醫療衛生領域商用密碼安全的評估與建設

劉陽，康亞西，馮標斌

1. 中南大學湘雅醫學院附屬海口醫院（海口市人民醫院） 信息管理處，海南 海口 570208；2. 海南省人民醫院（海南醫學院附屬海南醫院） 信息工程部，海南 海口 570311

引言

近年來，在《網絡安全法》頒布施行之后，《密碼法》《數據安全法》《個人隱私保護法》相繼出臺。《密碼法》承前啟后，在先后出臺的一系列法律所形成的多元法益保護體系中，發揮著至關重要的作用。通過商用密碼安全建設的深入推進，不僅確保了信息系統的網絡安全和數據安全，更保障了廣大人民群眾的隱私安全[1]。商用密碼已經在政府、通信、能源、金融等重要領域得到了一定的應用[2]。然而，在醫療衛生這一關乎人民生命健康的重要領域，部分地區仍然存在無法有效落實密碼評估制度，造成商用密碼應用安全性評估（密評）和商用密碼建設無法循環迭代的問題，從而導致醫療業務系統難以實現持續改進，致使網絡安全的最后一道防線形同虛設，無法應對網絡安全新威脅[3]。因此，在醫療衛生領域廣泛推廣和普及商用密碼迫在眉睫[4]。本文旨在探討如何有效結合系統運行與密評，輔助全面理解密碼評估與建設的重要性，提升密碼安全管理體系的安全性。

1 概念和含義

《中華人民共和國密碼法》是國家密碼安全工作所遵循的根本法律，其定義了密碼包括密碼算法、密碼技術、密碼產品、密碼服務，可以采用特定的變換方法對信息和數據進行加密保護、安全認證，實現身份真實性、數據機密性、信息完整性、操作不可否認性。國家對于密碼施行分類管理，分為核心密碼、普通密碼、商用密碼3 類。其中，商用密碼用于保護不屬于國家秘密的公民、法人和組織的信息[5]。GB/T 39786-2021《信息安全技術 信息系統密碼應用基本要求》[6]等標準規范，明確了同步規劃、同步建設、同步運行、定期評估（三同步一評估）的商用密碼建設要求[7]。密評指在采用商用密碼技術、服務集成建設的網絡和信息系統中，對密碼應用的合規性、正確性、有效性進行評估。由此可知，商用密碼，是網絡安全防護的最后一道防線，起到保底作用；密碼評估旨在找出商用密碼建設存在的漏洞，持續增強網絡安全防護水平。

2 密碼安全評估與建設的原則與方法

在智慧醫院的建設進程中，商用密碼并不能孤立于臨床業務應用單獨存在。為確保密碼應用的有效性，結合電子病歷（Electronic Medical Record，EMR）系統應用評級第五級中明確的患者病歷安全要求，必須運用證書授權（Certificate Authority，CA）電子簽名來保障醫院信息系統（Hospital Information System，HIS）、EMR系統、實驗室信息系統（Laboratory Information System，LIS）、影像歸檔和通信系統（Picture Archiving and Communication System，PACS）等相關業務應用系統的數據安全，才能讓法律法規在保障醫療過程安全方面形成多元法益保護[8]。醫療行業智慧醫院建設的評價標準體系中包含智慧醫療、智慧服務、智慧管理3個組成部分，智慧醫院建設的“以評促建、以評促改、以評促用”原則，同樣是保障密碼安全所需要遵循的基本原則。此外，“三同步一評估”的原則也是貫穿醫院信息系化建設全生命周期重要保障[9]，旨在促進密碼安全落到實處。

2.1 同步規劃先決條件

信息系統的規劃，首先要根據網絡安全保護的等級，依據GB/T 39786-2021[6]中的相應等級要求，結合業務應用系統的安全需求進行規劃。若規劃的系統尚未進行網絡安全保護定級，則其密碼應用的等級至少應參照三級系統的標準。

密碼應用規劃的設計方案包含密碼應用解決方案、實施方案和應急處置方案3 個方面：① 解決方案主要包含系統現狀分析、系統風險分析、密碼應用需求、密碼技術方案、密碼建設方案、密碼管理方案、密碼產品清單等內容，是設計階段的主要方案；② 實施方案包含項目概述、項目組織及人員、實施內容、實施計劃、部署方案及部署圖、保障措施等內容，是系統部署階段必須明確的方案；③ 應急處置方案包含密碼安全事件分類分級、應急處置組織機構、應急處置流程等內容，是在系統的生命周期中運維階段的應急預案[10]。在醫療機構特別是大型三甲醫院中，圍繞以EMR 系統為核心的智慧醫療業務系統繁多、結構復雜，為了保障這些系統的順利運行和高效服務，其規劃與設計工作顯得尤為關鍵。

