医疗物联网的合规考虑

医疗行业准备在可穿戴物联网设备以及可以监控、报告和跟踪各种医疗状况的先进系统的可用数据方面实现巨大飞跃。与此同时，Healthcare IT News 在 2015 年的一篇文章中报道称，2014 年医疗行业有超过 200 万身份盗用受害者，比上一年增加了 22%。［1］

有许多法规试图确保敏感患者数据的隐私。本文探讨了患者数据传输期间的安全性、管理它的法规，以及最近宣布的解决方案，该解决方案可能支持更先进的医疗物联网应用，同时也符合数据安全法规。

医疗物联网挑战

物联网与其说是产品集合，不如说是部署解决方案如何为最终用户提供显着利益以及为供应商提供有关系统使用方式的有价值信息的范式转变。随着可穿戴设备数量的爆炸式增长，这些设备代表了对海量信息的前所未有的访问水平，这些信息可用于将医疗实践推向新的高度。这也为新的医疗设备打开了大门，这些设备利用类似于可穿戴设备的技术来获取生物识别信息，但它们是为分析医疗状况以及饮食、运动和生活方式对这些状况的影响而定制的。

医疗物联网挑战将隐私问题扩展到医疗行业长期以来一直在处理的存储数据的保护之外。新的挑战包括将传感器数据安全可靠地传输到摄取和存储系统。联邦信息处理标准 （FIPS） 的任务是在这些领域提供保护和隐私的标准和保证级别。FIPS 140 标准处理信息传输的安全性，这是成功部署医疗物联网应用程序的关键合规性部分。

FIPS 140-2 概述

FIPS 140-2 是美国政府用于认证加密模块的计算机安全标准。在医疗行业，该标准用于保护涉及个人医疗记录或数据的敏感数据。数据加密方法的认证针对随机数生成和所用加密算法安全性验证的熵进行测试。还有其他级别还包括篡改检测和响应要求。

这些是重要的合规要求，以确保数据的安全性和保护。将物联网应用于医疗，这些敏感数据也从医疗传感器、设备和网关流入云环境，可以跟踪、监控和分析从单个个体到一组测试对象的数据。这不仅将安全要求扩展到数据存储，还扩展到从传感器到云的传输。

FIPS 140-2 实施

Redpine Signals 最近宣布推出基于该公司 M2MCombo 芯片组（Sidebar 1）的 FIPS 140-2 Wi-Fi 模块。这些模块使设计人员能够轻松地将合规能力整合到他们的医疗保健、金融、教育和制造系统中。

Redpine Signals 的符合 FIPS 140-2 标准的 M2MCombo Wi-Fi 芯片组包括 CBC 模式下的 AES 128/256 位等算法；AES CCM；AES-12 CMAC；SHA-1；SHA-256；HMAC-SHA1；HMAC-SHA256；RSA PKCS#5；SP800-90 DRBG HASH_DRBG; SP800-108 KDF；和 CVL。芯片组中还有一些算法是未经批准但在 FIPS 模式下允许的，以及非 FIPS 模式下的主流加密算法。这使得芯片组可扩展以满足各种合规性要求。整个 SSL 堆栈嵌入在芯片中，消除了 Wi-Fi 性能上的任何加密瓶颈。

Redpine Signals 的首席执行官 Venkat Mattela 提到，由于提高了稳健性和弹性，他们已经努力将 FIPS 140-2 合规性引入医疗设施中常用的双频 Wi-Fi 网络。“在此之前，我们一直致力于将 FIPS 140-1 推向市场，它定义了加密功能。这些函数用于测试随机数生成的熵和密码算法的验证，”Venkat 说。

Wi-Fi 供应商通常拥有像 AES 这样的企业认证，可以出售给非军事组件。但这些企业级解决方案是采用医疗物联网应用的重大障碍。

“Draeger Medical 是开发需要 FIPS 140-2 的应用程序最前沿的公司之一，”Venkat 继续说道。“将这些 FIPS 140 组件整合到他们基于 Wi-Fi 的 Infinity M300 患者佩戴遥测监视器中，代表了保护医疗物联网应用敏感数据的重要基准。”

有许多非常有趣和有用的健康应用程序可以在智能手机上运行，​​并与各种可穿戴设备和传感器连接，以监测活动、健身和减肥情况。扩展这些设备以供医疗行业专业人士使用，可以更深入地了解生活方式、锻炼和饮食习惯及其对健康和疾病预防的影响。

超越医疗

Venkat 提到，虽然 FIPS 140 功能是为医疗应用而开发的，但还有许多其他市场在制造物联网设备和系统，例如银行和金融、政府和设施、能源生产和智能电网、关键制造、紧急服务、交通系统、化学生产和研究。“所有这些应用程序都会交换与公共健康和安全相关的敏感数据。FIPS-140 功能为所有这些关键任务行业开启了物联网的可能性。”

为了有效地实施 FIPS，有许多关键方面。部署必须完全嵌入到软件中，因此您不需要庞大的 Linux 处理系统。实现最大吞吐量的硬件加速很重要，从概念到部署与客户用例互动的知识渊博的支持基础设施也很重要。这些关键功能可以使应用程序和系统以更低的平台费用更快地推向市场，同时将基础设施扩展到具有类似安全要求的新市场。

合并符合 FIPS 的模块的一大好处是能够利用所合并模块的认证。Venkat 评论说，随机熵本身的要求需要六个月的时间来完善和测试，直到它们获得认证。

概括

数据安全是医疗物联网应用的关键要素。这种安全性必须在数据存储以及传输过程中存在。实施 FIPS 140 标准的组件是为需要它们的行业实现高水平数据安全的重要组成部分。

审核编辑：郭婷