是否存在通用的、標準化的密碼應(yīng)用方案�,各醫(yī)療機構(gòu)只需照做即可通過商用密碼應(yīng)用安全性評估(也即“密評”),并充分實現(xiàn)密碼的安全保障效果?
“密碼應(yīng)用是與業(yè)務(wù)強烈相關(guān)的���,必須結(jié)合具體業(yè)務(wù)場景進行具體分析��。因此����,放之四海皆準的密碼應(yīng)用方案是不存在的�。”2022年4月19日�,在由中國醫(yī)院協(xié)會信息專業(yè)委員會(CHIMA)指導(dǎo)、HIT專家網(wǎng)主辦���、北京威廉希尔股份有限公司(以下簡稱“威廉希尔”)承辦的“衛(wèi)生健康行業(yè)商用密碼應(yīng)用線上研討會”上,威廉希尔研究院院長�����、首席科學(xué)家夏魯寧博士對上述問題進行了解答����。
威廉希尔研究院院長、首席科學(xué)家 夏魯寧博士
夏魯寧博士是《信息安全技術(shù) 信息系統(tǒng)密碼應(yīng)用基本要求》(GB/T 39786-2021)的起草人之一�,對密碼應(yīng)用有著深刻見解與豐富經(jīng)驗。他進一步談道:“雖然不存在通用的密碼應(yīng)用方案,但在過去兩三年的密評試點中��,威廉希尔作為專業(yè)密碼服務(wù)廠商��,逐步總結(jié)出一套行之有效的密碼保障系統(tǒng)建設(shè)方法論�,可幫助醫(yī)療機構(gòu)結(jié)合業(yè)務(wù)需求設(shè)計可實施性強、性價比高的密碼應(yīng)用方案���,有效滿足密評要求��?!?/span>
密碼保障系統(tǒng)建設(shè)要以“應(yīng)用”為中心�,這是威廉希尔提供的“密碼保障系統(tǒng)建設(shè)方法論”的核心宗旨。
為什么強調(diào)要以“應(yīng)用”為中心����?夏魯寧認為:密碼只有用于充分保障應(yīng)用業(yè)務(wù)安全,才能體現(xiàn)其價值����。如果脫離具體業(yè)務(wù)“空談”密碼應(yīng)用,即無視現(xiàn)狀���、需求���,只是對照指標逐項羅列密碼產(chǎn)品��,是非常糟糕的思維���,也很可能造成糟糕的后果——可能“看起來很美”的方案受現(xiàn)實條件制約而無法落地;可能本來已有密碼應(yīng)用措施��,又規(guī)劃另一套導(dǎo)致重復(fù)建設(shè)����;還可能對低價值的數(shù)據(jù)資產(chǎn)施加了高成本的保護,導(dǎo)致資源浪費�����。
而威廉希尔提供的這套方法論�����,就是要強調(diào)緊貼業(yè)務(wù)現(xiàn)狀和需求來設(shè)計密碼保障系統(tǒng)���,從而有效幫助包括醫(yī)療機構(gòu)在內(nèi)的廣大密碼應(yīng)用單位,在滿足密評要求的前提下�����,實現(xiàn)高性價比的密碼保障系統(tǒng)建設(shè),避免為用而用的“硬上”密碼����。
密評工作的基本思路是“三同步一評估”(也即項目建設(shè)單位應(yīng)當同步規(guī)劃、同步建設(shè)��、同步運行密碼保障系統(tǒng)�����,并定期進行評估)����,其中規(guī)劃階段的核心任務(wù)是密碼應(yīng)用方案的編制與評審。這一步非常關(guān)鍵��,一個好的方案將為后續(xù)建設(shè)任務(wù)鋪平道路�����。如前所述�����,方案是緊扣業(yè)務(wù)需求的,所以:
