國家衛健委統計中心：衛生健康行業醫療機構場景密碼應用與安全性評估實施指南（100頁）.pdf

《國家衛健委統計中心：衛生健康行業醫療機構場景密碼應用與安全性評估實施指南（100頁）.pdf》由會員分享，可在線閱讀，更多相關《國家衛健委統計中心：衛生健康行業醫療機構場景密碼應用與安全性評估實施指南（100頁）.pdf（100頁珍藏版）》請在三個皮匠報告上搜索。

1、 衛生健康行業醫療機構場景衛生健康行業醫療機構場景 密碼應用與安全性評估實施指南密碼應用與安全性評估實施指南 國家衛生健康委統計信息中心 2023 年 12 月 衛生健康行業醫療機構場景密碼應用與安全性評估實施指南 目目 錄錄 1 場景概述場景概述.1 1.1 背景.1 1.2 典型場景介紹.2 2 密碼應用需求密碼應用需求.5 2.1 風險分析和安全需求.5 2.2 場景對密碼應用的特殊要求.8 3 密碼應用實施指南密碼應用實施指南.9 3.1 典型場景的密碼應用設計.10 3.2 密碼產品/服務選擇和部署.21 3.3 與 GB/T 39786 對照情況說明.24 3.4 注意事項.28

2、4 密碼應用安全性評估實施指南密碼應用安全性評估實施指南.28 4.1 主要測評指標的選擇和確定.28 4.2 主要測評內容.31 4.3 主要測評結果.37 4.4 注意事項.38 衛生健康行業醫療機構場景密碼應用與安全性評估實施指南 I 前 言 衛生健康醫療機構承擔著人民生命健康安全的責任，作為民生重要領域，網絡及數據安全問題不容忽視。醫療機構信息系統承載著大量醫療健康、患者隱私等敏感數據，一旦泄漏或者被竊取、篡改，可能涉及患者生命安全及社會穩定。本指南針對醫療機構場景“等保三級”及以上的核心業務信息系統的密碼應用情況展開描述，圍繞著門急診、住院、檢驗檢查、互聯網診療四個典型業務場景，分析

3、業務流程、安全風險及保護對象，給出了用戶身份真實性和醫患行為不可否認、重要數據傳輸安全、重要數據存儲安全等方面的密碼應用設計，并明確了密碼應用安全性評估測評內容。本指南適用于醫療機構開展核心業務信息系統密碼應用和安全性評估實施工作，同時可為主管監管部門、第三方測評機構等組織開展醫療機構場景密碼應用的安全監督、檢查、評估等工作提供參考。本指南由國家衛生健康委統計信息中心牽頭，北京天壇醫院、中國醫科大附屬第一醫院、華中科技大學同濟醫學院附屬同濟醫院、北京數字認證股份有限公司、中國科學院信息工程研究所等多家衛生健康行業單位和密碼相關單位共同開展研究與編制。衛生健康行業醫療機構場景密碼應用與安全性評估

4、實施指南 II 術語和定義 下列術語和定義適用于本文件。機密性 confidentiality 保證信息不被泄露給非授權實體的性質 數據完整性 data integrity 數據沒有遭受以非授權方式所做的改變的性質 真實性 authenticity 一個實體是其所聲稱實體的這種特性，真實性適用于用戶、進程、系統和信息之類的實體。不可否認性 non-repudiation 證明一個已經發生的操作行為無法否認的特性。加密 encipherment；encryption 對數據進行密碼變換以產生密文的過程。密鑰 key 控制密碼算法運算的關鍵信息或參數。密鑰管理 key management 根據安

5、全策略，對密鑰的產生、分發、存儲、使用、更新、歸檔、撤銷、備份、恢復和銷毀等密鑰全生命周期的管理。身份鑒別 identity authentication 證實一個實體所聲稱身份的過程。消息鑒別碼 message authentication code 利用對稱密碼技術或密碼雜湊技術，在秘密密鑰參與下，由消息所導出的數據項。任何持有這一秘密密鑰的實體，可利用消息鑒別碼檢查消息的完整性和始發者身份。動態口令 one-time password 基于時間、事件等方式動態生成的一次性口令。訪問控制 access control 按照特定策略，允許或拒絕用戶對資源訪問的一種機制。衛生健康行業醫療機構場

6、景密碼應用與安全性評估實施指南 III 縮略語 下列縮略語適用于本文件。APP：應用程序（Application）VPN：虛擬專用網絡（Virtual Private Network）PC：個人計算機(personal computer)CA：證書認證機構（certificate authority）SSL：安全套接層 secure sockets layer IPSec：IP 層協議安全結構(Internet Protocol Security)SSH：安全外殼（Secure Shell）HMAC：密鑰相關的哈希運算消息認證碼（Hash-based Message Authenticatio

7、n Code）HIS：醫院信息系統（Hospital Information System）LIS：實驗室信息管理系統（Laboratory Information Management System）PACS：醫學影像存檔與通訊系統（(Picture archiving and communication systems）EMR：計算機化的病案系統（Electronic Medical Record）衛生健康行業醫療機構場景密碼應用與安全性評估實施指南 1 1 場景概述場景概述 1.1 背景背景 密碼技術作為網絡安全的基礎性核心技術，是信息保護和網絡信任體系建設的基礎，是保障網絡空間安全的關

8、鍵技術。我國于 2020 年 1 月 1 日正式實施 中華人民共和國密碼法，其中第二十七條指出“法律、行政法規和國家有關規定要求使用密碼進行保護的關鍵信息基礎設施，其運營者應當使用密碼進行保護，自行或者委托密碼檢測機構開展密碼應用安全性評估”。國務院印發的商用密碼管理條例（國務院令第 760 號）、公安部印發貫徹落實網絡安全等級保護制度和關鍵信息基礎設施安全保護制度的指導意見（公網安 2020 1960 號），要求網絡運營者應貫徹落實密碼法等有關法律法規規定和密碼應用相關標準規范，網絡安全等級保護第三級（含第三級）以上網絡運營者應在網絡規劃、建設和運行階段，按照密碼應用安全性評估管理辦法和相關

9、標準，在網絡安全等級測評中同步開展密碼應用安全性評估。在衛生健康行業，國家衛生計生委辦公廳關于印發醫院信息化建設應用技術指引（2017 年版）的通知（國衛辦規劃函20171232 號）、衛生健康委 中醫藥局關于印發互聯網診療管理辦法（試行）等 3 個文件的通知（國衛醫發201825 號）、關于印發電子病歷系統應用水平分級評價管理辦法（試行）及評價標準（試行）的通知（國衛辦醫函20181079 號）等政策文件，均對業務信息系統的身份認證、電子簽名等密碼應用提出了明確要求；2022 年國家衛生健康委、國家中醫藥局、國家疾控局印發關于印發醫療衛生機構網絡安全管理辦法的通知（國衛規劃發202229 號

10、），要求各醫療衛生機構應按照密碼法等有關法律法規和密碼應用相關標準規范，在網絡建設過程中同步規劃、同步建設、同步運行密碼保護措施，使用符合相關要求的密碼產品和服務。同時，2021 年發布的信息安全技術 信息系統密碼應用基本要求（GB/T 39786-2021）標準，從物理和環境安全、網絡和通信安全、設備和計算安全、應用和數據安全四個方面提出了密碼應用技術要求，從管理制度、人員管理、建設運行和應急處置四個方面提出了密碼應用管理要求。衛生健康行業醫療機構場景密碼應用與安全性評估實施指南 2 國家對衛生健康行業網絡安全高度重視，衛生健康行業內醫療機構承擔著人民生命健康安全的責任，作為民生重要領域，網

11、絡及數據安全問題不容忽視。醫療機構信息系統承載著大量醫療健康、患者隱私等敏感數據，一旦泄漏或者被竊取、篡改，可能涉及患者生命安全及社會穩定。本指南聚焦于指導衛生健康行業中醫療機構場景核心業務信息系統開展密碼應用與安全性評估實施工作，有利于提升衛生健康行業網絡安全保障能力，提升安全自主可控水平，對保障和促進醫院信息化建設發展、保障衛生健康事業和“健康中國”戰略全面落實有積極意義。1.2 典型場景介紹典型場景介紹 本指南主要針對醫療機構場景符合等保三級的核心業務信息系統的密碼應用情況展開描述，依據醫院信息化建設應用技術指引（2017 年版試行）、電子病歷系統應用水平分級評價標準（試行）、互聯網診療

12、管理辦法（試行）等政策標準文件，選定醫療機構內門急診、住院、檢驗檢查、互聯網診療為典型業務場景，這些業務面向醫院醫生、護士、技師等醫院工作者及患者、患者家屬等就醫相關人員身份認證以及可靠電子簽名的密碼應用需求，同時還需對業務過程中產生的重要醫療數據進行安全保護。門急診業務主要面向的用戶為門診醫護人員，包含門急診處方和處置管理、門急診檢驗檢查申請單管理、門急診檢驗檢查報告管理、門急診病歷記錄書寫等業務場景。住院業務主要面向的用戶為病房醫生、病房護士，對于病房醫生包含病房醫囑處理、病房檢驗檢查申請單管理、病房檢驗檢查報告管理、病房病歷記錄書寫等業務場景；對于病房護士包含病人管理與評估、醫囑執行、護

13、理記錄書寫等業務場景。檢驗檢查業務主要面向的用戶為檢驗檢查醫技護人員，檢查技師包含檢查申請與預約、檢查記錄管理、檢查報告管理、檢查圖像管理等業務；檢驗技師包含標本處理管理、檢驗結果記錄、報告生成等業務場景?；ヂ摼W診療業務主要面向的用戶為已注冊的醫生，直接通過互聯網提供部分常見病、慢性病復診及患者移動終端登錄認證等業務場景。衛生健康行業醫療機構場景密碼應用與安全性評估實施指南 3 本指南針對的醫療機構核心業務系統為院內電子病歷系統、互聯網診療系統。其中，電子病歷系統包含上述門急診、住院、檢驗檢查業務場景；互聯網診療系統主要包含上述互聯網診療業務場景。關鍵業務流程如下表 1 所示：表表 1 醫療機

14、構業務流程梳理醫療機構業務流程梳理 序號序號 業務名稱業務名稱 業務流程描述業務流程描述 1 門急診(1)患者掛號繳費；(2)調出患者基本信息；(3)問診后，如需檢驗檢查，開具檢驗檢查申請單，患者繳費后，同步信息到檢驗檢測系統；(4)檢驗檢測后返回檢驗檢查報告；(5)醫生書寫病歷（個人基本信息、診斷信息、治療方案信息）；(6)推送知情同意書等文件給患者/家屬終端，患者/家屬簽署知情同意書；(7)開具醫囑及藥物處方，病人繳費開藥；(8)病人離院后歸檔電子病歷。2 住院(1)患者到住院收費處辦理入院登記，并繳納預定金；(2)調出患者就診信息等基本信息；(3)問診后，如需檢驗檢查，開具檢驗檢查申請單

15、，同步信息到檢驗檢測系統；(4)檢驗檢測后返回檢驗檢查報告；(5)住院期間定期做檢驗檢查并更新書寫電子病歷；(6)推送知情同意書等文件給患者/家屬終端，患者/家屬簽署知情同意書；(7)開具醫囑及藥物處方，病房護士執行醫囑并產生護理記錄；(8)病人離院后歸檔電子病歷，如果有醫療糾紛，需要對衛生健康行業醫療機構場景密碼應用與安全性評估實施指南 4 序號序號 業務名稱業務名稱 業務流程描述業務流程描述 病歷進行封存；(9)如有需要可能會同步電子病歷/部分電子病歷到分級診療、轉院、第三方檢驗檢測等。3 檢驗檢查 檢驗：檢驗：(1)醫生根據患者診斷情況開檢驗項目申請單，醫生簽字生效；(2)患者繳費后，化

16、驗室根據護士或患者送到的檢驗樣本調取患者基本信息及檢驗申請單進行化驗；(3)檢驗技師對檢驗申請單及標本進行處理，生成檢測報告；(4)檢驗結果有檢驗技師醫師簽字蓋章生效，將檢驗報告傳輸到門診醫生工作站，醫生可對檢驗結果及顯示圖形進行診斷。檢查：檢查：(1)醫生根據患者診斷情況開檢查項目申請單，醫生簽字生效；(2)患者到指定科室進行檢查；(3)生成檢查報告后，檢查醫技醫師在報告提交和審核時進行簽名，把檢查診斷電子圖文報告發送到醫生，醫生根據診斷報告描述、結論、醫師建議進行診療。4 互聯網診療(1)患者使用手機等移動終端登錄互聯網診療系統，就診前患者需預先填寫病情信息并上傳相關檢查資料；(2)到預定

17、的就診時間，在線醫生根據患者預先填好的病情資料，采用視頻、文字、語音等進行線上問診。如需檢驗檢查，患者根據醫生開具檢驗檢查單，在線預約檢查。(3)檢查后，向醫生推送檢查結果，醫生在線開具藥品處方。衛生健康行業醫療機構場景密碼應用與安全性評估實施指南 5 序號序號 業務名稱業務名稱 業務流程描述業務流程描述(4)醫生書寫病歷（個人基本信息、診斷信息、治療方案信息），并歸檔。2 密碼應用需求密碼應用需求 2.1 風險分析和安全需求風險分析和安全需求 醫療機構場景核心業務信息系統主要涉及 4 個業務場景：門急診、住院、檢驗檢查、互聯網診療。表 2 從業務流程角度分析信息系統的密碼安全需求，并列出主要

18、保護對象。表表 2 主要保護對象主要保護對象 序序號號 相關相關業務業務 保護對象保護對象 保護對象描述保護對象描述 安全需求安全需求 1 門 急診 門診醫護人員身份(1)醫院內信息系統用戶必須為授權用戶，需要驗證登錄用戶的身份真實性，禁止非授權訪問。(2)建立、記錄、修改、使用病歷需要對操作者進行身份鑒別。（包括信息共享和歸檔）真實性 傳輸機密性 存儲機密性 傳輸完整性 存儲完整性 不可否認性 2 門診醫療數據(1)患者個人隱私信息：身份證號、住址、電話、聯系人；(2)檢驗檢測信息：檢測結果(3)醫囑信息及診斷結果信息(4)費用信息 其中患者個人隱私信息需要機密性、完整性保護。費用信息、檢驗

19、檢測結果、醫囑及診斷結果信息均為重要業務數據需要完整性保護。真實性 傳輸機密性 存儲機密性 傳輸完整性 存儲完整性 不可否認性 衛生健康行業醫療機構場景密碼應用與安全性評估實施指南 6 序序號號 相關相關業務業務 保護對象保護對象 保護對象描述保護對象描述 安全需求安全需求 3 門診醫療行為 門診醫生對處方、醫囑、電子病歷的全生命周期管理。創建、修改、歸檔等操作需要電子簽名保障電子文件簽署時的可追溯性（行為的不可否認性）；患者在簽署知情同意文書時需要進行簽名。真實性 傳輸機密性 存儲機密性 傳輸完整性 存儲完整性 不可否認性 4 住院 病房醫護人員身份(1)院內業務信息系統用戶必須為授權用戶，

20、需要驗證登錄用戶的身份真實性，禁止非授權訪問。(2)建立、記錄、修改、使用病歷需要對操作者進行身份鑒別。（包括信息共享和歸檔）真實性 傳輸機密性 存儲機密性 傳輸完整性 存儲完整性 不可否認性 5 住院醫療數據(1)患者個人隱私信息：身份證號、住址、電話、聯系人；(2)檢驗檢測信息：檢測結果(3)醫囑信息及診斷結果信息(4)費用信息 其中患者個人隱私信息需要機密性、完整性保護。費用信息、檢驗檢測結果、醫囑及診斷結果信息均為重要業務數據需要完整性保護。真實性 傳輸機密性 存儲機密性 傳輸完整性 存儲完整性 不可否認性 6 住院醫療行為 病房醫生對處方、醫囑、電子病歷的全生命周期管理。創建、修改、

21、歸檔等操作需要電子簽名保障電子文件簽署時的可追溯性（行為的不可否認性）；病房護士對護理記錄創建、修改、歸檔等操真實性 傳輸機密性 存儲機密性 傳輸完整性 存儲完整性 衛生健康行業醫療機構場景密碼應用與安全性評估實施指南 7 序序號號 相關相關業務業務 保護對象保護對象 保護對象描述保護對象描述 安全需求安全需求 作需要電子簽名保障電子文件簽署時的可追溯性 患者在簽署知情同意文書時需要進行簽名。不可否認性 7 檢驗 檢查 檢驗檢查醫技護人員身份 醫院內檢驗檢查信息系統用戶必須為授權用戶，需要驗證登錄用戶的身份真實性，禁止非授權訪問。真實性 傳輸機密性 存儲機密性 傳輸完整性 存儲完整性 不可否認

22、性 8 檢驗檢查數據(1)患者個人隱私信息：身份證號、住址、電話、聯系人；(2)檢驗檢測信息：檢測結果(3)醫囑信息及診斷結果信息(4)費用信息 其中患者個人隱私信息需要機密性、完整性保護。費用信息、檢驗檢測結果、醫囑及診斷結果信息均為重要業務數據需要完整性保護。真實性 傳輸機密性 存儲機密性 傳輸完整性 存儲完整性 不可否認性 9 檢驗檢查行為 檢驗項目化驗單或檢查診斷報告提交和審核時需要醫師技師的電子簽名保障行為可追溯性（行為的不可否認性）。真實性 傳輸機密性 存儲機密性 傳輸完整性 存儲完整性 不可否認性 10 互聯 網診 在線醫生身份 醫院內互聯網診療系統用戶必須為授權用戶，需要驗證登

23、錄用戶的身份真實性，禁止 真實性 傳輸機密性 衛生健康行業醫療機構場景密碼應用與安全性評估實施指南 8 序序號號 相關相關業務業務 保護對象保護對象 保護對象描述保護對象描述 安全需求安全需求 療 非授權訪問。存儲機密性 傳輸完整性 存儲完整性 不可否認性 11 互聯網診療數據(1)患者個人隱私信息：身份證號、住址、電話、聯系人；(2)檢驗檢測信息：檢測結果(3)醫囑信息及診斷結果信息(4)費用信息 其中患者個人隱私信息需要機密性、完整性保護。費用信息、檢驗檢測結果、醫囑及診斷結果信息均為重要業務數據需要完整性保護。真實性 傳輸機密性 存儲機密性 傳輸完整性 存儲完整性 不可否認性 12 互聯

24、網診療行為 在線醫生對處方、醫囑、電子病歷的全生命周期管理。創建、修改、歸檔等操作需要電子簽名保障電子文件簽署時的可追溯性（行為的不可否認性）；患者在簽署知情同意文書時需要進行簽名。真實性 傳輸機密性 存儲機密性 傳輸完整性 存儲完整性 不可否認性 2.2 場景對密碼應用的特殊要求場景對密碼應用的特殊要求（1）醫院線上運行數據具備實時信息、即時性讀取及更新的特點，例如，醫護人員通過檢驗檢測系統獲取患者基本信息、檢查后書寫醫囑、開藥時醫技人員需要獲取醫囑、處方等信息同步場景，對運行中的業務連續性、穩定性、響應衛生健康行業醫療機構場景密碼應用與安全性評估實施指南 9 速度有著高要求，通過服務器密碼

25、機、安全網關設備對數據做機密性、完整性保護時做性能冗余建設。（2）由于醫院內業務信息系統需要頻繁調用患者個人信息，存在模糊查詢、復雜查詢等情況，部分敏感數據在業務信息系統應用過程中較難進行存儲機密性保證，可將患者的身份證號、住址、電話、聯系人等不涉及索引的數據字段進行加密保護。（3）醫院內存在各類知情同意文書需要患者簽名的場景，不方便發放個人數字證書，可基于患者簽名行為的由第三方 CA 機構簽發的數字證書方式解決患者行為不可否認性需求。（4）醫院內業務信息系統醫技護用戶存在大量需要簽名的場景，如：住院期間開醫囑、處方、病歷書寫等需要長期多次簽名，需要對簽名次數以及時間戳進行數量管理，嚴格對應實

26、際的簽名操作；同時會也面臨業務系統數據庫存儲的原文、簽名值會占據較多存儲空間，需提前規劃好數據存儲方式。（5）醫院內業務信息系統需使用密碼技術先對檢驗檢查報告、電子病歷等送簽材料在簽名前進行核實，保障送簽材料內容的真實和完整。（6）如醫療機構的 PC 機等設備更換為信創設備后，針對密碼設備的信創能力也需進行要求。3 密碼應用實施指南密碼應用實施指南 衛生健康行業的醫療機構場景信息系統依據全國醫院信息化建設標準與規范指標體系進行建設，包含業務應用、信息平臺、基礎設施、安全防護、新興技術五大塊內容，本指南內容針對便民服務、醫療服務、醫療管理、醫療協同等業務應用部分的密碼應用情況展開描述，主要聚焦于

