衛(wèi)生健康行業(yè)密碼應用的發(fā)展

衛(wèi)生健康行業(yè)密碼應用的發(fā)展

1數(shù)據(jù)安全的保障衛(wèi)生和健康行業(yè)每天都擁有大量的醫(yī)療數(shù)據(jù)。醫(yī)療健康數(shù)據(jù)是國家安全與人民切身利益的重要數(shù)據(jù)。衛(wèi)生健康領域正在通過信息系統(tǒng)的互聯(lián)互通推動醫(yī)療健康大數(shù)據(jù)的匯聚與數(shù)據(jù)共享，提升數(shù)據(jù)的利用價值。同時，隨著數(shù)據(jù)的匯聚，數(shù)據(jù)價值不斷提升，如何有效保障數(shù)據(jù)安全成為了當前衛(wèi)生健康行業(yè)信息化建設的重要工作。密碼技術是網(wǎng)絡信息安全的核心技術，是現(xiàn)代數(shù)據(jù)安全的基礎。《中華人民共和國密碼法》《中華人民共和國網(wǎng)絡安全法》《國家政務信息化項目建設管理辦法》《網(wǎng)絡安全等級保護基本要求》《貫徹落實網(wǎng)絡安全等級保護制度和關鍵信息基礎設施安全保護制度的指導意見》等相關政策法規(guī)中，明確了密碼應用是信息系統(tǒng)建設、管理、網(wǎng)絡安全的重要合規(guī)性指標。面對當前衛(wèi)生健康行業(yè)的信息化現(xiàn)狀以及信息系統(tǒng)互聯(lián)互通和數(shù)據(jù)匯聚共享的要求，以密碼技術為基石，構建安全的行業(yè)網(wǎng)絡空間，合規(guī)、正確、有效地開展密碼應用，以期達到提升衛(wèi)生健康行業(yè)網(wǎng)絡安全的能力、保障信息化業(yè)務活動的開展目標，是一項非常重要的工作，值得深入探討。2中國商業(yè)密碼應用的發(fā)展2.1用戶密碼的內(nèi)涵我國高度重視網(wǎng)絡安全和信息化工作，統(tǒng)籌協(xié)調(diào)涉及政治、經(jīng)濟、文化、社會、軍事等領域信息化和網(wǎng)絡安全重大問題，做出一系列重大決策、提出一系列重大舉措《中華人民共和國密碼法》中明確規(guī)定，所謂“密碼”，是指采用特定變換的方法對信息等進行加密保護、安全認證的技術、產(chǎn)品和服務。國家對密碼實行分類管理，分為核心密碼、普通密碼和商用密碼，其中核心密碼、普通密碼用于保護國家秘密信息，核心密碼保護信息的最高密級為絕密級，普通密碼保護信息的最高密級為機密級。商用密碼用于保護不屬于國家秘密的信息，公民、法人和其他組織可以依法使用商用密碼保護網(wǎng)絡與信息安全。本文所涉及的密碼均為商用密碼，特別是采用國產(chǎn)密碼算法的商用密碼。2.2我國商務密碼應用的現(xiàn)狀經(jīng)過多年的發(fā)展，我國在密碼基礎理論研究方面取得了大批國際矚目的成果，在繼SM2、SM3、SM9之后ZUC序列密碼算法再次成為ISO/IEC國際標準，標志著我國商用密碼標準體系日益完善，水平不斷提高。目前，我國已具備了從密碼芯片到密碼應用系統(tǒng)的全產(chǎn)業(yè)鏈，并在基礎信息網(wǎng)絡、重要信息系統(tǒng)、重要工業(yè)控制系統(tǒng)和政務信息系統(tǒng)等重要領域的密碼應用持續(xù)深化。目前，我國商用密碼產(chǎn)業(yè)快速發(fā)展，商用密碼生態(tài)體系更加健全，隨著區(qū)塊鏈、數(shù)字貨幣等新型密碼應用的逐漸成熟，密碼與大數(shù)據(jù)、物聯(lián)網(wǎng)、5G量子通信、智能制造、智慧城市等技術新場景的融合創(chuàng)新也在快速發(fā)展，并積極護航新基建安全發(fā)展2.3體系安全，構建安全可控網(wǎng)絡密碼在網(wǎng)絡安全方面發(fā)揮保底作用，是最基礎的防線。各重要業(yè)務領域網(wǎng)絡安全要做到體系安全、整體安全，通過合規(guī)、正確使用密碼，有效解決“鑒別、訪問控制、機密性、完整性、抗抵賴”的基本安全需求，形成包括網(wǎng)絡基礎資源、信息設施、計算分析、應用服務、網(wǎng)絡通道、接入終端、設備控制等的全體系安全，從底層構建安全可控的安全網(wǎng)絡2.3.2全生命周期安全一方面，利用基于密碼的訪問控制、授權管理、數(shù)據(jù)加解密等措施，構建采集、存儲、傳輸、分析、應用、銷毀、備份等為一體的數(shù)據(jù)全生命周期安全體系，實現(xiàn)對重要數(shù)據(jù)資源的保護2.3.3確保算法結(jié)果可靠一方面，密碼可有效保證算法可信執(zhí)行，有效防止惡意攻擊。