方案設(shè)計的第一項工作是“密碼應(yīng)用需求分析”�。“我們的經(jīng)驗是:以業(yè)務(wù)重要數(shù)據(jù)的生命周期為主線進行需求分析�����,此時必然涉及對業(yè)務(wù)的深入調(diào)研���?��!毕聂攲幗榻B,首先應(yīng)對數(shù)據(jù)進行分級分類�,整理出需要使用密碼保護的“重要數(shù)據(jù)”列表;其次需要梳理重要數(shù)據(jù)在生命周期各環(huán)節(jié)的流向和承載實體(流經(jīng)的物理環(huán)境���、網(wǎng)絡(luò)通道�、處理設(shè)備��、業(yè)務(wù)系統(tǒng)等)�,明確保護范圍;第三�����,根據(jù)重要數(shù)據(jù)的流經(jīng)節(jié)點�����,參考《信息安全技術(shù) 信息安全風(fēng)險評估規(guī)范》(GB/T 20984-2007)等標準����,從威脅、脆弱點�、影響程度等角度,對數(shù)據(jù)的機密性����、完整性、真實性�����、不可否認性等進行風(fēng)險分析��,形成“風(fēng)險列表”����。
“需要注意,密碼應(yīng)用的風(fēng)險評估與信息安全風(fēng)險評估稍有不同的地方在于�,所有被《信息系統(tǒng)密碼應(yīng)用高風(fēng)險判定指引》列為高風(fēng)險項的內(nèi)容���,一旦涉及,都需要列為高風(fēng)險項���?���!毕聂攲幷f�����。
密碼應(yīng)用的需求�����,取決于責任單位的風(fēng)險控制策略����,不同策略下的需求取舍與適用場景都有所不同。由于密評采用量化評估+高風(fēng)險判定的原則����,因此在無高風(fēng)險項的前提下,并非取得100分才能通過,這就決定了有些中低風(fēng)險可以“戰(zhàn)略性取舍”�?�!坝脩艨梢愿鶕?jù)資金預(yù)算與項目周期等實際情況�����,選擇要控制的風(fēng)險�,保證規(guī)避所有高風(fēng)險項,并有選擇地控制部分中低風(fēng)險項�。”
方案設(shè)計的第二項工作是“密碼應(yīng)用措施設(shè)計”�����。“在明確了風(fēng)險和需求后�,采用密碼技術(shù)降低風(fēng)險的措施的設(shè)計思路已經(jīng)清晰?���!毕聂攲幗榻B,隨后的工作就是針對既定的密碼應(yīng)用需求�,設(shè)計包含可信身份、傳輸安全�����、存儲安全、計算環(huán)境保障��、抗抵賴等在內(nèi)的技術(shù)措施��。
“密碼應(yīng)用措施與需求之間的映射關(guān)系并非‘一對一’��,而是‘一對多’或‘多對一’���,也即可以使用同一類技術(shù)措施滿足多個密碼應(yīng)用點的需求����,同一個安全需求也可能需要同時配備多個技術(shù)措施來實現(xiàn)���?��!毕聂攲幈硎荆桨冈O(shè)計時首要考慮的問題不是選用何種密碼產(chǎn)品��,而是根據(jù)需求設(shè)計措施�����,在確認措施能夠滿足所有需求的前提下,再去選用合適的產(chǎn)品�����,這樣的方案設(shè)計才是合理的��。
方案設(shè)計的第三項工作是密碼應(yīng)用方案的自評估�����。“需要厘清的一個錯誤認識是��,‘三同步一評估’不是指完成三個‘同步’后���,最后統(tǒng)一進行一次‘評估’;密評工作需要貫穿密碼保障系統(tǒng)的規(guī)劃�����、建設(shè)����、運行三個階段?!毕聂攲幗榻B。在規(guī)劃階段,密評的任務(wù)就是對方案進行評估�。因此,對于責任單位來說��,在完成密碼應(yīng)用方案的上述設(shè)計后�����,還需要依照《商用密碼應(yīng)用安全性評估量化評估規(guī)則》及《信息系統(tǒng)密碼應(yīng)用高風(fēng)險判定指引》的相關(guān)要求�����,對密碼應(yīng)用方案進行自評估��,確保評分超過閾值且不存在高風(fēng)險項����,從而至少達到“基本符合”的水平?�!敖ㄗh在自評估時遵循‘從嚴評估’的原則�,做到心中有數(shù),這樣確保在實際密評中順利通過�����。”
醫(yī)療機構(gòu)如何用好密碼應(yīng)用方法論����?