27、醫療服務中的門急診、住院、檢驗檢查、互聯網診療核心業務場景，指導醫療機構建設以患者為核心基于電子病歷的業務信息系統，同時滿足醫院信息平臺應用功能指引、醫院信息化建設應用技術指引和相關醫院數據上報管理規范的要求，設計合規易用的密碼應用手段，保障醫院信息化建設過程中的密碼應用合規性、正確性及有效性。全國醫院信息化建設標準與規范指標體系如下圖 3-1 所示：衛生健康行業醫療機構場景密碼應用與安全性評估實施指南 10 圖 3-1 全國醫院信息化建設標準與規范指標體系圖 3.1 典型場景的密碼應用設計典型場景的密碼應用設計 3.1.1 用戶身份真實性的密碼應用設計用戶身份真實性的密碼應用設計 在醫療機構

28、場景中涉及到醫院醫生、護士、技師等醫院工作者及患者、患者家屬等就醫相關人員的身份鑒別需求，其中患者及患者家屬的身份認證存在涉及范圍大、人員不固定的情況，可采用協同簽名技術或其它手段保障患者及患者家屬的身份真實性。醫生、護士、技師等醫務人員通過 PC 端以及移動終端登錄醫衛生健康行業醫療機構場景密碼應用與安全性評估實施指南 11 院業務信息系統，不同的登錄方式對用戶身份鑒別的應用要求不一，對此本指南設計了如下兩種方案保障用戶身份真實性。院內醫務人員使用 PC 端登錄時可通過部署符合國密標準 GM/T 0028 密碼模塊安全技術要求的密碼服務管理平臺、GM/T 0029簽名驗簽服務器技術規范的簽名

29、驗簽服務器，為 PC 端用戶配發基于國密算法且符合 GM/T 0027智能密碼鑰匙技術規范 的智能密碼鑰匙，并配套第三方 CA 機構簽發的數字證書，采用符合 GB/T 15843.3 的非對稱密碼算法的身份鑒別方式實現用戶接入的可信身份鑒別。在線醫務人員在移動終端登錄時可通過部署符合國密要求且具備商用密碼產品認證證書的協同簽名系統、GM/T 0028密碼模塊安全技術要求的密碼服務管理平臺，為移動智能終端用戶提供協同簽名服務，移動 App 集成符合 GM/T 0028密碼模塊安全技術要求的移動智能終端安全密碼模塊，通過調用協同簽名系統的協同簽名技術實現移動端用戶的身份鑒別。醫務人員的身份鑒別采用

30、數字證書方式的身份認證，根據數字證書載體的不同，如采用 USBkey 或移動終端等，其身份認證的方式有所區別，使用 USBkey時需要醫務人員將 USBkey 插入 PC 端；使用移動終端時，可通過協同簽名技術用數字證書直接登錄移動終端系統，也可通過掃描二位碼等方式登錄PC端系統，但業務信息系統的身份認證實現流程是類似的，具體實現流程如圖 3-2 所示：衛生健康行業醫療機構場景密碼應用與安全性評估實施指南 12 密碼設備密碼設備業務系統業務系統生成隨機數并保存在session中選擇證書，輸入數字證書訪問PIN碼，提交登錄 使用數字證書訪問系統首頁驗證成功？N根據證書唯一標識查詢用戶庫，獲取相應

31、操作權限提示：驗證證書或簽名失敗將隨機數返回到客戶端請求頁面根據驗證策略，驗證：1）CA信任列表；2）證書有效期；3）證書是否被吊銷；4）客戶端對隨機數簽名值的有效性。開始使用數字證書載體內私鑰對隨機數簽名，提交用戶證書及簽名值Y顯示系統登錄頁面列舉數字證書載體內的證書客戶端腳本程序驗證密碼是否正確？驗證成功？醫務人員醫務人員YN出錯返回出錯返回提示密碼錯誤查詢成功？NY提示：系統無此用戶或用戶無權限登錄失敗登錄成功圖 3-2 身份鑒別流程圖 3.1.2 醫患行為不可否認性的密碼應用設計醫患行為不可否認性的密碼應用設計 經過對醫療機構業務場景分析，門診、住院、檢驗檢查、互聯網診療業務場景中對不

32、可否認性的需求包含醫技護人員處方書寫、醫囑書寫、護理記錄書寫、衛生健康行業醫療機構場景密碼應用與安全性評估實施指南 13 電子病歷書寫、檢驗檢查診斷報告生成等關鍵業務操作的不可否認性，醫護人員病歷完成時間的不可否認性以及患者知情同意文書簽署的不可否認性。(1)病歷完成時間的不可否認性病歷完成時間的不可否認性 根據病歷書寫基本規范要求，病歷書寫完成具有明確時間要求，在醫療應用數據作為法律責任認定時，可通過部署符合國密要求且具備商用密碼產品認證證書的時間戳服務器，保證醫療應用數據時間的不可否認性。(2)醫技護人員行為的不可否認性醫技護人員行為的不可否認性 門診、住院、檢驗檢查場景中醫技護人員的電子

33、簽名，可調用符合國密要求且具備商用密碼產品認證證書的密碼產品的數字簽名驗簽服務，配套使用符合 GM/T 0027智能密碼鑰匙技術規范的智能密碼鑰匙以及第三方 CA 認證機構頒發的數字證書，用于保障醫護人員處方、醫囑、護理記錄、電子病歷書寫以及檢驗檢查診斷報告生成等關鍵業務行為的不可否認性。在互聯網診療業務場景中，可通過部署符合國密要求且具備商用密碼產品認證證書的協同簽名系統，為移動智能終端用戶提供協同簽名服務，移動 App 集成符合 GM/T 0028密碼模塊安全技術要求的移動智能終端安全密碼模塊，通過調用協同簽名系統的協同簽名技術，基于 SM2 算法實現在線醫生處方、醫囑、電子病歷書寫等行為

34、的不可否認。電子病歷文檔來自于不同的業務信息系統，因此當醫務人員在醫院各類信息系統中編寫完電子病歷后進行數字簽名時，需要由生成該電子病歷的信息系統在當前節點調用密碼設備的數字簽名服務、時間戳服務實現數字簽名和加蓋時間戳。具體實現流程如圖 3-3 所示：衛生健康行業醫療機構場景密碼應用與安全性評估實施指南 14 密碼設備密碼設備業務系統業務系統使用數字證書登錄驗證成功？N保存數字簽名日志，進行電子病歷業務流轉提示：驗證簽名失敗開始Y醫務人員醫務人員提交失敗顯示醫務人員電子簽名提交成功編 寫后 提 交電 子 病歷；進入數字簽名環節，輸入數字證書載體PIN碼客戶端腳本程序校驗PIN 碼正確性客戶端程

35、序調用數字簽名接口利用證書載體內私鑰對電子病歷原文進行數字簽名，產生簽名值調用簽名驗證接口，提交電子病歷原文、簽名證書、簽名值；調用時間戳接口，提交原文Hash值獲取數據，驗證簽名有效性；對原文Hash值加蓋時間戳，并進行驗證 圖 3-3 醫技護人員電子簽名流程圖 衛生健康行業醫療機構場景密碼應用與安全性評估實施指南 15 (3)患者知情同意文書簽署的不可否認性患者知情同意文書簽署的不可否認性 根據醫療機構患者簽署知情同意文書的場景，不便于為患者發放智能密碼鑰匙，同時為提升患者電子簽名實現效率，可通過為患者簽署介質部署符合 GM/T 0028密碼模塊安全技術要求第二級要求的密碼模塊，配套在業務

36、域部署的符合國密要求且具備商用密碼產品認證證書的手寫信息數字簽名系統并基于患者簽名行為的由第三方 CA 機構簽發的數字證書，保障患者簽署知情同意類文書行為的不可否認性?；颊邔χ橥忸愇臅M行知情確認時，由生成該知情同意類文書的信息系統在當前節點調用數字簽名服務、時間戳服務實現數字簽名、時間戳，成功后會在該知情同意類文書的相應位置顯示簽名人的電子簽名。具體實現流程如圖 3-4 所示。密碼設備密碼設備業務系統業務系統完成知情文書的錄入和生成開始醫務人員醫務人員患者對知情文書確認，并征集其手寫筆跡及其他身份特征信息客戶端控件發送知情文書Hash值、患者簽名圖片等信息，并申請患者簽名行為的數字證書患

37、者患者 獲取所有信息，簽發患者簽名證書使用簽發的患者簽名證書對知情同意文書電子簽名、加蓋時間戳發送簽名信息（包含簽名值、時間戳、簽章、患者特征信息等）保存電子簽名日志，并對患者信息進行機密性處理顯示帶有患者身份特征的電子簽名；保存簽名值、患方身份特征信息，并與電子病歷內容建立綁定關系患者簽名成功 圖 3-4 患者知情同意文書確認電子簽名流程圖 衛生健康行業醫療機構場景密碼應用與安全性評估實施指南 16 3.1.3 重要數據傳輸安全的密碼應用設計重要數據傳輸安全的密碼應用設計 在醫療機構場景中門急診、住院、檢驗檢查、互聯網診療均涉及到重要數據傳輸安全需求，包含患者個人隱私信息的傳輸機密性、傳輸完

38、整性以及費用信息、檢驗檢查報告等重要業務數據的傳輸完整性，同時也涉及與醫保機構、區域平臺之間醫保報銷、分級診療、區域檢查、績效考核等協同業務，其中包括費用支付數據、績效信息數據、電子病歷等重要業務數據的信息交換和互聯互通，此類數據在傳輸過程中的安全保護至關重要，需使用密碼技術保障重要數據機密性、完整性，可在網絡和數據層面分別采用密碼技術保障通信數據的傳輸安全。在網絡安全保護層面，可在醫院機房部署符合 GM/T 0024SSL VPN 技術規范、GM/T 0025SSL VPN 網關產品規范、GM/T 0026安全認證網關產品規范的 SSL VPN 安全網關及安全認證網關，采用數字證書為應用系統

39、提供身份鑒別、傳輸加密、訪問控制和安全審計服務等功能服務，通過建立國密 SSL 加密通道，保障業務數據傳輸過程、互聯網醫療等業務環節中，醫療健康數據在客戶端與服務端之間的傳輸安全。網絡層面的傳輸安全保障如下圖3-5所示：圖 3-5 網絡層面客戶端-服務端傳輸安全示意圖 在數據安全保護層面，傳輸數據時，業務系統調用符合 GM/T 0028密碼模塊安全技術要求 的密碼服務管理平臺、GM/T 0030 服務器密碼機技術規范的服務器密碼機，基于 SM2、SM3、SM4 密碼算法的數據簽名驗簽、數據加解密技術對業務系統中需要傳輸的重要數據實現機密性、完整性保護，數據層面的傳輸安全保障，如下圖 3-6 所

40、示：衛生健康行業醫療機構場景密碼應用與安全性評估實施指南 17 圖 3-6 數據層面客戶端-服務端傳輸安全示意圖 3.1.4 重要數據存儲安全的密碼應用設計重要數據存儲安全的密碼應用設計 在醫療機構場景中門急診、住院、檢驗檢查、互聯網診療均涉及到重要數據存儲安全需求，包含患者個人隱私信息的存儲機密性、存儲完整性以及費用信息、檢驗檢查報告等重要業務數據的存儲完整性。(1)重要數據存儲完整性保護重要數據存儲完整性保護 可部署符合 GM/T 0028密碼模塊安全技術要求的密碼服務管理平臺、GM/T 0030 服務器密碼機技術規范 的服務器密碼機，業務系統在對診斷信息、費用信息、檢驗檢查報告等重要業務

41、數據進行存儲時，基于密碼設備/服務提供的 HMAC-SM3 技術，實現重要數據的存儲完整性保護。(2)重要數據存儲機密性保護重要數據存儲機密性保護 可部署符合 GM/T 0028密碼模塊安全技術要求的密碼服務管理平臺、GM/T 0030服務器密碼機技術規范的服務器密碼機，調用數據加解密服務，基于 SM4 的對稱密碼技術，對患者個人隱私信息(身份證號、住址、電話、聯系人)等重要數據進行加密保護，確保數據庫里的患者個人敏感信息內容不被非法泄露，實現重要數據的存儲機密性保護。業務系統重要數據的存儲機密性、完整性調用加解密服務、完整性運算服務實現，如下圖 3-7 所示：衛生健康行業醫療機構場景密碼應用

42、與安全性評估實施指南 18 圖 3-7 數據存儲安全示意圖 也可根據系統實際業務以及功能需求，選用具備商用密碼產品認證證書的數據庫加密系統、數據安全網關、磁盤陣列加密等合規的密碼產品/服務實現數據加密存儲。3.1.5 密鑰管理建設密鑰管理建設 密鑰管理包括對密鑰的生成、存儲、分發、使用、更新、備份和恢復、歸檔、撤銷等全生命周期管理。其中第三方 CA 機構簽發的數字證書，用于實現系統用戶登錄時的身份鑒別及行為不可否認，此類密鑰由第三方 CA 機構規范管理，并將相關管理制度補充到密鑰管理規范中；對于業務信息系統涉及的密鑰全生命周期管理如下表 3 所示：表表 3 密鑰全生命周期管理密鑰全生命周期管理

43、 密鑰名密鑰名稱稱 生成生成 存儲存儲 分發分發 使用使用 更新更新 備份和恢備份和恢復復 歸檔歸檔 銷毀銷毀 用途說明用途說明 數據傳輸簽名私鑰 服務器密碼機內部產生 服務器密碼機內部存儲 私鑰不進行分發 在密碼模塊中進行簽名運算 按照管理制度定期更新 不涉及 不涉及 密碼設備內部進行銷毀 數據傳輸完整性保護 數據傳輸驗簽公鑰 服務器密碼機內部產生 以公鑰和證書形式存儲 以證書形式分發 在密碼模塊中進行簽名運算 按照管理制度定期更新 簽名公鑰不提供備份恢復機制 不涉及 密碼設備內部進行銷毀 數據傳輸完整性保護驗證 衛生健康行業醫療機構場景密碼應用與安全性評估實施指南 19 密鑰名密鑰名稱稱

44、生成生成 存儲存儲 分發分發 使用使用 更新更新 備份和恢備份和恢復復 歸檔歸檔 銷毀銷毀 用途說明用途說明 數據傳輸加密密鑰 服務器密碼機內部產生 服務器密碼機內部存儲 分發至客戶端 在密碼模塊中進行加解密運算 按照管理制度定期更新 利用密碼設備產品自身的密鑰備份、恢復機制實現 不涉及 密碼設備內部進行銷毀 數據傳輸機密性保護 臨時會話密鑰 服務器密碼機內部產生 不涉及 不涉及 分別在客戶端和服務端 會話恢復時更新 不涉及 不涉及 會話終止時銷毀 數據傳輸安全通信 HMAC密鑰 服務器密碼機內部產生 服務器密碼機內部存儲 不涉及 在密碼模塊中進行驗證簽名運算 按照管理制度定期更新 利用密碼設

45、備產品自身的密鑰備份、恢復機制實現 不涉及 密碼設備內部進行銷毀 數據存儲完整性保護 數據存儲加密密鑰 服務器密碼機內部產生 服務器密碼機內部存儲 不進行分發 在密碼模塊中進行加解密運算 按照管理制度定期更新 利用密碼設備產品自身的密鑰備份、恢復機制實現 不涉及 密碼設備內部進行銷毀 數據存儲機密性保護 3.1.6 安全管理體系建設安全管理體系建設 根據信息安全技術 信息系統密碼應用基本要求（GB/T 39786-2021）的要求，從管理制度、人員管理、建設運行和應急處置四個層面制定了相應的制度文件、規章流程，對醫院的密碼應用安全管理體系進行完備的建設，保障系統規劃、建設、后期運維和應急響應的

46、安全性。依據信息系統密碼應用測評要求具體（GM/T 0115-2021）確定每個安全層面的建設內容，如下表 4 所示：表表 4 安全管理體系建設內容安全管理體系建設內容 安全層面安全層面 建設內容建設內容 內容描述內容描述 管理制度 具備密碼應用安全管理制度 具備密碼應用安全管理制度，包括密碼人員管理、密鑰管理、建設運行、應急處置、密碼軟硬件及介質管理等制度。衛生健康行業醫療機構場景密碼應用與安全性評估實施指南 20 安全層面安全層面 建設內容建設內容 內容描述內容描述 密鑰管理規則 根據密碼應用方案建立相應密鑰管理規則。建立操作規程 對管理人員或操作人員執行的日常管理操作建立操作規程。定期修

47、訂安全管理制度 定期對密碼應用安全管理制度和操作規程的合理性和適用性進行論證和審定，對存在不足或需要改進之處進行修訂。明確管理制度發布流程 明確相關密碼應用安全管理制度和操作規程的發布流程并進行版本控制。制度執行過程記錄留存 具有密碼應用操作規程的相關執行記錄并妥善保存。人員管理 了解并遵守密碼相關法律法規和密碼管理制度 相關人員了解并遵守密碼相關法律法規、密碼應用安全管理制度。建立密碼應用崗位責任制度 建立密碼應用崗位責任制度，明確各崗位在安全系統中的職責和權限。建立上崗人員培訓制度 建立上崗人員培訓制度，對于涉及密碼的操作和管理的人員進行專門培訓，確保其具備崗位所需專業技能。定期進行安全崗

48、位人員考核 定期對密碼應用安全崗位人員進行考核。建立關鍵崗位人員保密制度和調離制度 建立關鍵人員保密制度和調離制度，簽訂保密合同，承擔保密義務。建設運行 制定密碼應用方案 依據密碼相關標準和密碼應用需求，制定密碼應用方案。制定密鑰安全管理策略 根據密碼應用方案，確定系統涉及的密鑰種類、體系及其生存周期環節，各環節密鑰管理要求。衛生健康行業醫療機構場景密碼應用與安全性評估實施指南 21 安全層面安全層面 建設內容建設內容 內容描述內容描述 制定實施方案 按照應用方案實施建設。投入運行前進行密碼應用安全性評估 投入運行前進行密碼應用安全性評估，評估通過后系統方可正式運行。定期開展密碼應用安全性評估

49、及攻防對抗演習 在運行過程中，嚴格執行既定的密碼應用安全管理制度，定期開展密碼應用安全性評估及攻防對抗演習，并根據評估結果進行整改。應急處置 應急策略 制定密碼應用應急策略，做好應急資源準備，當密碼應用安全事件發生時，立即啟動應急處置措施，結合實際情況及時處置。事件處置 事件發生后，及時向信息系統主管部門進行報告。向有關主管部門上報處置情況 事件處置完成后，及時向信息系統主管部門及歸屬的密碼管理部門報告事件發生情況及處置情況。3.2 密碼產品密碼產品/服務選擇和部署服務選擇和部署 根據系統密碼應用的需求和建設目標，通過對醫療機構信息系統和系統用戶提供安全可信服務，其服務核心是實現“可信身份、可

50、信行為、可信數據、可信通道、可信時間”等密碼應用，保障系統網絡身份和實體身份的真實對應，建設重要數據防篡改、重要數據防竊取等服務的重要支撐基礎設施。醫療機構核心業務信息系統主要面向的用戶為院內醫技護人員，通過 PC 端或者移動終端接入系統，密碼應用部署可采用本地部署密碼設備模式，也可根據系統密碼設備、接口、密鑰等統一管理及密碼資源合理分配等需求采用密碼服務管理平臺統一建設部署模式，具體的密碼產品選擇和部署如下圖 3-8 所示：衛生健康行業醫療機構場景密碼應用與安全性評估實施指南 22 圖 3-8 醫療機構院內核心業務系統密碼產品部署示意圖 醫療機構互聯網核心業務系統主要面向的用戶為互聯網在線醫

51、生，通過移動終端接入系統，其中協同簽名系統部署在 DMZ 區域，密碼應用部署如下圖 3-9所示：圖 3-9 醫療機構互聯網核心業務系統密碼產品部署示意圖 衛生健康行業醫療機構場景密碼應用與安全性評估實施指南 23 表表 5 密碼產品密碼產品/服務服務 序號序號 密碼產品密碼產品/服務名稱服務名稱 在場景中提供的密碼功能在場景中提供的密碼功能 1 密碼服務管理平臺 通過將若干密碼設備、密碼模塊按照統一的聚合機制進行池化，搭建密碼服務管理平臺，引入微服務與虛擬化等技術，通過密碼設備、密碼安全服務接口進行有效統一管理、配置，密碼服務擁有彈性擴展、平行擴容能力，提供豐富的密碼服務支撐；通過內建多層密鑰

52、管理模型，運用應用認證、計算隔離、密鑰存儲分離、訪問授權、全流程審計等技術手段，有效阻斷各種攻擊路徑，對密碼應用涉及的各類密鑰的全生命周期進行安全管理，符合醫療機構信息系統中密鑰層次復雜、種類多、數量大等特點需求；滿足醫療機構核心業務信息系統各層面的用戶身份真實性、數據機密性、數據完整性、不可否認性的密碼應用需求。2 安全認證網關 基于密碼技術構建安全通道，保證網絡通信層身份鑒別、通信數據的機密性和完整性保護以及網絡邊界訪問控制信息完整性；保證設備計算層身份鑒別、遠程管理通道安全。3 SSL VPN 安全網關 基于 SSL/TLS 協議，在通信網絡中構建安全通道，保證網絡通信層身份鑒別、通信數

