xxx智慧医院整体网络安全建设方案V3

Xxx智慧医院1项目概述 7 71.2建设背景 7 71.2.2等级保护政策背景 71.3建设目标 9 9 91.3.3健康医疗数据安全建设 1.5.1法律法规 2需求分析 2.2.1数据资产梳理需求 23 2.2.3数据第三方使用安全需求 2.2.4数据大集中后，数据安全面临的风险更大 24 2.2.6数据安全防护统一监控和管理需求 2.3密码服务建设需求 3.1方案设计说明 3.2方案设计原则 3.2.1分区分域防护原则 283.2.2均衡性保护原则 283.2.3技术与管理相结合原则 283.2.4动态调整与可扩展原则 283.2.5网络安全三同步原则 29 3.1网络安全设计拓扑 4第一部分等保合 4.1方案设计参考依据 4.1.1相关政策文件及法律法规 4.1.2相关信息安全标准 4.2安全区域框架 4.3安全拓扑图 4.4安全技术体系方案设计 4.4.1安全通信网络防护设计 4.4.2网络架构及安全区域设计 38 4.5安全管理中心设计 444.6管理体系设计方案 454.6.1管理体系设计目标 454.6.2管理体系设计框架 454.6.3安全通用要求安全管理防护体系设计 4.6.4安全管理机构设计 474.6.5安全人员管理设计 4.6.6安全建设管理设计 494.6.7安全运维管理设计 4.7安全服务体系建设 4.7.1安全监测与分析 4.7.2网站安全监测 4.7.3渗透测试 5第二部分健康医疗数据安全建设阶段 5.2场景化的安全思维 5.2.1用户分析 5.2.4数据使用环境 5.2.5场景分类与使用措施要点 5.5.1数据加密 75 5.5.3应用动态脱敏和水印网关 5.5.4文档水印 5.5.5数字水印 5.5.7数据安全审计建设 79 6第三部分密码服务建设阶段 6.1密码应用技术框架 6.2物理和环境安全 816.3网络和通信安全 6.4设备和计算安全 6.5应用和数据安全 6.6密钥管理安全 6.8安全与合规性分析 1.1项目概述1.2建设背景指导意见》(卫办发[2011]85号),指出卫生行业各单位要按照“谁主管、(国发[2016]77号),《规划》提出要“加强健康医疗数据安全保障和患《中华人民共和国网络安全法》发布，于2017年6月1日起正式施行，这2018年6月，由公安部牵头制定的《网2019年12月，网络安全等级保护2.0标准正式实施。1.3建设目标的整体规划，同时强化风险应对(监测、预警、处置、溯源等)能力，建现对保护对象(重要业务数据、鉴别数据、重要审计数据等)的机密性、完整>建立数据分类分级能力、数据脱敏能力、数据防泄漏能力、访问控制能力，启动数据安全管控系统(可视、可管)建设，解决数据泄露问数据稽核能力(安全审计、行为分析)、数据销毁能力，完善数据安提升数据安全管控系统(可控)能力，建成全网一体化数据安全体系，1.4建设范围1.5政策要求及设计依据第147号)第九条明确规定，“计算机信息系统实行安全等级保护，安全等级的划分标准和安全等级保护的具体办法，由公安部会同有关部门制2021年9月1日起施行的《数据安全法》,确立数据分类分级以及风 自2007年《信息安全等级保护管理办法》(公通字(2007)43号)颁布以进信息化发展和切实保障信息安全的若干意见》(国发〔2012)23号〕规定，了三级医院重要业务系统(可由各省卫健委自己定义)必须通过等保三级测评，2016年国家卫健委印发《2016年三级综合医院评审标准考评办法(完整(试行)》规定了承载健康医疗大数据的平台必须通过等级保护(未规定级2018年国家卫健委印发《互联网医院管理办法(试行)》规定了承载互联2018年国家卫健委印发《关于印发电子病历系统应用水平分级评价管理办法(试行)及评价标准(试行)的通知》要求医院完成信息安全等级保护定级备案与测评、医院重要信息安全等级保护不低于第三级。