随着信息技术的不断发展和应用,医疗行业已经成为信息化程度较高的行业之一。医院信息系统(HIS)作为医院运营和管理的重要支撑平台,记录着大量的医疗数据和信息,对于医院的正常运营和患者的治疗都具有重要意义。然而,随着医疗信息化的深入发展,信息安全问题也日益凸显,密码建设作为医疗行业信息安全的重要组成部分,对于保障医疗数据的安全性具有重要意义。本文将探讨医疗行业HIS系统密码建设的现状、意义、原则和策略,并提出一些建议和措施,以期为医疗行业的信息化建设提供一些参考。
目前,医院密码应用整体现状分析:
1.医院信息化建设涉及到的三级信息系统主要包括:HIS、LIS、PACKS等重要信息系统以及互联网医院系统,需要通过密码测评要求。
2.医院现状基本已部署实施PKI/CA 电子认证服务体系和应用安全支撑体系,来满足信息系统对于用户身份鉴别、数据完整性保护、抗抵赖等需求。
3.医院内部医疗系统承载着民生医疗的数据,系统合规化建设是医院乃至民生的重中之重,数据保护和密码应用合规性建设是切实贯彻总体国家安全观的重要手段,对于存储的敏感数据应加强安全保护。
医疗行业HIS系统密码建设具有以下意义:
1.保障数据安全:密码建设是医疗信息安全的重要保障措施之一。通过对密码的有效管理,可以防止未经授权的访问和数据泄露,避免医疗数据的损失和滥用。
2.保护患者隐私:医疗数据涉及到患者的隐私和安全。密码建设可以防止患者信息的泄露和滥用,保护患者的隐私和权益。
3.提高医院运营效率:密码建设可以提高医院信息化的整体水平,减少因安全问题导致的IT故障和维护成本,从而提高医院运营的效率和质量。
HIS系统密码应用需求如下:
政策合规需求:医院信息系统在进行信创替代的同时完成密码改造;
A.业务安全需求:业务互联、电子病历等需采用密码技术实现机密性、完整性、真实性、不可否认性等安全保护;
B.安全管理需求:满足《GBT 39786-2021 信息安全技术 信息系统密码应用基本要求》中管理制度、人员管理、建设运行、应急处置等密码应用管理要求;
C.经济性需求:密码应用改造涉及服务器密码机、签名验签服务器、SSL VPN等多种密码产品,在预算范围内追求高性价比。
HIS系统密码应用面临的挑战如下:
A.业务情况复杂,定制化需求高:HIS系统业务复杂,需要定制化方案及定制化密码产品,对密码产品的运维要求高,需要持续提供专业的技术服务;
B.需要多方协调,改造难度大:HIS系统密码改造需协调现有业务系统开发商、业务需求方、密码设备厂商等多方升级改造,改造难度较大;
C.密改成本高:HIS系统密码改造涉及密码服务平台、服务器密码机、签名验签服务器等多种密码产品,为了保证密改后业务的延续性、高可用性,减少单点故障风险,采用一主一备部署,密改成本高。
医疗行业HIS系统密码建设应遵循以下原则:
>总体性原则。对HIS系统的密码应用开展顶层设计,明确密码应用需求和预期目标,并与HIS系统的网络安全保护等级相结合,形成涵盖技术、管理、实施保障的整体方案。
>科学性原则。明确密码建设边界与预期目标,建立密码支撑总体架构,构建密钥管理体系,确定密码产品与服务,制定相应管理制度,明确密码基础设施建设与部署方案。
>完备性原则。围绕系统实际业务应用与安全保护等级,综合考虑物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全、密钥管理和安全管理等多个层面密码应用需求,设计HIS系统的密码应用方案。
>可行性原则。结合系统的密码应用需求,综合考虑HIS系统的复杂性、兼容性、现有技术实现能力及其他技术保证措施等因素,进行合理设计,确保方案切合实际、合理可行。