53、據的機密性和完整性保護以及網絡邊界訪問控制信息完整性。4 服務器密碼機 為設備和計算層提供日志完整性保護。為應用和數據層訪問控制信息提供完整性保護。為應用和數據安全層基礎醫療衛生信息等歷史存量數據提供存儲機密性和完整性保護。衛生健康行業醫療機構場景密碼應用與安全性評估實施指南 24 序號序號 密碼產品密碼產品/服務名稱服務名稱 在場景中提供的密碼功能在場景中提供的密碼功能 5 簽名驗簽服務器 為應用和數據層提供基于 PC 端用戶數字證書的身份鑒別服務。6 時間戳服務器 為應用和數據層醫療應用數據提供時間不可否認性服務。7 協同簽名系統 為應用和數據層提供基于移動端用戶數字證書的身份鑒別服務。8

54、 移動智能終端安全密碼模塊 部署于移動智能終端介質中，實現醫院信息系統移動端用戶身份鑒別。9 手寫信息數字簽名系統（患者服務端）基于患者簽名行為的由第三方CA機構簽發的數字證書，為患者知情同意文書提供不可否認性服務。10 二級密碼模塊（患者終端）處理患者手寫筆跡、身份認證信息，實現醫院信息系統患者知情同意文書提供不可否認性服務。11 國密智能密碼鑰匙 用于安全認證網關登錄堡壘機身份鑒別。實現醫院信息系統用戶登錄身份鑒別。3.3 與與 GB/T 39786 對照情況說明對照情況說明 根據 GB/T 39786 相關配套標準商用密碼應用安全性評估 FAQ要求，GB/T 39786-2021 中的密

55、碼應用等級一般由網絡安全等級保護的級別確定。信息系統根據 GB/T 22240-2020信息安全技術網絡安全等級保護定級指南確定等級保護級別時，同步對應確定密碼應用等級。根據要求可知，在開展密碼應用涉及測評相關活動前，應首先明確密碼應用主體，范圍及責任主體。本指南針對醫療機構場景符合等保三級的核心業務系統，例如院內電子病歷系統、互聯網診療系統。范圍為業務系統及其機房網絡設備情況；責任主體為醫院。與 GB/T 39786 對照情況說明如下表 6 所示：表表 6 與與 GB/T 39786 對照情況說明對照情況說明 衛生健康行業醫療機構場景密碼應用與安全性評估實施指南 25 安全層面安全層面 密碼

56、技術應密碼技術應用點用點 采取的密碼措施采取的密碼措施 物理和環境安全 身份鑒別 業務系統所在機房選擇符合相關國家標準、行業標準的門禁管理系統，實現進入機房人員身份真實性鑒別。電子門禁記錄數據存儲完整性 業務系統所在機房選擇符合相關國家標準、行業標準的門禁管理系統，實現電子門禁記錄數據的完整性保護。視頻監控記錄數據存儲完整性 業務系統所在機房采用符合相關國家標準、行業標準的視頻監控管理系統，保證視頻監控記錄數據完整性。網絡和通信安全 身份鑒別 存在四類通路：(1)PC 業務客戶端用戶數據流經鏈路；(2)移動業務客戶端用戶數據流經鏈路；(3)運維用戶數據流經鏈路；(4)業務系統與其他系統通信通道

57、（主要適用于本業務系統提供接口的情況）。在網絡服務域部署并使用具有商用密碼產品認證證書的網關產品實現通信實體的身份真實性，同時實現數據在通信過程中的機密性、完整性。通信數據完整性 通信過程中重要數據的機密性 網絡邊界訪問控制信息完整性 按照等保三級要求建設。同時可采用基于合規的密碼設備對邊界設備訪問控制信息做完整性保護。安全接入認證 當前醫院信息系統在設備等方面的安全，按照等保三級要求建設。醫院自助機、移動設備在接入信息系統時，可使用具有商用密碼產品認證證書的網關產品和客戶端密碼模塊實現接入設備的真實性。設備和計算安全 身份鑒別 為運維人員發放智能密碼鑰匙，在運維主機部署國密瀏覽器，在安全管理

58、域部署安全認證網關代理，保證運維人員的身份真遠程管理通衛生健康行業醫療機構場景密碼應用與安全性評估實施指南 26 安全層面安全層面 密碼技術應密碼技術應用點用點 采取的密碼措施采取的密碼措施 道安全 實性與遠程管理通道安全。系統資源訪問控制信息完整性 密碼產品：部署的密碼產品均具有合格的商用密碼產品認證證書。其他服務器：系統資源訪問控制信息依賴操作系統實現，不做額外建設。重要信息資源安全標記完整性 不適用。日志記錄完整性 密碼產品具有合格的商用密碼產品認證證書，且可以確定實際部署的產品與認證產品一致的情況下，密碼產品可判定為符合。在業務服務域部署合規的服務器密碼機，日志審計系統調用服務器密碼機

59、的密碼服務，實現日志記錄完整性保護。重要可執行程序完整性、重要可執行程序來源真實性 醫院所有業務系統都是明確來源、安全性可控，部署的密碼產品具有合格的商用密碼產品認證證書。應用和數據安全 身份鑒別 主要用戶：醫技護人員 PC 端依托合規的智能密碼鑰匙和密碼設備采用基于 SM2 算法的簽名技術實現登錄用戶的身份鑒別；移動端依托協同簽名移動端模塊及協同簽名服務采用協同簽名技術實現登錄用戶的身份鑒別。訪問控制信息完整性 業務系統角色與權限，系統關鍵應用訪問與控制信息存儲于數據庫中。業務系統調用數據完整性運算服務，基于 HMAC-SM3衛生健康行業醫療機構場景密碼應用與安全性評估實施指南 27 安全層

60、面安全層面 密碼技術應密碼技術應用點用點 采取的密碼措施采取的密碼措施 保障訪問控制信息完整性。重要信息資源安全標記完整性 不適用。重要數據傳輸機密性、完整性 重要數據在業務系統的應用層傳輸的場景下，服務端向客戶端傳輸數據時，服務端調用符合 GM/T 0028密碼模塊安全技術要求的密碼服務管理平臺、GM/T 0030服務器密碼機技術規范的服務器密碼機，基于 SM2、SM3、SM4 密碼算法的數據簽名驗簽、數據加解密技術對業務系統中需要傳輸的重要數據實現機密性、完整性保護；客戶端向服務端傳輸數據時，調用客戶端密碼模塊，基于 SM2、SM3、SM4 密碼算法的數據簽名驗簽、數據加解密技術對業務系統

61、中需要傳輸的重要數據做安全保護，實現重要數據傳輸的機密性、完整性保護。重要數據存儲機密性 部署符合 GM/T 0028密碼模塊安全技術要求的密碼服務管理平臺、GM/T 0030服務器密碼機技術規范的服務器密碼機，調用服務器密碼機的數據加密功能，基于 SM4 的對稱密碼技術，對患者個人隱私信息(身份證號、住址、電話、聯系人)等重要數據進行加密保護，確保數據庫里的患者身份信息等敏感信息內容不被非法泄露，實現重要數據的存儲機密性保護。重要數據存儲完整性 業務系統調用數據完整性運算密碼服務，保證業務系統中診斷信息、費用信息、檢驗檢查報告等重要數據的存儲完整性。不可否認性 通過調用符合國密要求且具備商用

62、密碼產品認證證書的密碼產品的數字簽名驗簽服務，配套保障第三方 CA 機構簽發的數字證書，保障醫技護人員醫療行為不可否認性。根據病歷書寫基本規范要求，病歷書寫完成具有明確時間要求，在醫療應用數據作為法律責任認定時，在業務服務域部署時間衛生健康行業醫療機構場景密碼應用與安全性評估實施指南 28 安全層面安全層面 密碼技術應密碼技術應用點用點 采取的密碼措施采取的密碼措施 戳服務器，保證醫療應用數據時間的不可否認性。在業務系統醫療用客戶端部署患者電子簽名客戶端二級密碼模塊，在業務系統醫療應用服務端部署患者電子簽名服務端，配套基于患者簽名行為的由第三方 CA 機構簽發的數字證書，保證患者知情同意一類文

63、書的不可否認性。3.4 注意事項注意事項(1)密碼應用范圍確認。在設計密碼應用方案前，需要確認系統邊界范圍、密碼保護范圍。建議參照網絡安全等級保護第三級定級范圍規劃密碼應用設計范圍，明確范圍后，結合系統實際業務情況考慮安全性、可用性及性能。(2)為保障業務連續性，避免系統癱瘓，網關設備、服務器密碼機等密碼產品建議采用雙機熱備方式運行。(3)系統上云情況，若在院內私有云部署，可按照前文密碼應用設計進行實施部署；若部署于公有云或使用云簽名、云認證等密碼技術，新建系統選擇密碼應用合規的云環境、云密碼技術進行部署，已建信息系統的安全保護依托所在云平臺的物理機房、網絡通信、設備計算、應用數據的密碼應用基

64、礎設施建設情況。4 密碼應用安全性評估實施指南密碼應用安全性評估實施指南 4.1 主要測評指標的選擇和確定主要測評指標的選擇和確定 4.1.1 測評范圍測評范圍 鑒于醫療機構涉及院內電子病歷系統、互聯網診療系統等不同系統架構的業務系統，涉及的用戶較多，且院內電子病歷系統由眾多子系統組成，因此本指南給出的測評實施并非針對醫療機構的某個子系統，僅根據該場景下典型業務特點和密碼應用設計方案，給出關鍵安全需求的測評實施指南，如網絡和通信安全層面、應用和數據安全層面等關鍵安全需求的密碼應用測評等，供相關方在開展密碼應用安全性測評時參考。衛生健康行業醫療機構場景密碼應用與安全性評估實施指南 29 4.1.

65、2 測評指標測評指標 選擇GB/T 39786-2021中的第三級安全要求作為本指南典型場景測評工作的基本指標。結合前文描述的場景業務情況，GB/T 39786-2021 第三級要求中的個別項可能并不適用，本指南典型場景的適用測評指標、不適用測評指標及其不適用原因如表 7 所示。表表 7 主要測評指標的選擇和確定主要測評指標的選擇和確定 類型類型 指標項指標項 說明說明 主要適用指標 技 術要求 物 理 和環 境 安全 身份鑒別 無 電子門禁記錄數據存儲完整性 視頻監控記錄數據存儲完整性 網 絡 和通 信 安全 身份鑒別 通信數據完整性 通信過程中重要數據的機密性 網絡邊界訪問控制信息的完整性

66、 安全接入認證 設 備 和計 算 安全 身份鑒別 遠程管理通道安全 系統資源訪問控制信息完整性 日志記錄完整性 重要可執行程序完整性、重要可執行程序來源真實性 應 用 和數 據 安全 身份鑒別 訪問控制信息完整性 重要數據傳輸機密性 重要數據存儲機密性 重要數據傳輸完整性 重要數據存儲完整性 衛生健康行業醫療機構場景密碼應用與安全性評估實施指南 30 類型類型 指標項指標項 說明說明 不可否認性 管 理要求 管 理 制度 具備密碼應用安全管理制度 密鑰管理規則 建立操作規程 定期修訂安全管理制度 明確管理制度發布流程 制度執行過程記錄留存 人 員 管理 了解并遵守密碼相關法律法規和密碼管理制度

67、 建立密碼應用崗位責任制度 建立上崗人員培訓制度 定期進行安全崗位人員考核 建立關鍵崗位人員保密制度和調離制度 建 設 運行 制定密碼應用方案 制定密鑰安全管理策略 制定實施方案 投入運行前進行密碼應用安全性評估 定期開展密碼應用安全性評估及攻防對抗演習 應 急 處置 應急策略 事件處置 向有關主管部門上報處置情況 主要不適用指標 設備和計算 安全 重要信息資源安全標記完整性 受測系統未對設備配置重要信息資源安全標記，故本指標不適用 衛生健康行業醫療機構場景密碼應用與安全性評估實施指南 31 類型類型 指標項指標項 說明說明 應用和數據 安全 重要信息資源安全標記完整性 受測系統關鍵應用未設置

68、重要信息 資源安全 標記，故本指標不適用 4.2 主要測評內容主要測評內容 4.2.1 物理和環境安全測評物理和環境安全測評(1)(1)測評對象測評對象 該層面的測評對象主要為醫療機構場景業務系統所在機房等重要區域及其電子門禁系統、視頻監控系統。該層面確定的測評對象和采用的測評方式如下表8 所示。表表 8 測評對象和測評方式測評對象和測評方式 層面（類）層面（類）測評對象測評對象 測評方式測評方式 物理和環境安全 醫療機構場景業務系統所在部署機房 訪談 文檔審查 實地查看 配置檢查 工具測試(2)(2)測評實施要點測評實施要點 測評實施時，測評人員應參照 GM/T 0115-2021信息系統密

69、碼應用測評要求和 GM/T 0116-2021信息系統密碼應用測評過程指南對醫療機構場景業務系統所在機房等重要區域及其電子門禁系統、視頻監控系統進行測評，核查重要區域進入人員身份鑒別機制、電子門禁記錄數據和視頻監控記錄數據存儲完整性保護機制等。如果被測業務系統部署在多個機房，則相應的機房均應列為測評對象。如果醫療機構場景業務系統所在機房由云服務提供商提供，則可以結合有關云平臺、云上應用測評的相關指導性文件進行實施。衛生健康行業醫療機構場景密碼應用與安全性評估實施指南 32 4.2.2 網絡和通信安全測評網絡和通信安全測評(1)(1)測評對象測評對象 根據本指南中典型場景承載的業務和密碼應用設計

70、，分析該層面涉及的測評對象。醫療機構業務系統涉及不同種類角色的用戶，包括醫生、護士、技師等醫務人員，不同角色的用戶訪問業務系統的渠道方式不完全一樣，如 PC 端、移動終端等。該過程涉及的網絡層傳輸保護主要為不同角色的用戶訪問業務系統的通信信道，主要包括：PC 端用戶與業務系統之間的通信信道、移動終端用戶與業務系統之間的通信信道等。鑒于患者用戶涉及范圍較大、人員不固定，訪問渠道方式多樣，網絡層傳輸保護密碼應用方案不統一，因此本指南測評實施部分僅考慮醫生、護士、技師等醫務人員通過 PC 端和移動終端訪問其所屬范圍的業務系統的通信信道情況。此外，如果業務系統存在對外提供接口的情況，則被測業務系統與網

71、絡邊界外的其他系統的通信信道也需要作為測評對象。當遠程管理通道跨越網絡邊界時，如在互聯網訪問 SSL VPN 接入內網后通過堡壘機對設備進行管理的情況，則網絡和通信安全層面需要測評管理員在互聯網訪問 VPN 的過程。綜上所述，該層面可能涉及的測評對象和采用的測評方式如表 9 所示。表表 9 測評對象和測評方式測評對象和測評方式 層面（類）層面（類）測評對象測評對象 測評方式測評方式 網絡和通信安全 醫生、護士、技師等醫務人員通過 PC 端訪問其所屬范圍的業務系統的通信信道 訪談 文檔審查 實地查看 配置檢查 工具測試 醫生、護士、技師等醫務人員通過移動終端用戶訪問其所屬范圍的業務系統的通信信道

72、 業務系統與其他系統的通信信道（如涉及）遠程管理員訪問 VPN 的通信信道（如涉及）(2)(2)測評實施要點測評實施要點 測評實施時，測評人員應重點關注通信實體身份鑒別、通信數據完整性、通信過程重要數據的機密性、網絡邊界訪問控制信息的完整性以及設備接入認證等，衛生健康行業醫療機構場景密碼應用與安全性評估實施指南 33 可參照 GM/T 0115-2021 中 6.2 章節描述的內容實施測評，測評關鍵檢查點如下圖 4-1 所示。圖 4-1 測評實施檢查點 測評實施要點包括：1)核查用于密鑰管理和密碼計算的密碼產品是否符合法律法規的相關要求，需依法接受檢測認證的，核查是否經商用密碼認證機構認證合格

73、；了解密碼產品的型號和版本等配置信息，核查密碼產品是否符合密碼模塊標準中相應安全等級及以上安全要求，并核查密碼產品的使用是否滿足其安全運行的前提條件，如其安全策略或使用手冊說明的部署條件。2)在檢查點使用協議分析工具，抓取內網用戶 PC 端與安全認證網關、外網移動用戶端與安全認證網關之間的通信數據，分析是否采用密碼技術對通信實體進行身份鑒別，是否采用密碼技術保證通信過程中數據的完整性、通信過程中重要數據的機密性。3)通過文檔審查、配置檢查等方式驗證是否使用密碼技術保護網絡邊界訪問控制信息的完整性，是否使用密碼技術對有設備接入認證需求的設備進行接入認證等。4.2.3 設備和計算安全測評設備和計算

74、安全測評(1)(1)測評對象測評對象 該層面可能涉及的測評對象和采用的測評方式如下表 10 所示。表表 10 測評對象和測評方式測評對象和測評方式 衛生健康行業醫療機構場景密碼應用與安全性評估實施指南 34 層面（類）層面（類）測評對象測評對象 測評方式測評方式 設備和計算安全 通用服務器（如應用服務器、數據庫服務器）、數據庫管理系統、安全認證網關、密碼服務管理平臺、服務器密碼機、簽名驗簽服務器、協同簽名系統、時間戳服務器、移動智能終端安全密碼模塊、堡壘機等 訪談 文檔審查 實地查看 配置檢查 工具測試(2)(2)測評實施要點測評實施要點 測評指標包括登錄設備時采用的身份鑒別方式、遠程管理通道

75、安全、系統資源訪問控制信息完整性、日志記錄完整性、重要可執行程序完整性與來源真實性。鑒于該層面與系統業務關聯性不強，因此測評時可按照 GM/T 0115-2021 中 6.3章節描述的測評方法實施測評。4.2.4 應用和數據安全測評應用和數據安全測評(1)測評對象測評對象 醫療機構核心業務系統為院內電子病歷系統、互聯網診療系統，實際測評時根據測評范圍確定具體測評對象。業務系統應用涉及的用戶包括醫生、護士、技師等醫務人員；涉及的重要數據包括患者個人隱私信息相關數據，費用支付信息、檢驗檢查報告、電子病歷等業務數據；涉及的關鍵行為包括醫技護人員處方書寫、醫囑書寫、護理記錄書寫、電子病歷書寫、檢驗檢查

76、診斷報告生成等業務行為。其中，關于患者個人用戶身份鑒別的測評本指南暫不考慮。該層面涉及的測評對象和采用的測評方式如表 11 所示。表表 11 測評對象和測評方式測評對象和測評方式 層面（類）層面（類）測評對象測評對象 測評方式測評方式 應用和數據安全 醫療機構場景業務系統應用 訪談 文檔審查 實地查看 配置檢查 工具測試(2)測評實施要點測評實施要點 衛生健康行業醫療機構場景密碼應用與安全性評估實施指南 35 測評指標包括用戶身份鑒別、訪問控制信息完整性、重要數據傳輸機密性和完整性、重要數據存儲機密性和完整性、不可否認性。測評實施要點包括：1）業務系統用戶身份的真實性鑒別業務系統用戶身份的真實

77、性鑒別機制機制 首先，采用訪談安全管理人員、查看系統設計文檔等方式，了解業務系統應用用戶的身份鑒別機制及鑒別過程中涉及密鑰的生命周期管理。然后，采用審查代碼片段、配置檢查和查看日志等方式，對之前獲取證據進行確認。根據系統密碼應用設計，業務系統采用如下兩種方案保障用戶身份的真實性：a)PC 端用戶：通過為用戶配發具有商用密碼產品認證證書的智能密碼鑰匙，使用第三方 CA 機構簽發的數字證書，基于 SM2 算法實現對用戶的身份鑒別。b)移動終端用戶：在移動終端集成具備商用密碼產品認證證書的移動智能終端安全密碼模塊，通過調用協同簽名系統的協同簽名服務，基于 SM2算法實現移動終端用戶的身份鑒別。針對兩

78、種不同的鑒別機制，采用不同的測評方法。如果采用 a)方式中描述的使用智能密碼鑰匙實現身份鑒別，可以通過抓取用戶 PC 端與業務系統服務端的通信數據包，分析是否包含服務端挑戰值的簽名字段；查看業務系統的簽名驗簽服務器日志，查看是否對挑戰的簽名字段進行了驗簽操作；查看用戶智能密碼鑰匙的簽名數字證書是否符合要求。如果采用 b)方式中描述的協同簽名機制，則可以查看協同簽名系統日志和業務系統配置界面，確認是否執行協同簽名操作；抓取移動終端與業務系統服務端的通信數據包，分析是否包含簽名字段；查看協同簽名系統的日志，查看是否進行了驗簽操作。2）訪問控制信息完整性訪問控制信息完整性 業務應用涉及的訪問控制信息