要设有信息安全岗位，定期组织安全培训及考核，定期组织安全测评并具有独立的信息安全管理制度体系，设有独立的信息安全岗位，有专人负责信息安此外，在2019年5月13日，《信息安全技术网络安全等级保护基本要求》(以下简称：等保2.0)正式发布，2019年12月1日起正式实施，标志着等级保护标准正式进入2.0时代。等保2.0是我国网络安全领域的基本国策、基本制度和基本方法。等级保护标准在1.0时代标准的基础上，注重主动防御，从被动防御到事前、事中、事后全流程的安全可信、动态感知和全面审计，实现了对传统信息系统、基础信息网络、云计算、大数2需求分析2.1网络安全等级保护建设需求2.1.1安全技术需求在《GB50174-2008电子信息系统机房设计规范》中，已明确将三级医院的电子信息系统机房定义为B级。此类电子信息系统机房出现故障后将产生较大的经济损失，并导致公共场所秩序混乱，因为当前医院的整个>由于机房容易遭受高温、低温、多雨等原因引起温度、湿度异常，应采取>针对利用通用安全协议、算法、软件等缺陷获取信息或破坏通信完整性和>针对攻击者越权访问文件、数据或其他资源，需要通过访问控制、身份鉴针对利用网络协议、操作系统或应用系统存在的漏洞进行恶意攻击(如碎片重组，协议端口重定位等),需通过网络入侵检测、恶意代码防范等技安全区域边界需求安全计算环境需求断而影响服务连续性的安全风险，需要通过对产品采购、自行软件开安全管理中心需求>针对内部管理员的违规操作行为，需要采取身份鉴别、安全审计等技术手2.1.2安全管理需求安全管理机构需求安全管理机构涉及安全部门设置、人员岗位设置、人员安全管理等方需要建立专门安全职能部门，设置安全管理岗位，配备安全管理人员、网安全人员管理需求安全人员管理需求，涉及到人员的岗位设置、职责分工、人员管理等需要对外部人员进行严格控制，确保外部人员访问受控区域或接入网络时安全建设管理需求安全运维管理需求2.2健康医疗数据安全建设需求20%的攻击来自于外部，而80%的数据泄露来自于内部，这对数据安全的防护后扎克伯格接受美国国会问询就可见一斑。随着欧盟G护条例》的出台，国内也在加快《数据安全法》的立法进程。2019年5月28日，国家互联网信息办公室发布了关于《数据安全管理办法(征求意见稿)》公开征求意见的通知；2019年6月13日国家互联网信息办公室就《个人信息出境安全评估办法(征求意见稿)》向社会公开征求意见。根据意见稿，个人信息出境应进行安全评估。经安全评估认定个人信息出境可能影响国家安全、损害公共利益，或者难以有效保障个人信息安全的，不得出境。这些举措都表明政府监管机构对个人隐私数据和重要数据的监管力度再加大，将对和数据相关的行对数据的安全防护可能会成为一个网络运营者(包括网络的所有者、管理者和网络服务提供者)开展业务的先决条件，不做好数据的安全防护，可能意系统通过新增部署数据安全设备进行安全防护，如堡垒机、数据库脱敏、数据加密、数据库防火墙、数据库审计等，各种防护能力缺乏统一的监控和管理，如安全策略的统一管理、访问能力的统一监控和分析。对整个数据安全的2.3密码服务建设需求根据GB/T39786-2021《信息安全技术信息系统密码应用基本要求》,本方案将从物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全、安全管理等5个层面，对xxx医院应用系统进行商用密码应用方面首先，需要在xxx医院应用系统机房部署符合GM/T0036-2014标准要求的其次，需要在xxx医院应用系统机房部署符合密码相关国家、行业标的VPN综合安全网关更换为具有国家密码管理局资质证书的国密SSL/IPSec首先，需要通过在互联网接入区部署的符合密码相关国家、行业标准要求的国密SSL/IPSecVPN二合一网关，建立远程管理的安全通道，保其次，在xxx医院应用系统的业务应用区部署符合密码相关国接口进行完整性保护，对应用服务器、数据库服务器、网络设备、安全设备等设备日志进行完整性保护，对系统中的重要可执行程序进行完整性保3总体方案设计3.1方案设计说明3.2方案设计原则3.3方案设计思路根据此等级受到的威胁对应出该等级的保护要求(即需求分析),并分布来确定总体安全策略(即总体安全目标),