“密評不是針對密碼產(chǎn)品的測評,而是重在對‘用’的考察����,也即考察責任單位的業(yè)務(wù)系統(tǒng)用密碼用得好不好?�!痹卺t(yī)療行業(yè)�����,由于業(yè)務(wù)應(yīng)用��、數(shù)據(jù)處理的多樣性����,決定了每個醫(yī)療機構(gòu)的密碼應(yīng)用方案都不盡相同;但只要用好方法論�����,每個醫(yī)療機構(gòu)都能擁有適合自身實際情況的密碼應(yīng)用方案�。夏魯寧為醫(yī)療機構(gòu)介紹了方法論“落地”的幾個要點�。
首先是醫(yī)療健康數(shù)據(jù)的分類分級�。夏魯寧介紹,“分類”是基于不同屬性或特征�����,對數(shù)據(jù)按照一定的原則和方法進行區(qū)分和歸類��,比如在互聯(lián)網(wǎng)診療業(yè)務(wù)中���,可將數(shù)據(jù)大致分為患者個人屬性�����、健康狀況數(shù)據(jù)��、醫(yī)療應(yīng)用數(shù)據(jù)�、醫(yī)療支付數(shù)據(jù)����、衛(wèi)生資源數(shù)據(jù)等幾大類;“分級”是在分類基礎(chǔ)上�����,對數(shù)據(jù)的敏感程度以及遭受泄露、濫用等可能對國家����、社會及個人等造成的影響進行分級,醫(yī)療機構(gòu)可參考《信息安全技術(shù) 健康醫(yī)療數(shù)據(jù)安全指南》(GB/T 39725-2020)進行數(shù)據(jù)分級���。
其中��,分級為3級���、4級的醫(yī)療健康數(shù)據(jù)中包含大量個人信息與敏感個人信息,且在業(yè)務(wù)開展過程中在各業(yè)務(wù)系統(tǒng)����、客戶端間流轉(zhuǎn)頻率較高�����,一旦被非法獲取��、篡改��、利用����,將對患者����、醫(yī)院造成嚴重影響����。因此應(yīng)依照《數(shù)據(jù)安全法》《個人信息保護法》的要求,采取相應(yīng)的技術(shù)措施及其他措施����,保障數(shù)據(jù)流轉(zhuǎn)全流程合法合規(guī)。
其次是關(guān)鍵業(yè)務(wù)數(shù)據(jù)流向分析�。“這些需要保護的數(shù)據(jù),在什么環(huán)節(jié)產(chǎn)生�����、在哪里流轉(zhuǎn)����、在哪里儲存、誰可以瀏覽�,這些問題必須深入業(yè)務(wù)線中進行全面了解與分析?�!毕聂攲幰浴盎颊邆€人屬性”為例進行介紹:其在互聯(lián)網(wǎng)診療業(yè)務(wù)中涉及患者預(yù)約掛號、聯(lián)合問診����、遠程會診、病歷歸檔�����、處方開具�����、平臺數(shù)據(jù)同步等多個環(huán)節(jié)�,流經(jīng)患者客戶端、醫(yī)生客戶端��、數(shù)據(jù)中心��、數(shù)據(jù)跨域傳輸?shù)榷鄠€流向節(jié)點���。“將一條條業(yè)務(wù)線依次捋下來����,在不同業(yè)務(wù)節(jié)點對其威脅源�����、脆弱點����、影響程度進行綜合分析�����,這樣的流向分析才是有的放矢的����。”