结合相关规范与实际业务需求,密码应用方案设计从物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全等层面进行规划。系统密码应用技术框架如下图所示,HIS系统的部署方式和实现功能在满足总体性、完备性、经济学原则的基础上,通过部署SSL VPN网关、安全认证网关、动态密码认证系统、数据加解密系统等密码产品,并正确部署配置,以满足HIS系统的密码应用需求。
其中:
1)安全认证网关:部署在安全管理区,用于在PC端国密浏览器与安全认证网关之间建立安全的数据传输通道,保证数据传输的机密性和完整性;
2)SSL VPN网关:部署在安全管理区,用于在PC客户端与应用系统之间、运维终端与堡垒机之间建立安全的数据传输通道,保证数据传输的机密性和完整性;
3)密码应用一体化系统:部署在安全管理区,为密码应用提供虚拟化密码运算单元(HSM),支持密码资源隔离和密钥隔离;
4)移动认证APP:部署在用户手机端,采用协同签名技术实现用户的双因素身份鉴别;
5)移动安全认证系统:部署在安全管理区,用于为移动认证APP提供协同密钥派生、协同数字签名、数字信封、客户端私钥加密存储功能;
6)签名验签系统:部署在安全管理区,用于为移动安全认证系统提供协同数字签名的验签名功能和数字信封的解信封功能,保证登录用户身份的真实性和用户鉴别信息传输的机密性、完整性;
7)动态密码认证系统:部署在安全管理区,用于为运维人员登录堡垒机时提供商密动态密码,实现登录堡垒机用户的双因素身份认证;
8)数据加解密系统:部署在安全管理区,用于应用系统向数据库写入重要数据时进行加解密运算,保证数据存储的机密性、完整性;
9)第三方电子认证服务:连接CA中心的CRL发布服务地址,主要用于为核心业务系统用户端及核心业务系统服务端商密安全设备颁发商密数字证书。
(一)物理和环境安全
物理和环境安全方面采取门禁系统和视频监控系统。部署门禁系统,采用对称密钥分散和对称加解密技术,实现一卡一密,确保人员身份的真实性。采用 SM3-HMAC或 SM2数字签名技术,对门禁系统人员进出记录进行完整性保护,防止进出记录被篡改。部署视频监控系统,支持视频录像的完整性保护,防止录像文件被篡改。视频监控系统包含支持密码模块的IPC(inter-process communication,IPC)网络摄像机、NVR(network video recorder,NVR)网络录像机、视频客户端。采用 SM3-HMAC 技术,实现实时视频流和视频录像的完整性保护。门禁系统和视频监控系统均为独立闭环网络,通过交换机实现前后端的互联互通,不允许任何外部网络或设备接入。
(二)网络和通信安全
网络和通信安全方面采用密码技术,实现通信实体的身份鉴别、访问控制信息的完整性保护和数据传输的机密性与完整性保护,在客户端与服务器之间建立一条安全的数据传输通道。
客户端输入认证客户端账号和密码,插入 USB⁃KEY通过数字证书认证,登录VPN综合安全网关;客户端和 VPN 综合安全网关协商 VPN 安全通道;提交应用业务登录请求。系统客户端和VPN综合安全网关通过SSL 安全通道进行数据传输,保障互联网数据传输的安全性。VPN综合安全网关和应用服务器间通过普通通道进行数据传输。
(三)设备和计算安全
设备和计算安全部分主要涉及身份鉴别、远程管理通道安全、访问控制及日志记录完整性等方面。在运维通道部署 VPN 综合安全网关,运维管理员配发智能密码钥匙。通过VPN综合安全网关登录堡垒机,实现对登录堡垒机用户的身份鉴别和管理身份鉴别信息传输的机密性保护,防止非授权人员登录、管理员登录身份鉴别信息被非授权窃取。运维人员与 VPN 综合安全网关建立 SSL 安全连接之后,再登录堡垒机进行运维管理。本方案建立专用安全运维通道,在运维通道部署VPN综合安全网关。管理员通过国密SSL安全传输通道,进行设备端安全运维操作。运维过程中,所有的数据传输,均通过国密 SSL 协议进行机密性和完整性保护。
