药监行业引入 身份认证机制
开篇:润墨网以专业的文秘视角,为您筛选了一篇药监行业引入 身份认证机制范文,如需获取更多写作素材,在线客服老师一对一协助。欢迎您的阅读与分享!
(广东省电子商务认证有限公司彭涛)公钥基础设施(PKI)技术近年来在金融领域逐渐被广泛采用,对用户身份进行强认证;在电子政务领域,它的应用也在逐渐展开。
近年来,我国政府在不断加强对药品监管的力度,特别是2001年12月1日开始实施新的《中华人民共和国药品管理法》,对我国药品的研制、生产、流通、使用的全程监管提出了更高、更严、更细的新要求。在这种情况下,药监机构以往的管理手段,不论是在时间上、资料细度上,还是在成本费用上都不能满足新时期的要求,必须通过信息化的手段来解决问题。
PKI能解决什么?
2003年年初,广东省食品药品监督管理局(以下简称广东省药监)计划利用互联网,面向广东省食品药品监督管理行业,建设“一站式阳光政务服务平台”,为公众、企业、政府提供的综合。
但在项目规划时发现,一些预想不到的问题出现了:
1. 如何解决身份认证与授权?一般而言,对于重要的应用系统需要严格的身份认证。如果没有一个可信第三方做出权威的仲裁,那么对于随时可能被篡改的请求和回应,就无法对主客体双方身份进行确认,自然无法保证其行为的合法性。
2. 如何保证用户操作的不可抵赖?如果网上任一方对其行为和提交的数据进行抵赖,出现纠纷不可避免。通常,无赖用户往往以业务应用系统和数据存储由其他用户控制为理由,声称这些系统中记录的内容不是自己操作而是其他特权用户操作,这样将为业务的开展带来管理风险和法律风险。
3. 信息的机密性如何保护?在互联网这个开放的网络环境中,绝大多数数据以明文形式传输,将很容易遭受搭线窃听。在一个交换环境中,无论是通过SPAN、Monitor的端口设定,还是通过Sniffer监听网络中的广播数据,都是轻易而举的事,因此不管是通过内网/外网或者恶意的ISP传输的明文数据都没有安全性可言。
4. 信息的完整性如何保护?数据在传输过程中一旦被窃听、截获,将很容易被篡改再重发,无论是偶尔的被动传输错误还是故意的人为攻击,数据的完整性都会被破坏。“中间人攻击”、“会话劫持”就是典型的针对数据完整性的攻击方式,而随着一些黑客使用工具的普及,使得攻击越来越容易也越来越频繁。
如果上面的问题不能得到解决,那广东省药监信息化建设的步伐必将受到极大的影响。
就在省药监信息化主管部门感到万分困惑的时候,首部真正意义上的信息化法律――《电子签名法》于2005年4月1日正式实施了。
这部法律规定,可靠的电子签名与手写签名或者盖章具有同等的法律效力。电子签名是指数据电文中以电子形式所含、所附用于识别签名人身份并表明签名人认可其中内容的数据。通俗地说,电子签名包括用于识别签名人身份并表明签名人认可其中内容的程序或者符号、声音等数据,签名人加密后把签名文件发送给交易对方,交易对方收到的签名文件是一堆“乱码”,需解密后验证。具有法律效力的电子签名,还必须是“可靠的”,即必须同时符合“电子签名制作数据用于电子签名时,属于电子签名人专有”、“签署时电子签名制作数据仅由电子签名人控制”、“签署后对电子签名的任何改动能够被发现”、“签署后对数据电文内容和形式的任何改动能够被发现”等几种条件。
《电子签名法》还认可了PKI/CA技术是目前符合该要求的技术。PKI技术是利用公钥理论和技术建立的提供信息安全服务的基础设施。公钥体制是目前应用最广泛的一种加密体制,在这一体制中,加密密钥与解密密钥各不相同,发送信息的人利用接收者的公钥发送加密信息,接收者再利用自己专有的私钥进行解密。这种方式既保证了信息的机密性,又能保证信息具有不可抵赖性。
但PKI绝不仅仅涉及到技术层面的问题,还涉及到电子政务、电子商务以及国家信息化的整体发展战略等多层面问题。PKI作为国家信息化的基础设施,是相关技术、应用、组织、规范和法律法规的总和。PKI的核心是要解决信息网络空间中的信任问题。
有了技术和国家法律的保障,广东省药监立即与首批获得国家资质认可的电子认证服务机构――广东省电子商务认证有限公司(以下简称网证通或NETCA)合作,共同开展药监行业的电子政务应用。
PKI在药监行业如何应用
在广东省药监和网证通的合作下,广东省食品药品行业数字证书服务中心于2005年初正式成立。该中心作为广东省食品药品行业数字认证业务的第三方权威机构,负责向行业内的药品生产企业、医疗器械生产企业、药包材生产企业、药品进出口企业、药品批发企业、药品连锁企业、医疗机构、药品经营企业及其他相关企业颁发数字证书,并承担行业内数字证书的备份、恢复、作废等业务。
