等保2.0新增“物聯網安全擴展要求”,并作為單獨章節大篇幅闡述。為什么等保2.0如此關注物聯網安全?
物聯網技術與我們的工作生活緊密相關,關系到我們每個人的隱私信息安全、生命安全,企業的商業秘密保護,甚至于國家、政府機密安全等。
本文我們重點聊一聊,新增的“物聯網安全擴展要求”,及物聯網在醫院的安全應用。
什么是物聯網?
物聯網是將感知節點設備(含RFID)通過互聯網等網絡連接起來構成的一個應用系統,它融合信息系統和物理世界實體,是虛擬世界與現實世界的結合。
物聯網系統從架構上可分為三個邏輯層,即感知層、網絡傳輸層、處理應用層。
A.感知層:包括傳感器節點和傳感網網關節點,或RFID標簽和RFID讀寫器,也包括這些感知設備及傳感網網關、RFID標簽與閱讀器之間的短距離通信(通常為無線);
B.網絡傳輸層:指將這些感知數據遠距離傳輸到處理中心的網絡,包括互聯網、移動網,常包括幾種不同網絡的融合;
C.處理應用層:指對感知數據進行存儲與智能處理的平臺,并對行業應用終端提供服務。對大型物聯網系統來說,處理應用層一般是云計算平臺和行業應用終端設備。
1990年,物聯網技術就早早出現在施樂公司的網絡可樂販售機上。
2010年,國家發改委、工信部等部門出臺支持政策,推動物聯網發展。
如今,物聯網技術已廣泛應用在智能交通、環境保護、政府工作、公共安全、平安家居、智能消防、工業監測、環境監測、路燈照明管控、景觀照明管控、樓宇照明管控、廣場照明管控、老人護理、個人健康、花卉栽培、水系監測、食品溯源、敵情偵查和情報搜集等多個領域。
物聯網如何在醫院“落地”?
應用場景:物聯網手術室
醫院利用物聯網技術,管理手術全過程,對手術涉及的醫護人員、后勤人員、病患、醫療器械、手術用品、手術衣物、各類潔凈物和污染物等相關人和物的信息進行監測管控,以保障手術安全,提高工作效率。主要包括:
1.對各類手術人員進行鑒別、定位,并與手術信息進行對比核查,避免醫療事故發生;
2.將人、物品、器械、信息均納入統一的管理平臺,提高工作效率;
3.完善并優化手術工作流程,例如實現了智能化的手術衣物發放,解決原先衣物回收難的問題;
物聯網技術在醫院的應用還有很多,比如:
1.給新生兒用的手環,具有實時定位、軌跡回放,自動報警功能,防止新生兒被盜。
2.智能輸液管理,過去醫院的輸液室,患者多,管理亂,護士在整個大廳來回穿梭,輸液狀態完全依靠患者自己報告。物聯網化以后,利用可穿戴設備對輸液狀態進行監控、告警,甚至輸液完成自動實現截流保護。所有患者信息大屏顯示,護士也不用來回穿梭,提高了護理的質量,降低了護士的工作強度,又保證了患者的輸液安全。
3.藥品追溯,藥品出廠后,配有RFID識別碼,購買者可判斷藥品真偽與相關生產信息。藥品出現質量問題,需下架召回或搜尋購買者,廠家可通過物聯網后臺跟蹤并迅速定位。
物聯網安全保護技術?
醫院物聯網應用的核心是“數據”,物聯網平臺下層利用各種傳感器及可穿戴設備,對各種醫療設備和醫生、患者的信息進行采集,形成醫學裝備數據、病患定位數據、母嬰安全數據、輸液監護數據、生命體征監護數據、移動護理數據、醫療垃圾追溯數據、血液數據等,統一匯總到一個數據庫中,上層則對接移動護理、資產管理、HIS、LIS等各種第三方系統。
下層采集到的信息,必然涉及到患者隱私,如何保證數據合法使用,且不被竊取,對醫院信息管理至關重要。同時,網絡安全法和等保2.0都對物聯網應用過程中的個人隱私數據保護提出了非常具體、明確的要求。
但是,在實際醫療活動中,因診斷、研究及教學的需要,醫療數據被大量采集、發布、利用、共享,數據流動過程中必然涉及安全問題。僅靠法律規范來約束遠遠不夠,還需采用必要的技術手段解決相關隱私保護問題。
從5個方面來一一闡述:
A. 數據脫敏
在開發測試、培訓、教學、科研等領域使用,數據必須經過脫敏,實現個人隱私保護。利用美創數據脫敏產品,對原始數據進行干擾、匿名化等處理形成新的數據集,使得新數據集不再明顯地含有個人隱私信息,同時保持原始數據的分布特征。
B. 訪問控制
許多物聯網設備安全問題的產生,是因為用戶權限分配不合理,導致存在越權訪問、未授權訪問等現象。因此,需要在敏感數據分級分類的基礎上,根據訪問者的職責來分配不同的權限,實現分權管理。
敏感數據訪問過去嚴重依賴密碼和數據庫自身的權限體系,但是,數據庫雖有最小權限機制,可操作性太差、配置復雜。美創數據庫防水壩在登錄階段,對密碼、登錄時間、地點、訪問的數據表列等十多個要素進行驗證,確保登錄的用戶身份是合法的;在訪問過程中,數據庫防水壩驗證用戶身份和訪問行為,并與自身規則庫進行比對,自動攔截未經授權的訪問或越權訪問等行為;對于刪除重要的數據表等高危操作,予以攔截。
另外,數據庫防水壩還具有運維動態脫敏的功能。不同的人權限不同,執行同一條命令返回的結果是完全不同的,擁有權限的人看到真實的數據,沒有權限的人看到是經過脫敏處理的后的數據。
C. 數據加密
物聯網應用中涉及大量患者隱私數據,還可以采取加密的方式來進行保護。美創數據加密產品基于全庫、表、列、段(即多行)等級別對敏感數據進行加密保護,在不影響業務系統的正常訪問(對應用系統“透明”)下,保證敏感數據在內的文件脫離系統后,仍然保持加密狀態,防止拖庫等攻擊行為。
D. 入侵防御
物聯網的前端,連接多種終端采集設備,通過各種網絡接入平臺進行數據采集,如:WIFI、藍牙等,這就意味著黑客有非常多的手段、途徑可以入侵數據庫。為保證數據安全,我們需要保證黑客進入到內網后、訪問數據庫前,對其行為進行發現和攔截。
黑客一般是利用應用或數據庫漏洞來實現入侵,可以在數據庫前部署美創數據庫防火墻,通過對數據庫通信協議的解析,對黑客訪問的上下文信息進行解析,利用白名單和SQL注入特征庫進行威脅的發現和自動攔截,從而有效防止來自外部的入侵行為。
E. 防勒索
醫院海量的敏感數據,成了不少黑客覬覦的“香餑餑”。一旦被勒索,可能帶來巨大的經濟損失,甚至危及患者生命安全。
醫院物聯網系統中包含結構化數據和非結構化數據。防勒索不僅要對重要的文檔進行保護,還需要保護數據庫,以及物聯網中存在的大量啞終端設備。美創諾亞防勒索系統,以應用白名單為核心,對各種文檔、數據進行有效保護,只有被信任的應用才可以修改被保護的文檔和數據庫、在啞終端上運行,從而有效防御勒索病毒。
針對醫院物聯網安全現狀、等保2.0等法律法規要求,美創科技提出醫院物聯網安全整體解決方案,從根源上保障醫院數據的安全使用。
京公網安備 11010502049343號