附录B (规范性) 医保业务综合服务终端安全要求
B.1 物理安全 物理安全应符合如下要求: a) 终端具有医保唯一-序列号; b) 人脸识别基于三维(3D)结构光摄像头或3D TOF摄像头; c)具备防探测或监控报警功能,终端被攻击后立即进人不可用状态,并立即清除终端中的敏感信息。
B.2系统安全 系统安全应符合如下要求: a)终端入网前通过具备相关资质的检测机构检测; b)预制全国医保统--的数字证书,确保证书无法被修改和替换; c)保证操作系统的加载及升级安全,防止非法的操作系统在终端上运行; d) 定期对系统漏洞进行检查与修复; e)不应提供具有超级用户权限(root权限)提升功能的相关接口或服务程序; f) 在交易过程中不应使用截屏、录屏功能; g) 启动安全机制防止系统被人侵; h)采取网页防篡改措施,具备对全球广域网(Web)后门进行检测和报警功能; i)在交易结束或异常终止时及时清除终端内的敏感数据; j)对应用及SDK安装进行合法性校验,防止非法应用的运行; k)自助式终端设备运行应用时具备防崩溃机制及防退出机制。
B.3传输数据安全 传输数据应符合如下要求: a)确保网络传输中数据的机密性; b)确保网络传输中 数据的完整性; c) 能鉴别后台服务器的身份; d) 能监测信息重放等攻击行为,并对异常情况进行处理。
参考文献 [1]国务院办公厅关于印发“十四五”全民医疗保障规划的通知(国办发[2021J36号) [2]关于医疗保障信息化工作指导意见的通知(医保发[2019]1号) [3]关于开展医疗保障信息化建设试点工作的通知(医保发C2019)22号) [4]关于积极推进“互联网+”医疗服务医保支付工作的指导意见(医保发[2020]45号) [5]国家医疗保障局关于加强网络安全和数据保护工作的指导意见(医保发C2021J23号) [6]国家医疗保障局关于优化医保领域便民服务的意见(医保发[2021)39号) [7]国家医疗保障局办公室关于实施医保服务十六项便民措施的通知(医保办发C2023]16号) |
