes 106 e 107 da rede de comunicação 11. Porque uma parte não desprezível de "Malware" e os ataques daí resultantes a uma rede se infiltram através de suportes de dados dissimulados sob as "Firewalls" de empresas, é aqui aconselhável uma protecção da zona da rede de comunicação 11 crítica de sucesso para a instalação medicinal, por meio de "Firewalls" nos aparelhos 112 e 113. • No interior da sala intensiva A comunicam o sistema de bombas de infusão 122 com o PC de prescrição 118, por meio da rede de comunicação 116. Porque nesta parte da rede de comunicação 11 também podem estar ligados outros aparelhos potencialmente perigosos para o sistema de bombas de infusão 122 - até mesmo o PC de prescrição poderia ficar infectado com a "Malware" no percurso para o suporte de dados, o sistema fica protegido por um dispositivo 120 de acordo com o invento. • Um monitor de pacientes que está protegido pelo dispositivo 124 de acordo com o invento pode, com o monitor central, que está protegido pelo dispositivo 108 de acordo com o invento, efectuar uma comunicação. • Para minimizar a influência de outros participantes na comunicação na rede de comunicação 106, só é permitida a passagem a pacotes de comunicação para a sala intensiva A que sejam de facto relevantes para os aparelhos medicinais ali existentes. São agora apresentadas algumas reacções a possíveis ataques.
Neste caso parte-se do princípio que os ataques dirigidos a todos os aparelhos ligados ao sistema e na lógica de comando 45 dos respectivos dispositivos identificados como perigosos, de modo que uma simples supressão de pacotes de comunicação por meio do filtro respectivo, não parece ser suficiente, pelo que o correspondente interruptor de ruptura também é aberto.
No caso dum ataque dentro da rede de comunicação 116 o dispositivo 120 de acordo com o invento, acciona o interruptor de ruptura, de modo que o sistema de bombas de infusão 122 pode continuar sem perturbações as suas infusões, embora uma comunicação com o PC 118 de prescrição não seja possível. O dispositivo 124 de acordo com o invento acciona, nesta situação, igualmente o interruptor de ruptura, de modo que o monitor de pacientes 126 executa igualmente a sua função de monitorização sem perturbações, embora não seja possível uma comunicação com o monitor central 110. Para além disso, o dispositivo 128 de acordo com o invento acciona, igualmente, o interruptor de ruptura e não permite, assim, qualquer influência do ataque sobre o resto da rede de comunicação 106. Com isto, o funcionamento de outras salas intensivas, nas quais o ataque não surge no interior da rede, é garantido sem perturbações e o monitor central 110 também pode comunicar com os monitores de pacientes de outras salas intensivas sem perturbações.
No caso dum ataque que parte da rede de comunicação 106, são accionados os interruptores de ruptura dos dispositivos 112 e 128 de acordo com o invento. O monitor central não tem, assim, qualquer ligação com o monitor de pacientes 126 nem com os monitores de pacientes de outras salas intensivas. A comunicação no interior da rede de comunicação 116 mantém-se sem perturbação, pelo que a utilização do PC de prescrição 118 se mantêm completamente disponível conjuntamente com o sistema de bombas de infusão 122. 46
Uma utilização hierárquica deste tipo dos dispositivos de acordo com o invento possibilita que no caso de ataques, só não são possiveis de activar as funções, para as quais isso é inevitável e simultaneamente minimizar as reacções sobre outros participantes na rede de comunicação e, assim, aumentar a sua disponibilidade.
Todas as caracteristicas publicadas na documentação do requerimento da patente são reivindicadas como importantes para o invento, enquanto elas individualmente ou em combinação são novas em relação à situação da Técnica.
Lista de símbolos de referência 1 Residência do paciente 2 Instalação medicinal
3 Rede WAN 4 Aparelho medicinal de colheita de dados
5 Rede LAN 6 Rede LAN da instalação medicinal 7 Aparelho medicinal de exploração 8 Zona insegura da rede de comunicação do ponto de 9 10 11 11a vista da instalação medicinal Dispositivo de acordo com o invento Aparelho medicinal Rede de comunicação Zona segura 47 11b Zona insegura 12 Filtro de pacotes 13 Lógica de comando 14 Interruptor de ruptura 15,16 Aparelhos parciais medicinais 18 Filtro de pacotes bidireccional 19 Central de monitores de pacientes 20,21,22 Monitores de pacientes 26 Pacote de comunicação transmitido 27 Pacote de comunicação modificado 28 Dados adicionais 29 Pacote de comunicação utilizável pelo aparelho medicinal 30 Área de dados codificada 31 Pacote de comunicação modificado e codificado 32 Dispositivo de acordo com o invento com interruptores de ruptura da zona insegura da rede de comunicação 33 Dispositivo de acordo com o invento com interruptores de ruptura em ambos os lados 35 Canal de serviço 36 Canal de supervisão 37 Dispositivo de acordo com o invento com dois subsistemas independentes entre si 38,39 Subsistemas independentes 40,41 Interruptores de ruptura 42,43 Lógica de comando 44,45 Filtro de pacotes 46 Comparador 47 via de comunicação entre os subsistemas 48 Aparelho de acordo com o invento diferente 49,50 Interruptor de ruptura 51,52 Primeiro e segundo canal 53,54 Primeiro e segundo sistema de serviço 48 55,56 Primeira e segunda "Firewall" 57,58 Primeiro e segundo scanner de virus 59,60 Primeira e segunda análise de protocolos 61 Comparador 62 Aparelho medicinal 63 Módulo de comunicação 6 4 CAN-Bus 65,66 Resistência de terminação 67 Sistema de alarme 68-72 Bombas de infusão 73 Dispositivo de acordo com o invento 74 PC 75 Unidade composta pelo dispositivo 75 de acordo com o invento e pelo módulo de comunicação 63 76 Monitor central 77-81 Interfaces RS-485 82,86 Monitores de pacientes 87 Dispositivo de acordo com o invento 88 Internet-Switch 89-93 Dispositivos de acordo com o invento 94 Unidade composta por componentes e ligações da rede de comunicação 95,96 Módulos excitadores 97, 98 Excitadores 99,100 Lógica de comando 101,102 Interruptores de ruptura 103 Aparelho de acordo com o invento 104,105 Aparelhos com as funções de "Firewall"e VPN 106,107 Redes de comunicação de dois locais de implantação duma instalação medicinal 108,109 Dispositivo de acordo com o invento 110,111 Monitor central 112,113 Aparelho com as funções de "Firewall" e VPN 114,115 PCs de liquidação 49 116,117 Redes de comunicação 118,119 PCs de prescrição 120,121 Dispositivos de acordo com o invento 122,123 Sistemas de bombas de infusão 124,125 Dispositivos de acordo com o invento 126,127 Monitores de pacientes 128,129 Aparelhos de acordo com o invento
Lisboa, 24 de Janeiro de 2011. 50

