醫院如何確保物聯網下的“資料安全”?請先完成這5個步驟!

IT168GB發表於2018-08-17

等保2.0新標準即將正式釋出,除了標準名稱變化外,等保2.0較等保1.0有很大的不同,特別是“標準內容變化”,由一個基本要求變更為安全通用要求和安全擴充套件要求(含雲端計算、移動互聯、物聯網、工業控制)。

等保2.0新增“物聯網安全擴充套件要求”,並作為單獨章節大篇幅闡述。為什麼等保2.0如此關注物聯網安全?

物聯網技術與我們的工作生活緊密相關,關係到我們每個人的隱私資訊保安、生命安全,企業的商業秘密保護,甚至於國家、政府機密安全等。

本文我們重點聊一聊,新增的“物聯網安全擴充套件要求”,及物聯網在醫院的安全應用。 

什麼是物聯網?

物聯網是將感知節點裝置(含RFID)透過網際網路等網路連線起來構成的一個應用系統,它融合資訊系統和物理世界實體,是虛擬世界與現實世界的結合。

物聯網系統從架構上可分為三個邏輯層,即感知層、網路傳輸層、處理應用層。

A.感知層: 包括感測器節點和感測網閘道器節點,或RFID標籤和RFID讀寫器,也包括這些感知裝置及感測網閘道器、RFID標籤與閱讀器之間的短距離通訊(通常為無線);

B.網路傳輸層: 指將這些感知資料遠距離傳輸到處理中心的網路,包括網際網路、移動網,常包括幾種不同網路的融合;

C.處理應用層: 指對感知資料進行儲存與智慧處理的平臺,並對行業應用終端提供服務。對大型物聯網系統來說,處理應用層一般是雲端計算平臺和行業應用終端裝置。

1990年,物聯網技術就早早出現在施樂公司的網路可樂販售機上。

2010年,國家發改委、工信部等部門出臺支援政策,推動物聯網發展。

如今,物聯網技術已廣泛應用在智慧交通、環境保護、政府工作、公共安全、平安家居、智慧消防、工業監測、環境監測、路燈照明管控、景觀照明管控、樓宇照明管控、廣場照明管控、老人護理、個人健康、花卉栽培、水系監測、食品溯源、敵情偵查和情報蒐集等多個領域。

物聯網如何在醫院“落地”?

應用場景:物聯網手術室

醫院利用物聯網技術,管理手術全過程,對手術涉及的醫護人員、後勤人員、病患、醫療器械、手術用品、手術衣物、各類潔淨物和汙染物等相關人和物的資訊進行監測管控,以保障手術安全,提高工作效率。主要包括:

1.對各類手術人員進行鑑別、定位,並與手術資訊進行對比核查,避免醫療事故發生;

2.將人、物品、器械、資訊均納入統一的管理平臺,提高工作效率;

3.完善並最佳化手術工作流程,例如實現了智慧化的手術衣物發放,解決原先衣物回收難的問題;

物聯網技術在醫院的應用還有很多,比如:

1.給新生兒用的手環,具有實時定位、軌跡回放,自動報警功能,防止新生兒被盜。

2.智慧輸液管理,過去醫院的輸液室,患者多,管理亂,護士在整個大廳來回穿梭,輸液狀態完全依靠患者自己報告。物聯網化以後,利用可穿戴裝置對輸液狀態進行監控、告警,甚至輸液完成自動實現截流保護。所有患者資訊大屏顯示,護士也不用來回穿梭,提高了護理的質量,降低了護士的工作強度,又保證了患者的輸液安全。

3.藥品追溯,藥品出廠後,配有RFID識別碼,購買者可判斷藥品真偽與相關生產資訊。藥品出現質量問題,需下架召回或搜尋購買者,廠家可透過物聯網後臺跟蹤並迅速定位。 

物聯網安全保護技術?

