T/GDNS 014-2024 健康医疗信息零信任安全访问控制应用规范

ICS 35.240.99
C 07
团体标准
T/GDNS 014—2024
健康医疗信息零信任安全访问控制应用规范
Health and medical information-Applicationspecifications of cybersecurity access control for zerotrust
2024 - 10 - 30 发布2025 - 01- 01 实施
广东省计算机信息网络安全协会发布

目 录
前 言.............................................................................. II
健康医疗信息零信任安全访问控制应用规范................................................ 1
1 范围................................................................................. 1
2 规范性引用文件....................................................................... 1
3 术语和定义........................................................................... 1
4 缩略语............................................................................... 1
5 总体原则............................................................................. 2
6 健康医疗信息零信任安全访问控制系统组成............................................... 2
6.1 核心组件........................................................................................................................................................... 2
6.2 主体................................................................................................................................................................... 3
6.3 资源................................................................................................................................................................... 3
6.4 支撑组件........................................................................................................................................................... 3
7 健康医疗信息零信任安全访问控制应用要求............................................... 3
7.1 医疗信息系统要求........................................................................................................................................... 3
7.2 组件要求........................................................................................................................................................... 3
7.3 安全管理要求................................................................................................................................................... 4
附录A（资料性）健康医疗信息零信任安全访问控制应用示例............................... 5
A. 1 应用背景........................................................................................................................................................... 5
A. 2 解决方案........................................................................................................................................................... 5
附录B（资料性）健康医疗信息零信任安全访问控制体系参考架构........................... 7
