網安標準築起網絡安全“度量衡”，密碼應用醫療行業有例可依

2022-05-24

*【環球網科技報道記者林夢雪】*隨着《網絡安全法》、《密碼法》等法律法規的正式實施，相關網絡安全國家標準、行業標準也陸續發佈, 網絡安全標準化正式進入全面提升時代。

數字化當前進入深度發展期，而伴隨"互聯網+“醫療模式的快速發展，健康醫療信息面臨着越來越多的網絡安全挑戰。

數字認證董事長詹榜華表示，“當前，基於互聯網的國家疾病預防控制系統、各地免疫規劃系統等信息化手段在疫情防控各個階段得到高強度、高頻度的使用，安全需求也隨之而來。”

迎合醫療信息化安全需求，網安標準發揮保障作用

隨着我國網絡強國戰略的持續深化和網絡安全規範逐漸增加，網絡安全標準作為我國網絡空間安全建設與治理的有力抓手，在多個領域都發揮了作用。

在信安標委啓動的“網絡安全國家標準20週年優秀實踐案例評選”活動中。由中國疾病預防控制中心、北京協和醫院、中日友好醫院、首都醫科大學宣武醫院、北京數字認證股份有限公司聯合申報的《商用密碼系列標準在疫情防控網絡安全防護中的應用》案例充分運用網絡安全標準，取得了一等獎的成績。這是我國網絡安全標準推進應用20年來在醫療衞生領域應用的“首金”，也是網絡安全標準推動行業創新應用的厚積薄發。

據瞭解，面向醫療信息領域，數字認證聯合多家醫療衞生機構探索商用密碼系列標準在疫情防控網絡安全防護中的應用，基於GB/T 39786、GB/T 32918、GB/T 20518、GB/T37092等國密算法、密碼產品與應用系列網絡安全國家標準，建立醫療衞生領域網絡信任體系與信息保護體系，建立了標準實施保障機制。

詹榜華介紹稱，該體系的應用範圍涉及多個業務場景，通過採用密碼標準對醫療人員、終端設備等進行數字身份簽名認證以及敏感疾控數據的加密保護；基於公鑰基礎設施相關標準建立多源多級的證書服務模式，支撐全數字身份管理；依據電子簽章等密碼產品及應用標準對醫療信息管理系統進行規範化集成與業務應用推廣。

“標準實施應用可解決疫情防控期間疾控數據上報、疫苗追溯、醫院門診、住院、檢查檢驗、病例歸檔等各個重要環節實體真實性、數據機密性和完整性、行為不可否認性及可追溯性等網絡信任及數據安全問題。”他説道。

作為密碼行業標準化技術委員會副主任委員單位、全國信息安全標準化技術委員會（簡稱：信安標委）會員單位，數字認證公司成立20多年來前後參與了180+項國家及行業標準制定以及眾多科技前沿性質的戰略性研究任務。

詹榜華認為，“數據報送”“在線診療”“免疫規劃”作為當前疫情防控的三駕“信息化”馬車，其所面臨的安全性需求主要包括三個方面，一是醫護患及相關人員身份的真實性需求，二是醫療數據與個人信息保護的機密性和完整性需求，三是操作行為的不可抵賴性以及行為責任的可追溯性需求。

“因此，保障疫情防控醫療衞生領域的網絡空間安全，有兩個主要發力點：一是構建以身份認證、授權管理和責任認定為主要內容的網絡信任體系，確保醫護患等相關人員及設備身份可信、操作行為可追溯；二是構建以數據加密、完整性保護和安全傳輸等為主要內容的信息保護體系，防止敏感醫療數據被篡改、破壞和泄露。”他説道。

密碼技術支撐網安標準應用成效顯著

密碼技術是網絡安全的核心技術和基礎支撐，在網絡信任體系和信息保護體系的構建中，密碼技術、產品和電子認證服務等相關標準是基礎性核心規範。

據數字認證方面介紹，在《商用密碼系列標準在疫情防控網絡安全防護中的應用》案例中，遵循以密碼為關鍵技術的網絡安全國家標準構建疫情防控網絡安全標準支撐體系，應用了基於密碼算法類、密碼設備類、密碼基礎設施類、網絡信任類、信息保護類、密碼應用安全性評估等30多項網絡安全國家標準，並且採用符合標準的密碼產品和服務，應用成效顯著。

詹榜華介紹稱，首先，標準應用可提升疾控數據網絡直報的效率與傳輸安全。“通過採用符合國家標準要求的電子認證服務、電子簽名技術等，為疫情直報系統提供可信身份認證和數據機密性、完整性保護等安全保障，不僅提高了疾控數據上報的安全性，也大大提高了運營效率。”

此外，還可以支撐互聯網診療新模式加速發展。“疫情期間，互聯網就診模式成為患者就醫的便捷方式，北京協和醫院、中日友好醫院、首都醫科大學宣武醫院在互聯網診療建設過程中，充分按照網絡安全國家標準，建設智慧醫療平台，保障了醫患身份真實性，保障了數據在互聯網傳輸過程中防篡改，實現了電子處方的可靠電子簽名，加強了檢驗報告等醫療文書的可信管理，為醫師患者互聯網就診提供了便捷、安全、高效的新型互聯網醫療服務。”

標準落地賦能醫療數據安全密碼應用有例可依

在醫療衞生領域，醫療健康數據廣泛應用於各大場景中，健康管理、遠程醫療、病因溯源、基因分析等都需要大數據手段。醫療數據安全也隨之越發被重視，2016年至今，國家也相繼出台了多個醫療健康數據安全政策進行規範。

詹榜華認為，將網安標準落地在醫療數據安全領域意義重大。“以《商用密碼系列標準在疫情防控網絡安全防護中的應用》案例為例，首先，通過有效地把國家相關信息安全標準落實到疫情防控實際應用中，既促進國家網絡安全標準落地，又解決了疫情防控安全中面臨的網絡安全實際問題，最終有效保障了國家網絡安全和人民羣眾健康安全，具有極大的社會意義。”

“其次，以密碼為關鍵技術的網絡安全保障體系，為行業提升密碼應用意識、加強密碼科學規範使用等方面均起到了示範作用：醫療機構在進行信息系統建設時，應以國家密碼應用與安全性評估的關鍵標準GB/T 39786—2021作為頂層依據開展同步規劃、同步建設、同步運行密碼保障系統並定期進行評估。在“三同步一評估”中，同步規劃的核心是密碼應用方案編制。密碼應用方案編制是至關重要的環節，好的方案需要對業務進行仔細梳理、從系統架構、功能模塊、業務流、數據流等各個環節都參照國家標準進行設計和實施，對密碼應用需求的詳細分析，使得業務和安全達到有機統一，而不是直接生搬硬套密碼應用措施和產品。只有正確、合規、有效地使用密碼技術，才能更好地保護網絡安全和數據安全。”他提到。

詹榜華表示，未來，隨着《國家標準化發展綱要》的貫徹落實、隨着密碼應用安全性評估工作逐步推進，依據國家標準，科學嚴謹的使用密碼，也將開創整個醫療衞生行業密碼技術應用的新局面。