劉磊

南京醫(yī)科大學(xué)附屬逸夫醫(yī)院 江蘇 南京 211112

1 引言

“互聯(lián)網(wǎng)+醫(yī)療”蓬勃發(fā)展，智慧醫(yī)療應(yīng)用不斷提升，衛(wèi)生健康領(lǐng)域的大數(shù)據(jù)應(yīng)用越來越多，新型業(yè)務(wù)、應(yīng)用方式不斷出現(xiàn)[1]，隨之帶來了衛(wèi)生大數(shù)據(jù)在衛(wèi)生診療、數(shù)據(jù)使用的全生命流程各階段產(chǎn)生了各種各樣的數(shù)據(jù)安全挑戰(zhàn)，包括身份仿冒、隱私泄露、機(jī)密竊取、數(shù)據(jù)篡改、越權(quán)訪問等。在醫(yī)療服務(wù)逐漸由“封閉式”轉(zhuǎn)變?yōu)椤伴_放式”的趨勢下，醫(yī)療信息安全環(huán)境并不樂觀。國家對數(shù)據(jù)安全高度重視，2021年先后頒布了《個人信息保護(hù)法》《數(shù)據(jù)安全法》，其中《數(shù)據(jù)安全法》明確提出，開展數(shù)據(jù)活動必須履行數(shù)據(jù)安全保護(hù)義務(wù)承擔(dān)社會責(zé)任。在醫(yī)療健康領(lǐng)域，數(shù)據(jù)的安全事關(guān)患者生命的安全、個人隱私的安全、公眾利益的安全，為了更好地保護(hù)醫(yī)療數(shù)據(jù)安全、規(guī)范醫(yī)療數(shù)據(jù)共享，全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會于2020年底正式發(fā)布了《信息安全技術(shù)健康醫(yī)療數(shù)據(jù)安全指南》，面向健康醫(yī)療數(shù)據(jù)控制者提出了保密性、完整性和可用性的安全目標(biāo)。2022年國家衛(wèi)生健康委發(fā)布了《醫(yī)療衛(wèi)生機(jī)構(gòu)網(wǎng)絡(luò)安全管理辦法》，明確提出了“各醫(yī)療衛(wèi)生機(jī)構(gòu)應(yīng)加強(qiáng)數(shù)據(jù)收集、存儲、傳輸、處理、使用、交換、銷毀全生命周期安全管理工作，采取數(shù)據(jù)脫敏、數(shù)據(jù)加密、鏈路加密等防控措施，防止數(shù)據(jù)收集過程中數(shù)據(jù)被泄露。”密碼是網(wǎng)絡(luò)信息安全的基礎(chǔ)和核心，是國家網(wǎng)絡(luò)信息建設(shè)的重要組成部分。本文將針對基于國產(chǎn)算法的密碼技術(shù)應(yīng)用于衛(wèi)生健康領(lǐng)域以保障醫(yī)療數(shù)據(jù)安全的應(yīng)用展開討論。

2 醫(yī)療數(shù)據(jù)安全保護(hù)需求概述

2.1 保障用戶身份真實(shí)性

醫(yī)院信息系統(tǒng)覆蓋各功能科室，其建設(shè)具有中心部署、分布應(yīng)用、分級管理等特點(diǎn)，面向所有的醫(yī)生、護(hù)士、醫(yī)師、運(yùn)維人員等不同類型的工作人員，身份角色不同、管理權(quán)限不同，為確保對用戶進(jìn)行有效的訪問控制，需保證人員身份的真實(shí)可信，保障有序開展相關(guān)業(yè)務(wù)和工作[2]。因此，基于醫(yī)院獨(dú)特的信息化環(huán)境，需建立一套面向全院的身份認(rèn)證管理體系，基于動態(tài)口令、消息鑒別碼、數(shù)字證書等密碼技術(shù)，建立用戶網(wǎng)絡(luò)世界的可信身份認(rèn)證憑證，實(shí)現(xiàn)安全、可靠、可信的身份登錄認(rèn)證，保證不同角色用戶的身份真實(shí)可信。

