密碼服務平臺-賦能醫療衛生密碼應用和數據安全建設

引言

全國衛生健康領域迎來重要機遇期，信息化發揮著關鍵的支撐作用，醫療衛生機構網絡和數據安全管理愈發重要。安盟信息以密碼服務平臺為核心，構建醫療衛生密碼應用和數據安全解決方案，可滿足醫療集團、各級醫院業務安全發展的需求，實現醫療應用、密碼合規、數據安全的全面融合，確保醫療行業應用符合等級保護、商用密碼應用安全性評估、數據安全管理相關政策要求，支撐衛生健康行業高質量發展。

1.衛生健康領域網絡與數據安全重要性日益凸顯

隨著高質量發展縱深推進，全國衛生健康領域迎來重要機遇期，信息化發揮著關鍵的支撐作用，在此過程中產生的醫療健康數據不僅是重要的生產要素，更是國家基礎性戰略資源，因此網絡安全的重要性日益凸顯。

由國家衛生健康委、國家中醫藥局、國家疾控局三部門聯合制定并發布的《醫療衛生機構網絡安全管理辦法》《“十四五”全民健康信息化規劃》，進一步規范了醫療衛生機構網絡和數據安全管理，促進“互聯網+醫療健康”發展，以引領支撐、加快推動衛生健康行業高質量發展進程。

《醫療衛生機構網絡安全管理辦法》解讀

《醫療衛生機構網絡安全管理辦法》對各醫療衛生機構應履行的數據安全保護義務，提出了具體的數據全生命周期管控的要求。同時明確規定各醫療衛生機構應按照《密碼法》等有關法律法規和密碼應用相關標準規范，在網絡建設過程中同步規劃、同步建設、同步運行密碼保護措施，使用符合相關要求的密碼產品和服務。

2.醫療集團平臺化密碼應用和數據安全防護方案

(1)平臺化密碼應用和數據安全防護體系

當前醫院面臨的一項主要任務便是建設智慧醫療、智慧服務和智慧管理三位一體的智慧醫院。隨著醫療服務應用場景的新發展，醫療資源與線上線下服務持續打通、適應遠程與互聯網診療模式的持續增長，要求IT基礎設施建設和網絡安全保障服務均能支撐新場景的發展要求。

平臺化密碼應用和數據安全防護體系是以密碼服務平臺為核心，來構建多層級、多模式、多場景，適應傳統環境部署、云環境部署，采用平臺化、一體化交互模式，具備易管、易用、易擴展的服務能力，滿足醫療衛生數據安全和密碼應用雙合規需求的具備主動免疫特征的安全防護解決方案。 

平臺化密碼應用和數據安全防護體系圖

(2)適應醫療健康集團多層級部署

對于醫療健康集團，可采用密碼服務平臺多層級部署模式，實現“一個平臺、兩級服務、一網統管”。

由集團實現統一的密碼服務管理和運維，統一密碼應用健康和合規檢測。

在集團總部部署一級密碼服務平臺，總部可制定下發全局服務策略，統計各平臺狀態，監控全局運行；各醫療分支機構部署二級服務平臺，支撐本單位密碼應用；采用國密VPN保護總部和分支機構間通信安全。

密碼服務平臺在醫療健康集團的多級部署架構圖

針對醫療集團的組織管理架構，在集團總部的私有云部署一級密碼服務平臺。總部可對集團各級密碼服務平臺實行集中管理和監控，支撐保障密碼應用合規，數據安全防護，達到統一建設、集中管理、集中監控，掌握全集團運行態勢的效果。

在大型醫院機構建設密碼服務平臺，為醫療常規應用、大容量應用、高速應用提供密碼服務支撐，為本院內診療和互聯網醫療應用提供密碼應用合規、數據安全保護支撐。

針對小型醫院規模較小的網絡和應用數量，可采用極簡化模式部署密碼服務平臺（一體機形態），以一體化、集約化方式提供傳輸保護、身份認證、數據存儲機密性、完整性等，滿足密碼應用合規。

(3)支撐醫療衛生數據安全和密碼應用雙合規

以密碼服務平臺為核心的數據安全服務體系，可全面保障醫療數據安全。針對梳理后的各類各級醫療數據資產，如個人屬性數據、健康狀況數據、醫療應用數據、醫療支付數據、衛士資源數據、公共衛士數據等，可從采集、傳輸、存儲、處理和交換等各環節來保障安全。

