HIT专家网
来源:HIT专家网 作者:龚晨
是否存在通用的、标准化的密码应用方案,各医疗机构只需照做即可通过商用密码应用安全性评估(也即“密评”),并充分实现密码的安全保障效果?
“密码应用是与业务强烈相关的,必须结合具体业务场景进行具体分析。因此,放之四海皆准的密码应用方案是不存在的。”2022年4月19日,在由中国医院协会信息专业委员会(CHIMA)指导、HIT专家网主办、北京数字认证股份有限公司承办的“卫生健康行业商用密码应用线上研讨会”上,数字认证研究院院长、首席科学家夏鲁宁博士对上述问题进行了解答。
夏鲁宁博士是《信息安全技术 信息系统密码应用基本要求》(GB/T 39786-2021)的起草人之一,对密码应用有着深刻见解与丰富经验。他进一步谈道:“虽然不存在通用的密码应用方案,但在过去两三年的密评试点中,数字认证作为专业密码服务厂商,逐步总结出一套行之有效的密码保障系统建设方法论,可帮助医疗机构结合业务需求设计可实施性强、性价比高的密码应用方案,有效满足密评要求。”
方法论核心:以“应用”为中心
密码保障系统建设要以“应用”为中心,这是数字认证提供的“密码保障系统建设方法论”的核心宗旨。
为什么强调要以“应用”为中心?夏鲁宁认为:密码只有用于充分保障应用业务安全,才能体现其价值。如果脱离具体业务“空谈”密码应用,即无视现状、需求,只是对照指标逐项罗列密码产品,是非常糟糕的思维,也很可能造成糟糕的后果——可能“看起来很美”的方案受现实条件制约而无法落地;可能本来已有密码应用措施,又规划另一套导致重复建设;还可能对低价值的数据资产施加了高成本的保护,导致资源浪费。
而数字认证提供的这套方法论,就是要强调紧贴业务现状和需求来设计密码保障系统,从而有效帮助包括医疗机构在内的广大密码应用单位,在满足密评要求的前提下,实现高性价比的密码保障系统建设,避免为用而用的“硬上”密码。
密评工作的基本思路是“三同步一评估”(也即项目建设单位应当同步规划、同步建设、同步运行密码保障系统,并定期进行评估),其中规划阶段的核心任务是密码应用方案的编制与评审。这一步非常关键,一个好的方案将为后续建设任务铺平道路。如前所述,方案是紧扣业务需求的,所以:
方案设计的第一项工作是“密码应用需求分析”。“我们的经验是:以业务重要数据的生命周期为主线进行需求分析,此时必然涉及对业务的深入调研。”夏鲁宁介绍,首先应对数据进行分级分类,整理出需要使用密码保护的“重要数据”列表;其次需要梳理重要数据在生命周期各环节的流向和承载实体(流经的物理环境、网络通道、处理设备、业务系统等),明确保护范围;第三,根据重要数据的流经节点,参考《信息安全技术 信息安全风险评估规范》(GB/T 20984-2007)等标准,从威胁、脆弱点、影响程度等角度,对数据的机密性、完整性、真实性、不可否认性等进行风险分析,形成“风险列表”。
“需要注意,密码应用的风险评估与信息安全风险评估稍有不同的地方在于,所有被《信息系统密码应用高风险判定指引》列为高风险项的内容,一旦涉及,都需要列为高风险项。”夏鲁宁说。
密码应用的需求,取决于责任单位的风险控制策略,不同策略下的需求取舍与适用场景都有所不同。由于密评采用量化评估+高风险判定的原则,因此在无高风险项的前提下,并非取得100分才能通过,这就决定了有些中低风险可以“战略性取舍”。“用户可以根据资金预算与项目周期等实际情况,选择要控制的风险,保证规避所有高风险项,并有选择地控制部分中低风险项。”
方案设计的第二项工作是“密码应用措施设计”。“在明确了风险和需求后,采用密码技术降低风险的措施的设计思路已经清晰。”夏鲁宁介绍,随后的工作就是针对既定的密码应用需求,设计包含可信身份、传输安全、存储安全、计算环境保障、抗抵赖等在内的技术措施。
“密码应用措施与需求之间的映射关系并非‘一对一’,而是‘一对多’或‘多对一’,也即可以使用同一类技术措施满足多个密码应用点的需求,同一个安全需求也可能需要同时配备多个技术措施来实现。”夏鲁宁表示,方案设计时首要考虑的问题不是选用何种密码产品,而是根据需求设计措施,在确认措施能够满足所有需求的前提下,再去选用合适的产品,这样的方案设计才是合理的。
方案设计的第三项工作是密码应用方案的自评估。“需要厘清的一个错误认识是,‘三同步一评估’不是指完成三个‘同步’后,最后统一进行一次‘评估’;密评工作需要贯穿密码保障系统的规划、建设、运行三个阶段。”夏鲁宁介绍。在规划阶段,密评的任务就是对方案进行评估。因此,对于责任单位来说,在完成密码应用方案的上述设计后,还需要依照《商用密码应用安全性评估量化评估规则》及《信息系统密码应用高风险判定指引》的相关要求,对密码应用方案进行自评估,确保评分超过阈值且不存在高风险项,从而至少达到“基本符合”的水平。“建议在自评估时遵循‘从严评估’的原则,做到心中有数,这样确保在实际密评中顺利通过。”
医疗机构如何用好密码应用方法论?