2.2 醫(yī)療數(shù)據(jù)在傳輸過程中的機(jī)密性、完整性需求

保障互聯(lián)網(wǎng)醫(yī)療、院外遠(yuǎn)程辦公等業(yè)務(wù)環(huán)節(jié)中，醫(yī)療健康數(shù)據(jù)在用戶端-服務(wù)端之間的傳輸安全；保障傳染病信息直報(bào)、電子病歷共享等業(yè)務(wù)環(huán)節(jié)中，醫(yī)療健康數(shù)據(jù)在醫(yī)院系統(tǒng)-區(qū)域平臺系統(tǒng)之間的傳輸安全，在傳輸過程中對數(shù)據(jù)進(jìn)行完整性、機(jī)密性的驗(yàn)證，防止醫(yī)療數(shù)據(jù)被竊取或篡改。

2.3 醫(yī)療數(shù)據(jù)在存儲和利用過程中的據(jù)隱私保護(hù)需求

醫(yī)療數(shù)據(jù)涉及大量患者、醫(yī)療記錄等隱私信息，對隱私數(shù)據(jù)、重要信息、敏感信息進(jìn)行隱私保護(hù)，動態(tài)脫敏，能夠根據(jù)用戶權(quán)限進(jìn)行差異化數(shù)據(jù)展現(xiàn)，防止用戶的身份信息、手機(jī)號碼、醫(yī)療記錄等私人或者敏感信息對外泄露。

2.4 保障業(yè)務(wù)行為抗抵賴、責(zé)任認(rèn)定、合法可信

隨著醫(yī)院信息系統(tǒng)的各項(xiàng)功能逐步取代傳統(tǒng)看病診療方式的同時，醫(yī)患雙方從對一張紙質(zhì)診斷書的認(rèn)可轉(zhuǎn)向?qū)σ欢螖?shù)據(jù)電文描述內(nèi)容的認(rèn)可，數(shù)據(jù)電文的責(zé)任歸屬是否明確直接關(guān)系到信息化流程能否完全取代傳統(tǒng)的紙質(zhì)流程。因此，在醫(yī)患雙方身份真實(shí)可信的前提下，需要結(jié)合可靠的電子簽名技術(shù)，建立醫(yī)院信息系統(tǒng)中的責(zé)任認(rèn)定機(jī)制，保障醫(yī)療數(shù)據(jù)明確的責(zé)任歸屬，實(shí)現(xiàn)真正意義的無紙化診療過程，使信息化的高效率優(yōu)勢充分發(fā)揮。

3 密碼技術(shù)路線

基礎(chǔ)密碼技術(shù)主要包括SM2、SM3、SM4等國產(chǎn)的商用密碼算法及基于這些算法的數(shù)字簽名、數(shù)字信封、加密解密和完整性計(jì)算、SSL協(xié)議等。

3.1 對稱密碼算法

對稱密碼算法，加密密鑰、解密秘鑰“對稱”，加密過程與解密過程使用相同密鑰[3]。針對不同的數(shù)據(jù)類型和應(yīng)用環(huán)境，對稱密碼有兩種主要形式：例如SM4密碼算法的分組密碼，以及ZUC密碼算法的流密碼。

3.2 公鑰密碼算法

公鑰密碼算法，又稱非對稱密碼算法，與對稱密碼算法不同的是加密和解密使用不同的密鑰，解決了對稱密碼算法中密鑰管理的難題。包括了基于公鑰的加解密算法、數(shù)字簽名驗(yàn)簽技術(shù)、密鑰協(xié)商等領(lǐng)域。我國頒布了標(biāo)準(zhǔn)的商用密碼公鑰密碼算法為SM2密碼算法。公鑰加密算法加密和解密使用不同的密鑰，成為公鑰和私鑰，公鑰被公開，私鑰被保密。數(shù)字簽名算法也稱電子簽名算法，可以實(shí)現(xiàn)類似于手寫簽名的功能，但借助數(shù)學(xué)方法，比手寫簽名更安全、功能更強(qiáng)。公鑰加密算法，結(jié)合特定密碼協(xié)議的密鑰協(xié)商算法，用于協(xié)商通信雙方共同使用的密鑰。