Claims (27)

  1. REIVINDICAÇÕES 1. Dispositivo (9;34;37) para interacção com um aparelho medicinal (10), o qual é adequado para ser integrado numa rede de comunicação (11), a qual apresenta, pelo menos, uma zona insegura (11b), assim como uma zona segura (11a), em que o dispositivo (9) apresenta meios de transmissão (12;44,45) para transmissão de pacotes de comunicação para e do aparelho medicinal (10), por meio da rede de comunicação (11), em que ele apresenta meios de supervisão (13,42,43) para supervisionar o estado da ligação do aparelho (10) com a rede (11), assim como ele apresenta meios de interrupção (14;40,41), para interromper uma ligação existente entre a zona segura (11a) e a zona insegura (11b) da rede (11), caso durante a supervisão seja detectada uma situação na ligação da rede que represente um perigo para um paciente tratado pelo aparelho (10), respectivamente, para o funcionamento correcto do aparelho (10), e em que o dispositivo apresenta, pelo menos, dois canais diferentes (38,39) com, respectivamente, meios de transmissão próprios (12;44,45), meios de supervisão (13;42,43) próprios, assim como meios de interrupção (14;40,41) próprios, caracterizado por, cada canal se supervisionar tanto a si próprio como o outro canal independente e na detecção duma situação na ligação da rede que represente um perigo para os pacientes, respectivamente para a função correcta do aparelho, se separa da zona insegura (11b) da rede de comunicação (11).
  2. 2. Dispositivo de acordo com a reivindicação 1, caracterizado por 1 apresentar um comparador (46;61) que é adequado para comparar entre si os resultados duma filtragem de pacotes em cada canal (38,39) e os pacotes de comunicação a transmitir só serem transferidos se forem iguais em cada canal (38,39).
  3. 3. Dispositivo de acordo com a reivindicação 1, caracterizado por, os meios de transmissão (12;44,45) apresentarem um filtro de pacotes que executa uma filtragem de pacotes nos pacotes de comunicação a transmitir entre a zona insegura (11b) e a zona segura (11a) da rede de comunicação (11), em que o filtro de pacotes é adequado para não deixar passar pacotes de comunicação potencialmente perigosos para o aparelho medicinal (10), os meios de interrupção apresentarem, pelo menos, um interruptor de ruptura (14; 40,41), assim como por os meios de supervisão (12) apresentarem, pelo menos, uma lógica de comando (13;42,43) que, na detecção duma situação na ligação de rede que representa perigo para um paciente ou para o correcto funcionamento do aparelho, acciona a interrupção do/dos interruptores de ruptura (14;40,41), para separar a zona insegura (11b) da zona segura (11a) da rede de comunicação (11) directamente ligada ao aparelho medicinal (10).
  4. 4. Dispositivo de acordo com a reivindicação anterior, caracterizado por o/os filtros de pacotes (12;44,45) executar/executarem uma filtragem bidireccional de pacotes nos pacotes de comunicação transmitidos entre a zona insegura (11b) e a zona segura (11a) da rede de comunicação (11). 2
  5. 5. Dispositivo de acordo com a reivindicação 3 ou 4, caracterizado por, 0 filtro de pacotes (12;44,45) substituir parcialmente ou integralmente os meios de supervisão (13;42,43) e/ou os meios de interrupção (13,14), em que ele na detecção duma situação da rede de comunicação que represente um perigo para os pacientes, respectivamente, para o correcto funcionamento do aparelho, não deixa passar pacotes de comunicação perigosos ou todos os pacotes de comunicação.
  6. 6. Dispositivo de acordo com a reivindicação anterior, caracterizado por, a separação entre a zona segura (11a) e a zona insegura (11b) da rede de comunicação (11) ser efectuada por segmentação lógica.
  7. 7. Dispositivo de acordo com uma das reivindicações 1 a 5, caracterizado por, a separação entre a zona segura (11a) e a zona insegura (11b) da rede de comunicação (11) ser efectuada como segmentação física.