79、可以通過查看數據庫、代碼實現片段、服務器密碼機調用日志等方式檢查是否對訪問控制信息進行完整性保護。3）重要數據傳輸保護機制重要數據傳輸保護機制 重要數據中基準站觀測數據、實時差分改正數據需要進行傳輸。在測評實施衛生健康行業醫療機構場景密碼應用與安全性評估實施指南 36 過程中，首先，通過訪談方式了解數據在傳輸過程中是否使用密碼技術進行機密性和完整性保護以及涉及密鑰的生命周期管理；然后，通過審查代碼片段、查看服務器密碼機調用日志、計算簽名值或 HMAC 長度是否與聲稱采用密碼算法輸出長度一致等方式，確認采用的密碼技術，密鑰生成、存儲和傳輸保護機制等。4）重要數據存儲保護機制重要數據存儲保護機制

80、業務系統應用涉及的重要數據主要包括患者個人隱私信息，以及門急診、住院、檢驗檢查、互聯網診療等業務中涉及的費用支付、電子病歷等基礎醫療衛生信息等。對醫療應用數據、醫療支付數據等重要數據進行存儲時，基于密碼設備/服務提供的 HMAC-SM3 技術，實現重要數據的存儲完整性保護；通過調用密碼設備/服務，基于 SM4 對稱加密技術，對患者個人隱私信息（電話、住址、身份證、聯系人等）等重要數據進行加密保護，確保數據庫里的用戶身份信息等敏感信息內容不被非法泄露，實現重要數據的存儲機密性保護。在測評實施過程中，首先，通過訪談方式了解數據在存儲時是否采用密碼技術進行機密性和完整性保護以及涉及密鑰的生命周期管理

81、。然后，通過查看服務器密碼機的算法配置、審查代碼片段、查看服務器密碼機調用日志、查看數據庫、工具驗證測試等方式，確認采用的密碼算法、密碼技術等是否合規、正確、有效。4.2.5 安全管理安全管理(1)測評對象測評對象 安全管理包括管理制度、人員管理、建設運行和應急處置四個指標體系。測評對象如表 12 所示。表表 12 測評對象和測評方式測評對象和測評方式 層面（類）層面（類）測評對象測評對象 測評方式測評方式 安全管理 系統相關人員、管理體系（如安全管理制度類文檔、操作規程類文檔、記錄表單類文檔、系統相關人員等）、密碼應用方案、密鑰管理制度及策略類文檔、密碼實施方案、密碼應用安全性評估報告、密碼

82、應用安全管理制度、攻防對抗演習報告和整改文檔等 訪談 文檔審查 衛生健康行業醫療機構場景密碼應用與安全性評估實施指南 37 (2)測評實施要點測評實施要點 測評實施主要通過訪談和文檔審查，檢查管理制度是否全面、規范、合理；訪談系統相關人員，確認人員是否了解并遵守密碼相關法律法規、是否正確使用密碼相關產品。具體可按照 GM/T 0115-2021 中 6.5 至 6.8 章節描述的測評方法實施測評。4.2.6 密鑰管理密鑰管理 除對密碼應用技術要求四個層面和安全管理方面進行測評外，還需要對該場景下的密鑰管理安全性進行測評。對于醫療機構業務系統場景，需重點關注門急診、住院、檢驗檢查、互聯網診療等涉

83、及的用戶/通信實體身份真實性密鑰、重要數據傳輸完整性保護密鑰、重要數據存儲機密性保護密鑰、重要數據存儲完整性保護密鑰等密鑰的全生命周期的安全，包括核實密鑰管理使用的密碼產品、密碼服務是否滿足要求，核查密鑰管理安全性實現技術是否正確有效等。在核實證書有效性時，應注意核實證書管理的各個環節。4.3 主要測評結果主要測評結果 結合本指南 4.1、4.2 章節確定的測評指標和測評內容，根據 GM/T 0115-2021結果判定規則，得出各個測評對象和測評單元的測評結果。進一步從單元間、層面間進行測評和綜合安全分析，得出整體測評結果。由于部分測評對象測評結果的得出需要結合系統具體實現，且測評結果判定依據

84、比較明確，此處不再進行具體描述。本節重點對其中部分測評對象測評結果的判定方法進行分析。在網絡和通信安全層面，如用戶端與業務系統之間的通信傳輸，通過部署具有商用密碼產品認證證書的SSL VPN安全網關及安全認證網關，使用國密SSL套件為用戶端和業務系統之間建立安全通道，使用國密 SM2、SM3、SM4 算法，配套由第三方 CA 機構簽發的數字證書，實現用戶端到業務系統之間的通信實體的身份鑒別以及通信數據的機密性和完整性保護；以上網絡通信信道均采用合規的密碼產品和密碼技術進行通信實體的身份鑒別，保障通信過程中數據的完整性和重要數據的機密性，均符合要求。衛生健康行業醫療機構場景密碼應用與安全性評估實

85、施指南 38 在應用和數據安全層面，（1）身份鑒別：通過智能密碼鑰匙或者協同簽名系統，基于 SM2 算法，保證業務系統 PC 端或移動終端用戶身份的真實性；（2）重要數據存儲的機密性和完整性：通過部署具有商用密碼產品認證證書的密碼服務管理平臺、服務器密碼機，使用密碼設備/服務實現的基于 SM4 算法的對稱加解密功能和基于 SM3 算法的消息鑒別碼功能對存儲的重要數據進行機密性和完整性保護；（3）不可否認性：通過部署具有商用密碼產品認證證書的密碼服務管理平臺、簽名驗簽服務器或協同簽名系統，基于 SM2 數字簽名的方式保證業務系統醫技護人員處方書寫、醫囑書寫、護理記錄書寫、電子病歷書寫、檢驗檢查診

86、斷報告生成等業務行為的不可否認性；另外，通過部署具有商用密碼產品認證證書的時間戳服務器，保證電子病歷簽署等完成時間的不可否認性。以上均采用合規的密碼算法、密碼技術、密碼產品和密碼服務保障應用用戶身份和業務重要數據來源的真實性，重要數據存儲的機密性和完整性以及用戶關鍵行為的不可否認性，均符合要求。在整體測評階段，應依照 GM/T 0115-2021 的整體測評要求，考慮是否存在單元間和層面間的彌補情況，如本指南場景中應用和數據安全層面的重要數據傳輸的機密性和完整性保護通過網絡層的傳輸保護進行彌補。在風險分析和評價階段，應依照 GM/T 0115-2021 的風險分析和評價中的要求執行。另外，可根

87、據安全威脅嚴重程度、安全威脅發生頻率和關聯資產價值等方面進行具體分析和評價工作。4.4 注意注意事項事項 在測評過程中需要注意以下事項：(1)測評前需明確測評范圍和責任主體，且需要重點關注測評對象的選取問題。在實施具體測評時，需根據被測系統的網絡安全等級保護定級范圍確定被測系統的網絡邊界和測評范圍及具體的測評對象。(2)醫療機構業務場景涉及的數據種類繁雜，在實施具體測評時，需與被測方進一步明確重要業務數據的安全需求，如涉及到機密性傳輸和存儲保護的數據范圍、涉及到完整性傳輸和存儲保護的數據范圍等。(3)系統可能采用不同的密碼技術實現數據的傳輸和存儲保護，如可能通過衛生健康行業醫療機構場景密碼應用

88、與安全性評估實施指南 39 調用智能密碼鑰匙、軟件密碼模塊、服務器密碼機、密碼服務管理平臺等采用數字簽名或 HMAC 等算法進行機密性或完整性保護，應注意在測評實施過程中，應根據不同實現機制采用不同的測評方式。(4)對于通過互聯網或者其他跨網絡使用 VPN 進行運維管理的情況，此時遠程管理終端與 VPN 之間的通信信道也應作為網絡和通信安全層面的測評對象進行測評。(5)系統在實現過程中，可能會采用多種緩解措施降低未使用密碼技術帶來的安全風險，此時應根據具體場景和實際情況分析緩解措施如何降低風險，判斷緩解措施是否有效等。全民健康信息平臺全民健康信息平臺 密碼應用與安全性評估實施指南密碼應用與安全

89、性評估實施指南 國家衛生健康委統計信息中心 2023 年 12 月 全民健康信息平臺密碼應用與安全性評估實施指南 目目 錄錄 1 場景概述場景概述.1 1.1 背景.1 1.2 典型場景介紹.1 2 密碼應用需求密碼應用需求.17 2.1 風險分析和安全需求.17 2.2 場景對密碼應用的特殊要求.21 3 密碼應用實施指南密碼應用實施指南.21 3.1 典型場景業務的密碼應用設計.21 3.2 密碼產品/服務選擇和部署.29 3.3 與 GB/T 39786 對照情況說明.31 3.4 注意事項.35 4 密碼應用安全性評估實施指南密碼應用安全性評估實施指南.37 4.1 主要測評指標的選擇

90、和確定.37 4.2 主要測評內容.39 4.3 主要測評結果.48 4.4 注意事項.49 全民健康信息平臺密碼應用與安全性評估實施指南 I 前 言 全民健康信息平臺作為醫療健康領域重要的民生健康保障，承載著大量的居民個人電子健康檔案、電子病歷等敏感數據，一旦泄漏或者被竊取、篡改，可能涉及患者生命安全及社會穩定的風險，全民健康信息平臺的網絡安全問題不容忽視。本指南針對全民健康信息平臺惠民服務、業務協同、業務監管及平臺基礎建設四個典型業務場景，分析業務流程、安全風險及保護對象，給出了用戶身份真實性和重要數據來源真實性、關鍵行為不可否認、通信數據傳輸安全、基礎醫療衛生信息存儲安全等四個方面的密碼

91、應用設計，并給出了密碼應用安全性評估測評內容。本指南適用于各級衛生健康信息部門開展全民健康信息平臺密碼應用和安全性評估實施工作，同時可為主管監管部門、第三方測評機構等部門開展全民健康信息平臺密碼應用的安全監督、檢查、評估等工作提供參考。本指南由國家衛生健康委統計信息中心牽頭，北京市衛生健康大數據與政策研究中心、廣東省衛健委、廣東省衛健委政務服務中心、江蘇省南京市衛生信息中心、北京數字認證股份有限公司、廣州競遠安全技術股份有限公司、數字廣東網絡建設有限公司、中國科學院信息工程研究所等多家衛生健康單位和密碼相關單位共同開展研究與編制。全民健康信息平臺密碼應用與安全性評估實施指南 II 術語和定義

92、下列術語和定義適用于本文件。機密性 confidentiality 保證信息不被泄露給非授權實體的性質 數據完整性 data integrity 數據沒有遭受以非授權方式所做的改變的性質 真實性 authenticity 一個實體是其所聲稱實體的這種特性，真實性適用于用戶、進程、系統和信息之類的實體。不可否認性 non-repudiation 證明一個已經發生的操作行為無法否認的特性。加密 encipherment；encryption 對數據進行密碼變換以產生密文的過程。密鑰 key 控制密碼算法運算的關鍵信息或參數。密鑰管理 key management 根據安全策略，對密鑰的產生、分發、

93、存儲、使用、更新、歸檔、撤銷、備份、恢復和銷毀等密鑰全生命周期的管理。身份鑒別 identity authentication 證實一個實體所聲稱身份的過程。消息鑒別碼 message authentication code 利用對稱密碼技術或密碼雜湊技術，在秘密密鑰參與下，由消息所導出的數據項。任何持有這一秘密密鑰的實體，可利用消息鑒別碼檢查消息的完整性和始發者身份。動態口令 one-time password 基于時間、事件等方式動態生成的一次性口令。訪問控制 access control 全民健康信息平臺密碼應用與安全性評估實施指南 III 按照特定策略，允許或拒絕用戶對資源訪問的一種機

94、制?？s略語 下列縮略語適用于本文件。平臺：全民健康信息平臺 APP：應用程序（Application）VPN：虛擬專用網絡（Virtual Private Network）PC：個人計算機(Personal Computer)ID：身份標識（Identity）SOA：面向服務的架構(Service-Oriented Architecture)CA：證書認證機構（Certificate Authority）SSL：安全套接層(Secure Sockets Layer)IPSec：IP 層協議安全結構(Internet Protocol Security)SSH：安全外殼（Secure Shell

95、）MAC：消息鑒別碼(Message Authentication Code)HMAC：密鑰相關的哈希運算消息認證碼（Hash-based Message Authentication Code）全民健康信息平臺密碼應用與安全性評估實施指南 1 1 場景概述場景概述 1.1 背景背景 建設形成統一權威、互聯互通的全民健康信息平臺是推進數字中國、健康中國戰略的重要信息化保障，是深化“互聯網+醫療健康”和醫療健康大數據發展的主要支撐。國家衛生健康委于 2015 年啟動國家及省統籌區域全民健康信息平臺互聯互通工作，并制定了全民健康信息平臺互聯互通技術方案。2022 年 11 月7 日，國家衛生健康委

96、、國家中醫藥局、國家疾控局聯合印發的“十四五”全民健康信息化規劃中指出，到 2025 年，初步建設形成統一權威、互聯互通的全民健康信息平臺支撐保障體系，基本實現公立醫療衛生機構與全民健康信息平臺聯通全覆蓋。目前，國家級全民健康信息平臺已實現與 31 個?。ㄖ陛犑校┖托陆a建設兵團全民健康信息平臺的互聯互通。全民健康信息平臺作為醫療健康領域重要的民生健康保障，承載著大量的居民個人電子健康檔案、電子病歷等敏感數據，一旦泄漏或者被竊取、篡改，可能涉及患者生命安全及社會穩定的風險，全民健康信息平臺的網絡安全問題不容忽視。本指南以中華人民共和國密碼法中華人民共和國數據安全法中華人民共和國個人信息保護法

97、以及國務院辦公廳關于印發國家政務信息化項目建設管理辦法的通知（國辦發201957 號）、國務院印發商用密碼管理條例（國務院令第 760 號）、公安部印發貫徹落實網絡安全等級保護制度和關鍵信息基礎設施安全保護制度的指導意見（公網安20201960 號）、關于印發醫療衛生機構網絡安全管理辦法的通知（國衛規劃發202229 號）、關于印發“十四五”全民健康信息化規劃的通知信息安全技術 信息系統密碼應用基本要求（GB/T 39786-2021）等法律法規和標準規范中對密碼應用的要求為依據，根據全民健康信息平臺應用功能指引及建設技術指南，聚焦于醫療健康行業中全民健康信息平臺業務場景，促進開展密碼應用與安

98、全性評估的實施。本指南面向對象為國家及省統籌區域全民健康信息平臺，網絡安全等級保護定級為第三級的系統。1.2 典型場景介紹典型場景介紹 全民健康信息平臺密碼應用與安全性評估實施指南 2 全民健康信息平臺作為保障全民健康的信息化工程，目前已覆蓋國家及省統籌區域全民健康信息平臺互聯互通，建立了全員人口、健康檔案、電子病歷、衛生健康資源等基礎數據庫，建立了公共服務、醫療服務、醫療保障、藥物管理、計劃生育、綜合管理等業務庫，主要業務場景功能介紹如下：表表 1 業務場景功能描述業務場景功能描述 序號序號 業務名稱業務名稱 業務場景功能描述業務場景功能描述 惠民服務惠民服務 1 預約掛號預約掛號 為居民提

99、供預約專家號、普通號服務，可以通過健康網站、手機APP等多種方式實現。具體功能包括具體功能包括但不限于但不限于：統一號源池管理、醫療機構號源管理、患者身份認證、預約規則管理，預約、掛號流程、醫療機構和?？茖＜医榻B。2 智能導診智能導診 針對患者提供就醫導診的互聯網服務，主要是提供給患者安全、可靠、權威的就醫指導意見，保障居民合理、有序、安全的就醫。具體功能包括具體功能包括但不限于但不限于：導診知識庫、癥狀評估、就診機構推薦、就診科室推薦等。3 處方流轉處方流轉 服務服務 為居民提供憑借實體醫療機構或互聯網醫院開具的電子處方，到藥店購藥的服務。具體功能包括具體功能包括但不限于但不限于：藥品目錄管

100、理、藥品供應商/藥店管理、流轉方式管理、處方查詢、電子處方發藥記錄等。4 統一統一結算結算支支付付服務服務 基于居民健康卡整合居民就診支付渠道，提供覆蓋主流在線支付機構（基本/商業醫療保險、銀行、第三方支付平臺）的統一結算支付服務。具體功能包括具體功能包括但不限于但不限于：用戶管理、個人用戶實名制認證管理、接入機構資質管理、綜合分析、線下掃碼支付、在線支付、商保理賠、對賬服務等。5 檢驗檢查檢驗檢查 報告查詢報告查詢 居民可以通過區域全民健康信息平臺提供的門戶網站、手機APP等多種途徑，查詢近日在區域內醫院進行的檢驗檢查報告。全民健康信息平臺密碼應用與安全性評估實施指南 3 序號序號 業務名稱

101、業務名稱 業務場景功能描述業務場景功能描述 具體功能包括具體功能包括但不限于但不限于：報告提醒、報告查詢、報告定制與推送等。6 互聯網互聯網+醫療醫療服務服務 為居民提供線上醫療服務，通過遠程監測和在線咨詢服務，讓醫護人員及時了解患者狀況，為患者提供便捷的醫療健康服務。具體功能包括具體功能包括但不限于但不限于：在線咨詢、在線復診、護理咨詢、在線護理監測、護理指導、健康管理計劃、居家護理、用藥咨詢、處方重整、膳食資訊、隨訪服務等。7 醫療健康醫療健康 資源地圖資源地圖 為居民提供區域衛生健康服務資源分布地圖查詢服務。具體功能包括具體功能包括但不限于但不限于：服務資源管理、機構基本信息、機構服務信

102、息、機構交通導航等。8 家庭醫生家庭醫生 簽約服務簽約服務 為居民提供“互聯網+家庭醫生簽約服務”。具體功能包括具體功能包括但不限于但不限于：家庭醫生團隊信息查詢、家庭醫生簽約服務申請與簽訂、個人及家庭就診記錄查詢、家庭醫生上門服務記錄查詢、居民健康咨詢、健康常識及惠民活動信息查詢。9 中醫中醫藥藥 健康促進健康促進 為居民提供“互聯網+中醫藥健康服務”。具體功能包括具體功能包括但不限于但不限于：中醫藥健康知識宣教、中醫疾病預防保健指南、中醫疾病預防知識、中醫公共衛生常識等。10 健康檔案健康檔案 查詢查詢 居民通過互聯網、自助服務等多種途徑，依據居民健康卡等進行身份實名安全認證與有效授權，實

103、現對居民電子健康檔案的查詢。具體功能包括具體功能包括但不限于但不限于：電子健康檔案首頁、個人就診記錄、檢驗檢查結果、公共衛生服務記錄、簽約協議、授權查詢等。11 慢病管理慢病管理 為高血壓、型糖尿病等慢性病患者提供慢病信息查詢、推送服務。具體功能包括具體功能包括但不限于但不限于：慢病檔案管理、慢病監護、健康數據監測、在線咨詢、遠程隨訪、健康體檢信息、健康狀況信息、健康宣教和日常護理知識等。12 接種免疫接種免疫 服務服務 為居民提供跨定點機構的在線免疫接種查詢、預約服務，為居民提供免疫接種服務提醒和相關知識。具體功能包括具體功能包括但不限于但不限于：免疫接種服務提醒、接種記錄查詢、跨區免全民健

104、康信息平臺密碼應用與安全性評估實施指南 4 序號序號 業務名稱業務名稱 業務場景功能描述業務場景功能描述 疫接種服務、接種知識定制與推送、接種檔案記錄。13 醫養服務醫養服務 依托家庭醫生簽約機制，對社區內醫療護理服務與養老服務資源進行整合，實現區域內各類有需求的老年群體適宜的醫療衛生服務全覆蓋。具體功能包括具體功能包括但不限于但不限于：養護需求申請、服務計劃推送、服務評價、全科醫生與養老機構簽約、需求評估、服務資源調配、服務計劃制定、服務前提醒、服務檔案記錄、服務質控，服務機構排名等。14 用藥服務用藥服務 面向居民和社區醫生提供合理用藥與安全用藥知識查詢服務。針對艾滋病、結核病、高血壓、糖

105、尿病、精神疾病等需要長期服藥的疾病，面向婦女、兒童、老年人等特定人群提供規范用藥提醒服務。具體功能包括具體功能包括但不限于但不限于：藥品信息查詢、規范用藥提醒等。15 健康教育健康教育 為居民提供基于“互聯網+”的健康知識查詢、健康教育服務。具體功能包括具體功能包括但不限于但不限于：健康評估、信息推送、健康教育資訊服務、健康教育評價。16 健康體檢健康體檢 服務服務 為居民提供從業人員體檢、適齡幼兒入園體檢相關的機構在線查詢、預約服務。具體功能包括具體功能包括但不限于但不限于：服務指南、體檢機構選擇、在線預約、體檢項目選擇、預約提醒、報告查詢等。17 生育服務生育服務 和指導和指導 為育齡人群

106、提供個性化在線生育技術關懷、指導與服務。具體功能包括具體功能包括但不限于但不限于：服務資源查詢、在線咨詢、服務指導、避孕藥具網上配送、生育服務線上登記、出生醫學證明在線申領等。18 心理健康心理健康 服務服務 為居民提供“互聯網+心理健康服務”。具體功能包括具體功能包括但不限于但不限于：服務資源查詢、知識庫、心理科普、心理測評、心理咨詢服務等。業務協同業務協同 19 院前急救院前急救 打通急救車和醫療機構之間的數據互通共享通道。全民健康信息平臺密碼應用與安全性評估實施指南 5 序號序號 業務名稱業務名稱 業務場景功能描述業務場景功能描述 業務協同業務協同 具體功能包括具體功能包括但不限于但不限