再根据等级保护的要求将总体安全策略细分为不同的具体策略(即具体安全目标),包括安全域内部、>根据选择好的各保护对象安全措施、安全措施框架、实际的具体需求来设xxx医院整体网络安全拓扑图(示例)4第一部分等保合规建设阶段4.1方案设计参考依据《中华人民共和国计算机信息系统安全保护条例》(国务院147号令)[2003]27号)《关于信息安全等级保护工作的实施意见》(公通字[2004]66号)《关于开展信息系统安全等级保护基础调查工作的通知》(公信安[2005]1431号)《信息安全等级保护管理办法》(公通字[2007]43号)《关于开展全国重要信息系统安全等级保护定级工作的通知》(公信安[2007]861号)《关于开展信息安全等级保护安全建设整改工作的指导意见(公信安(公信安[2010]303号)《关于促进“互联网+医疗健康”发展的意见》(国办发(2018)26号)《关于促进“互联网+医疗健康”发展的实施意见》(川办发〔2018)13号〕《四川省智慧医疗评审标准(试行)》4.1.2相关信息安全标准安全管理中心内代理内部交控制节点子系统外部代理边界4.3安全拓扑图4.4.2网络架构及安全区域设计网络架构设计安全区域划分着所有业务系统(HIS、LIS、PACS等),是重点防护区域；这个区域通过部署通信网络安全传输通信网络安全审计区域边界访问控制冗余。并开启防火墙相应的访问控制、入侵防御功能，并配置细颗粒度的基违规内、外联控制抗DDoS攻击防护边界恶意代码防护库的升级和更新，实现对文件病毒、宏病毒、脚本病毒、蠕虫、木马、恶意区域边界入侵防护对内部的恶意攻击和探测，对网络蠕虫、间谍软件、木马软件、溢出攻击、上网行为安全审计区域边界安全审计于流经各主要边界(重要服务器区域、外部连接边界)需要设置必要的审计机4.4.4安全计算环境防护设计管、避免核心资产(服务器、网络设备、安全设备等)损失、保障网络及业务入侵防范.1终端安全管理.2入侵威胁检测.3系统漏洞管理.4Web攻击防护恶意代码防护安全审计管理.2数据库行为审计数据完整性及保密性保护数据备份恢复先进的设备和介质管理，快速、顺利的灾难恢复以及对光纤通道存储区域网 个人信息保护4.5安全管理中心设计性能及服务水平的监控，事件、流及配置信息的分析、审计、预警与响应，风险及态势的度量与评估，以及标准化、例行化、常态化的安全流程管控，从监4.6管理体系设计方案4.6.1管理体系设计目标4.6.2管理体系设计框架4.6.3安全通用要求安全管理防护体系设计安全策略管理制度制定和发布评审和修订岗位设置>审查重大的信息安全事故，制定改进措施；人员配备授权和审批沟通和合作审核和检查人员录用需要有专人或部门负责人员录用，需要对专业技能、身份、背景、专业资格资质进行审核，并确定保密协议和岗位责任协议，并对被录用人员所具有的人员离岗人员离岗及时终止各种权限，回收各类访问权限、软硬件设备，履行离职外部人员访问管理产品采购和使用根据网络的安全保护等级和安全需求，采购使用符合国家法律法规和有关对于软件开发，要确保将开发环境与实际运行环境物理分开，测试数据和工程实施在项目实施过程中，要指定或授权专门的部门或人员负责工程实施过程的测试验收等级测评0服务供应商选择环境管理资产管理介质管理设备维护管理漏洞和风险管理网络和系统安全管理恶意代码防范管理配置管理密码管理0变更管理建立变更管理制度，重要系统变更前需经过申请审批，变更和变更方案经应建立变更控制的申报和审批程序，如变更影响分析应文档化，变更实施应明确变更过程控制方法和人员职责，必要1备份与恢复管理规定备份信息的备份方式(如增量备份或全备份等)、备份频度(如每日或每周等)、存储介质、保存期等；指定相应的负责人定期维护和检查备份及冗余设备的运行状况，确保需要建立数据备份和恢复过程控制程序，如备份过程应记录，所有文件和记录>定期执行恢复程序，检查和测试备份介质的有效性，确保可在规定的时间2安全事件处置制定安全事件报告和处置管理制度，如规定安全事件的现场处理、事件报3应急预案管理4外包运维管理5安全评估服务4.7安全服务体系建设整、精准，在漏洞、安全事件、有效性隐患发现后快速通过邮件、短信、微信紧急事件响应，是当安全威胁事件发生后迅速采取的措施和行动，其目的是最快速恢复系统的保密性、完整性和可用性，阻止和降低安全威胁事件带来>病毒和蠕虫事件黑客入侵事件>但通常在事件爆发的初始很难界定具体是什么。