网安标准筑起网络安全“度量衡”, 密码应用医疗行业有例可依

随着《网络安全法》、《密码法》等法律法规的正式实施,相关网络安全国家标准、行业标准也陆续发布, 网络安全标准化正式进入全面提升时代。

数字化当前进入深度发展期,而伴随"互联网+"医疗模式的快速发展,健康医疗信息面临着越来越多的网络安全挑战。

数字认证董事长詹榜华表示,“当前,基于互联网的国家疾病预防控制系统、各地免疫规划系统等信息化手段在疫情防控各个阶段得到高强度、高频度的使用,安全需求也随之而来。”

随着我国网络强国战略的持续深化和网络安全规范逐渐增加,网络安全标准作为我国网络空间安全建设与治理的有力抓手,在多个领域都发挥了作用。

在信安标委启动的“网络安全国家标准20周年优秀实践案例评选”活动中。由中国疾病预防控制中心、北京协和医院、中日友好医院、首都医科大学宣武医院、北京数字认证(300579)股份有限公司联合申报的《商用密码系列标准在疫情防控网络安全防护中的应用》案例充分运用网络安全标准,取得了一等奖的成绩。这是我国网络安全标准推进应用20年来在医疗卫生领域应用的“首金”,也是网络安全标准推动行业创新应用的厚积薄发。

据了解,面向医疗信息领域,数字认证联合多家医疗卫生机构探索商用密码系列标准在疫情防控网络安全防护中的应用,基于GB/T 39786、GB/T 32918、GB/T 20518、GB/T37092等国密算法、密码产品与应用系列网络安全国家标准,建立医疗卫生领域网络信任体系与信息保护体系,建立了标准实施保障机制。

网安标准筑起网络安全“度量衡”, 密码应用医疗行业有例可依

詹榜华介绍称,该体系的应用范围涉及多个业务场景,通过采用密码标准对医疗人员、终端设备等进行数字身份签名认证以及敏感疾控数据的加密保护;基于公钥基础设施相关标准建立多源多级的证书服务模式,支撑全数字身份管理;依据电子签章等密码产品及应用标准对医疗信息管理系统进行规范化集成与业务应用推广。

“标准实施应用可解决疫情防控期间疾控数据上报、疫苗追溯、医院门诊、住院、检查检验、病例归档等各个重要环节实体真实性、数据机密性和完整性、行为不可否认性及可追溯性等网络信任及数据安全问题。”他说道。

作为密码行业标准化技术委员会副主任委员单位、全国信息安全标准化技术委员会(简称:信安标委)会员单位,数字认证公司成立20多年来前后参与了180+项国家及行业标准制定以及众多科技前沿性质的战略性研究任务。

詹榜华认为,“数据报送”“在线诊疗”“免疫规划”作为当前疫情防控的三驾“信息化”马车,其所面临的安全性需求主要包括三个方面,一是医护患及相关人员身份的真实性需求,二是医疗数据与个人信息保护的机密性和完整性需求,三是操作行为的不可抵赖性以及行为责任的可追溯性需求。

“因此,保障疫情防控医疗卫生领域的网络空间安全,有两个主要发力点:一是构建以身份认证、授权管理和责任认定为主要内容的网络信任体系,确保医护患等相关人员及设备身份可信、操作行为可追溯;二是构建以数据加密、完整性保护和安全传输等为主要内容的信息保护体系,防止敏感医疗数据被篡改、破坏和泄露。”他说道。

密码技术是网络安全的核心技术和基础支撑,在网络信任体系和信息保护体系的构建中,密码技术、产品和电子认证服务等相关标准是基础性核心规范。

据数字认证方面介绍,在《商用密码系列标准在疫情防控网络安全防护中的应用》案例中,遵循以密码为关键技术的网络安全国家标准构建疫情防控网络安全标准支撑体系,应用了基于密码算法类、密码设备类、密码基础设施类、网络信任类、信息保护类、密码应用安全性评估等30多项网络安全国家标准,并且采用符合标准的密码产品和服务,应用成效显著。

詹榜华介绍称,首先,标准应用可提升疾控数据网络直报的效率与传输安全。“通过采用符合国家标准要求的电子认证服务、电子签名技术等,为疫情直报系统提供可信身份认证和数据机密性、完整性保护等安全保障,不仅提高了疾控数据上报的安全性,也大大提高了运营效率。”

此外,还可以支撑互联网诊疗新模式加速发展。“疫情期间,互联网就诊模式成为患者就医的便捷方式,北京协和医院、中日友好医院、首都医科大学宣武医院在互联网诊疗建设过程中,充分按照网络安全国家标准,建设智慧医疗平台,保障了医患身份真实性,保障了数据在互联网传输过程中防篡改,实现了电子处方的可靠电子签名,加强了检验报告等医疗文书的可信管理,为医师患者互联网就诊提供了便捷、安全、高效的新型互联网医疗服务。”