比如：基于密碼技術保證計算執(zhí)行過程的完整性；基于密碼技術防止計算結(jié)果被篡改，保證計算結(jié)果正確可靠等，提升數(shù)據(jù)的質(zhì)量。另一方面，通過密碼建立信任體系，保證算力被正確的實體以正確的方式使用，確保結(jié)果可追溯。通過密碼提供訪問控制、身份鑒別、信任管理等機制，能夠有效保證云計算分布式算力在被用于海量用戶身份認證、服務質(zhì)量能力監(jiān)督管理以及用戶行為分析等情景時，被合法用戶調(diào)用，能夠保證存儲在終端的用戶身份、產(chǎn)生的用戶行為等信息以正確的方式被計算校驗，能夠防止智能終端算力被惡意程序或其他程序越權使用。3健康和醫(yī)療保健行業(yè)密碼的應用3.1應用現(xiàn)狀衛(wèi)生健康行業(yè)近年來在國產(chǎn)密碼應用行業(yè)頂層設計，以及業(yè)務應用與創(chuàng)新方面都開展了一些卓有成效的探索。3.1.1強調(diào)密碼應用的行業(yè)應用目標國家衛(wèi)生健康委充分認識到加強行業(yè)密碼應用的重要性和緊迫性，統(tǒng)籌規(guī)劃行業(yè)整體密碼應用體系建設工作，出臺了行業(yè)密碼專項相關政策規(guī)劃，提出了“統(tǒng)籌協(xié)調(diào)，科學規(guī)劃，積極引導，融合發(fā)展，突出重點，行業(yè)覆蓋，自主可控，確保安全”的密碼推廣應用的基本原則，明確了“建立健全衛(wèi)生健康信息系統(tǒng)國產(chǎn)密碼應用保障體系，完善網(wǎng)絡信任和信息保護等國產(chǎn)密碼應用基礎設施，提升國產(chǎn)密碼使用管理和服務水平”的總體目標，并在行業(yè)重點業(yè)務領域積極推廣國產(chǎn)密碼應用。同時結(jié)合行業(yè)的實際業(yè)務需求，廣泛開展了電子認證服務和電子簽名應用工作，制定了《衛(wèi)生系統(tǒng)電子認證服務管理辦法》等相關政策以及標準規(guī)范，建立了行業(yè)電子認證服務監(jiān)管平臺，初步形成了行業(yè)電子認證服務互信互認的局面。3.1.2衛(wèi)生健康數(shù)據(jù)的真實性衛(wèi)生健康服務與管理工作越來越依賴網(wǎng)絡與信息系統(tǒng)，對各類網(wǎng)絡主體如醫(yī)生、患者、接入設備等的身份真實性，以及衛(wèi)生健康數(shù)據(jù)的真實性、完整性、機密性、抗抵賴性的需求日益增長。衛(wèi)生健康行業(yè)以安全需求為導向，積極在重點業(yè)務領域開展國產(chǎn)密碼應用實踐，并結(jié)合實際需求積極創(chuàng)新，充分發(fā)揮了國產(chǎn)密碼在保障網(wǎng)絡安全中的核心支撐作用。3.1.4涉及居民的個人隱私在公共衛(wèi)生領域，傳染病、嚴重精神障礙、食源性疾病、死亡登記、出生醫(yī)學證明、免疫規(guī)劃等信息數(shù)據(jù)量大，涉及居民的個人隱私，一旦公共衛(wèi)生信息系統(tǒng)發(fā)生安全事件，造成信息泄露，將會對社會秩序和個人隱私造成嚴重損害，甚至危害國家安全。國家及各級疾控中心等醫(yī)療衛(wèi)生機構也在積極開展國產(chǎn)密碼應用，保障用戶身份真實可信，保障敏感數(shù)據(jù)在產(chǎn)生、傳輸、存儲、再利用過程中的完整性和機密性。3.1.5實時下聯(lián)動，實時共享全民健康信息平臺涉及眾多衛(wèi)生健康單位、各類用戶群體，匯聚大量醫(yī)療健康數(shù)據(jù)，承載著推進醫(yī)療機構上下聯(lián)動，實現(xiàn)醫(yī)療健康數(shù)據(jù)實時動態(tài)更新、整合共享，保證跨區(qū)域、跨業(yè)務領域業(yè)務協(xié)同、醫(yī)療健康大數(shù)據(jù)應用的重要任務。