B. 1 参考架构........................................................................................................................................................... 7
B. 2 访问方式........................................................................................................................................................... 7
B. 3 应用场景........................................................................................................................................................... 9
附录C（资料性）健康医疗信息零信任安全访问控制应用流程参考.......................... 11
C.1 系统准备流程...................................................................................................................................................11
C.2 资源访问流程...................................................................................................................................................11
参考文献.............................................................................. 12
T/GDNS 014-2024
II
前 言
本标准按照GB/T 1.1《标准化工作导则第1 部分：标准化文件的结构和起草规则》要求编写。
本标准由广东省计算机信息网络安全协会提出并归口。
本标准起草单位：广州医科大学附属口腔医院，广东省计算机信息网络安全协会，广州市胸科医院，
广州市卫生健康委员会，广州市妇女儿童医疗中心，广东省人民医院，广州医科大学附属第一医院，南
方医科大学南方医院，南方医科大学第三附属医院，中山大学附属第一医院，中山大学附属第三医院，
中国人民解放军南部战区总医院，广州医科大学附属第二医院，广州医科大学附属第三医院，广州医科
大学附属第五医院，中山市人民医院，中山大学附属第三医院肇庆医院，东莞市第六人民医院，中山大
学附属第六医院，粤北人民医院，汕头市中心医院，江门市中心医院，肇庆市第一人民医院，广州医科
大学附属中医医院，广东医科大学附属第二医院，广州星鼎网络科技有限公司，深信服科技股份有限公
司，广东精点数据科技股份有限公司，三六零数字安全科技集团有限公司，深圳市联软科技股份有限公
司。
本标准起草人：张亮鸣，范培珉，李翠华，曹晓均，杨洋，黄振毅，严晓明，陈永辉，吴龙，陈智，
黄键，严静东，凌庆，张家庆，余俊蓉，刘瀚腾，银琳，赵霞，杨广黔，代科伟，余映慧，苏韶生，蓝
怀仁，范年丰，熊劲光，周邮，廖茂成，邱扬，李迎新，陈倩文，谢志纳，杨晓灵，林京安，陈文华，
杨楚欣，曾意丽，陈月华，林楚文，叶滨，任重远，裴度，许飞月，李青海，张力，陈秋亮，蔡明宇，
陈容胜。
本标准为首次发布。
T/GDNS 014-2024
1
健康医疗信息零信任安全访问控制应用规范
1 范围
本文件规定了健康医疗信息零信任安全访问控制应用总体原则、应用规范和管理规范。
本文件适用于健康医疗信息零信任安全访问控制建设和运维管理。
2 规范性引用文件
下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，
仅该日期对应的版本适用于本文件; 不注日期的引用文件，其最新版本（包括所有的修改单）适用于本
文件。
GB/T 22239 信息安全技术网络安全等级保护基本要求
GB/T 25069 信息安全技术术语
GB/T 28827.1 信息技术服务运行维护第1部分：通用要求
GB/T 28827.8 信息技术服务运行维护第8部分：医院信息系统管理要求
GB/T 43696 网络安全技术零信任参考体系架构
GB/T 36626 信息安全技术信息系统安全运维管理指南
3 术语和定义
GB/T 25069、GB/T 28827.8、GB/T 43696界定的术语和定义适用于本文件。
零信任安全访问控制（Zero Trust Security Access Control），指基于最小权限授权，通过持续评估
和动态管控，实现主体对资源访问过程中的安全管理。
4 缩略语
以下缩略语适用于本文件。
PE：策略引擎（Policy Engine）
PA：策略管理（Policy Administration）
PEP：策略执行点（Policy Enforcement Point）
APP：手机应用软件（Application）
PKI：公钥基础设施（Public Key Infrastructure）
API：应用程序接口（Application Program Interface）
SDK：软件开发工具包（Software Development Kit）
SSL：安全嵌套层（Secure Sockets Layer）
TCP：传输控制协议（Transmission Control Protocol）
HTTP：超文本传输协议（Hyper Text Transfer Protocol）
HTTPS：基于安全嵌套层的超文本传输协议（Hyper Text Transfer Protocol over Secure Socket Layer）
T/GDNS 014-2024
2