  8. 8. Dispositivo de acordo com a reivindicação anterior, caracterizado por, a segmentação física referida ser realizada através de diferentes vias de transmissão físicas na zona segura (11a) ou na zona insegura (11b) da rede de comunicação (11) ou através de diferentes instâncias da referida via de transmissão.
  9. 9. Dispositivo de acordo com a reivindicação 7 ou 8, caracterizado por, a rede de comunicação (11) apresentar vias de comunicação ligadas por cabo e/ou ligadas por rádio. 3
  10. 10. Dispositivo de acordo com a reivindicação anterior, caracterizado por, a via de transmissão ser formada na zona segura (11a) da rede de comunicação (11) por cabos de fibra óptica.
  11. 11. Dispositivo de acordo com uma das reivindicações 3 a 10, caracterizado por, o filtro de pacotes (12; 44, 45) ser adequado para efectuar uma tradução e/ou uma codificação dos protocolos de comunicação utilizados na zona insegura (11b), respectivamente na zona segura (11a) da rede de comunicação (11), de tal forma que noutra zona da rede de comunicação (11), em relação aos pacotes de comunicação provenientes do protocolo original, são utilizados pacotes de comunicação modificados.
  12. 12. Dispositivo de acordo com uma das anteriores reivindicações, caracterizado por, a lógica de comando (13) possuir meios para execução dum teste estático e/ou dinâmico dos dados para transmitir na rede de comunicação (11), cujo resultado conduz a uma manutenção ou separação duma ligação existente entre a zona segura (11a) e a zona insegura (11b) da rede de comunicação (11), através do accionamento do/dos interruptores de ruptura (14;40,41).
  13. 13. Dispositivo de acordo com uma das anteriores reivindicações, caracterizado por, o/os interruptores de ruptura (14;40,41) se localizar/localizarem no lado ligado na zona segura (11a) da rede de comunicação (11) e/ou no lado do 4 dispositivo (9) ligado na zona insegura (11b) da rede comunicação (11), para poderem separar só o aparelho medicinal (10) e/ou tanto o aparelho medicinal (10), como também o próprio dispositivo (9) da zona insegura (11b).
  14. 14. Dispositivo de acordo com uma das anteriores reivindicações, caracterizado por, apresentar uma arquitectura redundante, em que nos meios de supervisão (13;42,43) está integrado um modelo da função dos meios de transmissão (12;44,45) que permite supervisionar o seu modo de funcionamento correcto.
  15. 15. Dispositivo de acordo com a reivindicação 2, caracterizado por, em cada canal (38,39) apresentar uma lógica de segurança, que é adequada para na detecção duma situação da ligação da rede que represente perigo para os pacientes, respectivamente para o bom funcionamento do aparelho, para independentemente da lógica de segurança de qualquer outro canal, separar a zona insegura (11b) da rede de comunicação (11) da sua zona segura (11a).
  16. 16. Aparelho medicinal (10), o qual é adequado para integração numa rede de comunicação (11) que apresenta, pelo menos, uma zona insegura (11b), assim como da parte do aparelho, uma zona segura (11a), caracterizado por apresentar um dispositivo (9;34;37), segundo uma das anteriores reivindicações.
  17. 17. Aparelho medicinal de acordo com a anterior reivindicação, 5 caracterizado por ser constituído por uma bomba de infusão (62) ou por um monitor de paciente.
  18. 18. Sistema medicinal com uma pluralidade de aparelhos medicinais (10) ou de aparelhos parciais (15,16), o qual é indicado para ser integrado numa rede de comunicação (11) que apresenta, pelo menos, uma zona insegura (11b), assim como uma zona segura (11a), caracterizado por o sistema apresentar, pelo menos, um dispositivo (9;34;37), segundo uma das anteriores reivindicações 1 até 5.
  19. 19. Sistema medicinal de acordo com a anterior reivindicação, caracterizado por, cada aparelho individual (10) ou aparelho parcial (15.16) apresentar um dispositivo (9) próprio, segundo uma das anteriores reivindicações 1 até 15.