醫院物聯網應用的核心是“資料”,物聯網平臺下層利用各種感測器及可穿戴裝置,對各種醫療裝置和醫生、患者的資訊進行採集,形成醫學裝備資料、病患定位資料、母嬰安全資料、輸液監護資料、生命體徵監護資料、移動護理資料、醫療垃圾追溯資料、血液資料等,統一彙總到一個資料庫中,上層則對接移動護理、資產管理、HIS、LIS等各種第三方系統。

下層採集到的資訊,必然涉及到患者隱私,如何保證資料合法使用,且不被竊取,對醫院資訊管理至關重要。同時,網路安全法和等保2.0都對物聯網應用過程中的個人隱私資料保護提出了非常具體、明確的要求。

但是,在實際醫療活動中,因診斷、研究及教學的需要,醫療資料被大量採集、釋出、利用、共享,資料流動過程中必然涉及安全問題。僅靠法律規範來約束遠遠不夠,還需採用必要的技術手段解決相關隱私保護問題。

從5個方面來一一闡述: 

A. 資料脫敏

在開發測試、培訓、教學、科研等領域使用,資料必須經過脫敏,實現個人隱私保護。利用美創資料脫敏產品,對原始資料進行干擾、匿名化等處理形成新的資料集,使得新資料集不再明顯地含有個人隱私資訊,同時保持原始資料的分佈特徵。 

B. 訪問控制 

許多物聯網裝置安全問題的產生,是因為使用者許可權分配不合理,導致存在越權訪問、未授權訪問等現象。因此,需要在敏感資料分級分類的基礎上,根據訪問者的職責來分配不同的許可權,實現分權管理。

敏感資料訪問過去嚴重依賴密碼和資料庫自身的許可權體系,但是,資料庫雖有最小許可權機制,可操作性太差、配置複雜。美創資料庫防水壩在登入階段,對密碼、登入時間、地點、訪問的資料表列等十多個要素進行驗證,確保登入的使用者身份是合法的;在訪問過程中,資料庫防水壩驗證使用者身份和訪問行為,並與自身規則庫進行比對,自動攔截未經授權的訪問或越權訪問等行為;對於刪除重要的資料表等高危操作,予以攔截。

另外,資料庫防水壩還具有運維動態脫敏的功能。不同的人許可權不同,執行同一條命令返回的結果是完全不同的,擁有許可權的人看到真實的資料,沒有許可權的人看到是經過脫敏處理的後的資料。 

C. 資料加密

物聯網應用中涉及大量患者隱私資料,還可以採取加密的方式來進行保護。美創資料加密產品基於全庫、表、列、段(即多行)等級別對敏感資料進行加密保護,在不影響業務系統的正常訪問(對應用系統“透明”)下,保證敏感資料在內的檔案脫離系統後,仍然保持加密狀態,防止拖庫等攻擊行為。 

D. 入侵防禦

物聯網的前端,連線多種終端採集裝置,透過各種網路接入平臺進行資料採集,如:WIFI、藍芽等,這就意味著駭客有非常多的手段、途徑可以入侵資料庫。為保證資料安全,我們需要保證駭客進入到內網後、訪問資料庫前,對其行為進行發現和攔截。

駭客一般是利用應用或資料庫漏洞來實現入侵,可以在資料庫前部署美創資料庫防火牆,透過對資料庫通訊協議的解析,對駭客訪問的上下文資訊進行解析,利用白名單和SQL隱碼攻擊特徵庫進行威脅的發現和自動攔截,從而有效防止來自外部的入侵行為。 

E. 防勒索

醫院海量的敏感資料,成了不少駭客覬覦的“香餑餑”。一旦被勒索,可能帶來巨大的經濟損失,甚至危及患者生命安全。

醫院物聯網系統中包含結構化資料和非結構化資料。防勒索不僅要對重要的文件進行保護,還需要保護資料庫,以及物聯網中存在的大量啞終端裝置。美創諾亞防勒索系統,以應用白名單為核心,對各種文件、資料進行有效保護,只有被信任的應用才可以修改被保護的文件和資料庫、在啞終端上執行,從而有效防禦勒索病毒。 


本文轉載自微信公眾號“杭州美創科技有限公司”,原文作者:林大

來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/31510736/viewspace-2200259/,如需轉載,請註明出處,否則將追究法律責任。

相關文章