首 页网安标准助力创新发展获国家认可,密码应用有例可依势在必行
党的十八大以来,我国标准化事业进入全面提升期,党中央国务院高度重视标准化工作。习近平总书记指出,“标准助推创新发展,标准引领时代进步”“积极实施标准化战略,以标准助力创新发展、协调发展、绿色发展、开放发展、共享发展”。随着我国网络强国战略的持续深化,网络安全标准作为我国网络空间安全建设与治理的有力抓手,发挥了引领作用。全国信息安全标准化技术委员会(简称:信安标委)统筹推进我国网络安全专业领域标准化工作,成立20年来,通过持续改革创新和深化行业应用,已经建立了科学、规范、健全的网络安全标准体系。
20年磨一剑,网安标准厚积薄发
为了全面总结20年网络安全国家标准应用的成功经验,充分展示标准的联通与支撑作用,信安标委启动了“网络安全国家标准20周年优秀实践案例评选”活动。这是一项备受中央网信办、工业和信息化部、国家密码管理局、公安部等权威机构高度重视的活动,是中国网络及信息安全标准20年发展史上的重要里程碑。
由中国疾病预防控制中心、北京协和医院、中日友好医院、首都医科大学宣武医院、北京数字认证股份有限公司联合申报的《商用密码系列标准在疫情防控网络安全防护中的应用》案例充分运用网络安全标准,在我国新冠疫情防控这一关键时期发挥了突出作用,取得了一等奖的优异成绩。这是我国网络安全标准推进应用20年来在医疗卫生领域应用的“首金”,也是网络安全标准推动行业创新应用的厚积薄发。
“首金”是怎样炼成的
1.精准把握需求,安全保障有的放矢
纵观整个防疫历程,基于互联网的国家疾病预防控制系统、各地免疫规划系统等信息化手段在疫情防控各个阶段得到高强度、高频度的使用,安全需求严峻迫切。
在疫情初期阶段,全国各地呈点状分布的疫情数据需要通过信息化的手段安全及时准确地送达国家,疫情数据的安全上报不仅涉及对居民个人隐私、健康状况等敏感信息的保护,而且关乎病况分析结果的正确性、防控工作决策部署的准确性,上报过程中一旦发生安全事件,将会对社会秩序和公众利益造成严重损害。
在疫情持续阶段,各地医疗机构迅速成为抗击疫情的要塞之地,“服务少见面、出入少接触”的持续防控需要,使得线上就医成为公众看诊的重要方式,促使传统医院开始将核心的医疗资源面向互联网开放,加快了互联网诊疗、无纸化诊疗的建设步伐,由此也带来了更多的医疗数据泄露与破坏风险,如何保障整个线上业务开展过程的安全可靠备受考验。
在常态化防疫阶段,疫苗免疫接种成为保障人民群众身体健康和生命安全、筑牢疫情防控免疫屏障的重要举措。疫苗接种过程中,免疫规划信息管理系统的安全性关乎疫苗接种信息和疫苗接种工作部署的准确性,如何实现疫苗接种信息全过程电子追溯,成为打赢全民免疫体系防御战役的关键。
由此可见,“数据报送”“在线诊疗”“免疫规划”作为疫情防控的三驾“信息化”马车,其所面临的安全性需求主要包括三个方面,一是医护患及相关人员身份的真实性需求,二是医疗数据与个人信息保护的机密性和完整性需求,三是操作行为的不可抵赖性以及行为责任的可追溯性需求。
因此,保障疫情防控医疗卫生领域的网络空间安全,有两个主要发力点:一是构建以身份认证、授权管理和责任认定为主要内容的网络信任体系,确保医护患等相关人员及设备身份可信、操作行为可追溯;二是构建以数据加密、完整性保护和安全传输等为主要内容的信息保护体系,防止敏感医疗数据被篡改、破坏和泄露。
2.选好用对标准,应用成效显著