所以，通常又通过单点损害：只造成独立个体的不可用，安全威胁事件影响>局部损害：造成某一系统或一个局部网络不可使用，安全威胁事件应急响应当监测并分析出入侵或者破坏发生时，应及时响应并做出对应处置，对应的处理方法主要的原则是首先保护或恢复计算机、网络服务的正常工作；然后再对入侵者进行追查。因此对于客户紧急事件响应服务主要包括准备、识别事件(判定安全事件类型)、抑制(缩小事件的影响范围)、解决问题、恢复以建立客户事件档案>与客户就故障级别进行定义。>准备安全事件紧急响应服务相关资源>组建事件处理队伍>提供易实现的初步报告>事件抄送专家小组>注意保护可追查的线索，诸如立即对日志、数据进行备份(应该保>联系系统的相关服务商厂商提供解决方案结果提交专家小组审核检查是不是所有的服务都已经恢复>攻击者所利用的漏洞是否已经解决其发生的原因是否已经处理>保险措施，法律声明/手续是否已经归档应急响应步骤是否需要修改>生成紧急响应报告事件合并/录入专家信息知识库同时对造成系统中断和造成信息泄露的重大安全事件应采用不同的处理程xxx医院未来将形成各项互联网web应用服务，将会面临由于SQL注入、跨站漏洞、维护问题等带来的各种威胁，可能会造成xxx医院数据丢失、业务中因此在本次建设过程中，拟采用服务的形式，利用专业网站监测系统，对客户网站进行不间断的监测，结合安全专家的专业分析，及时的发现网站存在的安全隐患和问题，第一时间通知xxx医院运营人员进行处理，并提供安全建议，降低风险，减少损失。同时需要定期提供网站安全监测报告，使xxx医院远程网站漏洞扫描服务通过远程方式，对网站定期进行安全检查，由安全专家进行专业分析，发页面篡改监测服务对页面变化进行监测，发现疑似篡改情况，及时告警通知xxx医院，避免对被监控域名在各省主要运营商DNS服务器及授权域名服务器的域名解析情况进行监控，如发现域名解析异常及时报警并通知客户。监控范围包括：A敏感内容监测服务对网页中出现的敏感内容进行监测，如发现敏感内容及时通知xxx医院进采用多种检测技术对网站挂马进行监测，发现网站被挂马后及时通知xxx>钓鱼网站监测服务通过对被监测域名相似域名的检查，通过关键词对各主要搜索引擎搜索结果进行检查等方式对钓鱼网站进行监测，发现钓鱼网站后及时通知客户处理，系统上线前检测是应用系统生命周期中的一个重要环节，在对应用系统建设规划和现状充分调研的基础上，制订系统上线前的安全检测方案，并根据信息系统平台建设情况，按照系统上线前安全检测方案实施检测工作，进行彻底全面的安全弱点评估，发现潜在的安全漏洞。上线前检测需采用对系统非侵害的测试方法，检验系统的安全防护能力，发现安全风险及漏洞，通常采用远程通过上线前的检测工作，对应用系统所覆盖的全部资产再次进行确认识别，完成对应用系统等级保护建设措施落实情况的合规性分析，对应用系统等级保护实施的各项安全措施和管理制度进行全面的风险评估，明确残余风险；依据风险评估结果、上线前检测结果、合规性分析结果，进行差距分析，提出安全渗透测试服务应包括了协商测试范围、启动渗透测试、渗透结果输出、系>协商测试范围渗透测试的范围限制于经过xxx医院方以书面形式进行授权的主机，使用启动渗透测试渗透测试过程将严格按照《GB/T20984信息安全技术信息安全风险评估>渗透结果输出渗透测试的结果将以报告(《渗透测试报告》)的形式提交，渗透测试也>系统备份与恢复为防止在渗透测试过程中出现的异常的情况，所有被评估系统均应在被评估之前作一次完整的系统备份或者关闭正在进行的操作，以便在系统发生灾难4.7.4脆弱性发现与管理运用专业的脆弱性扫描与管理系统，系统综合多种手段(主机存活探测 (操作系统和应用软件)的弱点和漏洞，提供修补建议； 忽视的安全漏洞一业界最新动态 