等保2.0新标准即将正式发布，除了标准名称变化外，等保2.0较等保1.0有很大的不同，特别是“标准内容变化”，由一个基本要求变更为安全通用要求和安全扩展要求(含云计算、移动互联、物联网、工业控制)。
　　等保2.0新增“物联网安全扩展要求”，并作为单独章节大篇幅阐述。为什么等保2.0如此关注物联网安全?

　　物联网技术与我们的工作生活紧密相关，关系到我们每个人的隐私信息安全、生命安全，企业的商业秘密保护，甚至于国家、政府机密安全等。

　　本文我们重点聊一聊，新增的“物联网安全扩展要求”，及物联网在医院的安全应用。

　　什么是物联网?

　　物联网是将感知节点设备(含RFID)通过互联网等网络连接起来构成的一个应用系统，它融合信息系统和物理世界实体，是虚拟世界与现实世界的结合。

　　物联网系统从架构上可分为三个逻辑层，即感知层、网络传输层、处理应用层。

　　A.感知层：包括传感器节点和传感网网关节点，或RFID标签和RFID读写器，也包括这些感知设备及传感网网关、RFID标签与阅读器之间的短距离通信(通常为无线);

　　B.网络传输层：指将这些感知数据远距离传输到处理中心的网络，包括互联网、移动网，常包括几种不同网络的融合;

　　C.处理应用层：指对感知数据进行存储与智能处理的平台，并对行业应用终端提供服务。对大型物联网系统来说，处理应用层一般是云计算平台和行业应用终端设备。

　　1990年，物联网技术就早早出现在施乐公司的网络可乐贩售机上。

　　2010年，国家发改委、工信部等部门出台支持政策，推动物联网发展。

　　如今，物联网技术已广泛应用在智能交通、环境保护、政府工作、公共安全、平安家居、智能消防、工业监测、环境监测、路灯照明管控、景观照明管控、楼宇照明管控、广场照明管控、老人护理、个人健康、花卉栽培、水系监测、食品溯源、敌情侦查和情报搜集等多个领域。

　　物联网如何在医院“落地”?

　　应用场景：物联网手术室

　　医院利用物联网技术，管理手术全过程，对手术涉及的医护人员、后勤人员、病患、医疗器械、手术用品、手术衣物、各类洁净物和污染物等相关人和物的信息进行监测管控，以保障手术安全，提高工作效率。主要包括：

　　1.对各类手术人员进行鉴别、定位，并与手术信息进行对比核查，避免医疗事故发生;

　　2.将人、物品、器械、信息均纳入统一的管理平台，提高工作效率;

　　3.完善并优化手术工作流程，例如实现了智能化的手术衣物发放，解决原先衣物回收难的问题;

　　物联网技术在医院的应用还有很多，比如：

　　1.给新生儿用的手环，具有实时定位、轨迹回放，自动报警功能，防止新生儿被盗。

　　2.智能输液管理，过去医院的输液室，患者多，管理乱，护士在整个大厅来回穿梭，输液状态完全依靠患者自己报告。物联网化以后，利用可穿戴设备对输液状态进行监控、告警，甚至输液完成自动实现截流保护。所有患者信息大屏显示，护士也不用来回穿梭，提高了护理的质量，降低了护士的工作强度，又保证了患者的输液安全。

　　3.药品追溯，药品出厂后，配有RFID识别码，购买者可判断药品真伪与相关生产信息。药品出现质量问题，需下架召回或搜寻购买者，厂家可通过物联网后台跟踪并迅速定位。

　　物联网安全保护技术?

　　医院物联网应用的核心是“数据”，物联网平台下层利用各种传感器及可穿戴设备，对各种医疗设备和医生、患者的信息进行采集，形成医学装备数据、病患定位数据、母婴安全数据、输液监护数据、生命体征监护数据、移动护理数据、医疗垃圾追溯数据、血液数据等，统一汇总到一个数据库中，上层则对接移动护理、资产管理、HIS、LIS等各种第三方系统。

　　下层采集到的信息，必然涉及到患者隐私，如何保证数据合法使用，且不被窃取，对医院信息管理至关重要。同时，网络安全法和等保2.0都对物联网应用过程中的个人隐私数据保护提出了非常具体、明确的要求。

　　但是，在实际医疗活动中，因诊断、研究及教学的需要，医疗数据被大量采集、发布、利用、共享，数据流动过程中必然涉及安全问题。仅靠法律规范来约束远远不够，还需采用必要的技术手段解决相关隐私保护问题。

　　从5个方面来一一阐述：

　　A. 数据脱敏

　　在开发测试、培训、教学、科研等领域使用，数据必须经过脱敏，实现个人隐私保护。利用美创数据脱敏产品，对原始数据进行干扰、匿名化等处理形成新的数据集，使得新数据集不再明显地含有个人隐私信息，同时保持原始数据的分布特征。

　　B. 访问控制

　　许多物联网设备安全问题的产生，是因为用户权限分配不合理，导致存在越权访问、未授权访问等现象。因此，需要在敏感数据分级分类的基础上，根据访问者的职责来分配不同的权限，实现分权管理。

　　敏感数据访问过去严重依赖密码和数据库自身的权限体系，但是，数据库虽有最小权限机制，可操作性太差、配置复杂。美创数据库防水坝在登录阶段，对密码、登录时间、地点、访问的数据表列等十多个要素进行验证，确保登录的用户身份是合法的;在访问过程中，数据库防水坝验证用户身份和访问行为，并与自身规则库进行比对，自动拦截未经授权的访问或越权访问等行为;对于删除重要的数据表等高危操作，予以拦截。

　　另外，数据库防水坝还具有运维动态脱敏的功能。不同的人权限不同，执行同一条命令返回的结果是完全不同的，拥有权限的人看到真实的数据，没有权限的人看到是经过脱敏处理的后的数据。

　　C. 数据加密

　　物联网应用中涉及大量患者隐私数据，还可以采取加密的方式来进行保护。美创数据加密产品基于全库、表、列、段(即多行)等级别对敏感数据进行加密保护，在不影响业务系统的正常访问(对应用系统“透明”)下，保证敏感数据在内的文件脱离系统后，仍然保持加密状态，防止拖库等攻击行为。

　　D. 入侵防御

　　物联网的前端，连接多种终端采集设备，通过各种网络接入平台进行数据采集，如：WIFI、蓝牙等，这就意味着黑客有非常多的手段、途径可以入侵数据库。为保证数据安全，我们需要保证黑客进入到内网后、访问数据库前，对其行为进行发现和拦截。

　　黑客一般是利用应用或数据库漏洞来实现入侵，可以在数据库前部署美创数据库防火墙，通过对数据库通信协议的解析，对黑客访问的上下文信息进行解析，利用白名单和SQL注入特征库进行威胁的发现和自动拦截，从而有效防止来自外部的入侵行为。

　　E. 防勒索

　　医院海量的敏感数据，成了不少黑客觊觎的“香饽饽”。一旦被勒索，可能带来巨大的经济损失，甚至危及患者生命安全。

　　医院物联网系统中包含结构化数据和非结构化数据。防勒索不仅要对重要的文档进行保护，还需要保护数据库，以及物联网中存在的大量哑终端设备。美创诺亚防勒索系统，以应用白名单为核心，对各种文档、数据进行有效保护，只有被信任的应用才可以修改被保护的文档和数据库、在哑终端上运行，从而有效防御勒索病毒。

　　针对医院物联网安全现状、等保2.0等法律法规要求，美创科技提出医院物联网安全整体解决方案，从根源上保障医院数据的安全使用。