HIT专家网
来源:HIT专家网 作者:龚晨
“密码技术千变万化,但归根究底是以三个算法为基础:对称加密、非对称加密和哈希算法。将这三个算法用精、用巧了,就能产生很多有意思的事情。”
身为国家密码行业标准化技术委员会副主任委员,詹榜华从事密码理论研究、密码系统设计与实现等工作已超30年。深奥的密码技术,经常被他阐述得深入浅出、通俗易懂。
詹榜华的另一重身份是北京数字认证股份有限公司董事长,致力于将密码技术与密码服务推广到多个行业进行深化应用。“密码一定要与各行各业的实际业务场景结合起来才能发挥效能。很多时候,密码出现问题不是算法被破解了,而是没有在场景中得到科学使用。”这一问题在医疗卫生领域也有所表现。比如,很多医院只对电子病案的病案首页而非全本进行电子签名,因此即使应用了密码技术,也无法保证病案整体的完整性与不可否认性。
整体而言,医疗卫生领域密码应用的基础较为薄弱,应用面较窄,主要集中在身份认证与电子病历电子签名中。而《密码法》《数据安全法》等的相继出台,使得程度更深、范围更广的密码应用亟需提上医疗卫生领域的议事日程。在医疗卫生领域打磨多年,凭借着对密码技术与医疗业务场景的双重理解,数字认证已沉淀出一套行之有效的密码保障系统建设与密码应用方法论。CHIMA 2021期间,在由北京数字认证股份有限公司主办、HIT专家网协办的“密码赋能智慧医院”专场卫星会上,詹榜华介绍了密码保障系统方案设计的“方法论”。
密码保障体系建设,需要三同步、一评估
密码技术是保障网络空间安全的基础性核心技术,其作用主要有二:一是构建信息保护体系,也即对信息传输和存储过程提供安全保护,防止非授权信息泄露和信息篡改;二是构建网络信任体系,也即实现网络空间中的身份认证、授权管理和责任认定。
《密码法》是我国密码领域的基础性法律。我国对密码实行分类管理,密码分为核心密码、普通密码和商用密码。“三类密码与信息分类与应用范围相对应,并非存在谁强谁弱之分。”詹榜华介绍,商用密码用于保护不属于国家秘密的信息。非涉密的关键信息基础设施、网络安全等级保护第三级以上系统、国家政务信息系统等,使用商用密码进行保护,已成法定要求。在医疗卫生领域,大部分使用的就是商用密码。
“当前的密码应用形势是:该用尽用,科学应用。”詹榜华认为,面对日益复杂、严峻的信息安全挑战,医疗卫生领域应建立密码保障系统,基本的工作思路是“三同步、一评估”,也即项目建设单位应当同步规划、同步建设、同步运行密码保障系统并定期进行评估。
其中,规划阶段的主要任务是:明确保护对象,分析密码应用需求,设计密码应用建设方案,并同步完成密码应用方案评审工作。
规划阶段的核心输出物是符合业务需求和业务特点的“密码应用建设方案”。詹榜华认为,如果脱离医疗卫生领域的业务特点谈论密码应用建设方案,对照相关标准逐项罗列密码产品,导致的后果要么是方案无法落地,难以发挥实效,要么方案重复建设,导致资源浪费。
建设阶段的主要任务是:编制密码应用实施方案,实现密码技术措施与管理措施,并同步完成密码应用安全性评估(以下简称“密评”)。
建设阶段的核心工作是将“密码应用建设方案”中的设计措施落实为具体的产品、服务、制度,并通过密评。其中,技术措施包括密码产品或服务的采购、密码功能的开发、密码应用的集成等;管理措施包括密码管理制度的建设和修订、密码管理机构和人员的设置、建设过程管理等。
运行阶段的主要任务是:运行管理和控制、监督检查、应急响应与保障,同时定期开展密码应用安全性评估工作。
运行阶段的核心工作是运营、监管和定期评估,需要系统运营方、监管方、测评方三方合作。
不难看出,“评估”工作在密码保障体系建设中的重要性。“密码保障系统建得对不对、密码技术用得好不好,最终要拿密评结果来说话。”据詹榜华介绍,密评工作主要评估的是密码应用的合规性、正确性与有效性,《信息安全技术 信息系统密码应用基本要求》(GB/T 39786-2021)是指导商用密码密评工作开展的纲领性、框架性标准。而詹榜华正是该标准的牵头制定人之一。
怎样才能设计出科学合理的密码保障系统?
