等保2.0新标准与物联网

2018-09-13 14:27:25 GDIDC

等保2.0新标准即将正式发布,除了标准名称变化外,等保2.0较等保1.0有很大的不同,特别是“标准内容变化”,由一个基本要求变更为安全通用要求和安全扩展要求(含云计算、移动互联、物联网、工业控制)。

等保2.0新增“物联网安全扩展要求”,并作为单独章节大篇幅阐述。为什么等保2.0如此关注物联网安全?

物联网技术与我们的工作生活紧密相关,关系到我们每个人的隐私信息安全、生命安全,企业的商业秘密保护,甚至于国家、政府机密安全等。

本文我们重点聊一聊,新增的“物联网安全扩展要求”,及物联网在医院的安全应用。


什么是物联网?

物联网是将感知节点设备(含RFID)通过互联网等网络连接起来构成的一个应用系统,它融合信息系统和物理世界实体,是虚拟世界与现实世界的结合。

物联网系统从架构上可分为三个逻辑层,即感知层、网络传输层、处理应用层。

A.感知层:包括传感器节点和传感网网关节点,或RFID标签和RFID读写器,也包括这些感知设备及传感网网关、RFID标签与阅读器之间的短距离通信(通常为无线);

B.网络传输层:指将这些感知数据远距离传输到处理中心的网络,包括互联网、移动网,常包括几种不同网络的融合;

C.处理应用层:指对感知数据进行存储与智能处理的平台,并对行业应用终端提供服务。对大型物联网系统来说,处理应用层一般是云计算平台和行业应用终端设备。

1990年,物联网技术就早早出现在施乐公司的网络可乐贩售机上。

2010年,国家发改委、工信部等部门出台支持政策,推动物联网发展。

如今,物联网技术已广泛应用在智能交通、环境保护、政府工作、公共安全、平安家居、智能消防、工业监测、环境监测、路灯照明管控、景观照明管控、楼宇照明管控、广场照明管控、老人护理、个人健康、花卉栽培、水系监测、食品溯源、敌情侦查和情报搜集等多个领域。


物联网如何在医院“落地”?


应用场景:物联网手术室

医院利用物联网技术,管理手术全过程,对手术涉及的医护人员、后勤人员、病患、医疗器械、手术用品、手术衣物、各类洁净物和污染物等相关人和物的信息进行监测管控,以保障手术安全,提高工作效率。主要包括:

1.对各类手术人员进行鉴别、定位,并与手术信息进行对比核查,避免医疗事故发生;

2.将人、物品、器械、信息均纳入统一的管理平台,提高工作效率;

3.完善并优化手术工作流程,例如实现了智能化的手术衣物发放,解决原先衣物回收难的问题;


物联网技术在医院的应用还有很多,比如:

1.给新生儿用的手环,具有实时定位、轨迹回放,自动报警功能,防止新生儿被盗。

2.智能输液管理,过去医院的输液室,患者多,管理乱,护士在整个大厅来回穿梭,输液状态完全依靠患者自己报告。物联网化以后,利用可穿戴设备对输液状态进行监控、告警,甚至输液完成自动实现截流保护。所有患者信息大屏显示,护士也不用来回穿梭,提高了护理的质量,降低了护士的工作强度,又保证了患者的输液安全。

3.药品追溯,药品出厂后,配有RFID识别码,购买者可判断药品真伪与相关生产信息。药品出现质量问题,需下架召回或搜寻购买者,厂家可通过物联网后台跟踪并迅速定位。


物联网安全保护技术?

医院物联网应用的核心是“数据”,物联网平台下层利用各种传感器及可穿戴设备,对各种医疗设备和医生、患者的信息进行采集,形成医学装备数据、病患定位数据、母婴安全数据、输液监护数据、生命体征监护数据、移动护理数据、医疗垃圾追溯数据、血液数据等,统一汇总到一个数据库中,上层则对接移动护理、资产管理、HIS、LIS等各种第三方系统。

下层采集到的信息,必然涉及到患者隐私,如何保证数据合法使用,且不被窃取,对医院信息管理至关重要。同时,网络安全法和等保2.0都对物联网应用过程中的个人隐私数据保护提出了非常具体、明确的要求。

但是,在实际医疗活动中,因诊断、研究及教学的需要,医疗数据被大量采集、发布、利用、共享,数据流动过程中必然涉及安全问题。仅靠法律规范来约束远远不够,还需采用必要的技术手段解决相关隐私保护问题。


从5个方面来一一阐述:


A. 数据脱敏

在开发测试、培训、教学、科研等领域使用,数据必须经过脱敏,实现个人隐私保护。利用美创数据脱敏产品,对原始数据进行干扰、匿名化等处理形成新的数据集,使得新数据集不再明显地含有个人隐私信息,同时保持原始数据的分布特征。


B. 访问控制

许多物联网设备安全问题的产生,是因为用户权限分配不合理,导致存在越权访问、未授权访问等现象。因此,需要在敏感数据分级分类的基础上,根据访问者的职责来分配不同的权限,实现分权管理。

敏感数据访问过去严重依赖密码和数据库自身的权限体系,但是,数据库虽有最小权限机制,可操作性太差、配置复杂。美创数据库防水坝在登录阶段,对密码、登录时间、地点、访问的数据表列等十多个要素进行验证,确保登录的用户身份是合法的;在访问过程中,数据库防水坝验证用户身份和访问行为,并与自身规则库进行比对,自动拦截未经授权的访问或越权访问等行为;对于删除重要的数据表等高危操作,予以拦截。

另外,数据库防水坝还具有运维动态脱敏的功能。不同的人权限不同,执行同一条命令返回的结果是完全不同的,拥有权限的人看到真实的数据,没有权限的人看到是经过脱敏处理的后的数据。


C. 数据加密

物联网应用中涉及大量患者隐私数据,还可以采取加密的方式来进行保护。美创数据加密产品基于全库、表、列、段(即多行)等级别对敏感数据进行加密保护,在不影响业务系统的正常访问(对应用系统“透明”)下,保证敏感数据在内的文件脱离系统后,仍然保持加密状态,防止拖库等攻击行为。


D. 入侵防御

物联网的前端,连接多种终端采集设备,通过各种网络接入平台进行数据采集,如:WIFI、蓝牙等,这就意味着黑客有非常多的手段、途径可以入侵数据库。为保证数据安全,我们需要保证黑客进入到内网后、访问数据库前,对其行为进行发现和拦截。

黑客一般是利用应用或数据库漏洞来实现入侵,可以在数据库前部署美创数据库防火墙,通过对数据库通信协议的解析,对黑客访问的上下文信息进行解析,利用白名单和SQL注入特征库进行威胁的发现和自动拦截,从而有效防止来自外部的入侵行为。


E. 防勒索

医院海量的敏感数据,成了不少黑客觊觎的“香饽饽”。一旦被勒索,可能带来巨大的经济损失,甚至危及患者生命安全。

医院物联网系统中包含结构化数据和非结构化数据。防勒索不仅要对重要的文档进行保护,还需要保护数据库,以及物联网中存在的大量哑终端设备。美创诺亚防勒索系统,以应用白名单为核心,对各种文档、数据进行有效保护,只有被信任的应用才可以修改被保护的文档和数据库、在哑终端上运行,从而有效防御勒索病毒。

针对医院物联网安全现状、等保2.0等法律法规要求,美创科技提出医院物联网安全整体解决方案,从根源上保障医院数据的安全使用。