第三是密碼應(yīng)用方案的整體設(shè)計應(yīng)遵循總體性�、成熟性、經(jīng)濟性原則�。夏魯寧介紹,所謂“總體性原則”����,是指從防護整體性角度考慮,對系統(tǒng)的密碼應(yīng)用開展頂層設(shè)計��,明確密碼應(yīng)用需求和預(yù)期目標,并與網(wǎng)絡(luò)安全保護等級相結(jié)合�����;“成熟性原則”是指采用的商用密碼產(chǎn)品應(yīng)為市場上長期銷售和應(yīng)用的成熟的商用密碼產(chǎn)品�,均具有密碼管理部門核準的商用密碼產(chǎn)品資質(zhì);“經(jīng)濟性原則”是指該方案在功能��、性能上應(yīng)可快速擴展設(shè)計���,滿足GB/T 39786相關(guān)要求��,確保密碼應(yīng)用改造的投資合理����、規(guī)模適度����,避免資金浪費和過度保護?!懊茉u采用‘適度安全’的準則,因此在現(xiàn)有條件允許的前提下�,盡可能地把密碼應(yīng)用做得完善一些,避免高風(fēng)險���,也是可以順利通過密評的��?�!?/span>
第四是密鑰生命周期管理��。“密鑰是密碼應(yīng)用系統(tǒng)的生命線�����。密鑰一旦泄露����,任何安全都將淪為空談���?��!毕聂攲幪貏e強調(diào)了密鑰生命周期管理的重要性,這也是目前應(yīng)用單位普遍重視不足的問題�。他建議,在密碼應(yīng)用方案中要以單獨章節(jié)明確各個層面���、各類措施涉及的密鑰生命周期管理問題���,表明在密鑰的生成��、存儲���、分發(fā)、使用���、更新等過程中是如何對其加以保護并確保安全的�����。
對于醫(yī)療機構(gòu)而言���,密評無疑是場即將到來的“大考”,但醫(yī)療機構(gòu)在過往的信息化建設(shè)中并非毫無準備�。夏魯寧談到:長期以來,部分醫(yī)療機構(gòu)在應(yīng)用無紙化電子處方��、電子病歷����、電子病案時,引入了電子認證(CA)系統(tǒng)與可信電子簽名��,就是使用密碼技術(shù)保證處方、病歷等重要數(shù)據(jù)在傳輸存儲過程的完整性�����、真實性和法律責任認定上的不可否認性����;在基于數(shù)字證書的系統(tǒng)用戶登錄�����,以及與院外網(wǎng)絡(luò)的安全通信連接方面��,醫(yī)療機構(gòu)也是采用了密碼技術(shù)確保用戶身份的真實性�、網(wǎng)絡(luò)與通信身份鑒別以及數(shù)據(jù)傳輸?shù)臋C密性與完整性。
“因此�,醫(yī)療機構(gòu)使用密碼技術(shù)是有一定基礎(chǔ)的,電子認證�、電子簽名等應(yīng)用在醫(yī)療行業(yè)的進一步推廣,也將更好地助推醫(yī)療機構(gòu)對密碼技術(shù)的理解與應(yīng)用��?���!毕聂攲幾詈罂偨Y(jié)道����,威廉希尔已深耕醫(yī)療健康行業(yè)十余年�����,成功實施了2000余家醫(yī)院客戶�����,在醫(yī)院無紙化建設(shè)方面具有豐富經(jīng)驗����,能夠深入了解醫(yī)院需求和痛點。未來���,威廉希尔將在為醫(yī)院建設(shè)以電子認證����、電子簽名技術(shù)為核心的合法合規(guī)電子病歷應(yīng)用的基礎(chǔ)上�����,進一步從“密碼保障系統(tǒng)建設(shè)方法論”出發(fā)����,以應(yīng)用為中心���,為廣大醫(yī)療機構(gòu)提供全過程密碼應(yīng)用和評估協(xié)助服務(wù),幫助醫(yī)療機構(gòu)在迎接“密評”大考的同時���,借助密碼技術(shù)守牢“安全底線”。
來源:HIT專家網(wǎng)
作者:龔晨
圖標鏈接/photos/csc_logo_white.png){kind=logo}
圖標鏈接/photos/WebTrust for CA-10413.jpg)
圖標鏈接/photos/BR SSL-10414.jpg)
圖標鏈接/photos/EV SSL-10415.jpg)
圖標鏈接/photos/webtrust-csb-seal_副本.jpg)