“密评不是针对密码产品的测评,而是重在对‘用’的考察,也即考察责任单位的业务系统用密码用得好不好。”在医疗行业,由于业务应用、数据处理的多样性,决定了每个医疗机构的密码应用方案都不尽相同;但只要用好方法论,每个医疗机构都能拥有适合自身实际情况的密码应用方案。夏鲁宁为医疗机构介绍了方法论“落地”的几个要点。
首先是医疗健康数据的分类分级。夏鲁宁介绍,“分类”是基于不同属性或特征,对数据按照一定的原则和方法进行区分和归类,比如在互联网诊疗业务中,可将数据大致分为患者个人属性、健康状况数据、医疗应用数据、医疗支付数据、卫生资源数据等几大类;“分级”是在分类基础上,对数据的敏感程度以及遭受泄露、滥用等可能对国家、社会及个人等造成的影响进行分级,医疗机构可参考《信息安全技术 健康医疗数据安全指南》(GB/T 39725-2020)进行数据分级。
其中,分级为3级、4级的医疗健康数据中包含大量个人信息与敏感个人信息,且在业务开展过程中在各业务系统、客户端间流转频率较高,一旦被非法获取、篡改、利用,将对患者、医院造成严重影响。因此应依照《数据安全法》《个人信息保护法》的要求,采取相应的技术措施及其他措施,保障数据流转全流程合法合规。
其次是关键业务数据流向分析。“这些需要保护的数据,在什么环节产生、在哪里流转、在哪里储存、谁可以浏览,这些问题必须深入业务线中进行全面了解与分析。”夏鲁宁以“患者个人属性”为例进行介绍:其在互联网诊疗业务中涉及患者预约挂号、联合问诊、远程会诊、病历归档、处方开具、平台数据同步等多个环节,流经患者客户端、医生客户端、数据中心、数据跨域传输等多个流向节点。“将一条条业务线依次捋下来,在不同业务节点对其威胁源、脆弱点、影响程度进行综合分析,这样的流向分析才是有的放矢的。”
第三是密码应用方案的整体设计应遵循总体性、成熟性、经济性原则。夏鲁宁介绍,所谓“总体性原则”,是指从防护整体性角度考虑,对系统的密码应用开展顶层设计,明确密码应用需求和预期目标,并与网络安全保护等级相结合;“成熟性原则”是指采用的商用密码产品应为市场上长期销售和应用的成熟的商用密码产品,均具有密码管理部门核准的商用密码产品资质;“经济性原则”是指该方案在功能、性能上应可快速扩展设计,满足GB/T 39786相关要求,确保密码应用改造的投资合理、规模适度,避免资金浪费和过度保护。“密评采用‘适度安全’的准则,因此在现有条件允许的前提下,尽可能地把密码应用做得完善一些,避免高风险,也是可以顺利通过密评的。”
第四是密钥生命周期管理。“密钥是密码应用系统的生命线。密钥一旦泄露,任何安全都将沦为空谈。”夏鲁宁特别强调了密钥生命周期管理的重要性,这也是目前应用单位普遍重视不足的问题。他建议,在密码应用方案中要以单独章节明确各个层面、各类措施涉及的密钥生命周期管理问题,表明在密钥的生成、存储、分发、使用、更新等过程中是如何对其加以保护并确保安全的。
对于医疗机构而言,密评无疑是场即将到来的“大考”,但医疗机构在过往的信息化建设中并非毫无准备。夏鲁宁谈到:长期以来,部分医疗机构在应用无纸化电子处方、电子病历、电子病案时,引入了电子认证(CA)系统与可信电子签名,就是使用密码技术保证处方、病历等重要数据在传输存储过程的完整性、真实性和法律责任认定上的不可否认性;在基于数字证书的系统用户登录,以及与院外网络的安全通信连接方面,医疗机构也是采用了密码技术确保用户身份的真实性、网络与通信身份鉴别以及数据传输的机密性与完整性。
“因此,医疗机构使用密码技术是有一定基础的,电子认证、电子签名等应用在医疗行业的进一步推广,也将更好地助推医疗机构对密码技术的理解与应用。”夏鲁宁最后总结道,数字认证已深耕医疗健康行业十余年,成功实施了2000余家医院客户,在医院无纸化建设方面具有丰富经验,能够深入了解医院需求和痛点。未来,数字认证将在为医院建设以电子认证、电子签名技术为核心的合法合规电子病历应用的基础上,进一步从“密码保障系统建设方法论”出发,以应用为中心,为广大医疗机构提供全过程密码应用和评估协助服务,帮助医疗机构在迎接“密评”大考的同时,借助密码技术守牢“安全底线”。
精彩不容错过!
我们将尽快与您联系!
【责任编辑:陈曦】
评论前必须登录!
注册