密码安全设计
<h2>背景</h2>
<p>国家卫生健康委、国家中医药局、国家疾控局印发《关于印发医疗卫生机构网络安全管理办法的通知》(国卫规划发 (2022) 29 号),要求各医疗卫生机构应按照《中华人民共和国密码法》等有关法律法规和密码应用相关标准规范,在网络建设过程中同步规划、同步建设、同步运行密码保护措施,使用符合相关要求的密码产品和服务。</p>
<p>为有效贯彻落实《中华人民共和国密码法》、《商用密码管理条例》、《商用密码应用安全性评估管理办法》,以及《医疗卫生机构网络安全管理办法》关于信息系统密码应用的相关建设要求,对省统筹区域传染病监测预警与应急指挥信息平台进行商用密码应用安全改造建设,以实现省统筹区域传染病监测预警与应急指挥信息平台在商用密码应用安全领域的合规建设工作。</p>
<h2>建设目标</h2>
<p>本方案旨在通过前期针对商用密码应用的安全规划与设计,结合在物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全、安全管理等层面的密码应用需求,满足GB/T 39786-2021《信息安全技术 信息系统密码应用基本要求》中第三级指标要求,以通过国家商用密码应用安全性评估,提升省统筹区域传染病监测预警与应急指挥信息平台在密码应用方面的安全性,满足国家关于密码应用安全领域的标准要求。</p>
<h2>系统概述</h2>
<ul>
<li>业务架构梳理</li>
</ul>
<p>2023年1月,国家疾控局印发《加快建设完善省统筹区域传染病监测预警与应急指挥信息平台实施方案》,提出建立智慧化预警多点触发机制,健全多渠道监测预警指挥机制,切实提高实时分析、集中研判、应急作业和应急指挥的能力。</p>
<p>省统筹区域传染病监测预警与应急指挥信息平台(以下简称“平台”)的建设部署以保障疾病预防控制监测相关业务应用系统运行为前提,优先保障国家平台数据同步需求。平台建设将以省统筹区域全民健康信息平台或省级政务云为基础支撑,配置疾病预防控制专有云的运行环境和基础信息资源,重点打通传染病监测预警与应急指挥多渠道多途径相关数据,实现全病程监测管理信息闭环。</p>
<p>届时,将以现有国家传染病监测系统为基础,实行国家与省统筹区域两级平台建设方式,国家平台建设将提供开放标准化系统集成应用标准接口(API)和软件开发工具包(SDK),实现各省平台与国家基础平台的一体化应用集成与数据交互。共同建立“全国统一、上下统一、内部统一”和大数据、人工智能技术赋能,业务逻辑高度统一的一体化传染病监测预警与应急指挥信息平台。</p>
<ul>
<li>关键数据分析</li>
</ul>
<p>平台部署与集成架构包括基础设施层、数据资源层以及应用功能层。其中,数据资源层主要包括动态电子传染病档案库和应急资源库,并根据传染病监测需要形成多个主题库,以更好支撑传染病防控业务。平台关键数据分析如下表:</p>
<p><strong>表:平台关键数据分析表</strong></p>
<table>
<thead>
<tr>
<th>序号</th>
<th>关键数据</th>
<th>密码安全需求</th>
<th>备注</th>
</tr>
</thead>
<tbody>
<tr>
<td>1.</td>
<td>平台运维人员、办公人员等用户鉴别信息</td>
<td>机密性、完整性</td>
<td>鉴别数据</td>
</tr>
<tr>
<td>2.</td>
<td>动态电子传染病档案库(EDR)患者身份信息</td>
<td>机密性、完整性</td>
<td>个人敏感数据</td>
</tr>
<tr>
<td>3.</td>
<td>应急资源库关键数据信息</td>
<td>机密性、完整性</td>
<td>重要业务数据</td>
</tr>
<tr>
<td>4.</td>
<td>平台运行及维护生成的重要日志信息</td>
<td>完整性</td>
<td>/</td>
</tr>
</tbody>
</table>
<h2>需求分析</h2>
<p>根据GB/T 39786-2021《信息安全技术 信息系统密码应用基本要求》,本方案从物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全、安全管理等层面,对省统筹区域传染病监测预警与应急指挥信息平台进行商用密码应用方面的风险评估,得出其密码应用安全需求,形成建设方案。</p>
<h2>技术方案</h2>
<h5>方案建设框架</h5>
<p>依据GB/T 39786-2021《信息安全技术 信息系统密码应用基本要求》</p>
<h5>物理和环境安全</h5>
<p>本项由所属省级电子政务云机房服务提供方,或本级专用机房运维方负责建设完成,不再赘述。</p>
<h5>网络和通信安全</h5>