4.7.74.7.5重大保障4.7.84.7.6驻场服务针对xxx医院信息系统面临的威胁，可提供安全运维服务(如项目需要),5第二部分健康医疗数据安全建设阶段5.1安全威胁及防护措施要求数据信息安全的防护建设目标表剩余信息保护中间人攻击，数据泄露信息系统密码应用数据破坏公民个人信息泄露个人信息保护数据信息安全是要保护数据信息免受破坏、泄露和误用威胁的影响，从而确保业务平台的连续性，缩减业务平台有可能面临的风险，为整个业务平台维5.2场景化的安全思维图5-1数据使用场景示意图健康医疗数据使用常见用户表5.2-1用户类别政府机构医疗机构进行疾病诊断、治疗，涉及医护人员(护士人员)医联体多家医院联合体，进行医院间的信息共享和疾病诊断、治疗医保机构商业保险公司设计新的保险业务科研机构医药企业新药研发，药效研究用户类别医疗厂商医疗器械、医疗相关信息系统研发健康医疗信息教育机构育，涉及教育机构、教育者、受教育者健康医疗数据可以分为个人属性数据、健康状况数据、医疗应用数据、医疗资金和支付数据、卫生资源数据以及公共卫生信息等，具体内容如下表所范围1)人口统计信息，包括姓名、年龄、性别、民族、国籍、职业、住址、工作单位、家庭成员信息等；卡、可识别个人的影像图像等；范围4)个人生物识别信息，包括基因、指纹、声数据既往病史、社会史、家族史、症状、健康体检数据、可穿戴设备医疗应用数据医嘱单、检验报告、诊断结果、用药信息、病程记录、诊治记录、用药记录、手术记录、护理记录、住院记录、医疗资金和支付数据1)医疗交易信息包括支付信息、消费金额、交易记录等；数据公共卫生信息传染病疫情信息、疾病监测信息、疾病预防信息、出生死亡信息使用目医疗服务患者、医院临床工作人员、医保机构、信息系统供应商、医疗设备供临床研究公共管理策医院管理人员、就职公司、就读学校、金融保险机构、医药企业管理活患者、患者家属、家庭医疗、体检中心、健康中心、养老院等医学教育医学教育机构、健康宣教机构、教育工作者、受教育者等信息特点要点化服务与管理确的个人健康医疗信息务、卫生健康服务，传染病管控等联互通、远程医疗、健康传感数据管理、移动由于涉及个人标识信息，环高标准保证数据对象告知人可识别，周边人不易识别识别信息或代码，与其他信务对象，例如门诊叫号、检查叫号、体检服个人信息需与接收人数量受到限制信息特点要点息内容分离，例如张XX、排队序号等管究、教育与统计分析业务要求：不需要识别信息内容：一般人口信息、各类医疗、卫生服务信息可识别类病种分布统计、流行等研、医学健康教育、医需要进行去式严格管控，需整性和真实性数据安全治理管理平台数据安全治理管理平台数据安全服务■能力集中化建设思路模块支撑数据安全治理和数据安全运营能力的集中管理。实现数据安全治理和数据安全运营管理能力的整合，内部数据的统一处理和统一调用。建设数据安全治理平台，实现对数据安全防护、数据安全审计安全策略的集中管理和相关安全能力组件的统一日志收集，集中分析和处理。■场景化建设思路数据安全策略如何定义，数据安全风险如何分析，数据的分级分类、数据的安全防护都需要根据业务、运维等的实现场景进行策略、防护的落地，场景化的建设思路，为数据安全的治理和运营提供真正落地的方法。场景化建设关键因素是“人”、“业务”、“数据”,我们需要梳理xxx医院实际相关场景，制定数据分级分类场景、访问控制场景、加密场景、脱敏场景、泄露场景、风险分析模型场景、态势展示等多种场景。人■数据安全服务支撑基于场景的数据安全治理和数据安全运营需要数据安全运营服务的支持，进行数据安全分析分类、资产梳理、安全策略梳理等多个方面，为数据安全治理管理平台和数据安全防护、数据安全审计提供相关的管理能力和落地应用。5.4数据安全治理平台建设建设数据安全治理管理平台，实现数据安全运营、数据安全治理、数据安全能力组件集中管理能力。视图展示视图展示数据安全异常态势大屏展示策略中心安全能力瑜出风险评估分析回安全属示数据安全治理和运营能力支排护5.5数据安全防护建设5.5.2数据防泄露●网络出口交换机做端口镜像，将镜像口与网关DLP设备连接部署方案如下图：交换机镜像文件内容解析能力并能够基于用户需求定制文档信息解析模块，处理如WPS等软件生成的文档。