本文章中服务器密码机应用 SM2 数字签名或SM3-HMAC 技术,实现设备重要资源访问控制信息完整性保护。系统中新增的密码专用设备,均支持访问控制信息的完整性保护,采用 SM2 数字签名或SM3-HMAC技术实现。
方案部署合规的服务器密码机,通过服务器密码机对日志进行完整性保护,采用 SM2 数字签名或SM3-HMAC技术实现完整性保护。
(四)应用和数据安全
应用和数据安全部分,涉及身份鉴别、数据传输的机密性和完整性保护、数据存储的机密性和完整性保护、访问控制信息等方面。身份鉴别采用“SM2数字证书+用户名+口令”的方式实现。面向移动端登录场景,采用“协同签名APP+协同签名”技术,实现基于数字证书的身份认证。
业务系统调用服务器密码机,对用户访问控制权限列表应用 SM3-HMAC 技术实现访问控制信息的完整性保护,保护访问控制权限列表不被篡改,防止非授权的访问。业务终端与应用服务端之间通过SM2 技术进行密钥协商,重要数据通过 SM4、SM3-HMAC算法进行机密性和完整性保护后再传输。针对数据的安全存储,业务系统调用服务器密码机的数据加解密服务,对重要业务数据字段进行加密运算,实现数据的加密存储,并使用 HMAC技术,实现重要数据存储的完整性保护。当使用重要数据时通过 HMAC 技术验证数据的完整性,同时调用数据加解密服务,对重要数据进行解密,还原重要数据原文。针对只需要进行完整性保护的数据,如系统的登录日志、操作日志和运行日志等,业务系统应用HMAC技术,实现数据存储的完整性保护。
HIS系统通过调用服务器密码的加密功能,使用密钥和加密接口对敏感数据进行SM4对称加密,并将加密结果存储在原文数据对应关联关系的位置。在数据应用时,服务器密码机的解密功能对密文数据进行解密,在获得原文后进行利用。重要数据加密/解密技术应用流程如下图所示:
SM4加密技术流程
SM4解密技术流程
重要数据加密/解密技术流程说明涉及6方面内容。
(1)HIS系统在存储前,准备待加密原文数据。
(2)通过调用服务器密码机加密接口,对指定密钥对原文进行SM4加密。
(3)在获取到加密结果密文后,HIS系统将加密后的密文存储在数据库或业务指定位置。
(4)HIS系统需要利用该数据时,从数据库或指定位置获取密文。
(5)调用服务器密码机解密接口,指定密钥对密文进行SM4解密。
(6)获取明文结果,HIS系统对明文进行利用。
(五)重要数据存储完整性流程
(1)HIS系统准备待进行摘要操作的原文数据;
(2)调用服务器密码机接口,指定密钥对原文进行HMAC-SM3摘要计算;
(3)返回摘要结果,HIS系统将摘要后的信息存储于数据库或指定位置;
(4)HIS系统需要验证该数据时,再次请求服务器密码机进行摘要计算;
(5)调用服务器密码机接口,指定密钥对原文进行HMAC-SM3摘要计算;
(6)返回摘要结果,并将结果与原存储的摘要值进行比对,如果结果一致则表示数据未被篡改。
(六)日志文件完整性保护技术流程
日志记录完整性保护流程涉及5方面内容。
(1)HIS系统获取日志记录文件;
(2)HIS系统服务端调用服务器密码机接口,传入日志文件,请求完成HMCA-SM3计算;
(3)服务器密码机对日志文件进行HMAC-SM3计算。
(4)服务器密码机将会返回HMAC-SM3计算结果。
(5)HIS系统接收HMAC-SM3结果,将日志文件对应HMAC-SM3结果安全存储至数据库中。
随着医疗信息化建设的不断深入,医疗行业HIS系统密码建设也将面临更多的挑战和机遇。未来,医疗行业需要进一步加强密码技术的研究和应用,不断提升密码保护的水平和能力,以更好地保障医疗信息的安全和保密性。
综上所述,医疗行业HIS系统密码建设是一项非常重要的工作。只有通过加强密码建设,建立起完善的密码体系,才能够有效地保障医疗信息的安全和保密性,为医疗行业的信息化建设提供坚实的保障。
4006-967-446
沃通数字证书商店