  20. 20. Processo para comando dum dispositivo (9;34;37) para interacção com um aparelho medicinal (10), o qual é adequado para integração numa rede de comunicação (11) que apresenta, pelo menos uma zona insegura (11b), assim como na parte do aparelho, uma zona segura (11a), em que o processo assegura a transmissão de pacotes de comunicação para e do aparelho medicinal (10) por meio da rede de comunicação (11), que supervisiona a situação da ligação do aparelho (10) para a rede (11) e porque interrompe uma ligação existente entre a zona segura (11a) e a zona insegura (11b) da rede (11), caso durante a supervisão seja detectada uma situação na ligação da 6 rede que represente perigo para os pacientes, respectivamente para o correcto funcionamento aparelho, e em que o processo em, pelo menos, dois canais diferentes (38,39) funciona com respectivamente uma transmissão, uma supervisão assim como uma interrupção própria, caracterlzado por, cada canal supervisionar não só o seu próprio canal, como também o outro canal independentemente, para numa detecção duma situação na ligação da rede que represente perigo para os pacientes, respectivamente para o correcto funcionamento do aparelho, se separar da zona insegura (11b) da rede de comunicação (11).
  21. 21. Processo de acordo com a reivindicação anterior, caracterizado por, na transmissão dos pacotes de comunicação transmitidos entre a zona insegura (11b) e a zona segura (11a) da rede de comunicação (11), executar uma filtragem de pacotes, em que esta filtragem é adequada para não deixar passar pacotes de comunicação potencialmente perigosos para o aparelho medicinal (10).
  22. 22. Processo de acordo com uma das reivindicações 20 a 21, caracterizado por, executar uma filtragem de pacotes bidireccional dos pacotes de comunicação transmitidos entre a zona insegura (11b) e a zona segura (11a) da rede de comunicação (11).
  23. 23. Processo de acordo com uma das reivindicações 20 a 22, caracterizado por, 7 permitir uma segmentação lógica entre a zona segura (11a) e a zona insegura (11b) da rede de comunicação (11) .
  24. 24. Processo de acordo com uma das reivindicações 21 a 23, caracterlzado por, permitir através da filtragem de pacotes, no âmbito da fase de transmissão, parcial ou totalmente a substituição das fases referidas da supervisão e/ou da interrupção, em que durante a filtragem de pacotes, na detecção duma situação na ligação da rede que represente perigo para o paciente, respectivamente para o correcto funcionamento do aparelho, não permite a passagem de pacotes de comunicação ou de todos os pacotes de comunicação perigosos.
  25. 25. Processo de acordo com uma das reivindicações 20 a 24, caracterizado por, a filtragem de pacotes ser adequada para executar uma tradução e/ou codificação dos protocolos de comunicação utilizados na zona insegura (11b), respectivamente na zona segura 11a) da rede de comunicação (11), de forma que numa outra respectiva zona da rede de comunicação (11) podem ser utilizados pacotes de comunicação modificados em relação aos pacotes de comunicação provenientes do protocolo original.
  26. 26. Processo de acordo com uma das reivindicações 20 a 25, caracterizado por, durante a fase de supervisão ser executado um teste estático e/ou dinâmico dos dados a serem transmitidos na rede de comunicação (11), cujo resultado conduz à manutenção ou separação duma ligação existente entre a zona segura (11a) e a zona segura (11b) da rede (11). 8
  27. 27. Processo de acordo com uma das reivindicações 20 a 26, caracterizado por, ter um funcionamento redundante, em que na fase de supervisão está integrado um modelo, pelo menos, parcial da função de transmissão que permite a supervisão do seu modo de funcionamento correcto. Lisboa, 24 de Janeiro de 2011. 9
PT07109289T 2006-06-03 2007-05-31 Dispositivo e processo para protecção dum aparelho medicinal e dum paciente tratado neste aparelho contra influências perigosas provenientes duma rede de comunicação PT1862931E (pt)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
DE102006026088 2006-06-03
DE102007024720A DE102007024720B4 (de) 2006-06-03 2007-05-25 Vorrichtung und Verfahren zum Schutz eines medizinischen Geräts und eines von diesem Gerät behandelten Patienten vor gefährdenden Einflüssen aus einem Kommunikationsnetzwerk