“经常听到有人说,GB/T 39786的要求高,密评不容易通过。在我看来,可能是相关的方法论还没有被掌握,密码技术与业务场景‘两张皮’的情况还非常多见。”詹榜华以“三同步、一评估”中的“规划阶段”为重点,阐述了数字认证的“密码保障系统方案设计方法论”。
“大家都知道医疗数据非常重要,需要安全保护。然而什么是重要数据?千万不要只停留在这四个字上,而是应该往下再走一步,与业务紧密地贴合在一起。”据詹榜华介绍,重视“密码应用需求分析”,这是规划阶段的第一步。首先需要根据影响程度、影响范围,对业务重要数据进行梳理,最终形成“重要数据列表”和数据分级,《信息安全技术 健康医疗数据安全指南》(GB/T 39725-2020)是医疗卫生领域数据分级分类的重要参考标准;其次是梳理重要数据的信息流向和承载实体(包括物理安全边界、计算环境等),从而明确信息保护的范围;接着,根据重要数据的信息流向节点,从机密性、完整性、真实性、不可否认性四个方面进行风险分析,并形成密码需求列表。
规划阶段的第二步是设计密码应用方案。针对第一步提炼出的需求分析,设计包含可信身份、传输安全、存储安全、计算环境保障、抗抵赖等技术措施,以及安全管理措施在内的密码应用建设方案,以满足GB/T 39786-2021的相关要求。
“没有绝对安全的信息系统,也不是所有的风险都要一致性解决。网络安全领域的主流理论之一是风险管理理论,也即判断需要将各类风险控制在何种程度。”詹榜华介绍,方案设计要遵循总体性、成熟性、经济性原则。其中,总体性原则要求从整体防护角度考虑密码应用的顶层设计,并与对应的网络安全保护等级相结合、相适应;成熟性原则要求采用市场上长期销售、应用成熟、资质齐全的商用密码产品;经济性原则要求在满足功能、性能的基础上确保投资合理、规模适度,避免资金浪费和过度保护。
基于上述工作,各项密码应用措施的选择就变得有章可循、有据可依。以“互联网医院”为例:在客户端,应采用基于数字证书的强身份认证及电子签名,实现在数据产生环节的真实性与不可否认性保护需求,在局部环境之间,应建立点-端的SSL(Secure Sockets Layer,安全套接字层协议)加密数据传输通道或端-端的IPSec(Internet Protocol Security,互联网安全协议)加密数据传输通道,实现数据传输环节的机密性与完整性保护需求。
“除了技术措施以外,密码应用方案中不能忽视管理措施的重要性。不是所有的安全问题都一定要用技术来解决,管理手段有时更加方便、有效。”詹榜华特别强调。
规划阶段的第三步是重视数字证书与密钥管理。方案中引入的密码设备涉及多类密钥,密钥的全生命周期管理非常重要,需要考虑密钥产生、存储、分发、使用、更新、备份与恢复、归档、销毁等各个环节的安全管理问题。
规划阶段的最后一步是密码应用方案的自评估工作。詹榜华建议,按照GB/T 39786的相关要求,按照量化评分+高风险判定的评估机制,对设计好的密码应用方案进行自评估。只有评分超过阈值,且不存在高风险项,密码保障系统才能被判定为“基本符合”。“通过自评估工作,做到心中有数。将来参加实际密评时,密评机构的测评工作也会变得更加顺利。”
“在上述方法论中,需要密码服务企业与医疗卫生用户的共同参与。特别是在需求分析阶段,哪些数据需要何种程度的安全保护,需要医疗机构根据自身的实际情况做出判断。而重视密码管理措施,更是需要医疗机构在制度与行动上都付出努力。”詹榜华认为,这样才能有效避免密码保障系统与业务系统“两张皮”的问题产生,密码技术才能真正为医疗业务与医疗数据提供如影随形的贴身保护。
精彩不容错过!
【责任编辑:陈曦】
评论前必须登录!
注册