DMZ：隔离区（Demilitarized Zone）
VPN：虚拟专用网络（Virtual Private Network）
VDI：虚拟桌面基础架构（Virtual Desktop Infrastructure）
DNS：域名系统（Domain Name System）
5 总体原则
健康医疗信息零信任安全访问控制应用应遵循以下原则：
a）最小权限原则：用户和设备只获得必要的应用访问权限，最大程度地减少应用暴露面。
b）动态访问控制原则：建立基于环境评估的动态访问控制策略，结合网络环境、用户行为、终端
环境等因素持续评估访问主体，根据评估结果对访问主体进行动态授权。
c）持续信任评估原则：持续对主体、资源、环境的相关信息进行采集，评估可信程度，发现问题
立即处理，防止恶意攻击扩散。
d）多因素验证原则：任何访问主体，在访问任何资源前，都应经过多种身份认证才可授权，保证
访问的合法性。
e）行为审计原则：记录并保存主体访问资源整个过程，便于追查溯源。
f）数据保密性原则：采用密码技术保证通信过程中数据的保密性。
g）数据完整性原则：采用校验技术或密码技术保证通信过程中数据的完整性。
6 健康医疗信息零信任安全访问控制系统组成
零信任安全访问控制系统由核心组件、支撑组件、主体和资源组成，如图1所示。
图1 零信任安全访问控制系统参考架构
6.1 核心组件
a）策略引擎：PE为特定主体的资源访问提供决策，通过策略引擎完成授权决策和信任等级计算。
b）策略管理：PA负责在主体和资源之间建立和维护连接。
T/GDNS 014-2024
3
c）策略执行点：PEP负责开启/监控/中止主体和资源之间的连接。
6.2 主体
主体是访问发起的一方，可以是发起访问的用户、设备、医疗信息系统、APP等一种或多种的组合。
其中用户包含医疗信息系统的使用人员、开发人员、测试人员、管理人员和运维人员等，设备包含电脑、
手机、平板和医疗移动终端等。
6.3 资源
资源以医患数据为主，通常也包括设备、医疗信息系统、服务、功能接口等。
6.4 支撑组件
a）任务管理组件：提供主体访问资源全过程的生命周期管理服务，包含资源发布、权限审批、连
接建立、过程审计等。
b）身份管理组件：为访问主体、资源、核心组件以及其他支撑组件提供身份管理、鉴别、认证、
记录、溯源等服务，包括个人身份管理和资源身份管理。
c）资源管理组件：为医疗数据、设备、信息系统、应用提供资源管理服务，包括资源分类分级管
理、资源配置方式管理、资源访问权限管理、资源访问过程管理等。资源管理以医疗设备、信息系统、
应用等资源单元作为最小单位，若干资源单元组合为被访问资源。资源单元关联同一资源标识、具有统
一资源属性、执行共同的安全策略。
d）环境感知组件：在主体访问资源过程中，通过采集网络流量、资产信息、日志、漏洞信息、用
户行为、威胁信息等数据，分析访问过程中的网络行为、用户行为，为访问主体、资源、核心组件和其
他支撑组件获取、理解、回溯、显示访问主体、资源和访问环境的状态变化和变化趋势。
e）密码服务组件：保障访问主体、资源、核心组件和其他支撑组件的实体身份真实性、数据的机
密性和完整性、操作行为的不可否认性，按照医疗行业商密合规要求为访问主体、资源、核心组件和其
他支撑组件提供密码相关的网络和通信安全服务、设备和计算安全服务、应用和数据安全服务。
7 健康医疗信息零信任安全访问控制应用要求
7.1 医疗信息系统要求
a）考虑身份认证和授权对象范围是可明确和可管理的医疗信息系统。
b）优先考虑主体和资源分属两个不同安全域的医疗信息系统。
c）优先考虑等级保护定级重要程度为三级或以上的医疗信息系统。
d）优先考虑容易被渗透和攻击的医疗信息系统。
e）优先考虑已对接统一身份认证平台的医疗信息系统。
7.2 组件要求
a）满足5总体原则的要求。
b）采用安全传输协议对通信数据进行加密传输，优先考虑国密算法和证书。
c）可与统一身份认证平台进行对接，并建立多种认证机制。
d）可集群部署，保证高可用性。
e）自身具备防爆破、防SQL注入、防参数遍历等安全防护能力。
T/GDNS 014-2024
4
7.3 安全管理要求
a）符合GB/T 36626、GB/T 28827.1、GB/T 28827.8的相关规定。
b）制定医疗信息系统、零信任安全访问控制系统运维策略，并定期评估。
c）为医疗信息系统、零信任安全访问控制系统运维定义和分配相关角色和职责。
d）对运维人员进行权限分类，根据身份进行多因素认证，定期检查运维人员访问权限；尤其对于
第三方运维人员，应明确第三方运维人员的运维范围、访问权限和工作职责等内容，建立权限申请、权
限审批、权限定期更新等机制。
e）加强安全风险管理，制定突发事件应急预案，规范处置流程，定期组织应急培训及应急演练。
T/GDNS 014-2024
5
附录A
（资料性）
健康医疗信息零信任安全访问控制应用示例
A. 1 应用背景
某市级口腔医院为解决内网业务系统暴露在互联网环境中的安全隐患，需要一种既能保证无感知的
用户访问体验，又能有效避免暴露带来的各种安全风险的访问控制系统，平衡安全与体验。
A. 1. 1 现状分析
医院的所有业务系统均部署在本地机房，业务系统包括内网核心业务系统和互联网业务系统，分别
部署在内网数据中心区域和外网DMZ区域。两个区域之间逻辑隔离，通过双向网闸进行数据交换。医
院内网PC电脑可以访问数据中心区的核心业务系统，在院内办公时可以直接访问，远程办公或移动办
公时，需要通过VPN进行访问。DMZ区业务包含对公众开放业务系统（挂号、官网等）和对院内员工
开放业务系统（OA），OA系统以H5应用方式嵌入企业微信工作台，以便医院员工可以随时随地使用。
医院在安全防护方面还是采用传统的基于网络的防护手段，已无法满足日益复杂的安全环境面临的
主要风险，包括：一、内部服务器端口需要开放到互联网才能以H5形式接入企业微信，一旦端口暴露互
联网，很容易被黑客嗅探攻击，即使有登录保护，也难以避免被端口扫码、撞库、暴力破解攻击；二、
移动办公接入后员工权限难管理，尽管企业微信提供了应用权限管理功能，但H5应用本质上还是Web访
问，通过访问链接，可以在企业微信之外随意对应用进行访问；三、无法保障移动办公数据在互联网中