此外，密碼方案編制完成后需要進行密碼評估和專家論證，只有通過評估的密碼應用方案才能夠作為密碼建設的依據[11]。在醫院實施密碼方案的重要性毋庸置疑，應急處置方案更是重中之重，需要根據不同業務場景，如門診開藥閉環管理、門診檢驗檢查閉環管理、住院手術閉環管理等相關管理流程，在系統出現應急故障的時候，按照應急處置方案，根據故障影響的分級執行不同的應急方案。醫院的網絡安全工作需要貫徹“統籌規劃、分步實施、循序漸進、持續改進”的理念，因此，同步規劃是先決條件[12]。

2.2 同步建設是基礎

在制定好通過評估的密碼規劃設計方案后，密碼應用建設從密碼技術和密碼管理兩個方面展開，這兩個方面的建設依賴于密碼基礎，從而實現密碼產品的部署。商用密碼應用建設體系圖如圖1 所示。

2.2.1 密碼基礎

密碼基礎建設方面，醫療業務信息系統需要使用符合法律、法規以及相關國家標準，結合與醫療行業標準有關要求的密碼算法、密碼協議、密碼服務，加強密碼技術應用和密碼管理統籌。信息系統應使用SM2、SM9等高等級的商用密碼算法[13]，TLS2.0、TLS3.0 等高版本的密碼協議，通過商用密碼產品檢測機構認證的密碼產品，具備相關資質的密碼服務機構，以避免密碼算法、密碼協議、密碼服務可能存在的安全風險[14]。

2.2.2 密碼技術

密碼技術建設方面，信息系統需要在物理和環境、網絡和通信、設備和計算、應用和數據4 個層面采用密碼技術進行防護[15]：① 在物理和環境層面，物理環境訪問人員的身份真實性可以由電子門禁系統或者視頻監控系統的存儲記錄來實現；② 在網絡和通信層面，網絡空間訪問人員的身份真實性可以通過網絡接入認證系統、IPSec VPN、SSL VPN 等認證系統，來保證信息在網絡中傳輸的完整性和機密性；③ 在設備和計算層面，主機訪問人員的身份真實性可以借助智能密鑰、服務器密碼機、安全瀏覽器等密碼技術，來加強設備身份、訪問控制、關基設備的安全性；④ 在應用和數據層面，用戶登錄系統的身份真實性可以由CA 認證的簽名驗簽服務器、數據庫加密機、智能密鑰等密碼技術，來保障系統運行的穩定性和數據存儲的安全性[16]。

2.2.3 密碼管理

密碼管理建設方面，信息系統需要從管理制度、人員管控、運行管控、應急處置等方面對密碼的使用和管理進行規范：① 制定密碼相關的管理制度，包括密碼人員管理制度、密鑰管理制度、項目管理制度、密碼安全培訓制度等；② 制定密鑰管理制度，包括密鑰產生、分發、存儲、使用、更新、歸檔、撤銷、備份、恢復、銷毀等密碼生命周期管理制度；③ 制定密碼人員崗位管理制度，包括密鑰管理員、密碼安全審計員、密碼操作員等關鍵崗位管理制度，實現各關鍵崗位之間的相互監督、相互制約機制；④ 制定系統運行和密碼安全事件應急預案、安全事件報告制度及流程規范[17]。

2.2.4 密碼產品的部署

醫療場景的密碼安全建設中，為了保證密碼技術的真實性、機密性、完整性、不可否認性，需要部署密碼產品作為商用密碼建設的支撐[18]，全面覆蓋醫療環境中各業務系統和各業務流程。在醫療衛生領域進行密碼產品的部署中，需要結合業務場景，選擇適合的密碼產品，發揮密碼技術在網絡安全中的保護作用。

密碼產品按照功能劃分為密碼算法類、數據加密類、認證識別類、證書管理類、密鑰管理類、密碼防偽類以及綜合類7 個類別。首先，醫務人員需要使用數字證書認證系統為電子病歷等醫療文書進行電子簽名，確保醫療電子文書的真實可信，包括用戶注冊管理、證書生成和簽發、證書存儲和發布、證書狀態查詢等。其次，在住院電子病歷歸檔管理中，患者歷史病歷至少需要30 年的保存周期，因此使用電子印章、時間戳以及區塊鏈技術，確保數據的長期保存，且防止被篡改及抵賴。此外，為保障數據存儲和傳輸的安全性，應用服務器密碼機、云服務器密碼機、VPN 密碼設備、加密存儲介質（加密硬盤、加密U 盤）等技術，其在醫療業務應用計算和存儲、網絡通信和傳輸等方面起到至關重要的作用。