107、于：患者健康檔案、既往病史、過敏記錄提取、傳輸、共享，醫療機構急診等候時間、手術床位可用狀態、血液可用狀態查詢共享，急救車患者信息采集和傳輸、生命體征實時監測信息共享、車輛定位等。20 分級診療分級診療 協同協同 推動機構間和醫生間的信息共享和服務協同，為醫院間分級診療提供信息化支撐。具體功能包括具體功能包括但不限于但不限于：分級診療簽約服務、資源排班、預約規則管理、資源授權、掛號預約、檢驗檢查預約、住院預約、康復預約、處方共享調閱、轉診患者病歷共享、醫醫互動和帶教等。21 遠程會診遠程會診 協同協同 開展遠程會診業務和遠程聯合門診協同服務。具體功能包括具體功能包括但不限于但不限于：會診預約、

108、音視頻會診、異步會診、會診管理、會診評價等。22 檢查檢驗結檢查檢驗結果共享協同果共享協同 開展區域范圍內檢查檢驗結果共享互認。具體功能包括具體功能包括但不限于但不限于：檢查檢驗結果互認管理、檢查檢驗結果共享調閱、數據分析等。23 區域檢查檢區域檢查檢驗服務協同驗服務協同 開展醫療機構間檢驗、影像、心電、病理等醫療協同服務。具體功能包括具體功能包括但不限于但不限于：醫療機構注冊、醫務人員注冊、標本物流運送、報告智能審核、檢查/病理診斷、檢查檢驗報告、檢查檢驗會診、輔助診斷、服務評價等。24 血液安全管血液安全管理業務協同理業務協同 開展血液安全風險監測。具體功能包括具體功能包括但不限于但不限于

109、：采血信息采集、血液使用追溯、血庫資源調配、血庫庫存預警、血液安全預警、輸血不良反應管理、單采血漿站原料血漿采集、檢測、存儲、供應等。25 中醫館中醫館 服務協同服務協同 為基層醫療衛生服務機構中醫館提供中醫、中西醫結合信息化服務。具體功能包括具體功能包括但不限于但不限于：中醫電子病歷、輔助診斷、遠程診療與教育、中醫養生保健治未病、中醫辨證論治智能輔助診療等。26 慢病業務慢病業務 為基層醫療衛生服務機構開展慢性病個案處置、隨訪、干預、評估等全民健康信息平臺密碼應用與安全性評估實施指南 6 序號序號 業務名稱業務名稱 業務場景功能描述業務場景功能描述 協同協同 業務提供數據協同支撐。具體功能包

110、括具體功能包括但不限于但不限于：慢病報卡、慢病隨訪填報、轄區新增病例情況查詢、全科醫生任務推送和全科醫生服務計劃管理等。27 健康促進健康促進 與教育與教育 業務協同業務協同 對健康促進與教育業務在各級健康教育專業機構、基層醫療衛生機構、醫院、專業公共衛生機構之間協同聯動提供協同支撐。具體功能包括具體功能包括但不限于但不限于：健康危險因素和健康素養水平監測、健康科普資源庫、個性化健康教育和健康干預、健康教育效果評價等。28 婦幼健康婦幼健康 業務協同業務協同 推動婦幼健康業務在區域內不同醫療機構之間的協同聯動。具體功能包括具體功能包括但不限于但不限于：婦女保健信息采集、兒童保健信息采集、產婦分

111、娩信息和出生醫學證明信息采集、生育技術服務信息采集、出生缺陷防治信息采集、孕產婦健康服務信息整合、保健服務提示等。29 家庭簽約與家庭簽約與履約協同履約協同 對醫生在診療或為居民提供其他服務過程中開展履約服務協同提供支撐。具體功能包括具體功能包括但不限于但不限于：家庭醫生簽約、簽約服務包管理、履約計劃、服務履約、健康隨訪等。30 食品安全食品安全 防控協同防控協同 對公共衛生部門聯合食藥監、市場監管部門開展食品在生產、流通和消費領域的安全預防、相關因素分析、突發食源性疾病事件與溯源、食物樣本采集與送檢、檢驗檢測結果發布等業務提供信息共享和協同防控。具體功能包括具體功能包括但不限于但不限于：食品

112、安全風險監測結果分析、食源性疾病溯源、食品樣本送檢、食品檢驗檢測結果分析等。31 疾病疾病控制控制 監測協同監測協同 對醫療衛生機構開展免疫接種、傳染病報告、結核病防治、艾滋病綜合防治、血吸蟲病患者管理、職業病報告、職業性健康監護、傷害監測報告、中毒報告、行為危險因素監測等業務提供信息共享與數據協同支撐。具體功能包括具體功能包括但不限于但不限于：疾病診斷與建檔協同、疾病分級分組管理與臨床路徑協同、醫院門診與隨訪管理協同、醫療體檢與隨訪管理協同、全民健康信息平臺密碼應用與安全性評估實施指南 7 序號序號 業務名稱業務名稱 業務場景功能描述業務場景功能描述 醫療質量與疾病監管質控協同等。32 突發

113、公共衛突發公共衛生事件應急生事件應急指揮協同指揮協同 為突發公共衛生事件應急指揮提供信息和技術支撐。具體功能包括具體功能包括但不限于但不限于：應急值班信息、突發急性傳染病和突發公共衛生事件監測信息、輿情信息收集、分析與研判；突發公共衛生事件預警信息發布；聯防聯控工作機制和衛生應急指揮部等會議保障；衛生應急隊伍、專家、儲備、預案、知識、案例等應急資源的管理；應急能力評估和工作評價等。33 藥品藥品供應供應 保障監測保障監測 協同協同 對基本藥物運行監管和藥品供應保障監測提供協同支撐。具體功能包括具體功能包括但不限于但不限于：基本藥物運行監管、藥品使用監測、醫保目錄藥品耗材使用監測、集中采購藥品耗

114、材使用監測、處方流轉監管、短缺藥品預警與協調監測等。34 醫保業務醫保業務 協同協同 通過與醫保機構的信息交換和共享，為患者提供異地轉診、異地就醫結算服務。包括本地醫院出院證明等，為異地醫保費用支付提供結算依據。具體功能包括具體功能包括但不限于但不限于：本地醫院轉診證明、本地醫院出院證明、跨區域結算基金流轉預警功能信息接口。業務監管業務監管 35 醫院運營醫院運營 情況監管情況監管 對各級醫療機構的運營情況進行監測與分析。具體功能包括具體功能包括但不限于但不限于：資產運營、工作負荷、工作效率、患者負擔、醫院運行能耗等。36 醫療質量醫療質量 情況監管情況監管 開展醫院質量監測，對合理用藥、診療

115、質量、服務規范和患者安全進行監測、警示與追蹤評價。具體功能包括具體功能包括但不限于但不限于：合理用藥監測、醫療服務執行與提示、醫院感染情況監測、不良事件監測、臨床知識庫接口、質量管理指標統計分析等。37 互聯網互聯網 醫療服務醫療服務 對互聯網診療、“互聯網+護理”、“互聯網+藥事”等服務進行統一監管。全民健康信息平臺密碼應用與安全性評估實施指南 8 序號序號 業務名稱業務名稱 業務場景功能描述業務場景功能描述 監管監管 具體功能包括具體功能包括但不限于但不限于：機構備案管理、醫護備案管理、診療服務監管、處方服務監管、醫療費用監管、在線服務評價、異常預警監測等。38 檢驗檢查互檢驗檢查互認業務

116、監管認業務監管 對互認的檢驗檢查項目、醫療機構、檢查檢驗報告進行統一監管。具體功能包括具體功能包括但不限于但不限于：互認項目管理、互認報告質控、互認標準管理、臨床互認監控、互認統計分析等。39 遠程醫療遠程醫療 業務監管業務監管 對各遠程醫療服務中心、分中心以及合作醫院的遠程醫療業務進行統一的監管。具體功能包括具體功能包括但不限于但不限于：遠程醫療服務中心備案、遠程醫療服務分中心備案、合作醫院備案、遠程醫療專家信息備案、遠程醫療服務項目備案、會診記錄個案、遠程教育課程信息、遠程費用結算信息監管、遠程醫療服務質量監管、會診業務綜合統計分析等。40 公立醫院公立醫院 績效考核績效考核 對公立醫院績

117、效考核情況進行統一監管。具體功能包括具體功能包括但不限于但不限于：考核指標管理、能力提升相關指標監測、創新增效相關指標監測、醫療質量監管、運營效率、持續發展、滿意度評價等。41 預防接種預防接種 業務業務監測監測 對預防接種工作開展情況進行監測。具體功能包括具體功能包括但不限于但不限于：受種者基本信息和疫苗接種信息登記情況、兒童建卡證情況、國家免疫規劃疫苗應種人數和實種人數統計和報告情況、第二類疫苗接種統計和報告情況、群體性接種應種接種人數和實種接種人數統計和報告情況、疫苗出入庫和損耗報告統計報告情況、國家免疫規劃針對傳染病監測報告情況、疑似預防接種異常反應監測報告情況等。42 中醫藥服務中醫

118、藥服務項目監管項目監管 對中醫藥服務項目執行情況進行統一監管。具體功能包括具體功能包括但不限于但不限于：中醫醫療機構管理、中醫藥服務項目管理、中醫藥服務項目查詢、中醫藥服務項目執行數據管理、中醫藥服務項目質量控制管理、中醫藥教育數據統計分析及挖掘等。43 重點人群健重點人群健對婦幼、老年人等重點人群健康服務情況進行監測。全民健康信息平臺密碼應用與安全性評估實施指南 9 序號序號 業務名稱業務名稱 業務場景功能描述業務場景功能描述 康服務監測康服務監測 具具體功能包括體功能包括但不限于但不限于：重點人群風險管理、重點人群風險地圖、婦幼健康服務監測、老年人醫養服務監測等。44 國家基本公國家基本公

119、共衛生服務共衛生服務項目監管項目監管 對國家基本公共衛生服務項目開展情況進行統一監管。具體功能包括具體功能包括但不限于但不限于：居民電子健康檔案建檔率、基層醫療衛生服務機構提供的0-6歲以下兒童、孕產婦、65歲及以上老年人、高血壓患者、型糖尿病患者、嚴重精神障礙患者、結核病患者的健康管理，了解健康教育、預防接種服務、傳染病和突發公共衛生事件報告和處理、衛生監督協管、中醫藥健康管理的服務數量等。45 基層醫療衛基層醫療衛生機構生機構績效績效考核監管考核監管 對基層醫療衛生機構相關業務進行統一監管。具體功能包括具體功能包括但不限于但不限于：考核指標管理、醫療服務質量數量、患者滿意度、任務完成情況、

120、城鄉居民健康狀況等。46 醫改進展醫改進展 監測監測 對醫改實施情況進行監測。具體功能包括具體功能包括但不限于但不限于：指標的定義與維護、監測數據收集、指標匯總分析、指標展現等。47 衛生服務衛生服務 資源監管資源監管 對衛生服務資源進行統一監管。具體功能包括具體功能包括但不限于但不限于：衛生人員統計分析、醫療設施和設備統計分析、事業經費投入統計分析等。48 基建裝備基建裝備 監管監管 對醫療衛生機構業務用房建設和醫療設備等相關工作進行監管。具體功能包括具體功能包括但不限于但不限于：業務用房監管、大型醫用設備基本情況及相關使用人員監管等。49 綜合業務綜合業務 監管監管 對衛生政策執行、衛生健

121、康人才隊伍建設、衛生健康經濟管理等開展實時監測。具體功能包括具體功能包括但不限于但不限于：衛生健康政策綜合分析、衛生健康人力資源綜合監管、衛生健康經濟綜合監管等。50 食品安全食品安全 風險監測風險監測 對食品安全進行統一監測。具體功能包括具體功能包括但不限于但不限于：特殊醫學用途配方食品監管、食品安全風險監測計劃、食品化學污染物及有害因素監測、食品微生物風險監測、全民健康信息平臺密碼應用與安全性評估實施指南 10 序號序號 業務名稱業務名稱 業務場景功能描述業務場景功能描述 食源性疾病監測、食品安全風險監測質量管理、食品安全風險監測數據匯總分析及預警管理、食品安全風險監測報告管理等。51 人

122、口人口生育支生育支持信息監測持信息監測 對人口信息監測關鍵指標進行對比分析和預警預測。具體功能包括具體功能包括但不限于但不限于：人口信息監測、人口自身變動統計分析、人口結構統計分析、人口與發展統計分析、家庭單元信息統計、人口遷移流動評估、育齡婦女生育行為評估、出生人口變動預測、人口生育支持政策輔助決策等。52 電子健康碼電子健康碼應用應用監測監測 對區域內的電子健康碼應用范圍、業務廣度與深度進行監測。具體功能包括具體功能包括但不限于但不限于：分區域、分年度健康碼應用實現情況統計與分析，機構碼受理環境建設統計與分析，用碼情況統計與分析，綜合分析與輔助決策，電子健康碼應用目錄維護管理等。平臺基礎建

123、設平臺基礎建設 53 平臺主索引平臺主索引 以居民身份證號碼、護照等身份標識作為平臺基礎服務的主索引，依托電子健康碼跨域主索引管理為居民（患者）提供個人身份認證、個人注冊基本信息核實服務。具體功能包括具體功能包括但不限于但不限于：主索引服務，交叉索引服務，居民個人數據自動匹配關聯等。54 注冊服務注冊服務 提供對居民個人、醫療衛生人員、醫療衛生機構、醫療衛生術語等基礎共享信息的注冊。具體功能包括具體功能包括但不限于但不限于：個人注冊、醫療衛生人員注冊、醫療衛生機構注冊、醫療衛生術語注冊等。55 數據采集數據采集 與交換與交換 以集約化建設模式實現平臺批量數據采集和個案數據交換，強化數據采集與交

124、換中的數據標準化管理。具體功能包括具體功能包括但不限于但不限于：數據采集、數據整合、數據標準映射與轉換、文檔交換等。56 數據質量數據質量 管理管理 提供全生命周期的數據質量管理。具體功能包括具體功能包括但不限于但不限于：數據質量管理、數據質量檢核執行、數據質全民健康信息平臺密碼應用與安全性評估實施指南 11 序號序號 業務名稱業務名稱 業務場景功能描述業務場景功能描述 量評價、日常質量監測等。57 主數據管理主數據管理 提供省統籌區域平臺基礎數據庫、醫療衛生數據、標準規范數據等的規范化管理。具體功能包括具體功能包括但不限于但不限于：主數據管理、參考數據管理、文檔注冊、事件注冊、索引服務等。5

125、8 數據提取數據提取 分析分析 對數據進行提取和深入挖掘分析。具體功能包括具體功能包括但不限于但不限于：數據應用開發、數據可視化分析、數據標簽管理等。59 數據資源數據資源 中心中心 提供省統籌區域平臺的數據庫存儲、跨地域的數據存儲/訪問服務。具體功能包括具體功能包括但不限于但不限于：基礎資源庫、主題庫、專題庫、文檔庫等。60 數據數據資源資源 目錄目錄 基于元數據、信息資源分類、標識符編碼和全文檢索技術實現信息資源的統一管理。具體功能包括具體功能包括但不限于但不限于：元數據管理、文檔共享管理、資源目錄管理等。61 數據資源數據資源 共享共享 通過統一整合梳理信息資源編目，形成資源目錄，結合審

126、批流程，對外提供多種資源共享。具體功能包括具體功能包括但不限于但不限于：數據規范上報、數據資源共享、資源訂閱管理、共享訪問控制、API接口池、目錄服務、數據存證與審計監管等。62 數據分類數據分類 分級分級 通過自動化識別數據格式和業務含義，對數據進行梳理分析、分類分級，為開展數據資產管理、數據安全治理、數據安全防護等提供基礎。具體功能包括具體功能包括但不限于但不限于：配置管理、業務類型解析、數據分類分級等。63 基礎設施基礎設施 服務服務 為省統籌區域平臺提供基礎設施相關服務。具體功能包括具體功能包括但不限于但不限于：計算資源服務、存儲資源服務、網絡資源服務等。64 平臺支撐平臺支撐 服務服

127、務 為平臺上層業務應用提供基礎技術支撐及保障。具體功能包括具體功能包括但不限于但不限于：數據庫服務、大數據平臺服務、容器服務、中間件服務、云管理服務等。全民健康信息平臺密碼應用與安全性評估實施指南 12 序號序號 業務名稱業務名稱 業務場景功能描述業務場景功能描述 65 平臺管理平臺管理 為全民健康信息平臺提供基礎管理。具體功能包括具體功能包括但不限于但不限于：用戶管理、角色管理、權限管理、配置管理、日志管理、監控管理等。66 信息安全信息安全 提供身份認證、用戶管理和權限控制、審計追蹤、通訊 安全、節點認證等手段保證信息安全和隱私保護。具體功能包括具體功能包括但不限于但不限于：用戶訪問管理、

128、不可抵賴性、數據安全傳遞、數據安全路由、隱私保護、審計追蹤、節點與機構認證、平臺安全加固等。全民健康信息平臺主要面向醫生、護士等醫院相關工作者和孕婦、患者、患者家屬等就醫居民以及參加城鄉居民醫療保險等個人，面向衛生健康行政管理部門、基層醫療衛生機構、醫院、公共衛生、健康教育等機構開展惠民服務、業務協同、業務監管及平臺基礎建設等業務應用，實現國家及省統籌區域全民健康信息平臺的互聯互通。結合以上業務場景功能描述，梳理歸納惠民服務、業務協同、業務監管及平臺基礎建設四個業務應用的主要功能介紹如下：（1）惠民服務惠民服務 惠民服務主要面向居民個人、醫療衛生人員、醫療衛生機構提供注冊、預約掛號、就診、信息

129、查詢等相關業務功能。1）居民個人 居民個人用戶通過使用健康網站、手機APP等方式登錄全民健康信息平臺，實現預約掛號、醫院科室醫生檢索、就醫體驗與評價、遠程與醫生交流、查詢檢驗檢查報告、預約家庭醫生及簽約、惠民活動查詢、醫保轉診、就診支付、電子檔案查詢、生育登記辦理、疾病信息查詢、藥品信息查詢、養護需求申請等業務。2）醫療衛生人員 醫療衛生人員用戶通過健康網站、手機APP等方式登錄全民健康信息平臺，面向患者提供就醫指導、病人隨訪、膳食指南、面向跨院醫生溝通交流等業務。3）醫療衛生機構 全民健康信息平臺密碼應用與安全性評估實施指南 13 全民健康信息平臺上注冊的醫療衛生機構、預防保健機構等相關機構

130、通過業務專網或 VPN 虛擬專線登錄門戶網站、手機 APP 實現健康評估、各種疾病的信息推送、信息分級公開、線下藥具配送、貧困人口信息采集、信用管理、“治未病”各類健康干預服務數據采集、數據分析與決策等操作管理。（2）業務協同業務協同 國家全民健康信息平臺依托國家電子政務外網、VPN 專網與省級全民健康信息平臺實現網絡聯通，完成數據采集，實現全國各省級平臺患者基本信息、就診信息、電子病歷數據，健康檔案信息在國家層面的整合集成等業務協同。省統籌區域全民健康信息平臺依托國家電子政務外網或業務專網或 VPN 虛擬專線實現網絡全聯通；醫療機構和直屬單位依托業務專網或 VPN 虛擬專線接入區域全民健康信

131、息平臺，實現與全民健康信息平臺之間、不同醫療機構之間、國家藥管平臺之間等的疾病監測業務協同、疾病管理業務協同、突發公共衛生事件應急指揮協同、婦幼健康業務協同、血液安全管理業務協同、院前急救業務協同、分級診療協同、出生人口監測業務協同、跨境重大疫情防控協同、藥品（疫苗）監管協同、食品安全防控協同等協同業務。（3）業務監管業務監管 全民健康信息平臺依托國家電子政務外網、業務專網、VPN 虛擬專線與不同醫療機構之間進行業務監管，包括但不限于醫改進展監測、綜合業務監管、衛生服務資源監管、醫務人員執業行為監管、傳染性疾病管理業務監管、慢病管理業務監管、精神疾病業務監管、預防接種業務監管、婦女保健業務監管

132、、兒童保健業務監管、國家基本公共衛生服務項目監管、食品安全監測業務監管、醫院運營情況監管、預約掛號業務監管、檢驗檢查互認業務監管、遠程醫療業務監管、衛生監督業務監測、居民健康卡應用監督。全民健康信息平臺依托國家電子政務外網、業務專網、VPN 虛擬專線實現對互聯網醫療服務監管平臺的監督與管理，重點監管互聯網醫院醫務人員、處方、診療行為、患者隱私保護和信息安全等內容。（4）平臺基礎建設平臺基礎建設 1）醫療機構層面 全民健康信息平臺密碼應用與安全性評估實施指南 14 醫療機構通過國家電子政務外網、業務專網、VPN 虛擬專線使用 PC 端登錄系統，實現向區域全民健康信息平臺數據上報。2）運營人員層面