同時，本方案可從物理和環境安全、網絡和通信安全、設備和計算安全、應用和數據安全、密鑰管理等多方面，支撐醫療衛生應用全面滿足商用密碼應用安全評估的要求。

密碼服務平臺支撐醫療行業密碼應用和數據安全雙合規

密碼在醫療衛生網絡安全中發揮著核心作用，可構建醫療數據保護體系，對數據全生命周期提供安全保護；可構建醫療網絡信任體系，實現身份認證、授權管理和責任認定。

(4)構建醫療衛生網絡信任體系

采用密碼服務平臺可構建醫療衛生網絡信任體系。建立人（醫護、專家、患者）、設備（PC、筆記本、智能手機）、外部應用訪問主體，到內部應用、API服務的可信可控的安全訪問過程，實現身份認證、訪問控制、傳輸加密等安全保障。

• 實現可信身份認證與管理

支持基于國密證書認證，人員身份可信、終端設備接入可信、外部應用對API訪問可信。

• 實現動態可信，全方位縱深防御

基于用戶、設備、應用、API的動態可信接入授權控制，為對象最小權限授權；提供數據產生、傳輸、存儲安全防護；支持環境風險感知，動態策略調整。

• 實現數據全生命周期保護

基于密碼服務平臺，保障數據機密性、完整性、真實性等；安全服務覆蓋醫療數據產生、傳輸、存儲、使用等全生命周期。

(5)構建醫療衛生網絡數據安全防護體系

采用密碼服務平臺可構建醫療衛生網絡數據安全防護體系。

• 數據訪問身份識別

應用關聯、精準定位訪問應用系統的身份；針對不同用戶對敏感數據進行不同級別的脫敏。

• 多場景脫敏模式，重要數據保護

支持敏感數據源的自動檢索和發現；支持基于應用業務脫敏、運維脫敏、API脫敏；提供統一、易用的密碼計算服務、密鑰管理服務；實現對重要、敏感數據的加密和完整性計算。

• 保障數據存儲安全

保障數據存儲機密性、完整性等；發現敏感數據、重要數據，并進行管理；支持合規、易用的密鑰管理。

3.賦能醫療衛生密碼應用和數據安全建設

(1)方案優勢

對比傳統密碼應用方案，安盟密碼服務平臺應用于醫療衛生密碼應用和數據安全建設，具有明顯優勢。

• 部署模式靈活

支持云環境部署和傳統部署模式，滿足密碼能力上云、云上密碼服務的要求，符合大中小型醫療集團、醫療機構的集中管理和服務要求。

• 平臺化、服務化交付

采用平臺建設與運營模式，直接為用戶交付能力。

• 易管理

對密碼設備、密碼服務、密鑰實行集中管理、統一運維；支持級聯部署，策略統一管控、狀態全局展示。

• 對接簡單、易用性高

密碼應用支撐服務和數據安全保護雙重能力。服務模式統一，應用對接免改造、少改造，易用性高。

• 資源利用率高、易擴展

密碼服務按需獲取、彈性擴充；密碼資源統一管理，密碼資源效能充分發揮。

(2)客戶價值

• 滿足安全合規要求

符合《密碼法》《數據安全法》和等級保護相關管理和技術要求，采用經商密檢測的產品和技術，標準化提供密碼服務和數據安全服務，符合醫療衛生機構網絡安全管理辦法，有效滿足用戶“合規、正確、有效、少改造”的應用對接需求。

• 資源優化管理、服務量化可見

基于安盟信息的密碼服務平臺，提供密碼服務和數據安全服務能力，將資源最大力度優化，提供資源池化、彈性可擴展、泛在接入、按需配置、可計量的服務。能力由產品化輸出轉向云密碼服務化輸出，密碼應用價值看得見、數據安全有保障。

• 提高安全防護水平，縮短建設周期

通過提供密碼服務、數據全生命周期保護，從“云、管、端、邊界”全方位保障用戶業務和數據安全，整體提高安全風險防護水平。

用戶使用平臺提供的密碼服務與應用系統對接，可實現業務快速上線，縮短用戶業務建設周期。

• 實現降本增效

服務化引入密碼服務和數據安全保護能力，集約化建設、資源合理分配均衡調度，智能化、可視化運維管理，降低用戶管理投入，最大限度在增強安全性同時，為用戶實現降本增效。