伴随着《网络安全法》,《密码法》等法律法规的正式实施,网络安全相关国家和行业标准陆续发布,网络安全标准化正式进入全面提升时代。
当前,数字化进入深度发展期,伴随着互联网+医疗模式的快速发展,健康医疗信息面临越来越多的网络安全挑战。
数字认证董事长詹邦华表示,目前,基于互联网的国家疾病预防控制系统,地方免疫规划系统等信息化手段已经在疫情防控的各个阶段高强度,高频率使用,安全需求也随之而来。
满足医疗信息安全需求,网络安全标准起到保障作用。
伴随着我国网络强国战略的不断深入和网络安全规范的逐步增多,网络安全标准作为我国网络空间安全建设和治理的有力抓手,在多个领域发挥了作用。
在CISA发起的网络安全国家标准20周年优秀实践案例评选中中国疾病预防控制中心,北京协和医院,中日友好医院,首都医科大学宣武医院,北京数字认证有限公司联合申报的商用密码系列标准在疫情防控网络安全防护中的应用案例,充分利用网络安全标准,获得一等奖这是近20年来我国网络安全标准在医疗健康领域应用的第一金,也是网络安全标准推动行业创新应用的积累
根据消息显示,针对医疗信息领域,数字认证已与多家医疗卫生机构合作,探索商用密码系列标准在疫情防控网络安全防护中的应用基于GB/T 39786,GB/T 32918,GB/T 20518,GB/T37092等国家秘密算法,密码产品和应用的国家安全标准,建立了医疗卫生领域网络信任体系和信息保护体系,建立了标准实施的保障机制
标准的实现和应用可以解决实体真实性,数据机密性和完整性,行为不可否认性和可追溯性等网络信任和数据安全问题在疫苗溯源,医院门诊,住院,检验,立案等疫情防控过程中的所有重要环节他说
作为密码行业标准化技术委员会副理事长单位和全国信息安全标准化技术委员会成员单位,数字认证公司成立20多年来,参与了180+项国家和行业标准制定及多项科技前沿性的战略研究任务。
詹华认为,数据报送,在线诊疗,免疫规划是疫情防控的三驾信息马车,其安全需求主要包括三个方面:一是医疗患者及相关人员身份的真实性,第二,医疗数据和个人信息保护的保密性和完整性,第三,运营行为的不可否认性和行为责任的可追溯性。
因此,确保疫情防控医疗卫生领域的网络空间安全主要有两方面的努力:一是构建以身份认证,授权管理,责任认定为主要内容的网络信任体系,确保医疗患者等相关人员和设备的身份可信,操作行为可追溯,二是构建以数据加密,完整性保护和安全传输为主要内容的信息保护体系,防止敏感医疗数据被篡改,破坏和泄露他说
技术支撑网络安全标准的应用取得显著成效。
密码学是网络安全的核心技术和基础支撑在网络信任体系和信息保护体系建设中,密码学,产品,电子认证服务等相关标准是基本的核心规范
据数字认证介绍,在商用密码系列标准在疫情防控网络安全防护中的应用案例中,依据以密码为关键技术的网络安全国家标准,构建了疫情防控网络安全标准支撑体系,应用了基于密码算法,密码设备,密码基础设施,网络信任,信息保护,密码应用安全评估等30余项网络安全国家标准,采用了符合标准的密码产品和服务,应用效果显著。
詹华说,首先,规范应用可以提高疾控中心数据网络直报的效率和传输安全性通过采用符合国家标准要求的电子认证服务和电子签名技术,为疫情报告系统提供可靠的身份认证,数据保密,完整性保护等安全保障,不仅提高了疾控数据报告的安全性,也大大提高了运行效率
此外,还可以支撑互联网诊疗新模式的加速发展疫情期间,互联网就医模式成为患者就医的便捷方式北京协和医院,中日友好医院,首都医科大学宣武医院完全按照网络安全国家标准建设智慧医疗平台,保证了医患身份的真实性,保证了数据在互联网传输过程中的防篡改性,实现了电子处方的可靠电子签名,加强了检验报告等医疗文书的可信管理,为医患双方提供了便捷,安全,高效的新型互联网医疗服务
标准落地赋能医疗数据安全密码的应用有例可循。
在医疗健康领域,医疗健康数据广泛应用于各种场景,健康管理,远程医疗,病因溯源,基因分析等都需要大数据手段医疗数据安全也越来越受到重视2016年以来,国家陆续出台多项医疗健康数据安全政策进行规范
詹华认为,网络安全标准在医疗数据安全领域的落地意义重大以商用密码系列标准在疫情防控网络安全防护中的应用案例为例,首先,通过将国家相关信息安全标准有效落实到疫情防控的实际应用中,既推动了国家网络安全标准的落地,又解决了疫情防控安全中的网络安全实际问题,最终有效保障了国家网络安全和人民群众健康安全,具有重大的社会意义
其次,以密码为关键技术的网络安全保障体系,对提升行业密码应用意识,加强密码科学规范使用起到了示范作用医疗机构应当以密码应用与安全评估国家重点标准GB/T 39786—2021为顶层依据,开展密码保障体系同步规划,同步建设,同步运行和定期评估在三同步一评估中,同步规划的核心是密码应用方案的编制密码应用方案的编制是一个至关重要的环节一个好的方案,需要从系统架构,功能模块,业务流程,数据流程等方面,参照国家标准,对业务进行细致的梳理,设计和实现对密码应用需求的详细分析,使得业务和安全有机统一,而不是直接照搬密码应用措施和产品只有正确,合规,有效地使用密码技术,才能更好地保护网络安全和数据安全他提到
詹华表示,未来,伴随着《国家标准化发展纲要》的实施和密码应用安全评估的逐步推进,按照国家标准科学严谨地使用密码,也将开创整个医疗卫生行业密码技术应用的新局面。