133、 全民健康信息平臺運營人員（包括平臺管理者和平臺接入機構的管理者）通過國家電子政務外網、業務專網、VPN 虛擬專線使用 PC 端登錄系統，完成醫療衛生術語的注冊、維護，全民健康檔案服務等管理。表表 2 典型場景業務流程梳理典型場景業務流程梳理 序號序號 業務名稱業務名稱 業務流程描述業務流程描述 1 惠民服務（1）注冊 1）居民個人注冊 居民個人通過 PC 端、移動終端、自助機等多渠道終端訪問全民健康信息平臺提交個人信息數據根據通過實名制驗證的用戶信息生成電子健康卡 ID，完成用戶注冊并建立個人檔案。2）醫療衛生人員、醫療衛生機構用戶注冊 醫療衛生人員、醫療衛生機構運營人員通過 PC 端訪問全

134、民健康信息平臺獲取醫療衛生人員管理系統、醫療衛生機構管理系統中個人及機構的信息數據全民健康信息平臺返回用戶信息進行核驗核驗成功，完成用戶注冊。（2）居民個人用戶應用 居民個人通過 PC 端、移動終端、自助終端，使用電子健康卡、社?？吧矸葑C登錄全民健康信息平臺進行預約掛號、醫院科室醫生檢索、就醫體驗與評價、遠程與醫生交流、查詢檢驗檢查報告、預約家庭醫生及簽約、醫保轉診、就診支付、惠民活動查詢、電子檔案查詢、生育登記辦理、疾病信息查詢、藥品信息查詢、養護需求申請等業務應用相關數據同步進行存檔。（3）醫療衛生人員用戶應用 醫療衛生人員用戶通過 PC 端、移動終端登錄全民健康信息平臺調出居民個人等就

135、診信息、基本信息、歷史病歷等進行問診、就全民健康信息平臺密碼應用與安全性評估實施指南 15 序號序號 業務名稱業務名稱 業務流程描述業務流程描述 醫指導等業務。問診后，如需檢驗檢查，醫療衛生人員用戶開具電子處方及電子醫囑推送給患者相關電子處方、電子醫囑等存檔至電子病歷檔案庫。（4）醫療衛生機構用戶應用 醫療衛生機構用戶通過 PC 端、移動終端登錄全民健康信息平臺實現健康評估、各種疾病的信息推送、信息分級公開、線下藥具配送、貧困人口信息采集、信用管理、“治未病”各類健康干預服務數據采集、數據分析與決策等操作管理。2 業務協同（1）國家與省統籌區域全民健康信息平臺之間業務協同 國家級全民健康信息平

136、臺通過國家電子政務外網、VPN 虛擬專線，實現數據采集、整合集成等業務協同。省統籌區域全民健康信息平臺，通過國家電子政務外網，上傳至國家級全民健康信息平臺，實現數據匯聚。（2）區域全民健康信息平臺之間業務協同 省內區域全民健康信息平臺之間通過國家電子政務外網或業務專網或 VPN 虛擬專線，實現省級、市級、縣級電子病歷共享、業務協同等業務。（3）醫療機構和直屬單位等與全民健康信息平臺之間業務協同 醫療機構和直屬單位通過業務專網或 VPN 虛擬專線，實現與全民健康信息平臺之間、不同醫療機構之間、國家藥管平臺之間等的疾病監測業務協同、疾病管理業務協同、突發公共衛生事件應急指揮協同、婦幼健康業務協同等

137、協同業務。3 業務監管 通過國家電子政務外網、業務專網、VPN 虛擬專線，實現與不同醫療機構之間、互聯網醫療服務監管平臺的業務監管工作，包括醫改進展監測、綜合業務監管、衛生服務資源監管、醫務人員執業行為監管、醫療行為監管、患者隱私保護和信息安全等業務監督。全民健康信息平臺密碼應用與安全性評估實施指南 16 序號序號 業務名稱業務名稱 業務流程描述業務流程描述 4 平臺基礎建設（1）平臺運營人員注冊 平臺運營人員通過PC端訪問全民健康信息平臺提交個人信息數據全民健康信息平臺進行核查核查成功，完成用戶注冊。（2）醫療機構層面 醫療機構管理者通過國家電子政務外網、業務專網、VPN 虛擬專線登錄全民健

138、康信息平臺實現向區域全民健康信息平臺數據上報。（3）運營人員層面 全民健康信息平臺運營人員（包括平臺管理者和醫療機構管理者）通過國家電子政務外網、業務專網、VPN 虛擬專線登錄全民健康信息平臺，完成醫療衛生術語的注冊、維護，全民健康檔案服務等管理。全民健康信息平臺密碼應用與安全性評估實施指南 17 2 密碼應用需求密碼應用需求 2.1 風險分析和安全需求風險分析和安全需求 根據以上全民健康信息平臺中典型的業務場景分析，可能存在的安全風險和對應的密碼應用需求情況如下：在惠民服務中，包含居民個人、醫療衛生人員、醫療衛生機構用戶的注冊，居民個人預約掛號、就診支付等業務，醫療衛生人員就診指導，醫療衛生

139、機構健康評估、數據采集等業務，此部分涉及居民個人、醫療衛生人員、醫療衛生機構等用戶的身份真實性，居民個人及醫療衛生人員行為的不可否性，以及惠民服務中重要業務數據的傳輸和存儲保護需求。在業務協同中，包含國家及省統籌區域全民健康信息平臺之間，全民健康信息平臺與醫療機構和直屬單位之間的業務協同，此部分涉及共享數據實體身份的真實性和通信數據的傳輸安全需求。在業務監管及平臺基礎建設中，包含全民健康信息平臺對不同醫療機構之間的業務監管工作，及平臺的醫療衛生術語維護，全民健康檔案服務管理等運營工作，此部分涉及重要數據的存儲安全需求。依據業務場景特點，針對各類業務場景梳理主要保護對象如下：表表 3 主要保護對

140、象主要保護對象 序號序號 相關業務相關業務 保護對象保護對象 保護對象描述保護對象描述 安全需求安全需求 1 惠民服務 用戶 全民健康信息平臺登錄的用戶，包括居民個人、醫療衛生人員、運營人員、醫療衛生機構。真實性 傳輸機密性 存儲機密性 傳輸完整性 存儲完整性 不可否認性 全民健康信息平臺密碼應用與安全性評估實施指南 18 序號序號 相關業務相關業務 保護對象保護對象 保護對象描述保護對象描述 安全需求安全需求 2 用戶身份信息（1）居民個人用戶身份：包括居民姓名、性別、出生年月日、證件號、聯系方式、住址信息等；（2）醫療衛生人員身份包括姓名、性別、出生年月日，證件號、聯系方式、住址信息、所在

141、醫療機構名稱、科室、職位等；（3）運營人員身份包括姓名、性別、出生年月日、證件號、聯系方式、住址信息、所在醫療機構名稱、科室、職位等；（4）醫療衛生機構身份包括名稱、地址、聯系方式、組織機構信息等。真實性 傳輸機密性 存儲機密性 傳輸完整性 存儲完整性 不可否認性 3 用戶行為 醫療衛生人員、居民個人用戶電子病歷簽署、預約家庭醫生及簽約、就診支付等行為的不可否認性、完成時間的不可否認性。真實性 傳輸機密性 存儲機密性 傳輸完整性 存儲完整性 不可否認性 4 其他業務交互數據 費用支付信息；績效信息數據；電子病歷等文檔數據。真實性 傳輸機密性 存儲機密性 傳輸完整性 存儲完整性 不可否認性 5

142、平臺基礎建用戶 全民健康信息平臺登錄的用戶，包 真實性 全民健康信息平臺密碼應用與安全性評估實施指南 19 序號序號 相關業務相關業務 保護對象保護對象 保護對象描述保護對象描述 安全需求安全需求 設 括居民個人、醫療衛生人員、運營人員、醫療衛生機構。傳輸機密性 存儲機密性 傳輸完整性 存儲完整性 不可否認性 6 用戶身份信息（1）居民個人用戶身份：包括居民姓名、性別、出生年月日、證件號、聯系方式、住址信息等；（2）醫療衛生人員身份包括姓名、性別、出生年月日，證件號、聯系方式、住址信息、所在醫療機構名稱、科室、職位等；（3）運營人員身份包括姓名、性別、出生年月日、證件號、聯系方式、住址信息、所

143、在醫療機構名稱、科室、職位等；（4）醫療衛生機構身份包括名稱、地址、聯系方式、組織機構信息等。真實性 傳輸機密性 存儲機密性 傳輸完整性 存儲完整性 不可否認性 7 用戶行為 醫療衛生人員、居民個人用戶電子病歷簽署、預約家庭醫生及簽約、就診支付等行為的不可否認性、完成時間的不可否認性。真實性 傳輸機密性 存儲機密性 傳輸完整性 存儲完整性 不可否認性 8 其他業務交互數據 費用支付信息；績效信息數據；真實性 傳輸機密性 全民健康信息平臺密碼應用與安全性評估實施指南 20 序號序號 相關業務相關業務 保護對象保護對象 保護對象描述保護對象描述 安全需求安全需求 電子病歷等文檔數據。存儲機密性 傳

144、輸完整性 存儲完整性 不可否認性 9 業務協同 共享數據實體 包括國家及省統籌區域全民健康信息平臺實體。真實性 傳輸機密性 存儲機密性 傳輸完整性 存儲完整性 不可否認性 10 協同數據 費用支付信息；績效信息數據；電子病歷等文檔數據。真實性 傳輸機密性 存儲機密性 傳輸完整性 存儲完整性 不可否認性 11 業務監管 共享數據實體 包括國家及省統籌區域全民健康信息平臺實體。真實性 傳輸機密性 存儲機密性 傳輸完整性 存儲完整性 不可否認性 12 協同數據 費用支付信息；績效信息數據；電子病歷等文檔數據。真實性 傳輸機密性 存儲機密性 傳輸完整性 全民健康信息平臺密碼應用與安全性評估實施指南 2

145、1 序號序號 相關業務相關業務 保護對象保護對象 保護對象描述保護對象描述 安全需求安全需求 存儲完整性 不可否認性 2.2 業務場景對密碼應用的特殊要求業務場景對密碼應用的特殊要求（1）全民健康信息平臺使用對象主要為居民個人、醫療衛生人員、運營人員等用戶群體，為確保業務使用的連續性、穩定性，在密碼應用設計中，需要充分考慮密碼技術在平臺應用過程中的響應速度及并發能力，保障平臺的服務能力不受影響。（2）全民健康信息平臺涉及居民個人用戶使用場景，在居民個人用戶使用電子健康卡、社?？吧矸葑C方式實現登錄平臺進行問診、查詢、費用支付等一系列操作時，宜采用身份鑒別、訪問控制等技術手段，保障用戶網絡身份及

146、數據的安全。3 密碼應用實施指南密碼應用實施指南 3.1 典型場景業務的密碼應用設計典型場景業務的密碼應用設計 全民健康信息平臺在統一的網絡基礎設施支撐下，以標準規范體系和安全保障體系為保障，部署統一的全民健康保障數據庫，構造統一的目錄服務和數據交換體系，搭建統一的應用支撐平臺，為公共衛生、醫療服務、醫療保障、藥品供應保障、計劃生育、綜合管理等各類業務提供支撐。全民健康信息平臺總體架構如下圖所示：全民健康信息平臺密碼應用與安全性評估實施指南 22 圖 3-1 全民健康信息平臺總體架構圖 結合全民健康信息平臺業務特點，本指南重點以用戶身份和重要數據來源真實性、用戶行為的不可否認性、重要數據傳輸安

147、全和重要數據存儲安全四個方面進行密碼應用設計。全民健康信息平臺密碼應用與安全性評估實施指南 23 3.1.1 全民健康信息平臺用戶身份真實性和重要數據來源真實全民健康信息平臺用戶身份真實性和重要數據來源真實性的密碼應用設計性的密碼應用設計（1）用戶身份真實性密碼應用設計用戶身份真實性密碼應用設計 全民健康信息平臺主要涉及居民個人、醫療衛生人員、醫療衛生機構、平臺運營人員、平臺運維等人員以及平臺的身份鑒別需求，其中居民個人的身份認證由于涉及范圍大、人員不固定，可采用協同簽名技術或其它手段保障居民個人的身份真實性。醫療衛生人員、醫療衛生機構、平臺運營人員、平臺運維人員等平臺工作者以及平臺之間登錄交

148、互時通過 PC 端以及移動終端兩種方式，對此本指南設計了如下兩種方案保障用戶身份的真實性。醫療衛生人員、醫療衛生機構、平臺運營等人員及平臺注冊時，提交平臺機構或機構人員等相關信息，平臺核查后提交第三方電子認證服務機構（簡稱“第三方 CA 機構”）并核查，通過后簽發含有用戶數字證書的智能密碼鑰匙。圖 3-2 身份鑒別示意圖 1)PC 端用戶身份鑒別端用戶身份鑒別 通過在全民健康信息平臺機房內部署符合 GM/T 0029-2014簽名驗簽服務器技術規范的簽名驗簽服務器、符合 GM/T 0028-2014密碼模塊安全技術要求的密碼服務管理平臺，為 PC 端用戶醫療衛生人員、醫療衛生機構管理者、平臺運

149、營人員、平臺運維人員、全民健康信息平臺配發基于國密算法且符合GM/T 0027-2014智能密碼鑰匙技術規范的智能密碼鑰匙，并配合第三方 CA機構簽發的數字證書，采用符合 GB/T 15843.3 的非對稱密碼算法的身份鑒別方式，基于 SM2 算法的挑戰-響應機制實現用戶接入的可信身份鑒別。2)移動終端用戶身份鑒別移動終端用戶身份鑒別 全民健康信息平臺密碼應用與安全性評估實施指南 24 通過在全民健康信息平臺機房部署符合 GM/T 0028-2014密碼模塊安全技術要求且具備商用密碼產品認證證書的協同簽名系統、密碼服務管理平臺為移動智能終端用戶居民個人、醫療衛生人員、平臺運營人員、平臺運維人員

150、等提供協同簽名服務，移動 App 集成具備商用密碼產品認證證書的移動智能終端安全密碼模塊，通過調用協同簽名系統的協同簽名服務，基于 SM2 算法的挑戰-響應機制實現移動終端用戶的身份鑒別。（2）重要數據來源真實性密碼應用設計重要數據來源真實性密碼應用設計 全民健康信息平臺涉及與醫保機構、平臺之間疾病監控、管理、應急指揮、衛生監督等業務協同，其中包括費用支付數據、績效信息數據、電子病歷等重要業務數據的信息交換和共享，此類數據的來源真實性至關重要，需使用密碼技術保障重要數據來源的真實性。通過在全民健康信息平臺機房內部署符合 GM/T 0029-2014簽名驗簽服務器技術規范的簽名驗簽服務器、符合

151、GM/T 0028-2014密碼模塊安全技術要求的密碼服務管理平臺，利用數字簽名、驗簽技術，使用 SM2 國密算法，保證全民健康信息平臺中費用支付、績效信息、電子病歷等重要業務協同數據的來源真實性。3.1.2 用戶關鍵行為的不可否認性的密碼應用設計用戶關鍵行為的不可否認性的密碼應用設計 全民健康信息平臺不可否認性包含醫療衛生人員、居民個人用戶電子病歷簽署、預約家庭醫生及簽約、就診支付等行為的不可否認性、電子病歷完成時間的不可否認性。通過在全民健康信息平臺機房內部署符合 GM/T 0029-2014簽名驗簽服務器技術規范的簽名驗簽服務器或符合 GM/T 0028-2014密碼模塊安全技術要求的協

152、同簽名系統、密碼服務管理平臺，通過簽名與驗證簽名的方式，基于國密 SM2、SM3 算法保證全民健康信息平臺醫療衛生人員、居民個人用戶電子病歷簽署、家庭醫生簽約等行為的不可否認性。另外，可信時間戳簽署，通過部署符合 GM/T 0033-2014時間戳接口規范的時間戳服務器，保證電子病歷簽署等完成時間的不可否認性。3.1.3 通信數據傳輸安全的密碼應用設計通信數據傳輸安全的密碼應用設計 全民健康信息平臺密碼應用與安全性評估實施指南 25 在國家及省統籌區域全民健康信息平臺之間業務協同、業務監管、平臺基礎建設等場景，在平臺與其他系統之間，例如醫保系統之間電子保單傳輸等場景，用戶依托國家電子政務外網、

153、業務專網、VPN 虛擬專線訪問平臺場景中，均涉及到重要醫療數據傳輸安全需求，需采用密碼技術保障通信數據的傳輸安全。（1）“用戶端平臺用戶端平臺”之間通信數據傳輸安全之間通信數據傳輸安全 通過在國家及省統籌區域全民健康信息平臺機房內部署符合 GM/T 0024-2014SSL VPN 技術規范、GM/T 0026-2014安全認證網關產品規范、GM/T 0028-2014密碼模塊安全技術要求的安全認證網關，通過合規的國密SSL 算法套件及利用國密 SM2、SM4 算法，為用戶端和平臺之間建立安全通道，配套由第三方 CA 機構簽發的數字證書，實現用戶端到平臺之間的通信信道通信實體的身份鑒別，通信數

154、據的完整性和機密性保護。（2）“平臺平臺平臺平臺”、“平臺與其他系統平臺與其他系統”之間通信數據傳輸安全之間通信數據傳輸安全 通過在國家及省統籌區域全民健康信息平臺、其他系統機房內部署符合GM/T 0024-2014SSL VPN 技術規范、GM/T 0026-2014安全認證網關產品規范、GM/T 0028-2014密碼模塊安全技術要求的安全認證網關，基于 SSL 協議建立 SSL 隧道，保障業務協同、業務監管等業務環節中，平臺到平臺之間的通信信道通信實體的身份鑒別，通信數據完整性和機密性保護。3.1.4 基礎醫療衛生信息存儲安全的密碼應用設計基礎醫療衛生信息存儲安全的密碼應用設計 全民健康

155、信息平臺惠民服務、業務協同、業務監管、平臺基礎建設業務中用戶身份信息、費用支付信息、績效信息數據、電子病歷文檔等基礎醫療衛生信息數據涉及到存儲安全需求，采用密碼技術保障用戶身份信息（身份證號、住址、電話、聯系人等）重要數據的存儲安全。因費用支付信息、績效信息數據、電子病歷文檔等基礎醫療衛生信息涉及大量非結構化數據，可采用數據字段加密保護手段進行重要數據的存儲安全。（1）重要數據存儲完整性保護重要數據存儲完整性保護 通過部署符合 GM/T 0030-2014 服務器密碼機技術規范 的服務器密碼機、符合 GM/T 0028-2014密碼模塊安全技術要求的密碼服務管理平臺，全民健康信息平臺在對醫療應

156、用數據、醫療支付數據等重要數據進行存儲時，基于服務全民健康信息平臺密碼應用與安全性評估實施指南 26 器密碼機、密碼服務管理平臺提供的 HMAC-SM3 技術，實現重要數據的存儲完整性保護。（2）重要數據存儲機密性保護重要數據存儲機密性保護 通過部署符合 GM/T 0030-2014 服務器密碼機技術規范 的服務器密碼機、符合 GM/T 0028-2014密碼模塊安全技術要求的密碼服務管理平臺、軟件密碼模塊，調用服務器密碼機、密碼服務管理平臺、軟件密碼模塊的數據加密功能，基于 SM4 算法的對稱密碼技術，對平臺用戶身份信息（身份證號、住址、電話、聯系人等）、電子病歷等重要數據進行加密保護，確保

157、數據庫里的用戶身份信息等敏感信息內容不被非法泄露，實現重要數據的存儲機密性保護。3.1.5 密鑰管理密鑰管理 密鑰管理包括對密鑰的生成、存儲、分發、使用、更新、備份和恢復、歸檔、撤銷等全生命周期管理。其中第三方 CA 機構簽發的數字證書，用于實現平臺用戶登錄時的身份鑒別及行為不可否認，此類密鑰由第三方 CA 機構規范管理，并將相關管理制度補充到密鑰管理規范中；對于平臺涉及的密鑰，例如電子病歷、費用支付信息、績效信息等數據存儲、傳輸、簽名私鑰等密鑰，由全民健康信息平臺自建自管，并在密鑰管理規范中體現相關管理制度。當數據量較大時，建議采用密鑰管理系統實現密鑰的生成、存儲、分發、使用、更新、備份和恢

158、復、歸檔、撤銷等全生命周期管理。平臺涉及的密鑰全生命周期管理如下表所示：表表 4 密鑰全生命周期管理密鑰全生命周期管理 密鑰密鑰 名稱名稱 生成生成 存儲存儲 分發分發 使用使用 更新更新 備份和恢復備份和恢復 歸檔歸檔 銷毀銷毀 用途說明用途說明 數據傳輸簽名私鑰 服務器密碼機內部產生 服務器密碼機內部存儲 私鑰不進行分發 在密碼模塊中進行簽名運算 數據庫字段定期更新密鑰 不涉及 不涉及 密碼設備內部進行銷毀 數據傳輸完整性保護 數據傳輸驗簽公鑰 服務器密碼機內部產生 以公鑰和證書形式存儲 以證書形式分發 在密碼模塊中進行簽名運算 數據庫字段定期更新密鑰 簽名公鑰不提供備份恢復機制 不涉及

