随着《网络安全法》、《密码法》等法律法规的正式实施,相关网络安全国家标准、行业标准也陆续发布, 网络安全标准化正式进入全面提升时代。
数字化当前进入深度发展期,而伴随"互联网+"医疗模式的快速发展,健康医疗信息面临着越来越多的网络安全挑战。
数字认证董事长詹榜华表示,“当前,基于互联网的国家疾病预防控制系统、各地免疫规划系统等信息化手段在疫情防控各个阶段得到高强度、高频度的使用,安全需求也随之而来。”
随着我国网络强国战略的持续深化和网络安全规范逐渐增加,网络安全标准作为我国网络空间安全建设与治理的有力抓手,在多个领域都发挥了作用。
在信安标委启动的“网络安全国家标准20周年优秀实践案例评选”活动中。由中国疾病预防控制中心、北京协和医院、中日友好医院、首都医科大学宣武医院、北京数字认证股份有限公司联合申报的《商用密码系列标准在疫情防控网络安全防护中的应用》案例充分运用网络安全标准,取得了一等奖的成绩。这是我国网络安全标准推进应用20年来在医疗卫生领域应用的“首金”,也是网络安全标准推动行业创新应用的厚积薄发。
据了解,面向医疗信息领域,数字认证联合多家医疗卫生机构探索商用密码系列标准在疫情防控网络安全防护中的应用,基于GB/T 39786、GB/T 32918、GB/T 20518、GB/T37092等国密算法、密码产品与应用系列网络安全国家标准,建立医疗卫生领域网络信任体系与信息保护体系,建立了标准实施保障机制。
詹榜华介绍称,该体系的应用范围涉及多个业务场景,通过采用密码标准对医疗人员、终端设备等进行数字身份签名认证以及敏感疾控数据的加密保护;基于公钥基础设施相关标准建立多源多级的证书服务模式,支撑全数字身份管理;依据电子签章等密码产品及应用标准对医疗信息管理系统进行规范化集成与业务应用推广。
“标准实施应用可解决疫情防控期间疾控数据上报、疫苗追溯、医院门诊、住院、检查检验、病例归档等各个重要环节实体真实性、数据机密性和完整性、行为不可否认性及可追溯性等网络信任及数据安全问题。”他说道。
作为密码行业标准化技术委员会副主任委员单位、全国信息安全标准化技术委员会(简称:信安标委)会员单位,数字认证公司成立20多年来前后参与了180+项国家及行业标准制定以及众多科技前沿性质的战略性研究任务。
詹榜华认为,“数据报送”“在线诊疗”“免疫规划”作为当前疫情防控的三驾“信息化”马车,其所面临的安全性需求主要包括三个方面,一是医护患及相关人员身份的真实性需求,二是医疗数据与个人信息保护的机密性和完整性需求,三是操作行为的不可抵赖性以及行为责任的可追溯性需求。
“因此,保障疫情防控医疗卫生领域的网络空间安全,有两个主要发力点:一是构建以身份认证、授权管理和责任认定为主要内容的网络信任体系,确保医护患等相关人员及设备身份可信、操作行为可追溯;二是构建以数据加密、完整性保护和安全传输等为主要内容的信息保护体系,防止敏感医疗数据被篡改、破坏和泄露。”他说道。
密码技术是网络安全的核心技术和基础支撑,在网络信任体系和信息保护体系的构建中,密码技术、产品和电子认证服务等相关标准是基础性核心规范。
据数字认证方面介绍,在《商用密码系列标准在疫情防控网络安全防护中的应用》案例中,遵循以密码为关键技术的网络安全国家标准构建疫情防控网络安全标准支撑体系,应用了基于密码算法类、密码设备类、密码基础设施类、网络信任类、信息保护类、密码应用安全性评估等30多项网络安全国家标准,并且采用符合标准的密码产品和服务,应用成效显著。
詹榜华介绍称,首先,标准应用可提升疾控数据网络直报的效率与传输安全。“通过采用符合国家标准要求的电子认证服务、电子签名技术等,为疫情直报系统提供可信身份认证和数据机密性、完整性保护等安全保障,不仅提高了疾控数据上报的安全性,也大大提高了运营效率。”
此外,还可以支撑互联网诊疗新模式加速发展。“疫情期间,互联网就诊模式成为患者就医的便捷方式,北京协和医院、中日友好医院、首都医科大学宣武医院在互联网诊疗建设过程中,充分按照网络安全国家标准,建设智慧医疗平台,保障了医患身份真实性,保障了数据在互联网传输过程中防篡改,实现了电子处方的可靠电子签名,加强了检验报告等医疗文书的可信管理,为医师患者互联网就诊提供了便捷、安全、高效的新型互联网医疗服务。”
在医疗卫生领域,医疗健康数据广泛应用于各大场景中,健康管理、远程医疗、病因溯源、基因分析等都需要大数据手段。医疗数据安全也随之越发被重视,2016年至今,国家也相继出台了多个医疗健康数据安全政策进行规范。
詹榜华认为,将网安标准落地在医疗数据安全领域意义重大。“以《商用密码系列标准在疫情防控网络安全防护中的应用》案例为例,首先,通过有效地把国家相关信息安全标准落实到疫情防控实际应用中,既促进国家网络安全标准落地,又解决了疫情防控安全中面临的网络安全实际问题,最终有效保障了国家网络安全和人民群众健康安全,具有极大的社会意义。”
“其次,以密码为关键技术的网络安全保障体系,为行业提升密码应用意识、加强密码科学规范使用等方面均起到了示范作用:医疗机构在进行信息系统建设时,应以国家密码应用与安全性评估的关键标准GB/T 39786—2021作为顶层依据开展同步规划、同步建设、同步运行密码保障系统并定期进行评估。在“三同步一评估”中,同步规划的核心是密码应用方案编制。密码应用方案编制是至关重要的环节,好的方案需要对业务进行仔细梳理、从系统架构、功能模块、业务流、数据流等各个环节都参照国家标准进行设计和实施,对密码应用需求的详细分析,使得业务和安全达到有机统一,而不是直接生搬硬套密码应用措施和产品。只有正确、合规、有效地使用密码技术,才能更好地保护网络安全和数据安全。”他提到。
詹榜华表示,未来,随着《国家标准化发展纲要》的贯彻落实、随着密码应用安全性评估工作逐步推进,依据国家标准,科学严谨的使用密码,也将开创整个医疗卫生行业密码技术应用的新局面。
标签:
发表评论 (已有 条评论)