内容，识别能力支持多层压缩文件解析和无限层内容提取■图片文件解析与文字提取识别由文档转换而成的图片内容，支持从jpg、bmp、png类型的图片中提高效的中文分词算法，无需词库也能解析如“主机密钥”这样的词语(不会触发“机密”关键字)。具备国内行业特征词库，能够将搜狗等输入法的词库应用到系统中。支持添加用户自定义词典，有效识别领域专业术语分词时支持去除干扰符号，支持去除词语中的干扰“工资xx明细”等模式进行正确分词支持英文词组分词，可以匹配如“Salarydetail”等英文词组支持中文简体、中文繁体、英文、韩文、日文内容提取与分词，并且支支持HTTP/HTTPS协议解析，并对外发数据实时进行分析、审计与阻断，支持国内各种Web邮箱、微博、博客、论坛、网盘、贴吧等；支持对对FTP上传和下载的数据进行协议解析与敏感信息提取，并根据策略进行敏感内容的实时审计。支持网页FTP和客户端FTP。对网络共享上传和下载的数据进行协议解析与敏感信息提取，并根据对外发邮件进行协议解析(支持邮件TLS加密协议)与敏感信息提取，并针对策略对外发邮件进行实时审计与阻断建立独立的应用页面模糊化管理，针对不同人员访问权限进行页面敏感数针对所有业务访问人员，在指定的应用访问界面进行水印控制，页面水印内容包括访问人员的账号信息(自然人关联)、时间、IP地址等。防止人员截对通过业务系统和通过数据库运维进行敏感数据文件下载建立零下载机防止下载到本地，从数据的源头进行抓起，依托“零下载技术”,从数据的访数据库水印系统是一款将水印标记嵌入到原始数据中，数据进行分发后能实现泄露数据溯源的产品，具有高隐蔽性、高易用性、高管理融合性等特点。本产品通过系统外发数据行为流程化管理，对数据外发行为事前数据发现梳理、自动生成水印、外发过程中嵌入水印、数据源追溯等功能，避免了内部人员外 核心数据存储区域敏感文件扫描。网络DLP扫描引擎可扫描发现敏感信息是否在指定的服务器中违规存放，识别敏感文件的路径、文件名等文件属性。可根据用户自主设定的一个或多个敏感信息关键字、正则表达式、指纹、文件MD5、分级分类规则进行搜索。敏感文件扫描发现可以查询指定服务器端的涉密状态，评估涉密度。历史敏感信息文件及敏感文件的的变更信息。评估服务器端的涉密变化趋势。支持5.5.7数据安全审计建设>提供缺省的多种合规操作规则，支持自定义规则(包括正则表达式等),实现灵活多样的策略和响应；5.5.8数据安全防护方案部署6第三部分密码服务建设阶段安全安全密码应用实施保障因此，本方案中物理和环境安全层面的密码应用保护通过部署符合GM/T模块安全技术要求》、GM/T0030-20146.3网络和通信安全全网关，实现对远程办公人员、运维人员等通信双方进行身份鉴别，同时建立安全的数据传输通道和运维管理通道，并对网络边界的访问控制信息进行完整6.4设备和计算安全在设备和计算安全中，运维管理人员应经由“网络和通信安全”层面中部署的二合一VPN安全网关，再登录运维堡垒机进行设备或系统平台的运维管理工作，同时运维堡垒机应基于双因素身份认证方式，实现管理运维人员的身份鉴别，防止非授权人员登录，建立远程管理的安全通道，保护身份鉴别数据和的服务器密码机，通过调用服务器密码机API接口实现对系统资源的访问控制信息、重要可执行程序信息，以及日志审计系统等设备日志信息的完整性保护。6.5应用和数据安全6.6密钥管理安全密钥存储：密钥以密文方式存储，防止被非授权的访问或篡改，支持密密钥使用：提供可靠的身份认证机制，确定服可防止服务使用者的数据被恶意访问、篡改、外泄等。服务使用者的密钥数据采用不同的加密密钥保护存储，支持密钥数据逻辑隔离，确保用密钥更新：密钥超过使用期限、已泄露或存在泄露风险时，支持根据密密钥归档：对系统历史密钥、被注销密钥进行归档，并对归档密钥进行密钥备份：执行密钥备份后，同步生成审计信息，包括备份的主体、备密钥恢复：执行密钥恢复后，同步生成审计信息，