159、密碼設備內部進行銷毀 數據傳輸完整性保護 全民健康信息平臺密碼應用與安全性評估實施指南 27 密鑰密鑰 名稱名稱 生成生成 存儲存儲 分發分發 使用使用 更新更新 備份和恢復備份和恢復 歸檔歸檔 銷毀銷毀 用途說明用途說明 數據傳輸加密密鑰 服務器密碼機內部產生 服務器密碼機內部存儲 分發至客戶端 在密碼模塊中進行加解密運算 數據庫字段定期更新密鑰 利用密碼設備產品自身的密鑰備份、恢復機制實現 不涉及 密碼設備內部進行銷毀 數據傳輸機密性保護 HMAC密鑰 服務器密碼機內部產生 服務器密碼機內部存儲 不涉及 在密碼模塊中進行驗證簽名運算 數據庫字段定期更新密鑰 利用密碼設備產品自身的密鑰備份、

160、恢復機制實現 不涉及 密碼設備內部進行銷毀 數據存儲完整性保護 數據存儲加密密鑰 服務器密碼機內部產生 服務器密碼機內部存儲 不進行分發 在密碼模塊中進行加解密運算 數據庫字段定期更新密鑰 利用密碼設備產品自身的密鑰備份、恢復機制實現 不涉及 密碼設備內部進行銷毀 數據存儲機密性保護 3.1.6 安全管理體系建設安全管理體系建設 根據信息安全技術 信息系統密碼應用基本要求（GB/T 39786-2021）的要求，從管理制度、人員管理、建設運行和應急處置四個層面制定了相應的制度文件、規章流程，對平臺的密碼應用安全管理體系進行完備的建設，保障系統規劃、建設、后期運維和應急響應的安全性。依據信息系統

161、密碼應用測評要求具體（GM/T 0115-2021）確定每個安全層面的建設內容，如下表 5 所示：表表 5 安全管理體系建設內容安全管理體系建設內容 安全層面安全層面 建設內容建設內容 內容描述內容描述 管理制度 具備密碼應用安全管理制度 具備密碼應用安全管理制度，包括密碼人員管理、密鑰管理、建設運行、應急處置、密碼軟硬件及介質管理等制度 密鑰管理規則 根據密碼應用方案建立相應密鑰管理規則 建立操作規程 對管理人員或操作人員執行的日常管理操作建立操作規程 全民健康信息平臺密碼應用與安全性評估實施指南 28 安全層面安全層面 建設內容建設內容 內容描述內容描述 定期修訂安全管理制度 定期對密碼應

162、用安全管理制度和操作規程的合理性和適用性進行論證和審定，對存在不足或需要改進之處進行修訂 明確管理制度發布流程 明確相關密碼應用安全管理制度和操作規程的發布流程并進行版本控制 制度執行過程記錄留存 具有密碼應用操作規程的相關執行記錄并妥善保存 人員管理 了解并遵守密碼相關法律法規和密碼管理制度 相關人員了解并遵守密碼相關法律法規、密碼應用安全管理制度 建立密碼應用崗位責任制度 建立密碼應用崗位責任制度，明確各崗位在安全系統中的職責和權限 建立上崗人員培訓制度 建立上崗人員培訓制度，對于涉及密碼的操作和管理的人員進行專門培訓，確保其具備崗位所需專業技能 定期進行安全崗位人員考核 定期對密碼應用安

163、全崗位人員進行考核 建立關鍵崗位人員保密制度和調離制度 建立關鍵人員保密制度和調離制度，簽訂保密合同，承擔保密義務 建設運行 制定密碼應用方案 依據密碼相關標準和密碼應用需求，制定密碼應用方案 制定密鑰安全管理策略 根據密碼應用方案，確定系統涉及的密鑰種類、體系及其生存周期環節，各環節密鑰管理要求 制定實施方案 按照應用方案實施建設 投入運行前進行密碼應用安全性評估 投入運行前進行密碼應用安全性評估，評估通過后系統方可正式運行 全民健康信息平臺密碼應用與安全性評估實施指南 29 安全層面安全層面 建設內容建設內容 內容描述內容描述 定期開展密碼應用安全性評估及攻防對抗演習 在運行過程中，嚴格執

164、行既定的密碼應用安全管理制度，定期開展密碼應用安全性評估及攻防對抗演習，并根據評估結果進行整改 應急處置 應急策略 制定密碼應用應急策略，做好應急資源準備，當密碼應用安全事件發生時，立即啟動應急處置措施，結合實際情況及時處置 事件處置 事件發生后，及時向信息系統主管部門進行報告 向有關主管部門上報處置情況 事件處置完成后，及時向信息系統主管部門及歸屬的密碼管理部門報告事件發生情況及處置情況 3.2 密碼產品密碼產品/服務選擇和部署服務選擇和部署 全民健康信息平臺選用的密碼產品、算法、技術及服務應符合國家法律法規及密碼相關國家標準、行業標準的相關要求。全民健康信息平臺主要面向居民個人、醫療衛生人

165、員、醫療衛生機構、平臺運營人員、平臺運維等人員，通過 PC端或者移動終端接入系統，密碼應用部署如下圖 3-3 所示：圖 3-3 全民健康信息平臺密碼產品部署示意圖 全民健康信息平臺密碼應用與安全性評估實施指南 30 平臺中主要的密碼產品/服務選擇如下所示：表表 6 密碼產品密碼產品/服務服務 序號序號 密碼產品密碼產品/服務名稱服務名稱 在場景中提供的密碼功能在場景中提供的密碼功能 1 密碼服務管理平臺 通過將若干密碼設備、密碼模塊按照統一的聚合機制進行池化，搭建密碼服務管理平臺，引入微服務與虛擬化等技術，通過密碼設備、密碼安全服務接口進行有效統一管理、配置，密碼服務擁有彈性擴展、平行擴容能力

166、，提供豐富的密碼服務支撐；密碼服務管理平臺具備服務、業務、日志等全鏈路監控、中間件監控、服務器監控等的智能化能力，實時監控實時報錯，便于運營管理；通過內建多層密鑰管理模型，運用應用認證、計算隔離、密鑰存儲分離、訪問授權、全流程審計等技術手段，有效阻斷各種攻擊路徑，對密碼應用涉及的各類密鑰的全生命周期進行安全管理，符合全民健康信息平臺中密鑰層次復雜、種類多、數量大等特點需求；滿足全民健康信息平臺各層面的用戶身份真實性、數據機密性、數據完整性、不可否認性的密碼應用需求。2 安全認證網關 基于密碼技術構建安全通道，保證網絡通信安全層各級平臺之間、平臺與醫療機構之間等通信實體的身份鑒別、通信數據的機密

167、性和完整性保護以及網絡邊界訪問控制信息完整性。3 服務器密碼機 為設備和計算安全層提供日志完整性保護。為應用和數據安全層訪問控制信息提供完整性保護。為應用和數據安全層基礎醫療衛生信息等歷史存量數據提供存儲機密性和完整性保護。4 簽名驗簽服務器 為應用和數據安全層 PC 端用戶提供基于數字證書的身份全民健康信息平臺密碼應用與安全性評估實施指南 31 序號序號 密碼產品密碼產品/服務名稱服務名稱 在場景中提供的密碼功能在場景中提供的密碼功能 鑒別服務。為應用和數據安全層 PC 端用戶提供關鍵行為不可否認性服務。5 協同簽名系統 為應用和數據安全層移動終端用戶提供基于數字證書的身份鑒別服務。為應用和

168、數據安全層移動終端用戶提供關鍵行為不可否認性服務。6 時間戳服務器 為應用和數據安全層 PC 端用戶、移動終端用戶關鍵行為、醫療應用數據提供時間不可否認性服務。7 智能密碼鑰匙 用于安全認證網關登錄堡壘機身份鑒別。為應用和數據安全層全民健康信息平臺 PC 端用戶提供身份鑒別服務。8 移動智能終端安全密碼模塊 為應用和數據安全層全面健康信息平臺移動終端用戶提供身份鑒別服務。9 國密瀏覽器 配合安全認證網關實現設備和計算安全層身份鑒別、通信數據完整性與機密性。3.3 與與 GB/T 39786 對照情況說明對照情況說明 對照 GB/T 39786-2021，分析給出全民健康信息平臺業務場景密碼應用

169、技術層面的密碼應用措施見表 7。表表 7 與與 GB/T 39786 對照情況說明對照情況說明 安全層面安全層面 采取的密碼措施采取的密碼措施 物理和環境安全 全民健康信息平臺機房通過使用遵循 GM/T 0036-2014采用非接觸卡的門禁系統密碼應用技術指南的電子門禁系統，電子門禁系統使用 SM4 等算法進行密鑰分散，實現門禁卡的一卡一密，并基于 SM4等算法鑒別人員身份。全民健康信息平臺機房通過選擇合適的密碼產品（如智能密碼鑰全民健康信息平臺密碼應用與安全性評估實施指南 32 安全層面安全層面 采取的密碼措施采取的密碼措施 匙、服務器密碼機等），采用 MAC 或數字簽名等技術對電子門禁系統

170、進出記錄進行完整性保護。全民健康信息平臺機房通過采用專用設備（如服務器密碼機、加密存儲設備、視頻加密系統等），采用 MAC 或數字簽名等技術對視頻監控系統音像記錄進行完整性保護。網絡和通信安全（1）“用戶端平臺用戶端平臺”之間通信數據傳輸安全之間通信數據傳輸安全 通過在國家及省統籌區域全民健康信息平臺機房內部署符合 GM/T 0024-2014SSL VPN 技術規范、GM/T 0026-2014安全認證網關產品規范、GM/T 0028-2014密碼模塊安全技術要求的安全認證網關，通過合規的國密 SSL 算法套件及利用國密 SM2、SM4 算法，為用戶端和平臺之間建立安全通道，配套由第三方 C

171、A 機構簽發的數字證書，實現用戶端到平臺之間的通信信道通信實體的身份鑒別，通信數據的來源真實性、完整性和機密性保護。（2）“平臺平臺平臺平臺”之間通信數據傳輸安全之間通信數據傳輸安全 通過在國家及省統籌區域全民健康信息平臺機房內部署符合 GM/T 0024-2014SSL VPN 技術規范、GM/T 0026-2014安全認證網關產品規范、GM/T 0028-2014密碼模塊安全技術要求的安全認證網關，基于 IPSec 協議建立 IPSec 隧道，保障業務協同、業務監管等業務環節中，平臺到平臺之間的通信信道通信實體的身份鑒別，通信數據的來源真實性、完整性和機密性保護。依賴國密產品安全認證網關自

172、身能力，實現通信信道網絡邊界訪問控制信息完整性。設備和計算安全 本地機房內的各類通用服務器、安全設備、數據庫服務器等設備，均通過堡壘機進行集中運維。運維人員通過安全認證網關登錄堡壘機，為全民健康信息平臺的運維管理人員發放智能密碼鑰匙并由第三方CA機構簽發個人數字證書，使用安全認證網關+堡壘機的方式、基于 SM2 算法的挑戰-響應機制實現對運維管理員的身份鑒別。全民健康信息平臺密碼應用與安全性評估實施指南 33 安全層面安全層面 采取的密碼措施采取的密碼措施 運維人員通過國密瀏覽器登錄安全認證網關，運維路徑為：運維人員-安全認證網關-堡壘機-被管理設備，客戶端到堡壘機使用安全認證網關構建的國密

173、SSL 安全通道,保障客戶端至堡壘機通信鏈路的安全；堡壘機到被運維設備采用 SSH2.0 協議構建遠程管理安全通道。通過部署的服務器密碼機、密碼服務管理平臺，對業務日志及審計日志利用 HMAC-SM3 技術進行密碼運算，保護日志記錄完整性。堡壘機通過調用服務器密碼機、密碼服務管理平臺的簽名服務，利用國密 SM2 算法進行密碼運算，實現堡壘機自身的系統訪問控制信息完整性。應用和數據安全(1)(1)身份鑒別身份鑒別 1)PC 端用戶身份鑒別 通過在全民健康信息平臺機房內部署符合 GM/T 0029-2014 的簽名驗簽服務器、符合 GM/T 0028-2014密碼模塊安全技術要求的密碼服務管理平臺

174、，為 PC 端用戶醫療衛生人員、醫療衛生機構管理者、平臺運營人員、平臺運維人員配發基于國密算法且符合 GM/T 0027-2014 的智能密碼鑰匙，并配合第三方 CA 機構簽發的數字證書，采用符合 GB/T 15843.3 的非對稱密碼算法的身份鑒別方式，基于 SM2 算法的挑戰-響應機制實現用戶接入的可信身份鑒別。2)移動智能終端用戶身份鑒別 通過在全民健康信息平臺機房部署符合 GM/T 0028-2014密碼模塊安全技術要求且具備商用密碼產品認證證書的協同簽名系統、密碼服務管理平臺為移動智能終端用戶居民個人、醫療衛生人員、平臺運營人員、平臺運維人員等提供協同簽名服務，移動 App 集成具備

175、商用密碼產品認證證書的移動智能終端安全密碼模塊，通過調用協同簽名系統的協同簽名服務，基于 SM2 算法的挑戰-響應機制實現移動端的身份鑒別。全民健康信息平臺密碼應用與安全性評估實施指南 34 安全層面安全層面 采取的密碼措施采取的密碼措施(2)(2)訪問控制信息完整性訪問控制信息完整性 通過調用服務器密碼機、密碼服務管理平臺的 HMAC-SM3 技術保證業務應用系統訪問控制策略、數據庫表訪問控制信息等重要數據的完整性。(3)(3)重要數據傳輸機密性、完整性重要數據傳輸機密性、完整性 重要數據在平臺的應用層傳輸的場景下，服務端向客戶端傳輸數據時，服務端調用符合 GM/T 0030-2014服務器

176、密碼機技術規范的服務器密碼機、符合 GM/T 0028-2014密碼模塊安全技術要求的密碼服務管理平臺，基于 SM2、SM3、SM4 密碼算法的數據簽名驗簽、數據加解密技術對平臺中需要傳輸的重要數據實現機密性、完整性保護；客戶端向服務端傳輸數據時，調用客戶端密碼模塊，基于 SM2、SM3、SM4 密碼算法的數據簽名驗簽、數據加解密技術對平臺中需要傳輸的重要數據做安全保護，實現重要數據傳輸的機密性、完整性保護。(4)(4)重要數據存儲完整性保護重要數據存儲完整性保護 通過部署符合 GM/T 0030-2014服務器密碼機技術規范的服務器密碼機、符合 GM/T 0028-2014密碼模塊安全技術要

177、求的密碼服務管理平臺，全民健康信息平臺在對醫療應用數據、醫療支付數據等重要數據進行存儲時，基于服務器密碼機、密碼服務管理平臺提供的 HMAC-SM3 技術，實現重要數據的存儲完整性保護。(5)(5)重要數據存儲機密性保護重要數據存儲機密性保護 通過部署符合 GM/T 0030-2014服務器密碼機技術規范的服務器密碼機、符合 GM/T 0028-2014密碼模塊安全技術要求的密碼服務管理平臺、軟件密碼模塊，調用服務器密碼機、密碼服務管理平臺、軟件密碼模塊的數據加密功能，基于 SM4 算法的對稱密碼技術，對平臺用戶身份信息（身份證號、住址、電話、聯系人等）、電子病歷等重要數據進行加密保護，確保數

178、據庫里的用戶身份信息等敏全民健康信息平臺密碼應用與安全性評估實施指南 35 安全層面安全層面 采取的密碼措施采取的密碼措施 感信息內容不被非法泄露，實現重要數據的存儲機密性保護。(6)(6)不可否認性不可否認性 通過在全民健康信息平臺機房內部署符合 GM/T 0029-2014簽名驗簽服務器技術規范的簽名驗簽服務器或符合 GM/T 0028-2014密碼模塊安全技術要求的協同簽名系統、密碼服務管理平臺，通過簽名與驗證簽名的方式，基于國密 SM2、SM3 算法保證全民健康信息平臺醫療衛生人員、居民個人用戶電子病歷簽署、家庭醫生簽約等行為的不可否認性。另外，可信時間戳簽署，通過部署符合 GM/T

179、0033-2014時間戳接口規范的時間戳服務器，保證電子病歷簽署等完成時間的不可否認性。3.4 注意事項注意事項（1）基于全民健康信息平臺涉及國家及省統籌區域全民健康信息平臺之間的互通共享，平臺之間存在一定差異性，建議由國家級全民健康信息平臺進行統籌密碼應用建設規劃，省、市、縣匹配建設。原則上，國家級、省級全民健康信息平臺根據自身特點需要部署密碼設備，市、縣全民健康信息平臺的密碼設備部署由省級全民健康信息平臺進行統籌建設規劃。（2）本指南給出的密碼應用方案設計具有通用性，具體設計和實施需結合全民健康信息平臺及其各子系統的實際情況開展工作。其中需特別注意基礎醫療衛生數據的機密性和完整性保護措施，

180、例如居民個人身份證號、電話號、電子病歷等內容的機密性和完整性保護，需結合平臺實際，在不影響使用的情況下進行密碼設計及實施。（3）全民健康信息平臺包括健康信息平臺、區域影像、區域檢驗、區域心電、基層醫療衛生、基層公共衛生、云平臺等眾多子系統，其中機房存在自建和云端托管情況。若是自建情況，建議本地進行密碼設備部署；若是托管情況，包括云平臺密碼應用建設，如能進行密碼設備部署，應進行密碼應用建設，如不能進行密碼設備本地部署，則依賴托管廠商或者云服務廠商進行密碼應用建設。（4）全民健康信息平臺涉及大量的居民個人電子健康檔案、電子病歷等全民健康信息平臺密碼應用與安全性評估實施指南 36 敏感數據，數據加密

181、保護宜采用冗余部署模式，從而保障平臺運行的穩定性、可靠性；同時，平臺涉及大數據技術架構，可采用虛擬化密碼技術提供高可用、高性能的密碼服務能力，支持密碼算力彈性伸縮、靈活分配，滿足平臺大數據密碼應用需求。（5）各級全民健康信息平臺存在與行業接入系統、所屬醫院、相關直屬單位等之間的互聯互通，此情況下通信信道的傳輸安全密碼應用設計，依賴全民健康信息平臺進行密碼應用建設。（6）鑒于密鑰的作用是保護數據，因此建議密鑰保存的時間與數據的保存時間一致。例如電子病歷的保存時間是 30 年，則涉及電子病歷相關的密鑰保存時間同樣為 30 年。全民健康信息平臺密碼應用與安全性評估實施指南 37 4 密碼應用安全性評

182、估實施指南密碼應用安全性評估實施指南 4.1 主要測評指標的選擇和確定主要測評指標的選擇和確定 4.1.1.測評范圍測評范圍 鑒于全民健康信息平臺涉及國家、省、市、縣等不同層級，涉及的用戶、接入機構、行業系統、直屬單位等較多，且平臺由眾多子系統組成，因此本指南給出的測評實施并非針對整個全民健康信息平臺或者該平臺中的某個子系統，僅根據該平臺的典型業務特點和通用密碼應用設計方案，給出關鍵安全需求的測評實施指南，供相關方在開展密碼應用安全性測評時參考。4.1.2.測評指標測評指標 選擇GB/T 39786-2021中的第三級安全要求作為本指南典型場景測評工作的基本指標。結合前文描述的全民健康信息平臺

183、業務情況，GB/T 39786-2021 第三級要求中的個別項并不適用，本指南典型場景的適用測評指標、不適用測評指標及其不適用原因如表 8 所示。表表 8 主要測評指標的選擇和確定主要測評指標的選擇和確定 類型類型 指標項指標項 說明說明 主要適用指標 技術要求 物理和環境安全 身份鑒別 無 電子門禁記錄數據存儲完整性 視頻監控記錄數據存儲完整性 網絡和通信安全 身份鑒別 通信數據完整性 通信過程中重要數據的機密性 網絡邊界訪問控制信息的完整性 設備和計算安全 身份鑒別 遠程管理通道安全 系統資源訪問控制信息完整性 全民健康信息平臺密碼應用與安全性評估實施指南 38 類型類型 指標項指標項 說

184、明說明 日志記錄完整性 重要可執行程序完整性、重要可執行程序來源真實性 應用和數據安全 身份鑒別 訪問控制信息完整性 重要數據傳輸機密性 重要數據存儲機密性 重要數據傳輸完整性 重要數據存儲完整性 不可否認性 管理要求 管理制度 具備密碼應用安全管理制度 密鑰管理規則 建立操作規程 定期修訂安全管理制度 明確管理制度發布流程 制度執行過程記錄留存 人員管理 了解并遵守密碼相關法律法規和密碼管理制度 建立密碼應用崗位責任制度 建立上崗人員培訓制度 定期進行安全崗位人員考核 建立關鍵崗位人員保密制度和調離制度 建設運行 制定密碼應用方案 制定密鑰安全管理策略 制定實施方案 投入運行前進行密碼應用安