目前，國家級平臺以及部分省、市級平臺都開展了密碼應用，解決了業(yè)務協(xié)同、互聯(lián)互通與信息共享過程中的用戶身份冒用、越權訪問、信息泄露、信息完整性、機密性破壞以及責任追溯難等安全問題。3.2數(shù)據(jù)安全問題互聯(lián)網(wǎng)醫(yī)療、健康大數(shù)據(jù)應用持續(xù)升溫，醫(yī)療健康數(shù)據(jù)被廣泛采集、共享、利用。很多醫(yī)療機構傳統(tǒng)的院內(nèi)面對面服務也在逐步拓展到“區(qū)域協(xié)同服務”“互聯(lián)網(wǎng)醫(yī)療”，數(shù)據(jù)也從本地移向了互聯(lián)網(wǎng)，移向了跨機構、跨區(qū)域。衛(wèi)生健康數(shù)據(jù)的價值很大一部分在于共享和交互，海量數(shù)據(jù)如果沒有共享交互和挖掘分析，就無法產(chǎn)生價值。在衛(wèi)生健康行業(yè)，也同樣面臨互聯(lián)互通信息基礎設施薄弱，“不敢共享、不易共享、不愿共享”的問題?！安桓夜蚕怼?。一方面，由于區(qū)域健康平臺、各醫(yī)療衛(wèi)生機構信息系統(tǒng)在技術體制、數(shù)據(jù)共享方式、格式標準等方面不統(tǒng)一，更重要的是各地區(qū)、各機構、各系統(tǒng)的安全防護水平參差不齊，數(shù)據(jù)安全保護的力度各不相同，各類系統(tǒng)互聯(lián)后，數(shù)據(jù)安全和系統(tǒng)安全問題存在疊加和放大的可能性，局部被入侵后，風險擴散可能導致整體的安全問題，進而引起醫(yī)療健康數(shù)據(jù)被竊取、篡改，業(yè)務應用被非授權訪問、數(shù)據(jù)資源濫用等問題?！安灰坠蚕怼?。衛(wèi)生健康數(shù)據(jù)匯聚后，數(shù)據(jù)規(guī)模增大，相應的敏感程度提高，數(shù)據(jù)泄露導致的危害加大，各類原先敏感程度不高的數(shù)據(jù)，共享與匯集后其資源價值提升，敏感程度也可能提高，數(shù)據(jù)安全保護的策略也需要動態(tài)變化，對數(shù)據(jù)保護策略與實現(xiàn)措施提出新的挑戰(zhàn)；由于衛(wèi)生健康行業(yè)的信息化專業(yè)人員嚴重不足，大量采用信息技術外包服務，數(shù)據(jù)的真正管理權并不完全在醫(yī)療衛(wèi)生機構手中，加之與服務商之間嚴重的技術能力不對稱，數(shù)據(jù)的監(jiān)管與使用均存在很大的安全隱患?！安辉腹蚕怼薄?shù)據(jù)共享過程中安全責任主體增多，數(shù)據(jù)安全管理的復雜度增大，數(shù)據(jù)泄露后的追責難度增加，責任難以界定。當前衛(wèi)生健康行業(yè)還缺乏數(shù)據(jù)確權、數(shù)據(jù)使用監(jiān)管，以及數(shù)據(jù)共享激勵的技術和管理措施。數(shù)據(jù)提供方對其提供共享的數(shù)據(jù)資源及其權益缺乏監(jiān)管能力，共享后的數(shù)據(jù)也存在被非授權再次共享和使用的可能性，帶來數(shù)據(jù)使用和權益管理的風險。由于沒有納入國家早期的行業(yè)信息化基礎設施建設，使得衛(wèi)生健康行業(yè)缺乏覆蓋全行業(yè)統(tǒng)一的基礎網(wǎng)絡設施、地址規(guī)劃、機構人員設置、網(wǎng)絡安全管理規(guī)范等相關基礎保障，造成了目前衛(wèi)生健康行業(yè)實施信息系統(tǒng)互聯(lián)互通、數(shù)據(jù)交換共享等工作目標時，在網(wǎng)絡互聯(lián)層面“先天不足”，使得基于互聯(lián)網(wǎng)的應用成為衛(wèi)生健康行業(yè)信息系統(tǒng)互聯(lián)互通與數(shù)據(jù)匯聚的重要選擇，但源于互聯(lián)網(wǎng)的網(wǎng)絡安全威脅又是不得不面臨的重大考驗。在當前的國際形勢與網(wǎng)絡環(huán)境下，一旦基于明文傳輸、存儲的重要信息被盜取、被非法利用，特別是涉及“新冠肺炎疫情防治”這樣重大公共衛(wèi)生事件的相關信息，將會對國家安全與社會穩(wěn)定帶來極大的風險，對整個衛(wèi)生健康行業(yè)產(chǎn)生災難性的后果。