刘阳，康亚西，冯标斌

1. 中南大学湘雅医学院附属海口医院（海口市人民医院） 信息管理处，海南 海口 570208；2. 海南省人民医院（海南医学院附属海南医院） 信息工程部，海南 海口 570311

引言

近年来，在《网络安全法》颁布施行之后，《密码法》《数据安全法》《个人隐私保护法》相继出台。《密码法》承前启后，在先后出台的一系列法律所形成的多元法益保护体系中，发挥着至关重要的作用。通过商用密码安全建设的深入推进，不仅确保了信息系统的网络安全和数据安全，更保障了广大人民群众的隐私安全[1]。商用密码已经在政府、通信、能源、金融等重要领域得到了一定的应用[2]。然而，在医疗卫生这一关乎人民生命健康的重要领域，部分地区仍然存在无法有效落实密码评估制度，造成商用密码应用安全性评估（密评）和商用密码建设无法循环迭代的问题，从而导致医疗业务系统难以实现持续改进，致使网络安全的最后一道防线形同虚设，无法应对网络安全新威胁[3]。因此，在医疗卫生领域广泛推广和普及商用密码迫在眉睫[4]。本文旨在探讨如何有效结合系统运行与密评，辅助全面理解密码评估与建设的重要性，提升密码安全管理体系的安全性。

1 概念和含义

《中华人民共和国密码法》是国家密码安全工作所遵循的根本法律，其定义了密码包括密码算法、密码技术、密码产品、密码服务，可以采用特定的变换方法对信息和数据进行加密保护、安全认证，实现身份真实性、数据机密性、信息完整性、操作不可否认性。国家对于密码施行分类管理，分为核心密码、普通密码、商用密码3 类。其中，商用密码用于保护不属于国家秘密的公民、法人和组织的信息[5]。GB/T 39786-2021《信息安全技术 信息系统密码应用基本要求》[6]等标准规范，明确了同步规划、同步建设、同步运行、定期评估（三同步一评估）的商用密码建设要求[7]。密评指在采用商用密码技术、服务集成建设的网络和信息系统中，对密码应用的合规性、正确性、有效性进行评估。由此可知，商用密码，是网络安全防护的最后一道防线，起到保底作用；密码评估旨在找出商用密码建设存在的漏洞，持续增强网络安全防护水平。

2 密码安全评估与建设的原则与方法

在智慧医院的建设进程中，商用密码并不能孤立于临床业务应用单独存在。为确保密码应用的有效性，结合电子病历（Electronic Medical Record，EMR）系统应用评级第五级中明确的患者病历安全要求，必须运用证书授权（Certificate Authority，CA）电子签名来保障医院信息系统（Hospital Information System，HIS）、EMR系统、实验室信息系统（Laboratory Information System，LIS）、影像归档和通信系统（Picture Archiving and Communication System，PACS）等相关业务应用系统的数据安全，才能让法律法规在保障医疗过程安全方面形成多元法益保护[8]。医疗行业智慧医院建设的评价标准体系中包含智慧医疗、智慧服务、智慧管理3个组成部分，智慧医院建设的“以评促建、以评促改、以评促用”原则，同样是保障密码安全所需要遵循的基本原则。此外，“三同步一评估”的原则也是贯穿医院信息系化建设全生命周期重要保障[9]，旨在促进密码安全落到实处。

2.1 同步规划先决条件

信息系统的规划，首先要根据网络安全保护的等级，依据GB/T 39786-2021[6]中的相应等级要求，结合业务应用系统的安全需求进行规划。若规划的系统尚未进行网络安全保护定级，则其密码应用的等级至少应参照三级系统的标准。

密码应用规划的设计方案包含密码应用解决方案、实施方案和应急处置方案3 个方面：① 解决方案主要包含系统现状分析、系统风险分析、密码应用需求、密码技术方案、密码建设方案、密码管理方案、密码产品清单等内容，是设计阶段的主要方案；② 实施方案包含项目概述、项目组织及人员、实施内容、实施计划、部署方案及部署图、保障措施等内容，是系统部署阶段必须明确的方案；③ 应急处置方案包含密码安全事件分类分级、应急处置组织机构、应急处置流程等内容，是在系统的生命周期中运维阶段的应急预案[10]。在医疗机构特别是大型三甲医院中，围绕以EMR 系统为核心的智慧医疗业务系统繁多、结构复杂，为了保障这些系统的顺利运行和高效服务，其规划与设计工作显得尤为关键。