2.3 同步運行需要與密碼評估深度結合持續改進

信息系統建設完成后進入系統運行階段，醫療機構和組織需要嚴格執行既定的密碼安全管理制度，定期委托密評機構對信息系統開展密碼評估。《密碼法》中明確，商用密碼應用安全性評估，可與網絡安全等級保護測評等相關工作相互銜接、統籌協調[19]。信息系統運行期間，根據醫療機構的安全需求、系統脆弱性、風險威脅程度、系統環境變化狀況、管理人員安全認識程度，進行及時的檢查和整頓，調整密碼應用安全措施，確保密碼技術和密碼管理措施落實到位。因此，需要將系統運行與密評深度結合，促進密碼防護措施持續改進。此外，在約束條件發生重要變化時，如醫療機構信息系統的運化部署調整、基于信創要求的國產化部署調整等，可以對密碼應用方案進行修訂，對商用密碼系統進行升級改造[20]。

3 結果

海口市人民醫院結合自身特點，在構建密碼體系之前，運用密碼基礎和密碼技術手段，結合密碼管理方法，部署了存儲加密系統和傳輸加密系統、基于EMR 系統的CA 認證系統等密碼產品。為驗證密碼管理體系的有效性，參與了由省市兩級網信主管部門組織的年度網絡安全實戰化攻防演練，歷時約30 個工作日。演練聚焦于密碼傳輸保護、安全邊界、存儲和傳輸加密策略以及密碼安全管理等方面，旨在識別醫院網絡中需要加固的安全設備點。以2023 年演練結果為例，醫院針對安全傳輸加密中客戶端、服務器等主機存在的密碼漏洞，對加密機設備中的弱口令監測預警、終端安全授權防護以及應用數據傳輸加密保護3 個核心模塊進行了應用系統和安全防護的策略調整，從而加強了密碼管理體系的安全性。

在醫院部署的密碼安全管理監測平臺的監測圖如圖2所示，平臺覆蓋醫院HIS、LIS、PACS 等業務系統。通過白名單的維護，持續優化密碼安全保護機制，確保醫療業務的可信互聯、安全互通，保障系統穩定運行和數據安全。對于Web 弱口令、管理員弱密碼登錄的行為進行監測和定位溯源；安全意識方面，通過在管理機制中加入密碼管理的處罰措施，以及與相關維護人員簽署數據保密協議的方式，醫院全體職工的密碼安全保護意識有較大提高，實現了對密碼安全事件的全面監測和有效管理。

圖2 密碼安全管理監測圖

4 討論

從2021 年開始，相較于政府、金融等其他行業的應用[21]，國內醫療衛生行業推進商用密碼評估與建設的時間短、步伐慢。本研究創新地形成了完整的密碼安全體系，而非僅實現密碼安全設備的堆砌，但在如何實現密碼安全的各類設備和應用系統間的有機結合、形成合力方面還需要加強。針對醫療行業業務系統多、復雜度高的特點，本研究創新地運用密碼安全體系，避免了傳統方法中密碼安全與系統性能難以兼顧的問題。通過密碼技術和管理相結合、基礎和部署相輔助的方法，有效提升了密碼安全的保護能力。雖然在北上廣等發達省份的醫院已經進行了一部分實踐[22]，但仍面臨資金短缺和人才匱乏等困難和阻力。

4.1 醫療行業密碼安全意識不強、投入資金不足

組織內部決策層對于密碼評估和建設的意識有待加強；商用密碼建設的經驗和投入經費不足。解決以上存在問題，除了必須盡快提高各級醫療組織領導的重視程度以外，還需要提供經驗、教訓的相關培訓和經費投入的支持，增強密碼安全意識夯實安全基礎。

針對組織內部決策層在密碼評估和建設方面的意識不足，以及商用密碼建設經驗和投入經費的缺乏，需要采取切實有效的措施加以改進：① 應提高各級醫療組織領導的重視程度，將密碼安全納入組織發展的重要議程；② 通過提供經驗分享、案例分析以及針對性的培訓，增強密碼安全意識，夯實安全基礎；③ 加大經費投入，確保密碼建設有足夠的資源支持。

4.2 醫療行業密碼安全人員的專業技術能力有待加強

根據2023 年6 月15—17 日上交會的相關資訊，現階段我國對密碼人才需求量約30 萬人，實際人才缺口約20 萬人。在醫療行業中，IT 技術和管理人員的密碼安全能力尚顯不足，熟悉密碼技術和相關管理的人才短缺，還需要一個逐步提升的過程。因此，要想解決這一問題，需要加強密碼管理人員的專業培訓和技術隊伍的實踐鍛煉。

5 結論

密碼技術作為網絡空間安全的核心技術，在網絡安全體系中有著不可替代的作用，尤其是在醫療衛生領域，密碼安全與網絡安全、數據安全等存在無法分割的關聯關系。只有從根本上改變商用密碼建設和密評難落實的應用現狀，才能發揮商用密碼在醫療行業網絡安全防護中壓艙石的重要作用。