3.3 雜湊密碼算法

雜湊算法是一個函數(shù)，它可以將任意長度的信息按照一定的算法壓縮成固定長度的短信息，具有防篡改性、不可逆性等性質(zhì)函數(shù)的輸出成為摘要值，或稱摘要。雜湊算法的作用很多，它可以用于數(shù)字簽名：先對消息進(jìn)行壓縮后，再對摘要值進(jìn)行簽名；它可檢測消息的完整性，由摘要值判斷消息是否被篡改；它可用于口令的存儲，利用單向性的特點(diǎn)，即使暴露了摘要值也不會暴露口令。SM3算法是我國商用密碼標(biāo)準(zhǔn)中的密碼雜湊算法。

3.4 密碼協(xié)議

應(yīng)用密碼算法實(shí)現(xiàn)特定安全功能是十分復(fù)雜的，不同的使用環(huán)境需用不同的密碼協(xié)議。不同的安全功能，也由不同的密碼協(xié)議實(shí)現(xiàn)。因此，密碼技術(shù)中存在多種多樣的密碼協(xié)議，如密鑰協(xié)商協(xié)議、身份認(rèn)證協(xié)議等。密碼協(xié)議的安全性對密碼應(yīng)用至關(guān)重要，密碼協(xié)議不安全，即使密碼算法再安全，密碼應(yīng)用仍是不安全的。

3.5 區(qū)塊鏈建設(shè)

搭建基于司法應(yīng)用的存證區(qū)塊鏈，將醫(yī)療機(jī)構(gòu)、CA機(jī)構(gòu)、相關(guān)公證處、司法鑒定中心、互聯(lián)網(wǎng)法院、仲裁等各位機(jī)構(gòu)作為區(qū)塊鏈節(jié)點(diǎn)，利用區(qū)塊鏈多方共識、分布式存儲、可追溯、難篡改的特性，與國產(chǎn)密碼技術(shù)深度融合，結(jié)合數(shù)字簽名技術(shù)、可信時間戳、身份認(rèn)證技術(shù)等，保證電子數(shù)據(jù)的真實(shí)完整性、可查驗(yàn)和可追溯及證據(jù)關(guān)聯(lián)性。

4 密碼技術(shù)應(yīng)用設(shè)計(jì)

4.1 基于數(shù)字證書保障用戶身份真實(shí)性

基于動態(tài)口令、消息鑒別碼、數(shù)字簽名等密碼技術(shù)，通過多元化的身份憑證保障人員、設(shè)備、機(jī)構(gòu)等實(shí)體的數(shù)字身份真實(shí)性。醫(yī)生、護(hù)士、藥師具備執(zhí)業(yè)資格，網(wǎng)絡(luò)身份與執(zhí)業(yè)身份對應(yīng)，實(shí)現(xiàn)網(wǎng)絡(luò)身份和行業(yè)身份的一致性；針對機(jī)房等重要區(qū)域的進(jìn)出人員，以及運(yùn)維人員保障身份可信，有效攔截非授權(quán)人員進(jìn)入。

面向醫(yī)院全體醫(yī)護(hù)人員，可建立基于國密的數(shù)字證書建立統(tǒng)一的、符合衛(wèi)生行業(yè)規(guī)范的數(shù)字證書服務(wù)體系，為醫(yī)院信息系統(tǒng)解決行為人的身份憑證及憑證認(rèn)證問題。若是基于PC端訪問，則通過使用基于國密算法的USBKey數(shù)字證書，基于國密瀏覽器，調(diào)用身份鑒別對USBKey中的國密數(shù)字證書進(jìn)行校驗(yàn)，實(shí)現(xiàn)應(yīng)用和數(shù)據(jù)方面的身份鑒別；若是基于移動端訪問，則在移動終端集成符合GM/T 0028-2014《密碼模塊安全技術(shù)要求》的移動智能終端安全密碼模塊，調(diào)用協(xié)同簽名功能，發(fā)放基于國密算法的移動數(shù)字證書，通過終端與服務(wù)端的協(xié)同簽名認(rèn)證的方式，實(shí)現(xiàn)應(yīng)用和數(shù)據(jù)方面的身份鑒別。