此外，密码方案编制完成后需要进行密码评估和专家论证，只有通过评估的密码应用方案才能够作为密码建设的依据[11]。在医院实施密码方案的重要性毋庸置疑，应急处置方案更是重中之重，需要根据不同业务场景，如门诊开药闭环管理、门诊检验检查闭环管理、住院手术闭环管理等相关管理流程，在系统出现应急故障的时候，按照应急处置方案，根据故障影响的分级执行不同的应急方案。医院的网络安全工作需要贯彻“统筹规划、分步实施、循序渐进、持续改进”的理念，因此，同步规划是先决条件[12]。

2.2 同步建设是基础

在制定好通过评估的密码规划设计方案后，密码应用建设从密码技术和密码管理两个方面展开，这两个方面的建设依赖于密码基础，从而实现密码产品的部署。商用密码应用建设体系图如图1 所示。

2.2.1 密码基础

密码基础建设方面，医疗业务信息系统需要使用符合法律、法规以及相关国家标准，结合与医疗行业标准有关要求的密码算法、密码协议、密码服务，加强密码技术应用和密码管理统筹。信息系统应使用SM2、SM9等高等级的商用密码算法[13]，TLS2.0、TLS3.0 等高版本的密码协议，通过商用密码产品检测机构认证的密码产品，具备相关资质的密码服务机构，以避免密码算法、密码协议、密码服务可能存在的安全风险[14]。

2.2.2 密码技术

密码技术建设方面，信息系统需要在物理和环境、网络和通信、设备和计算、应用和数据4 个层面采用密码技术进行防护[15]：① 在物理和环境层面，物理环境访问人员的身份真实性可以由电子门禁系统或者视频监控系统的存储记录来实现；② 在网络和通信层面，网络空间访问人员的身份真实性可以通过网络接入认证系统、IPSec VPN、SSL VPN 等认证系统，来保证信息在网络中传输的完整性和机密性；③ 在设备和计算层面，主机访问人员的身份真实性可以借助智能密钥、服务器密码机、安全浏览器等密码技术，来加强设备身份、访问控制、关基设备的安全性；④ 在应用和数据层面，用户登录系统的身份真实性可以由CA 认证的签名验签服务器、数据库加密机、智能密钥等密码技术，来保障系统运行的稳定性和数据存储的安全性[16]。

2.2.3 密码管理

密码管理建设方面，信息系统需要从管理制度、人员管控、运行管控、应急处置等方面对密码的使用和管理进行规范：① 制定密码相关的管理制度，包括密码人员管理制度、密钥管理制度、项目管理制度、密码安全培训制度等；② 制定密钥管理制度，包括密钥产生、分发、存储、使用、更新、归档、撤销、备份、恢复、销毁等密码生命周期管理制度；③ 制定密码人员岗位管理制度，包括密钥管理员、密码安全审计员、密码操作员等关键岗位管理制度，实现各关键岗位之间的相互监督、相互制约机制；④ 制定系统运行和密码安全事件应急预案、安全事件报告制度及流程规范[17]。

2.2.4 密码产品的部署

医疗场景的密码安全建设中，为了保证密码技术的真实性、机密性、完整性、不可否认性，需要部署密码产品作为商用密码建设的支撑[18]，全面覆盖医疗环境中各业务系统和各业务流程。在医疗卫生领域进行密码产品的部署中，需要结合业务场景，选择适合的密码产品，发挥密码技术在网络安全中的保护作用。

密码产品按照功能划分为密码算法类、数据加密类、认证识别类、证书管理类、密钥管理类、密码防伪类以及综合类7 个类别。首先，医务人员需要使用数字证书认证系统为电子病历等医疗文书进行电子签名，确保医疗电子文书的真实可信，包括用户注册管理、证书生成和签发、证书存储和发布、证书状态查询等。其次，在住院电子病历归档管理中，患者历史病历至少需要30 年的保存周期，因此使用电子印章、时间戳以及区块链技术，确保数据的长期保存，且防止被篡改及抵赖。此外，为保障数据存储和传输的安全性，应用服务器密码机、云服务器密码机、VPN 密码设备、加密存储介质（加密硬盘、加密U 盘）等技术，其在医疗业务应用计算和存储、网络通信和传输等方面起到至关重要的作用。