此外，隨著移動互聯(lián)網(wǎng)、云計算、物聯(lián)網(wǎng)等新技術在衛(wèi)生健康行業(yè)的廣泛應用，密碼應用也面臨新的挑戰(zhàn)4健康和醫(yī)療保健行業(yè)密碼應用的發(fā)展趨勢4.1建設安全可控密碼防線醫(yī)療健康事業(yè)關系到億萬群眾的切身利益，要在衛(wèi)生健康服務中規(guī)范密碼應用，做好密碼應用與醫(yī)療健康行業(yè)的同步規(guī)劃和統(tǒng)籌，推進深度融合，構建衛(wèi)生健康行業(yè)安全可控的密碼防線。推進各級各類應用單位合規(guī)、正確、有效使用密碼，在新建業(yè)務系統(tǒng)落實“三同一評”要求，同步規(guī)劃、同步建設、同步運行密碼保障體系，定期開展密碼應用安全性評估；已建衛(wèi)生健康業(yè)務系統(tǒng)要結(jié)合實際有計劃、有步驟地做好密碼應用升級改造，特別是要盡快完成改造那些仍在使用已警示有風險密碼算法的系統(tǒng)4.2密碼應用模式在互聯(lián)網(wǎng)醫(yī)院等各類新業(yè)態(tài)中開展密碼應用建設工作，積極探索建立適應云計算、移動互聯(lián)網(wǎng)、醫(yī)療物聯(lián)網(wǎng)等技術的密碼應用模式，實現(xiàn)安全、易用、有效的用戶數(shù)字身份管理，實現(xiàn)醫(yī)患雙方身份真實可信認證。在缺乏專線網(wǎng)絡條件下，發(fā)揮國產(chǎn)密碼應用的基礎支撐作用，實現(xiàn)數(shù)據(jù)的采集、傳輸、存儲非明文化，保障電子處方、電子病歷、電子健康檔案等在線交互數(shù)據(jù)完整可信、不被泄露，保證在線咨詢、遠程醫(yī)療、遠程健康管理等服務管理行為可控可溯。4.3提升公眾對密碼作用的認識增強衛(wèi)生健康業(yè)務參與人員及管理人員對密碼的全面認知，避免由于密碼知識普及不到位導致的安全業(yè)務隱患。抓住信息化發(fā)展的歷史機遇，加強衛(wèi)生健康行業(yè)網(wǎng)上的正面宣傳，通過衛(wèi)生健康行業(yè)密碼應用實踐，讓群眾充分感受到信息數(shù)據(jù)共享交互帶來的方便快捷，以及在此背后密碼所發(fā)揮的重要支撐保障作用，提高大家對于密碼作用的認識和應用密碼保障網(wǎng)絡安全的意識。加大密碼知識與政策宣傳普及，通過開展有針對性的宣傳教育，增強重點人群的網(wǎng)絡安全和密碼意識，筑牢思想上的密碼安全防線。5衛(wèi)生健康行業(yè)網(wǎng)絡安全的基我國衛(wèi)生健康行業(yè)信息化發(fā)展到今天，信息系統(tǒng)互聯(lián)互通與數(shù)據(jù)共享利用的需求變得更加迫切。一方面，以大數(shù)據(jù)、5G、云計算、移動互聯(lián)網(wǎng)等為代表的新技術為衛(wèi)生健康行業(yè)信息化的發(fā)展提供了新的動力與機遇；另一方面，信息化基礎設施滯后、數(shù)據(jù)治理不規(guī)范、人員技術能力薄弱、網(wǎng)絡安全風險管控能力不足等諸多負面因素依然存在。衛(wèi)生健康行業(yè)的網(wǎng)絡安全已成為行業(yè)信息化發(fā)展的重中之重。國家相關部門在不斷提升網(wǎng)絡安全合規(guī)性要求的同時，更強調(diào)了網(wǎng)絡安全中信息技術對抗的本質(zhì)。在“技術國界化”的今天，密碼應用既是合規(guī)性要求的重要組成部分，也是保障網(wǎng)絡與信息安全的核心技術和基礎支撐。以密碼技術為基石，構建安全的行業(yè)網(wǎng)絡空間，合規(guī)、正確、有效地開展密碼應用，是當前最經(jīng)濟、最有效的技術手段，將對提升衛(wèi)生健康行業(yè)網(wǎng)絡安全的能力起到不可替代的重要作用。密碼作為網(wǎng)絡空間安全的基礎，是保障數(shù)據(jù)的真實性、完整性、機密性和行為不可否認性，構建各類安全協(xié)議、安全機制與安全系統(tǒng)的核心技術。比較典型的應用場景有身份鑒別、數(shù)字簽名、通信加密、存儲加密、IPse