国产强伦姧在线观看无码,中文字幕99久久亚洲精品,国产精品乱码在线观看,色桃花亚洲天堂视频久久,日韩精品无码观看视频免费

依據國家相關政策規(guī)定，為大力推進醫(yī)療衛(wèi)生信息化，加快醫(yī)療衛(wèi)生信息系統(tǒng)建設，應重點講公共衛(wèi)生、醫(yī)療、醫(yī)療保險、醫(yī)藥金融監(jiān)管等信息化資源整合，加強信息標準化和公共服務信息平臺建設，以確保統(tǒng)一、高效、互聯(lián)。衛(wèi)生綜合管理平臺主要包括衛(wèi)生資源管理、公共衛(wèi)生服務管理、醫(yī)療服務運營管理、藥品服務管理、醫(yī)療保障管理5大功能模塊，需要對敏感信息資源、居民健康檔案、醫(yī)療服務運營數據、藥品服務監(jiān)管數據等數據進行安全防護。

一.衛(wèi)生綜合管理平臺密碼應用需求分析

根據等級保護三級測評要求，對于衛(wèi)生綜合管理平臺的密碼安全保障總體需求包括以下7點。

1.密碼算法安全需求：

按照等保要求，衛(wèi)生綜合管理平臺應采用批準的密碼算法SM1/SM2/SM3/SM4。同時，要求管理平臺內所有硬件產品必須具有的相關產品資質。

2.電子門禁系統(tǒng)安全需求

衛(wèi)生綜合管理平臺內的機房、指揮中心、監(jiān)控中心等重要區(qū)域進入人員的身份鑒別信息和進出記錄需要實現機密性、完整性的和不可篡改性。密碼技術的真實性服務可以實現身份認證信息的可靠性，從而保證進入管理平臺重要區(qū)域的人員身份的真實性和訪問記錄的完整性。電子門禁系統(tǒng)需要支持國密SM1/SM7算法;系統(tǒng)具有密鑰分級功能，實現一分系統(tǒng)一密、一卡一密;門禁系統(tǒng)登錄時需要使用管理員USBKEY，保證系統(tǒng)管理員的身份合法;

3.視頻監(jiān)控系統(tǒng)安全需求

需要確定接入管理平臺里網絡的監(jiān)控設備的合法性，對重要視頻監(jiān)控數據進行完整性和機密性保護，從而保證衛(wèi)生綜合管理平臺內重要區(qū)域監(jiān)控信息不被非法竊取或篡改。

4.身份認證體系安全需求

為解決用戶身份的合法性和安全性，需要嚴格控制用戶身份認證。縣(市、區(qū))級醫(yī)療機構人員、人員和運維人員必須通過使用USBKEY+SM2數字證書認證，對關鍵數據進行SM2算法數字簽名以確認真實身份。對于衛(wèi)生綜合管理平臺內部管理用戶、系統(tǒng)用戶等，根據權限的需要，高級別權限用戶必須采用數字證書認證才能訪問相關資源。為了解決訪問控制的風險，需要在安全網關側和應用程序側建立嚴格的訪問控制策略，采用基于角色和面向應用的訪問控制，進行全面細粒度的訪問控制，防范非法用戶對應用資源的非法訪問。

5.數據傳輸過程安全需求

采用終端密碼產品USBKey(含數字證書)和身份認證安全網關完成信源加密(應用系統(tǒng)客戶端的信息加密、信息傳輸完整性保護)、信道加密(基于國產商密的SSL加密鏈路)。

針對B/S架構，要求采用符合的身份認證安全網關產品，衛(wèi)生綜合管理平臺的用戶終端與身份認證安全網關之間建立基于SSL加密通道，保證數據傳輸過程中的機密性和完整性。對C/S架構應用，應用需集成安全中間件，支持國產商密算法，對傳輸過程中的數據進行加密和完整性保護。

6.數據存儲過程安全需求

為了保證管理平臺內用戶隱私安全和工作秘密安全，對在數據庫或文件系統(tǒng)中保存的身份鑒權數據、個人隱私或工作秘密等關鍵數據采用SM4對稱算法加密，對于用戶賬號所使用的口令可直接使用SM3算法進行加密存儲與校驗，使用SM2數字簽名算法或SM3摘要算法保障數據的完整性，同時要保證數據讀寫、查詢、訪問的性能。

7.數據和行為追溯需求

為保證衛(wèi)生綜合管理平臺內的重要程序、訪問控制策略、日志審計數據等不被非法篡改或破壞，應采用SM2數字簽名算法、SM3摘要算法和時間戳技術保障數據的完整性。

