由国家卫生健康委、国家中医药局、国家疾控局三部门联合制定并发布的《医疗卫生机构网络安全管理办法》《“十四五”全民健康信息化规划》，旨在加强医疗卫生机构网络安全管理，推动“十四五”期间全民健康信息化发展。

其中，《医疗卫生机构网络安全管理办法》明确了各医疗卫生机构应按照《密码法》等法律法规和密码应用标准规范，在网络建设过程中同步规划、同步建设、同步运行密码保护措施，使用符合相关要求的密码产品和服务。《“十四五”全民健康信息化规划》要求在严格落实网络安全等级保护制度及商用密码应用等基础安全保障制度，并提出建设一批医疗卫生机构商用密码应用示范，全面推广商用密码应用，完善卫生健康行业商用密码应用体系。

 医疗行业密码应用现状

   医院核心业务系统仍在使用MD5、SHA-1、RSA-512等有风险的密码算法，给医疗重要数据保护带来安全风险。密码应用相关法律法规和应用标准规范在医院机构未得到有效实施，导致密钥管理、密码系统运行维护等方面存在巨大的风险。

 医疗行业密码应用解决方案

   南京大数据检测技术有限公司结合医院业务特点，综合考虑建设成本、易用性、可用性、安全性等设计原则，推出了医院系统密码应用解决方案。方案从物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全四个方面设计，全面满足 GB/T39786 《信息安全技术信息系统密码应用基本要求》第三级密码应用的基本要求。

物理和环境安全

  将国密的电子门禁系统部署在安防监控区，基于SM4加密算法，对进出机房人员进行身份鉴别，对门禁记录数据进行完整性保护。在安防监控区部署国密摄像头和硬盘录像机，实现对视频监控数据传输机密性和存储完整性的保护，并采用HMAC_SM3密码技术，保证视频监控数据被读取和调用过程中的完整性。