Publications (1)

Publication Number Publication Date
PT1862931E true PT1862931E (pt) 2011-01-31

Family

ID=38543017

Family Applications (1)

Application Number Title Priority Date Filing Date
PT07109289T PT1862931E (pt) 2006-06-03 2007-05-31 Dispositivo e processo para protecção dum aparelho medicinal e dum paciente tratado neste aparelho contra influências perigosas provenientes duma rede de comunicação

Country Status (6)

Country Link
EP (2) EP2381377B1 (pt)
AT (1) ATE487190T1 (pt)
DE (2) DE102007024720B4 (pt)
ES (1) ES2663295T3 (pt)
PL (1) PL1862931T3 (pt)
PT (1) PT1862931E (pt)

Families Citing this family (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102007035534A1 (de) * 2007-07-28 2009-01-29 Biotronik Crm Patent Ag Anordnung und Verfahren für die Fernprogrammierung eines persönlichen medizinischen Gerätes
DE102013221164A1 (de) * 2013-10-18 2015-05-21 Siemens Aktiengesellschaft System, Unterbrecher - Vorrichtung und Überwachungseinheit zur Unterbrechung einer Datenkommunikation
DE102015016616A1 (de) * 2015-12-22 2017-06-22 Giesecke & Devrient Gmbh Vorrichtung und Verfahren zur Verbindung einer Produktionsvorrichtung mit einem Netzwerk
DE102019128378A1 (de) * 2019-10-21 2021-04-22 Olympus Winter & Ibe Gmbh Medizingerät und Verfahren zum Empfang von Daten in einem Medizingerät
DE102020117984A1 (de) 2020-07-08 2022-01-13 Drägerwerk AG & Co. KGaA Netzwerkgerät und Medizinsystem zur Detektion mindestens eines Netzwerkproblems

