隨著數字化浪潮的發展，醫院信息化正在經歷著一場巨大的變革，互聯網+醫療已經打破了傳統的醫院網絡邊界，通過醫療聯合體的方式將網絡向基層延伸，使得整個醫療網絡規模不斷擴大，防御范圍逐漸變廣，所面對的威脅更加嚴峻。

由國家衛生健康委、國家中醫藥局、國家疾控局三部門聯合制定并發布的《醫療衛生機構網絡安全管理辦法》《“十四五”全民健康信息化規劃》，旨在加強醫療衛生機構網絡安全管理，推動“十四五”期間全民健康信息化發展。

其中，《醫療衛生機構網絡安全管理辦法》明確了各醫療衛生機構應按照《密碼法》等法律法規和密碼應用標準規范，在網絡建設過程中同步規劃、同步建設、同步運行密碼保護措施，使用符合相關要求的密碼產品和服務?！丁笆奈濉比窠】敌畔⒒巹潯芬笤趪栏衤鋵嵕W絡安全等級保護制度及商用密碼應用等基礎安全保障制度，并提出建設一批醫療衛生機構商用密碼應用示范，全面推廣商用密碼應用，完善衛生健康行業商用密碼應用體系。

醫療行業密碼應用現狀

我國醫院整體密碼應用程度較低，重要數據使用的密碼技術保護措施不合規，甚至有些醫院從未使用密碼保護技術，存在巨大的安全隱患。

醫院核心業務系統仍在使用MD5、SHA-1、RSA-512等有風險的密碼算法，給醫療重要數據保護帶來安全風險。

密碼應用相關法律法規和應用標準規范在醫院機構未得到有效實施，導致密鑰管理、密碼系統運行維護等方面存在巨大的風險。

天融信醫療行業密碼應用解決方案

天融信在醫療行業深耕多年，結合醫院業務特點，綜合考慮建設成本、易用性、可用性、安全性等設計原則，推出了醫院系統密碼應用解決方案。方案從物理和環境安全、網絡和通信安全、設備和計算安全、應用和數據安全四個方面設計，全面滿足 GB/T39786 《信息安全技術信息系統密碼應用基本要求》第三級密碼應用的基本要求。

物理和環境安全

將國密的電子門禁系統部署在安防監控區，基于SM4加密算法，對進出機房人員進行身份鑒別，并且配備國密密碼卡，對門禁記錄數據進行完整性保護。

在安防監控區部署國密攝像頭和硬盤錄像機，實現對視頻監控數據傳輸機密性和存儲完整性的保護，并采用HMAC_SM3密碼技術，保證視頻監控數據被讀取和調用過程中的完整性。

網絡和通信安全

將SJJ加密機（IPSec VPN）部署在專網接入區，采用國密IPSec協議在醫院內網與衛生專網、分院區之間建立加密隧道，為網絡通信過程提供數據機密性保護。同時，在互聯網接入區部署SJJ加密機（SSL VPN），與安全管理區的協同簽名系統相融合，實現醫護人員遠程辦公過程中的身份鑒別，并保證網絡通信過程中的數據機密性與完整性。

設備和計算安全

將SJJ加密機（SSL VPN）與堡壘機部署在集中管理區，為管理人員遠程運維醫療系統提供加密通道，并通過身份鑒別防止非授權人員登錄；將服務器密碼機部署在集中管理區，由日志審計系統調用服務器密碼機對日志數據進行存儲機密性保護；同時，在核心業務區部署服務器密碼機，與醫療系統對接實現對重要業務數據的完整性保護，并使用USBKey進行驗簽。

應用和數據安全

在核心業務區部署SJJ加密機、內網PC和手持PAD上部署SSL VPN客戶端，實現醫護人員到醫療系統的加密訪問，保證數據機密性；在核心業務區和DMZ區部署服務器密碼機，由醫療系統調用服務器密碼機，一方面基于SM3加密算法實現對醫療系統訪問控制策略的完整性保護，另一方面基于SM4加密算法實現CBC模式的對稱加密，保證重要數據存儲機密性；在安全管理區部署簽名驗簽服務器，對可能涉及法律責任的特定業務操作進行數字簽名，保證數據發送與接受過程的不可否認性。

天融信是推出國密VPN、獲得國密生產資質的廠商之一，既是多產的密碼標準參與制定者，也是積極的密碼產業工作推動者。憑借雄厚的技術積累，天融信為醫院客戶提供專業的密碼應用方案及密評咨詢服務，幫助客戶有效簡化醫院密評工作流程。天融信醫院系統密碼應用解決方案所涉及的安全產品均具有商用密碼產品認證證書，方案能夠覆蓋密碼應用要求第三級所有高風險項，助力醫院系統密碼應用建設一步到位。

天融信將繼續深耕密碼安全領域，認真貫徹執行《中華人民共和國密碼法》《醫療衛生機構網絡安全管理辦法》等法規標準，持續為醫院客戶的數字化發展保駕護航。