2.3 同步运行需要与密码评估深度结合持续改进

信息系统建设完成后进入系统运行阶段，医疗机构和组织需要严格执行既定的密码安全管理制度，定期委托密评机构对信息系统开展密码评估。《密码法》中明确，商用密码应用安全性评估，可与网络安全等级保护测评等相关工作相互衔接、统筹协调[19]。信息系统运行期间，根据医疗机构的安全需求、系统脆弱性、风险威胁程度、系统环境变化状况、管理人员安全认识程度，进行及时的检查和整顿，调整密码应用安全措施，确保密码技术和密码管理措施落实到位。因此，需要将系统运行与密评深度结合，促进密码防护措施持续改进。此外，在约束条件发生重要变化时，如医疗机构信息系统的运化部署调整、基于信创要求的国产化部署调整等，可以对密码应用方案进行修订，对商用密码系统进行升级改造[20]。

3 结果

海口市人民医院结合自身特点，在构建密码体系之前，运用密码基础和密码技术手段，结合密码管理方法，部署了存储加密系统和传输加密系统、基于EMR 系统的CA 认证系统等密码产品。为验证密码管理体系的有效性，参与了由省市两级网信主管部门组织的年度网络安全实战化攻防演练，历时约30 个工作日。演练聚焦于密码传输保护、安全边界、存储和传输加密策略以及密码安全管理等方面，旨在识别医院网络中需要加固的安全设备点。以2023 年演练结果为例，医院针对安全传输加密中客户端、服务器等主机存在的密码漏洞，对加密机设备中的弱口令监测预警、终端安全授权防护以及应用数据传输加密保护3 个核心模块进行了应用系统和安全防护的策略调整，从而加强了密码管理体系的安全性。

在医院部署的密码安全管理监测平台的监测图如图2所示，平台覆盖医院HIS、LIS、PACS 等业务系统。通过白名单的维护，持续优化密码安全保护机制，确保医疗业务的可信互联、安全互通，保障系统稳定运行和数据安全。对于Web 弱口令、管理员弱密码登录的行为进行监测和定位溯源；安全意识方面，通过在管理机制中加入密码管理的处罚措施，以及与相关维护人员签署数据保密协议的方式，医院全体职工的密码安全保护意识有较大提高，实现了对密码安全事件的全面监测和有效管理。

图2 密码安全管理监测图

4 讨论

从2021 年开始，相较于政府、金融等其他行业的应用[21]，国内医疗卫生行业推进商用密码评估与建设的时间短、步伐慢。本研究创新地形成了完整的密码安全体系，而非仅实现密码安全设备的堆砌，但在如何实现密码安全的各类设备和应用系统间的有机结合、形成合力方面还需要加强。针对医疗行业业务系统多、复杂度高的特点，本研究创新地运用密码安全体系，避免了传统方法中密码安全与系统性能难以兼顾的问题。通过密码技术和管理相结合、基础和部署相辅助的方法，有效提升了密码安全的保护能力。虽然在北上广等发达省份的医院已经进行了一部分实践[22]，但仍面临资金短缺和人才匮乏等困难和阻力。

4.1 医疗行业密码安全意识不强、投入资金不足

组织内部决策层对于密码评估和建设的意识有待加强；商用密码建设的经验和投入经费不足。解决以上存在问题，除了必须尽快提高各级医疗组织领导的重视程度以外，还需要提供经验、教训的相关培训和经费投入的支持，增强密码安全意识夯实安全基础。

针对组织内部决策层在密码评估和建设方面的意识不足，以及商用密码建设经验和投入经费的缺乏，需要采取切实有效的措施加以改进：① 应提高各级医疗组织领导的重视程度，将密码安全纳入组织发展的重要议程；② 通过提供经验分享、案例分析以及针对性的培训，增强密码安全意识，夯实安全基础；③ 加大经费投入，确保密码建设有足够的资源支持。

4.2 医疗行业密码安全人员的专业技术能力有待加强

根据2023 年6 月15—17 日上交会的相关资讯，现阶段我国对密码人才需求量约30 万人，实际人才缺口约20 万人。在医疗行业中，IT 技术和管理人员的密码安全能力尚显不足，熟悉密码技术和相关管理的人才短缺，还需要一个逐步提升的过程。因此，要想解决这一问题，需要加强密码管理人员的专业培训和技术队伍的实践锻炼。

5 结论

密码技术作为网络空间安全的核心技术，在网络安全体系中有着不可替代的作用，尤其是在医疗卫生领域，密码安全与网络安全、数据安全等存在无法分割的关联关系。只有从根本上改变商用密码建设和密评难落实的应用现状，才能发挥商用密码在医疗行业网络安全防护中压舱石的重要作用。