隨著《網絡安全法》����、《密碼法》等法律法規(guī)的正式實施���,相關網絡安全國家標準�����、行業(yè)標準也陸續(xù)發(fā)布, 網絡安全標準化正式進入全面提升時代����。數(shù)字化當前進入深度發(fā)展期�,而伴隨"互聯(lián)網+"醫(yī)療模式的快速發(fā)展,健康醫(yī)療信息面臨著越來越多的網絡安全挑戰(zhàn)����。數(shù)字認證董事長詹榜華表示,“當前���,基于互聯(lián)網的國家疾病預防控制系統(tǒng)、各地免疫規(guī)劃系統(tǒng)等信息化手段在疫情防控各個階段得到高強度�、高頻度的使用,安全需求也隨之而來�?�!?/span>迎合醫(yī)療信息化安全需求���,網安標準發(fā)揮保障作用隨著我國網絡強國戰(zhàn)略的持續(xù)深化和網絡安全規(guī)范逐漸增加,網絡安全標準作為我國網絡空間安全建設與治理的有力抓手�,在多個領域都發(fā)揮了作用。在信安標委啟動的“網絡安全國家標準20周年優(yōu)秀實踐案例評選”活動中�����。由中國疾病預防控制中心���、北京協(xié)和醫(yī)院�、中日友好醫(yī)院����、首都醫(yī)科大學宣武醫(yī)院、北京數(shù)字認證股份有限公司聯(lián)合申報的《商用密碼系列標準在疫情防控網絡安全防護中的應用》案例充分運用網絡安全標準�����,取得了一等獎的成績����。這是我國網絡安全標準推進應用20年來在醫(yī)療衛(wèi)生領域應用的“首金”�����,也是網絡安全標準推動行業(yè)創(chuàng)新應用的厚積薄發(fā)����。據了解��,面向醫(yī)療信息領域�����,數(shù)字認證聯(lián)合多家醫(yī)療衛(wèi)生機構探索商用密碼系列標準在疫情防控網絡安全防護中的應用����,基于GB/T 39786、GB/T 32918��、GB/T 20518��、GB/T37092等國密算法�����、密碼產品與應用系列網絡安全國家標準���,建立醫(yī)療衛(wèi)生領域網絡信任體系與信息保護體系����,建立了標準實施保障機制����。
數(shù)字認證公司為疾控機構及醫(yī)療機構提供的服務所采用的密碼和網絡安全標準詹榜華介紹稱,該體系的應用范圍涉及多個業(yè)務場景����,通過采用密碼標準對醫(yī)療人員、終端設備等進行數(shù)字身份簽名認證以及敏感疾控數(shù)據的加密保護���;基于公鑰基礎設施相關標準建立多源多級的證書服務模式�����,支撐全數(shù)字身份管理����;依據電子簽章等密碼產品及應用標準對醫(yī)療信息管理系統(tǒng)進行規(guī)范化集成與業(yè)務應用推廣�。“標準實施應用可解決疫情防控期間疾控數(shù)據上報�、疫苗追溯����、醫(yī)院門診、住院���、檢查檢驗����、病例歸檔等各個重要環(huán)節(jié)實體真實性����、數(shù)據機密性和完整性、行為不可否認性及可追溯性等網絡信任及數(shù)據安全問題���?���!彼f道���。作為密碼行業(yè)標準化技術委員會副主任委員單位����、全國信息安全標準化技術委員會(簡稱:信安標委)會員單位,數(shù)字認證公司成立20多年來前后參與了180+項國家及行業(yè)標準制定以及眾多科技前沿性質的戰(zhàn)略性研究任務���。詹榜華認為,“數(shù)據報送”“在線診療”“免疫規(guī)劃”作為當前疫情防控的三駕“信息化”馬車���,其所面臨的安全性需求主要包括三個方面�����,一是醫(yī)護患及相關人員身份的真實性需求���,二是醫(yī)療數(shù)據與個人信息保護的機密性和完整性需求,三是操作行為的不可抵賴性以及行為責任的可追溯性需求�����。“因此�,保障疫情防控醫(yī)療衛(wèi)生領域的網絡空間安全,有兩個主要發(fā)力點:一是構建以身份認證�����、授權管理和責任認定為主要內容的網絡信任體系,確保醫(yī)護患等相關人員及設備身份可信��、操作行為可追溯�����;二是構建以數(shù)據加密���、完整性保護和安全傳輸?shù)葹橹饕獌热莸男畔⒈Wo體系����,防止敏感醫(yī)療數(shù)據被篡改��、破壞和泄露����。”他說道��。標準落地賦能醫(yī)療數(shù)據安全密碼應用有例可依在醫(yī)療衛(wèi)生領域��,醫(yī)療健康數(shù)據廣泛應用于各大場景中�����,健康管理�����、遠程醫(yī)療、病因溯源��、基因分析等都需要大數(shù)據手段���。醫(yī)療數(shù)據安全也隨之越發(fā)被重視,2016年至今��,國家也相繼出臺了多個醫(yī)療健康數(shù)據安全政策進行規(guī)范�。詹榜華認為,將網安標準落地在醫(yī)療數(shù)據安全領域意義重大����。“以《商用密碼系列標準在疫情防控網絡安全防護中的應用》案例為例���,首先����,通過有效地把國家相關信息安全標準落實到疫情防控實際應用中�����,既促進國家網絡安全標準落地,又解決了疫情防控安全中面臨的網絡安全實際問題��,最終有效保障了國家網絡安全和人民群眾健康安全���,具有極大的社會意義����?!?/span>“其次,以密碼為關鍵技術的網絡安全保障體系����,為行業(yè)提升密碼應用意識、加強密碼科學規(guī)范使用等方面均起到了示范作用:醫(yī)療機構在進行信息系統(tǒng)建設時��,應以國家密碼應用與安全性評估的關鍵標準GB/T 39786—2021作為頂層依據開展同步規(guī)劃�����、同步建設�����、同步運行密碼保障系統(tǒng)并定期進行評估。在“三同步一評估”中�,同步規(guī)劃的核心是密碼應用方案編制。密碼應用方案編制是至關重要的環(huán)節(jié)����,好的方案需要對業(yè)務進行仔細梳理、從系統(tǒng)架構����、功能模塊、業(yè)務流��、數(shù)據流等各個環(huán)節(jié)都參照國家標準進行設計和實施���,對密碼應用需求的詳細分析,使得業(yè)務和安全達到有機統(tǒng)一����,而不是直接生搬硬套密碼應用措施和產品。只有正確���、合規(guī)���、有效地使用密碼技術,才能更好地保護網絡安全和數(shù)據安全?��!彼岬?���。詹榜華表示�,未來,隨著《國家標準化發(fā)展綱要》的貫徹落實����、隨著密碼應用安全性評估工作逐步推進,依據國家標準����,科學嚴謹?shù)氖褂妹艽a,也將開創(chuàng)整個醫(yī)療衛(wèi)生行業(yè)密碼技術應用的新局面��。