密码技术是网络安全的核心技术和基础支撑,在网络信任体系和信息保护体系的构建中,密码技术、产品和电子认证服务等相关标准是基础性核心规范。在《商用密码系列标准在疫情防控网络安全防护中的应用》案例中,遵循以密码为关键技术的网络安全国家标准构建疫情防控网络安全标准支撑体系,应用了基于密码算法类、密码设备类、密码基础设施类、网络信任类、信息保护类、密码应用安全性评估等30多项网络安全国家标准,并且采用符合标准的密码产品和服务,应用成效显著,得到了专家评审团和行业应用机构的充分肯定。
提升疾控数据网络直报的效率与传输安全
疫情出现至今,中国疾病预防控制中心建设的疫情数据直报系统便启动了“7×24小时”紧急响应机制及全国业务分级联动、异地协同模式。通过采用符合国家标准要求的电子认证服务、电子签名技术等,为疫情直报系统提供可信身份认证和数据机密性、完整性保护等安全保障,不仅提高了疾控数据上报的安全性,也大大提高了运营效率。确保全国31个省、直辖市、自治区数十万直报用户疫情数据安全准确送达。
有力支撑互联网诊疗新模式加速发展
疫情期间,互联网就诊模式成为患者就医的便捷方式,北京协和医院、中日友好医院、首都医科大学宣武医院在互联网诊疗建设过程中,充分按照网络安全国家标准,建设智慧医疗平台,保障了医患身份真实性,保障了数据在互联网传输过程中防篡改,实现了电子处方的可靠电子签名,加强了检验报告等医疗文书的可信管理,为医师患者互联网就诊提供了便捷、安全、高效的新型互联网医疗服务。其中,宣武医院通过APP、微信公众号等网上的注册患者就已达到了两万余名,线上出诊医生达到380余人,诊疗订单量也从原有的每日3~5单,逐渐增长为每日30~45单,最多的时候达到60余单。中日友好医院也基于现有的互联网诊疗方案完成心电、病理和影像等专科诊断50多万例,联接新冠肺炎定点救治医院147家,基层新冠肺炎患者远程诊疗2000多例,每年完成远程综合会诊40000多例。
免疫信息安全共享,疫苗精准接种
北京市免疫规划信息管理系统覆盖17个市、区两级卫生健康委,北京市疾病预防控制中心、16个区县疾控中心和燕山疾控中心,通过采用系列标准规范在实现系统规范化、合规化建设,在充分保证业务安全的同时,也实现统一服务与接口,有效保障了全市约600家预防接种单位,数千名疫苗工作人员利用该系统实现对全市所有城乡的接种点免疫规划信息化管理,服务于首都两千万市民的疫苗接种安全。
标准实践意义重大,密码应用有例可依
《商用密码系列标准在疫情防控网络安全防护中的应用》案例,作为医疗卫生领域的荣获一等奖具有重大意义。
首先,通过有效地把国家相关信息安全标准落实到疫情防控实际应用中,既促进国家网络安全标准落地,又解决了疫情防控安全中面临的网络安全实际问题,最终有效保障了国家网络安全和人民群众健康安全,具有极大的社会意义。
其次,以密码为关键技术的网络安全保障体系,在疫情防控中关键作用充分彰显,为行业提升密码应用意识、加强密码科学规范使用等方面均起到了示范作用:医疗机构在进行信息系统建设时,应以国家密码应用与安全性评估的关键标准GB/T 39786—2021作为顶层依据开展同步规划、同步建设、同步运行密码保障系统并定期进行评估。在“三同步一评估”中,同步规划的核心是密码应用方案编制。密码应用方案编制是至关重要的环节,好的方案需要对业务进行仔细梳理、从系统架构、功能模块、业务流、数据流等各个环节都参照国家标准进行设计和实施,对密码应用需求的详细分析,使得业务和安全达到有机统一,而不是直接生搬硬套密码应用措施和产品。只有正确、合规、有效地使用密码技术,才能更好地保护网络安全和数据安全。
未来,随着《国家标准化发展纲要》的贯彻落实、随着密码应用安全性评估工作逐步推进,依据国家标准,科学严谨的使用密码,势必成为整个医疗卫生行业密码技术应用的新局面。
(本文由北京数字认证股份有限公司供稿)