数字证书目前已全面应用在广东省“食品药品监管网上行”项目中,该项目是广东省食品、药品(含医疗器械、保健品、化妆品)行业信息系统的总称,目标是利用信息化手段,建立全省食品药品监督管理的信息化平台,构建全省食品、药品行业企业与监管部门的申报、审批、日常监管的沟通平台,并在此基础上逐步形成全省食品药品行业符合监管要求的电子化交易平台。其中,“网上授理大厅”系统是药品监督管理局业务授理部门通过互联网对企业进行受理、审批许可证申请/变更/换证、证明书、注册等药监业务的一种业务处理方式,是广东省药监局推行政务公开、方便企业办事、促进药品监督管理工作规范化、法制化的重要手段。
“网上授理大厅”系统使监管人与药监系统之间发生的各种业务,均可在线申报、在线授理、在线审批。
目前实现的主要应用包括:
1. 企业网上业务申报――数字证书登录系统
利用数字证书实现应用系统从基于“用户名+口令”的登录快速转换到数字证书登录,解决传统“用户名+密码”的方式所带来的安全的隐患和管理的难度。
2. 企业网上业务申报――数字证书签名盖章
实现Web表单的签名和加密,可以有效地应用在Web应用系统。Web表单签名加密基于数字证书和ActiveX技术,对通过网上提交的表单做加密和签名处理,确保表单内容完整性、机密性、填写人身份确认性和不可抵赖性。如图1所示。
3. 可信时间戳服务
为了保证系统中信息操作时间的有效性,例如申报数据的准确上报时间,采用时间戳服务器提供可信准确的数字时间戳,为各种电子信息提供有法律保证的时间有效性保证。应用的流程如图2所示。
4. 企业网上业务申报――数据安全传输
通过在应用服务器上安装服务器数字证书实现SSL安全信道,可以确保服务器与客户端的通信是安全、可信的。
PKI应用效果
由于企业使用了合法的数字证书,可以对网上申报的内容负法律责任,使得网上报送成为可能;应用数字证书生成法人签名库和电子公章库,企业网上报送的内容全部带有法人电子签名和电子公章,符合药品部门的审批要求;另外,电子经营许可证与数字证书的统一,防止了电子经营许可证被伪冒,交易双方可以放心在网上做生意,有助于促进广东医药经济的发展。
在引入数字证书后,省药监各项业务受理的流程也发生了较大的变化(见表)。以往要一个多月才能完成的审批,现在只要5天就能完成,而且通过数字证书登录网站后,还能随时查询到审批的进度,真正做到心中有数。
经过近3年的推广,目前广东省共800多家药品生产、销售企业应用了数字证书,他们对数字证书的使用和省药监信息化的应用都高度赞扬,信息化为他们节省了大量的时间,也感觉政府的办事效率得到了提高,而且更公开化、透明化,真正实现了“阳光政府”的承诺。
采用PKI的意义
广东省药监建立和使用PKI/CA安全应用体系,是其信息化建设的又一里程碑,具有非常重大的意义:
1. 保证省药监应用系统信息内容的法律效力
《中华人民共和国电子签名法》及《电子认证服务管理办法》的正式实施,从国家层面真正确立电子签名的法律效力和电子认证机构的法律地位,是省药监应用系统信息内容具有法律效力的有效保证。
2. 社会意义巨大
一方面是省药监信息中心对国家安全保障体系建设号召的响应。政策及法规的实施、抵御国内外的高技术犯罪和网络非法活动,对保障国家安全、社会稳定和经济发展有重要意义。另一方面是广东省药监信息中心业务在安全方面的又一拓展。在PKI/CA体系基础上,省药监信息中心可为各职能部门和行业内的企业建立安全信息应用系统提供证书服务和安全平台基础设施,以安全进一步保障和促进省药监信息中心业务和服务发展,实现以信息技术带动网络经济的目标。
3. 提高省药监的综合安全管理效能
首先,省药监信息中心在安全CA应用平台上,与系统用户建立起安全保密的信息交换通道,把所有与系统有业务关系的企事业单位和个人纳入管理并建立信息监控体系。
其次,对用户申报数据资料及传输内容实时采集进入海量数据库,当申报、审批等服务产生纠纷和可疑的违规行为时系统可提供有法律效力的证据,提高政府的监控管理力度。
再次,广东省药监信息中心建立具有很高可控性和自主性的安全CA应用平台,便于在其基础上开发和推广适应业务需求的行业业务管理系统等安全电子政务系统,加速发展系统平台的安全增值服务。
4. 是机关、企业快速发展的安全保障
数字证书对于企业公众来说就像防伪标签一样,行业内各企业和个人通过数字证书可以证明自身的合法地位,接受省药监的指导和服务,确认数据交换的安全传送。数字证书成为政府部门、企业、个人明确法律责任、保护自身合法权益的重要用具。
在数字认证保障下的应用系统,企业、个人可以放心地在办公室通过网络完成各种政务、商务手续,提高了办事效率和运作效率,降低运作成本。
5. 使企事业单位和公众得到可信服务
省药监信息中心可以通过服务器证书等应用,为省药监网站及其下有信誉的企事业单位网站实行安全站点认证,网络用户可以确定所访问站点是受政府部门监管的、是安全可信的,放心使用网站上的应用服务和信息服务,为政府业务系统树立安全可信形象,防止不法分子假冒政府网站。