185、全全民健康信息平臺密碼應用與安全性評估實施指南 39 類型類型 指標項指標項 說明說明 性評估 定期開展密碼應用安全性評估及攻防對抗演習 應急處置 應急策略 事件處置 向有關主管部門上報處置情況 主要不適用指標 網絡和通信 安全 安全接入認證 受測場景為等級保護第三級系統，根據 GB/T 39786-2021 對等級保護第三級信息系統的密碼應用技術要求，本項應用要求為“可”，且該場景對接入系統的設備無安全接入認證需求，故本指標不適用 設備和計算 安全 重要信息資源安全標記完整性 受測系統未對設備配置重要信息資源安全標記，故本指標不適用 應用和數據 安全 重要信息資源安全標記完整性 受測系統關鍵

186、業務應用未設置重要信息資源安全標記，故本指標不適用 4.2 主要測評內容主要測評內容 4.2.1.物理和環境安全測評物理和環境安全測評(1)測評對象測評對象 該層面的測評對象主要為全民健康信息平臺系統所在機房等重要區域及其全民健康信息平臺密碼應用與安全性評估實施指南 40 電子門禁系統、視頻監控系統。該層面確定的測評對象和采用的測評方式如下表9 所示。表表 9 測評對象和測評方式測評對象和測評方式 層面（類）層面（類）測評對象測評對象 測評方式測評方式 物理和環境安全 全民健康信息平臺系統所在部署機房 訪談 文檔審查 實地查看 配置檢查 工具測試(2)測評實施測評實施 測評實施時，測評人員應參

187、照 GM/T 0115-2021信息系統密碼應用測評要求和 GM/T 0116-2021信息系統密碼應用測評過程指南對全民健康信息平臺系統所在機房等重要區域及其電子門禁系統、視頻監控系統進行測評。如果被測業務系統部署在多個機房，則相應的機房均應列為測評對象。如果區域平臺場景業務系統所在機房由云服務提供商提供，則可以結合有關云平臺、云上應用測評的相關指導性文件進行實施。4.2.2.網絡和通信安全測評網絡和通信安全測評(1)測評對象測評對象 根據本指南中典型場景承載的業務和密碼應用設計，分析該層面涉及的測評對象，具體如下：1）居民個人、醫療衛生人員、醫療衛生機構人員、運營人員等訪問全民健康信息平臺

188、 全民健康信息平臺涉及不同類別的用戶，包括居民個人、醫療衛生人員、醫療衛生機構人員、平臺運營人員等，不同類別的用戶訪問平臺的渠道方式不完全一樣，如 PC 端、移動終端、自助終端等。該過程涉及的網絡層傳輸保護主要為不同類別的用戶訪問全民健康信息平臺的通信信道，主要包括：PC 端用戶與全全民健康信息平臺密碼應用與安全性評估實施指南 41 民健康信息平臺之間的通信信道、移動終端用戶與全民健康信息平臺之間的通信信道、自助終端用戶與全民健康信息平臺之間的通信信道。2）國家及省統籌區域全民健康信息平臺之間業務協同與數據交換共享 如圖 3-1 所示，該過程主要涉及國家全民健康信息平臺與省級全民健康信息平臺實

189、現網絡聯通；省級、市級、縣級全民健康信息平臺之間實現網絡全聯通；醫療機構和直屬單位、行業系統等接入各級全民健康信息平臺。其中，省級全民健康信息平臺分別與省屬醫療機構、省直屬單位、行業系統、行業外系統之間的通信信道，市級全民健康信息平臺分別與市屬醫療機構、市直屬單位、行業系統、行業外系統之間的通信信道，縣級全民健康信息平臺分別與縣屬醫療機構、縣直屬單位、行業系統、行業外系統之間的通信信道不在本指南考慮范圍內，實際測評時，根據系統實際情況決定是否納入測評對象。綜上所述，該層面可能涉及的測評對象和采用的測評方式如 10 所示。表表 10 測評對象和測評方式測評對象和測評方式 層面層面（類）（類）測評

190、對象測評對象 測評方式測評方式 網絡和通信安全 居民個人、醫療衛生人員、醫療衛生機構人員、運營人員等用戶終端訪問其所屬層級的全民健康信息平臺的通信信道 訪談 文檔審查 實地查看 配置檢查 工具測試 國家全民健康信息平臺與省級全民健康信息平臺之間的通信信道 省級全民健康信息平臺與市級全民健康信息平臺之間的通信信道 市級全民健康信息平臺與縣級全民健康信息平臺之間的通信信道 國家全民健康信息平臺分別與行業接入系統、委屬醫院、委直屬單位、共享交換平臺等之間的通信信道 全民健康信息平臺密碼應用與安全性評估實施指南 42 遠程管理通信信道（當遠程管理通道跨網時）(2)測評實施要點測評實施要點 測評實施時，

191、測評人員應重點關注網絡通信實體身份鑒別、通信數據完整性、通信過程重要數據的機密性、網絡邊界訪問控制信息的完整性等保護需求，可參照 GM/T 0115-2021 中 6.2 章節描述的內容實施測評，測評關鍵檢查點示例如下圖所示。圖 4-1 測評實施檢查點示例 測評實施要點包括：1)核查用于密鑰管理和密碼計算的密碼產品是否符合法律法規的相關要求，需依法接受檢測認證的，核查是否經商用密碼認證機構認證合格；了解密碼產品的型號和版本等配置信息，核查密碼產品是否符合密碼模塊標準中相應安全等級及以上安全要求，并核查密碼產品的使用是否滿足其安全運行的前提條件，如其安全策略或使用手冊說明的部署條件。全民健康信息

192、平臺密碼應用與安全性評估實施指南 43 2)檢查點 A、B：當被測系統采用網關進行遠程管理時，需在網關處使用協議分析工具，抓取遠程管理終端與網關之間的通信數據，分析是否采用密碼技術保證遠程管理通信信道的安全性；當被測系統在網絡接入區部署使用 SSL VPN、IPSec VPN 或安全認證網關等 VPN 產品時，在網絡接入區的網關處接入協議分析工具，抓取網絡接入區與網絡邊界外通信實體的通信數據，分析是否采用密碼技術對通信實體進行身份鑒別、是否采用密碼技術保證通信過程中數據的機密性和完整性等。3)檢查點 C、D：在國家級及省統籌區域全民健康信息平臺用戶端（如 PC 端、移動端、自助終端等）或服務端

193、使用協議分析工具，分別抓取各級平臺用戶與各級全民健康信息平臺之間的通信數據，分析是否采用密碼技術對通信實體進行身份鑒別、是否采用密碼技術保證通信過程中數據的機密性和完整性等。4)各級全民健康信息平臺之間的網絡通信檢查點：在國家級及省統籌區域全民健康信息平臺網絡邊界處的安全設備（如 VPN 網關等）上使用協議分析工具，分別抓取國家級平臺與省級平臺、省級平臺與市級平臺、市級平臺與縣級平臺之間的通信數據，分析是否采用密碼技術對通信實體進行身份鑒別、是否采用密碼技術保證通信過程中數據的機密性和完整性等。5)通過文檔審查、配置檢查等方式驗證是否使用密碼技術保護網絡邊界訪問控制信息的完整性等。4.2.3.

194、設備和計算安全測評設備和計算安全測評(1)測評對象測評對象 該層面可能涉及的測評對象和采用的測評方式如下表 11 所示。表表 11 測評對象和測評對象和測評方式測評方式 層面（類）層面（類）測評對象測評對象 測評方式測評方式 全民健康信息平臺密碼應用與安全性評估實施指南 44 設備和計算安全 通用服務器（如應用服務器、數據庫服務器）、數據庫管理系統、安全認證網關、服務器密碼機、簽名驗簽服務器、協同簽名系統、密碼服務管理平臺、時間戳服務器、移動智能終端安全密碼模塊、堡壘機等 訪談 文檔審查 實地查看 配置檢查 工具測試(2)測評實施測評實施 測評指標包括登錄設備時采用的身份鑒別方式、遠程管理通道

195、安全、系統資源訪問控制信息完整性、日志記錄完整性、重要可執行程序完整性與來源真實性。鑒于該層面與系統業務關聯性不強，因此測評時可按照 GM/T 0115-2021 中 6.3章節描述的測評方法實施測評。4.2.4.應用和數據安全測評應用和數據安全測評(1)測評對象測評對象 全民健康信息平臺包括國家級及省統籌區域信息平臺，實際測評時根據被測系統范圍確定具體測評對象。例如，如果被測系統為國家級全民健康信息平臺，則該層面的測評對象為國家級全民健康信息平臺應用；如果被測系統為省級全民健康信息平臺，則該層面的測評對象為省級全民健康信息平臺應用；如果被測系統為市級全民健康信息平臺，則該層面的測評對象為市級

196、全民健康信息平臺應用；如果被測系統為縣級全民健康信息平臺，則該層面的測評對象為市級全民健康信息平臺應用。各級全民健康信息平臺應用涉及的用戶主要包括居民個人、醫療衛生人員、醫療衛生機構、平臺運營人員、平臺運維等人員；涉及的重要數據包括應用用戶身份信息相關數據，費用支付信息、績效信息、電子病歷等業務交互和協同數據；涉及的關鍵行為包括醫療衛生人員、居民個人用戶電子病歷簽署、預約家庭醫生及簽約、就診支付等。該層面涉及的測評對象和采用的測評方式如 12 所示。全民健康信息平臺密碼應用與安全性評估實施指南 45 表表 12 測評對象和測評方式測評對象和測評方式 層面（類）層面（類）測評對象測評對象 測評方

197、式測評方式 應用和數據安全 全民健康信息平臺應用（各級）訪談 文檔審查 實地查看 配置檢查 工具測試(2)測評實施要點測評實施要點 測評指標包括用戶身份鑒別、訪問控制信息完整性、重要數據傳輸機密性和完整性、重要數據存儲機密性和完整性、不可否認性。測評實施要點包括：1）全民健康信息平臺用戶身份真實性和重要數據來源真實性鑒別機制全民健康信息平臺用戶身份真實性和重要數據來源真實性鑒別機制 首先，采用訪談安全管理人員、查看系統設計文檔等方式，了解全民健康信息平臺應用用戶的身份鑒別和重要數據來源真實性鑒別機制及鑒別過程中涉及密鑰的生命周期管理。然后，采用審查代碼片段、配置檢查和查看日志等方式，對之前獲取

198、證據進行確認。根據系統密碼應用設計，平臺主要采用如下兩種方案保障用戶身份的真實性：a)PC 端用戶：通過為用戶配發具有商用密碼產品認證證書的智能密碼鑰匙，使用第三方 CA 機構簽發的數字證書，基于 SM2 算法的挑戰-響應機制實現對用戶的身份鑒別。b)移動終端用戶：在移動終端集成具備商用密碼產品認證證書的移動智能終端安全密碼模塊，通過調用協同簽名系統、密碼服務管理平臺的協同簽名服務，基于 SM2 算法的挑戰-響應機制實現移動終端用戶的身份鑒別。針對兩種不同的鑒別機制，采用不同的具體測評方法。如果采用 a)方式中描述的使用智能密碼鑰匙實現身份鑒別，可以通過抓取用戶 PC 端與全民健康信息平臺服務

199、端的通信數據包，分析是否包含服務端挑戰值的簽名字段；查看全民健康信息平臺的簽名驗簽服務器、密碼服務管理平臺日志，全民健康信息平臺密碼應用與安全性評估實施指南 46 查看是否對挑戰的簽名字段進行了驗簽操作；查看用戶智能密碼鑰匙的簽名數字證書是否符合要求。如果采用 b)方式中描述的協同簽名機制，則可以查看協同簽名系統、密碼服務管理平臺日志和平臺配置界面，確認是否執行協同簽名操作；抓取移動終端與全民健康信息平臺服務端的通信數據包，分析是否包含簽名字段；查看協同簽名系統、密碼服務管理平臺的日志，查看是否進行了驗簽操作。在重要數據來源真實性測評實施方面，通過抓取傳輸的費用支付、績效信息、電子病歷等重要業

200、務數據，分析是否采用基于 SM2 算法的數字簽名機制進行簽名后傳輸，以及接收方是否進行驗簽；查看相應簽名驗簽服務器、密碼服務管理平臺的調用日志，確認是否執行簽名驗簽操作。2）訪問控制信息完整性訪問控制信息完整性 業務應用涉及的訪問控制信息可以通過查看數據庫、代碼實現片段、服務器密碼機、密碼服務管理平臺調用日志等方式檢查是否對訪問控制信息進行完整性保護。3）重要數據傳輸保護機制重要數據傳輸保護機制 費用支付信息、績效信息、電子病歷等業務交互和協同數據具有傳輸保護需求。首先，通過訪談方式了解數據在傳輸過程中是否使用密碼技術進行機密性和完整性保護以及涉及密鑰的生命周期管理。然后，通過審查代碼片段、查

201、看服務器密碼機、簽名驗簽服務器、密碼服務管理平臺等調用日志、計算簽名值或HMAC 長度是否與聲稱采用密碼算法輸出長度一致等方式，確認采用的密碼技術，以及密鑰生成和傳輸保護機制等。4）重要數據存儲保護機制重要數據存儲保護機制 全民健康信息平臺應用涉及的重要數據主要包括用戶身份信息，以及惠民服務、業務協同、業務監管、平臺基礎建設業務中涉及的費用支付、電子病歷等基礎醫療衛生信息等。對醫療應用數據、醫療支付數據等重要數據進行存儲時，基于密碼設備/服務提供的 HMAC-SM3 技術，實現重要數據的存儲完整性保護；通過調用密碼設備/服務，基于 SM4 對稱加密技術，對平臺用戶身份信息（姓名、身份證等）、電

202、子病歷等重要數據進行加密保護，確保數據庫里的用戶身份信息全民健康信息平臺密碼應用與安全性評估實施指南 47 等敏感信息內容不被非法泄露，實現重要數據的存儲機密性保護。在測評實施過程中，首先，通過訪談方式了解數據在存儲時是否采用密碼技術進行機密性和完整性保護以及涉及密鑰的生命周期管理。然后，通過查看服務器密碼機、密碼服務管理平臺的算法配置、審查代碼片段、查看服務器密碼機、密碼服務管理平臺調用日志、查看數據庫、工具驗證測試等方式，確認采用的密碼技術，以及密鑰生成和存儲保護機制等。4.2.5.安全管理安全管理(1)測評對象測評對象 安全管理包括管理制度、人員管理、建設運行和應急處置四個指標體系。測評

203、對象如 13 所示。表表 13 測評對象和測評方式測評對象和測評方式 層面層面（類）（類）測評對象測評對象 測評方式測評方式 安全管理 系統相關人員、管理體系（如安全管理制度類文檔、操作規程類文檔、記錄表單類文檔、系統相關人員等）、密碼應用方案、密鑰管理制度及策略類文檔、密碼實施方案、密碼應用安全性評估報告、密碼應用安全管理制度、攻防對抗演習報告和整改文檔等 訪談 文檔審查(2)測評實施要點測評實施要點 測評實施主要通過訪談和文檔審查，檢查管理制度是否全面、規范、合理；訪談系統相關人員，確認人員是否了解并遵守密碼相關法律法規、是否正確使用密碼相關產品。具體可按照 GM/T 0115-2021

204、中 6.5 至 6.8 章節描述的測評方法實施測評。4.2.6.密鑰管理密鑰管理 除對密碼應用技術要求四個層面和安全管理方面進行測評外，還需要對不同全民健康信息平臺密碼應用與安全性評估實施指南 48 業務場景下的密鑰管理安全性進行測評。對于全民健康信息平臺系統業務場景，需重點關注惠民服務、業務協同、業務監管、平臺基礎建設等業務涉及的用戶/通信實體身份真實性密鑰、重要數據傳輸完整性保護密鑰、重要數據存儲機密性保護密鑰、重要數據存儲完整性保護密鑰等密鑰的全生命周期的安全，包括核實密鑰管理使用的密碼產品、密碼服務是否滿足要求，核查密鑰管理安全性實現技術是否正確有效等。在核實證書有效性時，應注意核實證

205、書管理的各個環節。4.3 主要測評結果主要測評結果 結合本指南 4.1、4.2 章節確定的測評指標和測評內容，根據 GM/T 0115-2021結果判定規則，得出各個測評對象和測評單元的測評結果。進一步從單元間、層面間進行測評和綜合安全分析，得出整體測評結果。由于部分測評對象測評結果的得出需要結合系統具體實現，且測評結果判定依據比較明確，此處不再進行具體描述。本節重點對其中部分測評對象測評結果的判定方法進行分析。在網絡和通信安全層面，（1）例如，平臺用戶端-平臺服務端之間的通信傳輸安全，通過部署具有商用密碼產品認證證書的安全認證網關，使用國密 SSL套件為用戶端和平臺之間建立安全通道，使用國密

206、 SM2、SM3、SM4 算法，配套由第三方 CA 機構簽發的數字證書，實現用戶端到平臺之間的通信實體的身份鑒別以及通信數據的機密性和完整性保護；（2）各級全民健康信息平臺之間的通信傳輸，通過在各級平臺機房內部署具有商用密碼產品認證證書的安全認證網關/IPSec VPN 網關，基于國密 SSL/IPSec 協議建立安全傳輸通道，保障業務協同、業務監管等業務環節中平臺到平臺之間的通信實體的身份鑒別以及通信數據的完整性和機密性保護。以上網絡通信信道均采用合規的密碼產品和密碼技術進行通信實體的身份鑒別，保障通信過程中數據的完整性和重要數據的機密性，均符合要求。在應用和數據安全層面，（1）用戶身份真實

207、性：通過智能密碼鑰匙、協同簽名系統、密碼服務管理平臺，基于 SM2 算法的挑戰-響應機制，保證平臺 PC 端或移動終端等用戶身份的真實性；（2）重要數據來源的真實性：通過調用簽名驗簽服務器、密碼服務管理平臺，基于 SM2 算法的數字簽名機制保證重要數據來全民健康信息平臺密碼應用與安全性評估實施指南 49 源的真實性；（3）重要數據存儲的機密性和完整性：通過部署具有商用密碼產品認證證書的服務器密碼機、密碼服務管理平臺、軟件密碼模塊，使用服務器密碼機、密碼服務管理平臺、軟件密碼模塊實現的基于 SM4 算法的對稱加解密功能和基于 SM3 算法的消息鑒別碼功能對存儲的重要數據進行機密性和完整性保護；（

208、4）不可否認性：通過部署具有商用密碼產品認證證書的簽名驗簽服務器、協同簽名系統、密碼服務管理平臺，基于 SM2 數字簽名的方式保證全民健康信息平臺醫療衛生人員、居民個人用戶電子病歷簽署、家庭醫生簽約等行為的不可否認性；另外，通過部署具有商用密碼產品認證證書的時間戳服務器，保證電子病歷簽署等完成時間的不可否認性。以上均采用合規的密碼算法、密碼技術、密碼產品和密碼服務保障應用用戶身份和業務重要數據來源的真實性，重要數據存儲的機密性和完整性以及用戶關鍵行為的不可否認性，均符合要求。在整體測評階段，應依照 GM/T 0115-2021 的整體測評要求，考慮是否存在單元間和層面間的彌補情況，如本指南場景

209、中應用和數據安全層面的重要數據傳輸的機密性和完整性保護是否能夠通過網絡和安全層面的傳輸保護進行彌補。在風險分析和評價階段，應依照 GM/T 0115-2021 的風險分析和評價中的要求執行。另外，可根據安全威脅嚴重程度、安全威脅發生頻率和關聯資產價值等方面進行具體分析和評價工作。4.4 注意事項注意事項 在測評過程中需要注意以下事項：（1）本指南給出的全民健康信息平臺業務場景并非一個獨立的網絡安全等級保護定級備案系統，而是涉及到國家、省、市、縣等不同層級的信息平臺，在實施具體測評時，需根據被測系統的網絡安全等級保護定級范圍確定被測系統的網絡邊界和測評范圍，進而明確具體的測評對象。此外，在測評實

210、施時，還需結合被測系統的實際情況進一步確定被測系統的不適用指標，如安全接入認證等。（2）該業務場景涉及的數據種類繁雜，在實施具體測評時，需與被測方進一步明確重要業務數據的安全需求，如涉及到機密性傳輸和存儲保護的數據范圍、涉及到完整性傳輸和存儲保護的數據范圍等。（3）系統可能采用不同的密碼技術實現數據的傳輸和存儲保護，如可能通全民健康信息平臺密碼應用與安全性評估實施指南 50 過調用智能密碼鑰匙、軟件密碼模塊、服務器密碼機、密碼服務管理平臺等采用數字簽名或 HMAC 等算法進行機密性或完整性保護，需注意在測評實施過程中，應根據不同實現機制采用不同的測評方式。（4）對于通過互聯網或者其他跨網絡使用 VPN 進行運維管理的情況，此時遠程管理終端與 VPN 之間的通信信道也應作為網絡和通信安全層面的測評對象進行測評。（5）系統在實現過程中，可能會采用多種緩解措施降低未使用密碼技術帶來的安全風險，此時應根據具體場景和實際情況分析緩解措施如何降低風險，判斷緩解措施是否有效等。