4.2 醫(yī)療數(shù)據(jù)跨網(wǎng)加密傳輸

醫(yī)療信息系統(tǒng)包括醫(yī)護(hù)技用戶、患者、辦公人員、運(yùn)維人員、研究人員等各類角色在局域網(wǎng)、互聯(lián)網(wǎng)等網(wǎng)絡(luò)通過PC、APP等終端訪問業(yè)務(wù)應(yīng)用存在網(wǎng)絡(luò)通信傳輸，往往存在于線上掛號、互聯(lián)網(wǎng)醫(yī)療、院外遠(yuǎn)程辦公等場景。

在網(wǎng)絡(luò)層，使用國密SSL技術(shù)建立安全的數(shù)據(jù)傳輸通道，實(shí)現(xiàn)網(wǎng)絡(luò)層的身份鑒別，同時實(shí)現(xiàn)數(shù)據(jù)在通信過程中的完整性和機(jī)密性保護(hù)，防止醫(yī)療數(shù)據(jù)被篡改、泄露、竊取。通常會在醫(yī)院DMZ區(qū)部署基于國密算法，并且符合商用密碼產(chǎn)品認(rèn)證要求的網(wǎng)關(guān)，無須與應(yīng)用系統(tǒng)集成，構(gòu)建國密安全傳輸信道。

在應(yīng)用層，通常在服務(wù)區(qū)部署基于國密算法，并且符合商用密碼產(chǎn)品認(rèn)證要求的密碼設(shè)備，對個人隱私信息、患者報(bào)告等重要數(shù)據(jù)通過SM4國密算法進(jìn)行機(jī)密性保護(hù)，通過SM2國密算法進(jìn)行數(shù)字簽名完整性保護(hù)，最終實(shí)現(xiàn)應(yīng)用層的重要數(shù)據(jù)傳輸機(jī)密性和完整性保護(hù)。

4.3 醫(yī)療數(shù)據(jù)存儲和利用環(huán)節(jié)隱私保護(hù)

通過隱私保護(hù)和動態(tài)脫敏技術(shù)，保障醫(yī)療數(shù)據(jù)的數(shù)據(jù)存儲安全。對敏感信息、重要數(shù)據(jù)、隱私字段進(jìn)行加密保護(hù)，防止用戶的身份信息、手機(jī)號碼、醫(yī)療記錄等私人或者敏感信息對外泄露。

在數(shù)據(jù)存儲環(huán)節(jié)，根據(jù)加密規(guī)則配置，通過SM4實(shí)現(xiàn)數(shù)據(jù)機(jī)密性存儲，執(zhí)行動態(tài)數(shù)據(jù)加密，將明文轉(zhuǎn)換成密文后存儲，有效保障數(shù)據(jù)存儲的機(jī)密性，確保存儲的重要數(shù)據(jù)不被泄漏或非法利用。同時通過HMAC-SM3、基于SM4的MAC技術(shù)進(jìn)行數(shù)據(jù)完整性存儲，或基于SM2的數(shù)字簽名的方式實(shí)現(xiàn)存儲完整性保護(hù)。

在數(shù)據(jù)利用環(huán)節(jié)，根據(jù)脫敏規(guī)則配置，對敏感數(shù)據(jù)進(jìn)行實(shí)時脫敏化處理，支持保留格式脫敏、擾亂等脫敏算法，保障數(shù)據(jù)在展示、共享環(huán)節(jié)的安全，通過內(nèi)網(wǎng)/手機(jī)移動網(wǎng)絡(luò)訪問應(yīng)用系統(tǒng)、查詢醫(yī)療數(shù)據(jù)時，將對涉及敏感信息的數(shù)據(jù)以脫敏形式展示，能夠根據(jù)用戶權(quán)限進(jìn)行差異化數(shù)據(jù)展現(xiàn)，避免敏感數(shù)據(jù)外泄。