二.衛(wèi)生綜合管理平臺密碼應用解決方案介紹

根據衛(wèi)生綜合管理平臺業(yè)務系統(tǒng)的實際部署方案和密碼應用需求，綜合考慮未來的密碼應用擴展需求，該方案密碼應用保障總體框架設計如下圖所示：

　　密碼應用解決方案框架圖

密碼基礎服務資源包括IPSec/SSL VPN綜合安全網關、服務器密碼機、簽名驗簽和時間戳服務器、智能密碼鑰匙、密鑰管理系統(tǒng)、第三方數字證書服務等組成，通過密碼服務接口資源池，統(tǒng)一為衛(wèi)生綜合管理平臺提供密碼運算和密鑰管理服務，實現現有業(yè)務中的身份可信認證、訪問控制信息的完整性保護、數據傳輸機密性和完整性保護、數據存儲的機密性保護、關鍵操作的可信時間保護和可追溯性以及密鑰全生命周期的安全管理等相關密碼應用需求。

衛(wèi)生綜合管理平臺的應用服務區(qū)、密碼服務區(qū)、邊界安全防護區(qū)三個區(qū)之間的數據流在核心交換機上進行數據交互，通過IPSec/SSL VPN綜合安全網關接至衛(wèi)生信息專網，各醫(yī)療單位終端通過衛(wèi)生信息專網，實現終端到平臺服務端的訪問。

該方案具體拓撲圖如下所示：

接入管理平臺終端操作人員配發(fā)漁翁智能密碼鑰匙，作為個人密鑰和證書的安全存儲介質。用戶通過漁翁專用VPN客戶端調用智能密碼鑰匙，實現與部署在IDC數據中的漁翁IPSec/SSL VPN綜合安全網關之間的身份認證和可信登錄，并通過密鑰協(xié)商，建立國密SSL通道，實現數據傳輸的機密性和完整性保護。

IDC數據中心的邊界安全防護區(qū)部署漁翁IPSec/SSL VPN綜合安全網關。采用SM2國密數字證書認證和國密SSL的密鑰協(xié)商方式，實現登錄用戶的可信身份鑒別和傳輸加密。

在IDC數據中心規(guī)劃獨立的密碼服務區(qū)，部署服務器密碼機、簽名驗簽與時間戳服務器和密鑰管理系統(tǒng)，為衛(wèi)生綜合管理平臺提供密鑰管理和密碼運算服務。

服務器密碼機為衛(wèi)生綜合管理平臺提供密碼運算服務，針對敏感信息存儲和抽取，業(yè)務系統(tǒng)調用加密機的對稱算法接口，實現數據存儲加密。

簽名驗簽與時間戳服務器為衛(wèi)生綜合管理平臺提供關鍵數據的完整性保護和可信時間服務，實現關鍵操作的可追溯和防抵賴。

密鑰管理系統(tǒng)為衛(wèi)生綜合管理平臺不同業(yè)務板塊提供統(tǒng)一的密鑰分發(fā)和管理服務。

三.衛(wèi)生綜合管理平臺密碼應用解決方案特點

1.滿足任意WEB瀏覽器下的SM2證書認證需求

因為IE等通用瀏覽器均不支持SM2國密數字證書，漁翁IPSec/SSL VPN綜合安全網關提供專用的客戶端軟件，通過客戶端代理的方式，實現了基于SM2數字證書的雙向身份認證和密鑰協(xié)商，不受Web瀏覽器的限制。

2.集成的簽名驗簽與時間戳服務

本方案中采用簽名驗簽與時間戳二合一服務器提供簽名驗簽與時間戳服務。針對關鍵數據和敏感標記，可通過簽名驗簽與時間戳服務器同時提供數字簽名和時間戳服務，確保關鍵信息的真實性和完整性，同時降低設備采購成本。

四.解決方案所需密碼產品要求

根據國家政策要求，衛(wèi)生綜合管理平臺密碼安全建設應滿足以下原則。

1.安全標準合規(guī)，符合《信息安全技術網絡安全等級保護基本要求》的等保三級測試驗收要求。

2.密碼應用合規(guī)，使用批準的密碼算法,并符合GM/T 0054-2018《信息系統(tǒng)密碼應用基本要求》(，2018年2月)，針對本系統(tǒng)，應當符合規(guī)范中等級保護第三級信息系統(tǒng)密碼應用要求。

3.安全產品合規(guī)，衛(wèi)生綜合管理平臺信息安全建設所用產品均需要具有批準的產品型號證書，所使用的服務具有頒發(fā)的電子認證服務許可證以及頒發(fā)的密碼許可證。

本方案所需的密碼產品包括：

漁翁IPSec/SSL VPN綜合安全網關

漁翁簽名驗簽與時間戳服務器

漁翁服務器密碼機

漁翁密鑰管理系統(tǒng)

漁翁智能密碼鑰匙