背景概述
全国统一的医疗保障信息平台已建成,目前已接入超百万家定点医药机构。为保障全国医疗保障信息平台安全性、稳定性,平台搭建了专门的医保专网,实现各级医保部门之间的纵向网络连接以及医院、零售药店、商业银行和保险公司等单位之间的横向连接。医保定点药店专网接入和传输链路是医疗保障信息平台的安全短板,全国医疗保障信息平台作为重要的关键信息基础设施,一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益。
本方案依据医保局发布《国家医疗保障局关于印发加强网络安全和数据保护工作指导意见的通知》及 国家卫健委出台的《关于转发规范商用密码应用安全性评估结果备案工作的通知》聚焦医保零售药店安全接入场景,立足场景中“云、管、端”各个环节的安全需求,采用基于国密标准的先进密码技术和产品,打造“聚焦场景、国密防护、轻量部署、全面感知”的密码应用保障体系。
需求分析
01安全接入、边缘防护
按照GB/T 39786《信息系统密码应用基本要求》等相关标准要求,将定点零售药店PC终端安全接入作为防护重点,通过VPN技术进行接入认证,保护边缘设备数据存储安全和数据传输链路安全。
02轻量部署,安全可靠
各定点零售药店信息化部署较为简单,无法承担过多的安全投入和改造成本。因此需要采用轻量化部署的方式实现平台所需的密码功能,降低各零售药店的网络安全投入。
03全网感知,协同联动
接入全国医疗保障信息平台的定点零售药店数量规模庞大,部署大量轻量级密码设备,需要建立其覆盖全平台、全网络密码设备的密码应用监测网络,实时掌握自身密码应用合规性、有效性和正确性,并结合自身业务应用实际情况,进行策略下发和远程管控,并为应急处置和保障提供技术支撑。
解决方案
立足各定点医保零售药店接入终端,结合关键信息基础设施的有关政策和等级保护和密码应用安全性评估相关要求,基于各定点医保零售药店接入终端普遍面临的网络安全风险和密码应用需求,集成创新商用密码产品,秉承“安全合规、安全接入、轻量部署、全网感知”的理念,建立“聚焦场景、国密防护、轻量部署、全面感知”密码应用技术保障体系。
医保定点药店系统专网接入密码应用部署拓扑图
方案说明
01VPN安全接入
通过部署在医保信息平台网络边界的VPN安全网关和部署在药店的终端安全接入网关建立安全的传输通道,实现对定点零售药店的接入认证,避免非法外联设备接入到医保专网,保证各药店接入安全;对重要数据(如购药者身份信息数据、医保报销财务数据等)进行数据安全保护,防止数据泄露。
02密码全域监管
通过部署在医保信息平台的密码应用监测平台对医保平台及专网的密码设备和密码应用进行全域监管,并结合链路安全的实际情况,对VPN安全网关和终端安全接入网关等密码设备和应用进行策略下发和远程管控,并为应急处置和保障提供技术支撑。
案例价值
01合规化建设,补齐系统安全防护短板
本方案通过基于国密的密码技术和创新产品,帮助各地医保信息平台补齐定点零售药店医保专网安全接入和链路安全的安全短板,帮助各地医保信息平台、各定点零售药店履行安全合规建设和运行责任,完成等保和密码测评要求。
02轻量化部署,建立透明模式链路防护
本方案在各定点零售药店终端侧采取轻量化部署的原则,最大限度降低改造成本,建立透明链路防护体系。在保证安全合规的前提下,利用有限的安全资源最大化提升安全防护效。
03低成本建设,实现成本与效益的平衡
本方案在平台侧进行集约化建设,在药店侧采用轻量化部署,整体投入费用大幅降低,有效防范由于各医保定点零售药店由于安全投入不足而导致的数据泄露、身份失窃等安全风险。