<p>本方案通过部署符合GM/T 0025《SSL VPN 网关产品规范》、GM/T 0023《IPSec VPN 网关产品规范》、GM/T 0028《密码模块安全技术要求》的IPSec/SSL VPN综合安全网关,并在PC端安装VPN客户端,通过国密USBKey结合数字证书技术实现对远程办公人员通信双方进行基于密码技术的身份鉴别,以及通信双方网络通信信道的机密性和完整性等安全传输保护。</p>
<h5>设备和计算安全</h5>
<p>本方案中运维管理人员通过国密USBKey,经由符合GM/T 0025《SSL VPN 网关产品规范》、GM/T 0023《IPSec VPN 网关产品规范》、GM/T 0028《密码模块安全技术要求》的IPSec/SSL VPN综合安全网关,然后再登录运维堡垒机进行运维管理工作,实现人员身份鉴别,并建立远程管理安全通道,保护重要数据在传输过程中的机密性和完整性。</p>
<p>运维管理人员在堡垒机上访问平台服务器系统、数据库系统时,必须遵守安全访问策略,启用安全认证功能的运维协议(如高安全算法的SSH协议、sFTP协议)才能正常访问被运维设备。</p>
<p>本方案中平台服务器系统、数据库系统、堡垒机日志信息完整性保护,均由现有的日志审计系统调用符合GM/T 0030《服务器密码机技术规范》、GM/T 0028《密码模块安全技术要求》的服务器密码机API接口或密码服务平台提供的完整性保护服务采用HMAC-SM3算法实现。</p>
<h5>应用和数据安全</h5>
<ul>
<li>身份鉴别</li>
</ul>
<p>对于平台访问用户身份鉴别,通过调用符合GM/T 0029《签名验签服务器技术规范》、GM/T 0028《密码模块安全技术要求》的签名验签服务器API接口,或调用合规密码服务管理平台提供的签名验签服务,结合国密USBkey、数字证书技术实现身份认证,完成PC端登录用户的身份鉴别,防止非授权人员登录。</p>
<p><strong>此外,</strong>还可以通过“网络和通信安全”层面的IPSec/SSL VPN综合安全网关,结合国密USBkey、数字证书技术实现身份认证,完成PC端登录用户的身份鉴别,防止非授权人员登录。</p>
<ul>
<li>访问控制信息完整性保护</li>
</ul>
<p>针对平台访问控制信息完整性保护,将通过调用符合GM/T 0030《服务器密码机技术规范》、GM/T 0028《密码模块安全技术要求》的服务器密码机API接口,或调用合规密码服务管理平台提供的完整性保护服务,采用HMAC-SM3算法对访问权限控制列表进行完整性保护,防止资源被非授权用户篡改。</p>
<ul>
<li>重要信息资源安全标记完整性</li>
</ul>
<p>本项目建设所涉及的平台资源及其相关数据,均未启用安全标记,此项作为不适用项处理。</p>
<ul>
<li>重要数据传输机密性和完整性</li>
</ul>
<p>对于重要数据传输机密性和完整性保护,将通过“网络和通信安全”层面的IPSec/SSL VPN综合安全网关,在PC端安装VPN客户端,构建SSL安全传输通道,实现PC端访问过程中重要数据传输的机密性和完整性。</p>
<ul>
<li>重要数据存储机密性保护</li>
</ul>
<p>针对平台重要数据存储机密性保护,将通过调用符合GM/T 0030-2014《服务器密码机技术规范》、GM/T 0028《密码模块安全技术要求》的服务器密码机API接口,或调用合规密码服务管理平台提供的数据加解密服务,采用SM4算法实现平台关键数据存储的机密性保护,防止敏感数据被非法窃取和篡改。</p>
<ul>
<li>重要数据存储完整性保护</li>
</ul>
<p>对于平台重要数据的完整性保护,将通过调用符合GM/T 0030《服务器密码机技术规范》、GM/T 0028《密码模块安全技术要求》的服务器密码机,或调用合规密码服务管理平台提供的完整性保护服务,采用HMAC-SM3算法对平台重要数据信息进行完整性保护,防止数据资源被非授权用户篡改,实现平台重要业务数据的完整性保护。</p>
<p>针对平台重要日志信息,还可通过配置符合要求的身份鉴别措施,保证只有授权人员才能访问平台系统的重要日志数据,且定期对重要日志数据进行备份,酌情降低风险等级。</p>
<ul>
<li>不可否认性</li>
</ul>
<p>本项目中平台各项业务功能均未涉及到法律责任认定关系的业务应用,此项作为不适用项处理。</p>
<p>商用密码应用安全性评估作为验证密码应用科学性的有效手段和方法,既是应对网络安全严峻形势的迫切需要,也是落实国家重要领域和关键行业网络安全防护责任的有效手段,更是全面贯彻落实《中华人民共和国码法》和《商用密码管理条例》基本要求,推进商用密码法治建设的重要举措。</p>
<p>省统筹区域传染病监测预警与应急指挥信息平台作为医疗卫生领域重要业务系统,对其实施密评建设工作既是国家相关法律法规提出的明确要求,也是平台网络安全运营者的法定责任和义务。</p>
<p>限于文章篇幅,本文仅从网络和通信安全、设备和计算安全,以及应用和数据安全等层面进行了方案阐述,以实现省统筹区域传染病监测预警与应急指挥信息平台在商用密码应用安全领域的安全合规建设工作。</p>