4.4 電子簽名保障無紙化業(yè)務(wù)行為抗抵賴、合法可信

基于數(shù)字證書，通過可靠的電子簽名技術(shù)，保障醫(yī)護(hù)人員在關(guān)鍵業(yè)務(wù)環(huán)節(jié)的電子簽名和時間戳應(yīng)用，實(shí)現(xiàn)醫(yī)療數(shù)據(jù)的完整性保護(hù)、可信時間，以及責(zé)任認(rèn)定等安全需求。使用可信的手寫數(shù)字簽名技術(shù)解決患者電子簽名問題，實(shí)現(xiàn)知情同意書無紙化，保障電子知情同意書的合法可信。關(guān)鍵業(yè)務(wù)保護(hù)服務(wù)利用密碼技術(shù)，能夠辨識業(yè)務(wù)流程操作主體及電文簽署主體的身份，從而有效保護(hù)電文數(shù)據(jù)完整性、防止任何人對電文做未經(jīng)授權(quán)的篡改、同時確保業(yè)務(wù)流程中簽名行為的不可抵賴。

4.5 醫(yī)療應(yīng)用數(shù)據(jù)全流程安全“鏈上化”

在智慧醫(yī)療服務(wù)、互聯(lián)網(wǎng)醫(yī)院、電子處方流轉(zhuǎn)等各業(yè)務(wù)流程中，產(chǎn)生患者隱私信息、醫(yī)療記錄、電子病歷、醫(yī)療文書等數(shù)據(jù)，通過電子簽名和時間戳技術(shù)，對各業(yè)務(wù)流程中的登錄認(rèn)證、協(xié)議閱讀、身份核驗(yàn)、文件瀏覽、電子簽名、意愿表達(dá)、數(shù)據(jù)流轉(zhuǎn)、文件存儲等各個環(huán)節(jié)各個節(jié)點(diǎn)進(jìn)行采集與固化，加蓋時間戳，構(gòu)造證據(jù)鏈，同時將證據(jù)鏈摘要值在CA機(jī)構(gòu)、區(qū)塊鏈、公證處、司法鑒定中心等第三方權(quán)威機(jī)構(gòu)進(jìn)行存證，從第三方的角度有效保全，進(jìn)一步提高電子數(shù)據(jù)證明效力，并且在訴訟環(huán)境，能夠出具相應(yīng)的第三方權(quán)威報(bào)告，完整回溯事件過程，支撐電子數(shù)據(jù)在訴訟環(huán)節(jié)中的證明力。

5 密碼技術(shù)應(yīng)用安全自主可控

國產(chǎn)算法：采用SM2、SM3、SM4等國產(chǎn)密碼算法，建立以國產(chǎn)密碼為主要支撐的衛(wèi)生領(lǐng)域信息安全保障體系，實(shí)現(xiàn)密碼應(yīng)用的安全自主可控。

信創(chuàng)生態(tài)：基于國產(chǎn)芯片、國產(chǎn)操作系統(tǒng)、國產(chǎn)數(shù)據(jù)庫、國產(chǎn)中間件、國產(chǎn)文檔處理軟件等信創(chuàng)生態(tài)環(huán)境，實(shí)現(xiàn)衛(wèi)生密碼安全應(yīng)用的全面自主可控。

符合密評：嚴(yán)格按照密碼應(yīng)用安全性評估標(biāo)準(zhǔn)GB/T 39786-2021《信息安全技術(shù)信息系統(tǒng)密碼應(yīng)用基本要求》設(shè)計(jì)，符合密評要求，同時為各機(jī)構(gòu)信息系統(tǒng)通過密評提供必要的密碼支撐。

6 結(jié)束語

在衛(wèi)生醫(yī)療領(lǐng)域深入應(yīng)用基于國產(chǎn)算法的密碼技術(shù)，為院內(nèi)外數(shù)據(jù)傳輸交換提供安全通道，保障醫(yī)院對外業(yè)務(wù)正常有序開展，有效避免臨床試驗(yàn)、醫(yī)療科研等重要成果被外部不法分子竊取，防范內(nèi)部信息外泄，保護(hù)患者隱私、保障個人信息的合理利用，并且實(shí)現(xiàn)醫(yī)療數(shù)據(jù)的安全存證。