依据国家相关政策规定,为大力推进医疗卫生信息化,加快医疗卫生信息系统建设,应重点讲公共卫生、医疗、医疗保险、医药金融监管等信息化资源整合,加强信息标准化和公共服务信息平台建设,以确保统一、高效、互联。卫生综合管理平台主要包括卫生资源管理、公共卫生服务管理、医疗服务运营管理、药品服务管理、医疗保障管理5大功能模块,需要对敏感信息资源、居民健康档案、医疗服务运营数据、药品服务监管数据等数据进行安全防护。
根据等级保护三级测评要求,对于卫生综合管理平台的密码安全保障总体需求包括以下7点。
1.密码算法安全需求:
按照等保要求,卫生综合管理平台应采用国家密码管理局批准的密码算法SM1/SM2/SM3/SM4。同时,要求管理平台内所有硬件产品必须具有国家密码管理局的相关产品资质。
2.电子门禁系统安全需求
卫生综合管理平台内的机房、指挥中心、监控中心等重要区域进入人员的身份鉴别信息和进出记录需要实现机密性、完整性的和不可篡改性。密码技术的真实性服务可以实现身份认证信息的可靠性,从而保证进入管理平台重要区域的人员身份的真实性和访问记录的完整性。电子门禁系统需要支持国密SM1/SM7算法;系统具有密钥分级功能,实现一分系统一密、一卡一密;门禁系统登录时需要使用管理员USBKEY,保证系统管理员的身份合法;
3.视频监控系统安全需求
需要确定接入管理平台里网络的监控设备的合法性,对重要视频监控数据进行完整性和机密性保护,从而保证卫生综合管理平台内重要区域监控信息不被非法窃取或篡改。
4.身份认证体系安全需求
为解决用户身份的合法性和安全性,需要严格控制用户身份认证。县(市、区)级医疗机构人员、卫健局人员和运维人员必须通过使用USBKEY+SM2数字证书认证,对关键数据进行SM2算法数字签名以确认真实身份。对于卫生综合管理平台内部管理用户、系统用户等,根据权限的需要,高级别权限用户必须采用数字证书认证才能授权访问相关资源。为了解决访问授权控制的风险,需要在安全网关侧和应用程序侧建立严格的访问控制策略,采用基于角色和面向应用的访问控制,进行全面细粒度的访问控制,防范非法用户对应用资源的非法访问。
5.数据传输过程安全需求
采用终端密码产品USBKey(含数字证书)和身份认证安全网关完成信源加密(应用系统客户端的信息加密、信息传输完整性保护)、信道加密(基于国产商密的SSL加密链路)。
针对B/S架构,要求采用符合国家密码管理局的身份认证安全网关产品,卫生综合管理平台的用户终端与身份认证安全网关之间建立基于SSL加密通道,保证数据传输过程中的机密性和完整性。对C/S架构应用,应用需集成安全中间件,支持国产商密算法,对传输过程中的数据进行加密和完整性保护。
6.数据存储过程安全需求
为了保证管理平台内用户隐私安全和工作秘密安全,对在数据库或文件系统中保存的身份鉴权数据、个人隐私或工作秘密等关键数据采用SM4对称算法加密,对于用户账号所使用的口令可直接使用SM3算法进行加密存储与校验,使用SM2数字签名算法或SM3摘要算法保障数据的完整性,同时要保证数据读写、查询、访问的性能。
7.数据和行为追溯需求
为保证卫生综合管理平台内的重要程序、访问控制策略、日志审计数据等不被非法篡改或破坏,应采用SM2数字签名算法、SM3摘要算法和时间戳技术保障数据的完整性。
根据卫生综合管理平台业务系统的实际部署方案和密码应用需求,综合考虑未来的密码应用扩展需求,该方案密码应用保障总体框架设计如下图所示:
密码应用解决方案框架图
密码基础服务资源包括IPSec/SSL VPN综合安全网关、服务器密码机、签名验签和时间戳服务器、智能密码钥匙、密钥管理系统、第三方数字证书服务等组成,通过密码服务接口资源池,统一为卫生综合管理平台提供密码运算和密钥管理服务,实现现有业务中的身份可信认证、访问控制信息的完整性保护、数据传输机密性和完整性保护、数据存储的机密性保护、关键操作的可信时间保护和可追溯性以及密钥全生命周期的安全管理等相关密码应用需求。
卫生综合管理平台的应用服务区、密码服务区、边界安全防护区三个区之间的数据流在核心交换机上进行数据交互,通过IPSec/SSL VPN综合安全网关接至卫生信息专网,各医疗单位终端通过卫生信息专网,实现终端到平台服务端的访问。
该方案具体拓扑图如下所示:
接入管理平台终端操作人员配发渔翁智能密码钥匙,作为个人密钥和证书的安全存储介质。用户通过渔翁专用VPN客户端调用智能密码钥匙,实现与部署在IDC数据中的渔翁IPSec/SSL VPN综合安全网关之间的身份认证和可信登录,并通过密钥协商,建立国密SSL通道,实现数据传输的机密性和完整性保护。
IDC数据中心的边界安全防护区部署渔翁IPSec/SSL VPN综合安全网关。采用SM2国密数字证书认证和国密SSL的密钥协商方式,实现登录用户的可信身份鉴别和传输加密。
在IDC数据中心规划独立的密码服务区,部署服务器密码机、签名验签与时间戳服务器和密钥管理系统,为卫生综合管理平台提供密钥管理和密码运算服务。
服务器密码机为卫生综合管理平台提供密码运算服务,针对敏感信息存储和抽取,业务系统调用加密机的对称算法接口,实现数据存储加密。
签名验签与时间戳服务器为卫生综合管理平台提供关键数据的完整性保护和可信时间服务,实现关键操作的可追溯和防抵赖。
密钥管理系统为卫生综合管理平台不同业务板块提供统一的密钥分发和管理服务。
1.满足任意WEB浏览器下的SM2证书认证需求
因为IE等通用浏览器均不支持SM2国密数字证书,渔翁IPSec/SSL VPN综合安全网关提供专用的客户端软件,通过客户端代理的方式,实现了基于SM2数字证书的双向身份认证和密钥协商,不受Web浏览器的限制。
2.集成的签名验签与时间戳服务
本方案中采用签名验签与时间戳二合一服务器提供签名验签与时间戳服务。针对关键数据和敏感标记,可通过签名验签与时间戳服务器同时提供数字签名和时间戳服务,确保关键信息的真实性和完整性,同时降低设备采购成本。
根据国家政策要求,卫生综合管理平台密码安全建设应满足以下原则。
1.安全标准合规,符合《信息安全技术网络安全等级保护基本要求》的等保三级测试验收要求。
2.密码应用合规,使用国家密码管理局批准的密码算法,并符合GM/T 0054-2018《信息系统密码应用基本要求》(国家密码管理局,2018年2月),针对本系统,应当符合规范中等级保护第三级信息系统密码应用要求。
3.安全产品合规,卫生综合管理平台信息安全建设所用产品均需要具有国家密码管理局批准的产品型号证书,所使用的服务具有工业和信息化部颁发的电子认证服务许可证以及国家密码管理局颁发的密码许可证。
本方案所需的密码产品包括:
渔翁IPSec/SSL VPN综合安全网关
渔翁签名验签与时间戳服务器
渔翁服务器密码机
渔翁密钥管理系统
渔翁智能密码钥匙