Family Cites Families (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP3381055B2 (ja) * 1997-01-27 2003-02-24 裕典 若山 ウィルスの侵入防止方法、及びウィルスの侵入防止機構
WO2001026021A1 (en) * 1999-10-01 2001-04-12 Glaxo Group Limited Remote patient assessment system
US20020032793A1 (en) * 2000-09-08 2002-03-14 The Regents Of The University Of Michigan Method and system for reconstructing a path taken by undesirable network traffic through a computer network from a source of the traffic
US7089592B2 (en) * 2001-03-15 2006-08-08 Brighterion, Inc. Systems and methods for dynamic detection and prevention of electronic fraud
AU2003225064A1 (en) * 2002-04-22 2003-11-11 Medtronic, Inc. Seamless communication between an implantable medical device and a remote system
DE10251900A1 (de) * 2002-11-07 2004-05-19 Trium Analysis Online GmbH c/o Institut für Medizinische Statistik und Epidemiologie (IMSE) der TU München Klinikum rechts der Isar Patientenüberwachungssystem und -verfahren

Also Published As

Publication number Publication date
DE102007024720A1 (de) 2007-12-06
EP2381377A1 (de) 2011-10-26
ATE487190T1 (de) 2010-11-15
DE502007005521D1 (de) 2010-12-16
EP1862931B8 (de) 2010-12-29
EP1862931A1 (de) 2007-12-05
DE102007024720B4 (de) 2013-12-24
EP1862931B1 (de) 2010-11-03
PL1862931T3 (pl) 2011-04-29
ES2663295T3 (es) 2018-04-11
EP2381377B1 (de) 2018-01-03

Similar Documents

Publication Publication Date Title
ES2354632T3 (es) Dispositivo y procedimiento para la protección de un aparato médico y de un paciente tratado con dicho aparato, contra influencias peligrosas procedentes de una red de comunicaciones.
ES2687049T3 (es) Procedimiento, equipo y sistema para vigilar una pasarela de seguridad a la red
CN103621038B (zh) 中间件机器环境中支持子网管理数据包防火墙限制和业务保护中的至少一项的系统和方法
AU2002324631B2 (en) Active intrusion resistant environment of layered object and compartment keys
PT1862931E (pt) Dispositivo e processo para protecção dum aparelho medicinal e dum paciente tratado neste aparelho contra influências perigosas provenientes duma rede de comunicação
CN101146066B (zh) 网络接口设备、计算系统及传递数据的方法
AU2002324631A1 (en) Active intrusion resistant environment of layered object and compartment keys
US7818790B1 (en) Router for use in a monitored network
BR102013015753A2 (pt) Método para monitorar operação de um sistema de energia elétrica; e sistema de monitoramento
CA2614331A1 (en) Trusted cryptographic switch
CN110383280A (zh) 用于为时间感知的端到端分组流网络提供网络安全性的方法和装置
CN104204973B (zh) 工业控制系统的动态配置
CN102668502B (zh) 一种用于欺骗检测的方法和系统
Hatebur et al. Systematic development of UMLsec design models based on security requirements
WO2016136223A1 (ja) インターコネクション装置、管理装置、リソース分離型コンピュータシステム、方法、及び、プログラム
CN101714990B (zh) 一种网络安全防护集成系统及其控制方法
ES2921212T3 (es) Sistema de protección y procedimiento para el filtrado de un tráfico de datos
CN106358188A (zh) 一种链路切换方法、装置及系统
Cisco Data Encryption Service Adapter
Cisco Data Encryption Service Adapter
Cisco Data Encryption Service Adapter
Cisco Data Encryption Service Adapter
Cisco Data Encryption Service Adapter
Pelikan et al. Networks in the radiology department and the hospital
US20110202975A1 (en) Method of management in security equipment and security entity