的传输安全，很多内部业务系统自身并未进行SSL加密，在互联网传输时容易被监听窃密甚至篡改。
A. 1. 2 需求状分析
为保证医院内外部业务系统的安全稳定运行，基于零信任构建安全访问控制体系，需在以下几个方
面加强安全防护：
a）业务隐身：通过零信任系统将面向员工开放的业务系统（如：OA系统）进行暴露面收敛，只对
具有权限的员工或应用可见；
b）自适应身份认证：多因子认证结合基于访问环境和访问行为的自适应身份认证；
c）全周期终端环境检测：自定义安全基线，保障接入终端的合规性；
d）业务准入和动态权限控制：可根据业务系统的重要程度制定不同安全等级的安全访问基线，并
基于多源信任评估，动态调整用户访问权限，确保访问行为可信。
A. 2 解决方案
A. 2. 1 架构设计
基于零信任参考架构，该医院的零信任安全访问控制体系总体框架如图A.2.1所示。
T/GDNS 014-2024
6
图A.2.1 该医院零信任安全访问控制体系总体框架
采用数据中心本地化方式部署零信任安全访问控制系统主要模块（控制中心和代理网关），将代理
网关特定通讯端口发布到互联网，可根据内外网不同资源按需部署不同代理网关。控制中心部署到现有
网络，保障可与代理网关及身份管理平台（该医院没有4A，使用企业微信管理身份源）通讯即可。
采用数据中心本地化方式部署桌面云一体机构建统一的桌面云资源池，并给员工分配好各自的VDI
账号和桌面资源。在内网环境下员工只需通过PC电脑登录自己的云桌面账号即可访问内网核心业务系
统，在外网环境下员工通过先登录零信任系统再登录云桌面账号实现内网核心业务系统访问。
采用数据中心本地化方式部署安全态势感知、网络准入控制等安全设备，通过OPEN API对接的方
式，将全网安全日志同步至零信任系统，以便零信任系统动态评估访问主体的可信程度，增加整个访问
控制过程的安全性。
A. 2. 2 效益分析
通过构建该医院零信任安全访问控制体系，达到了以下效果：
提高了医院整体安全性。基于零信任构建的安全访问控制体系，从终端、业务系统、身份、网络等
多个层次强化了医院的整体安全性。通过对每一次访问实施身份认证和鉴权，有效避免了非法侵入、暴
力破解、数据泄露等风险。
提升了医院的整体运行效率。基于零信任构建的安全访问控制体系，以身份认证为基石，在强化安
全认证的同时简化了认证流程，提升了整体访问效率。
T/GDNS 014-2024
7
附录B
（资料性）
健康医疗信息零信任安全访问控制体系参考架构
B. 1 参考架构
健康医疗信息零信任安全访问控制体系参考架构（如图B.1所示），主要包括访问主体、零信任控
制中心、零信任代理执行、身份源和应用资源。
在访问主体侧，终端设备包含电脑、平板、手机和医疗移动终端等，操作系统包含Windows、macOS、
UOS、Kylin、Ubuntu、Android、iOS、Harmony等。
零信任控制中心，是整个零信任安全访问控制体系的策略引擎PE和策略管理PA，负责访问授权的
最终决策。零信任控制中心提供用户管理、终端管理、自适应认证、动态访问控制、策略管理等管理控
制功能，除此之外，控制中心提供开放能力，可以与医疗卫生机构已有的身份基础设施（4A、PKI）进
行对接和同步。
零信任代理执行，是整个零信任安全访问控制体系的策略执行点PEP，负责执行控制中心下发的授
权策略，转发合法访问请求，拦截非法访问请求。访问主体无法直接访问到应用资源，需要通过控制中
心严格的身份认证和授权决策，再由代理执行访问。零信任代理执行支持多种访问协议代理，包含7层
WEB代理、4层TCP代理、3层IP代理。
图B.1 健康医疗信息零信任安全访问控制体系参考架构
B. 2 访问方式
健康医疗信息零信任安全访问控制应支持两种访问方式，针对C/S业务系统采用客户端建立加密隧
道访问，针对B/S业务系统通过浏览器采用反向代理方式访问。
B. 2. 1 隧道访问
隧道访问场景下，终端下载安装零信任客户端，客户端与零信任系统建立加密隧道，实现数据包代
理转发。隧道访问时零信任系统提供用户、终端、进程、网络、权限、数据多维度安全能力。隧道访问
具体流程如图B.2.1所示。
T/GDNS 014-2024
8
图B.2.1 零信任隧道访问流程
a）用户可信：支持多种认证方式、多因子身份认证以及动态调整认证强度的方式。
b）终端可信：收集终端信息，生成终端硬件指纹，对系统环境及软件环境进行动态监测，实时发
现终端环境风险，并及时阻断。
c）进程可信：采集进程的信息及指纹，根据进程的使用情况、签名信息，通过动态ACL 规则允
许/阻止访问。
d）连接可信：实现隧道SSL加密，提供SPA单包授权网络隐身能力，在接收到合法的SPA敲门数据
包前，服务端不响应来自客户端的任何连接请求。
e）权限可信：支持个人、角色、群组、组织架构授权应用权限的方式，实现权限精细化控制，动
态收缩用户权限，实现权限可信。
f）数据可信：支持建立工作空间，在工作空间中提供数据隔离、网络隔离、文件加密、外设管控
及屏幕水印/审计能力。
B. 2. 2 反向代理访问
访问http/https这两种协议的B/S应用，通过web反向代理技术，在浏览器输入web域名发起访问时，
通过修改公网DNS域名解析的A记录，将访问流量指向零信任代理执行，由代理执行访问业务系统。反
向代理访问时零信任系统提供用户、网络、权限维度安全能力。反向代理访问具体流程如图B.2.2所示。
T/GDNS 014-2024
9
图B.2.2 零信任反向代理访问流程
a）用户可信：支持多种认证方式、多因子身份认证以及动态调整认证强度的方式。
b）连接可信：实现通信过程使用符合医疗行业合规要求的算法加密。
c）权限可信：支持个人、角色、群组、组织架构授权应用权限的方式，实现权限精细化控制，动
态收缩用户权限，实现权限可信。
B. 3 应用场景
B. 3. 1 远程办公场景
随着“互联网+医疗”的深入推进，不仅仅是为患者提供的互联网服务快速增加，员工的远程办公
需求也越来越多，例如：院外OA办公、线上订餐、移动APP查房、远程诊疗等等。针对员工的远程办
公场景，需要通过安全的接入方式降低医疗卫生机构网络被攻击的风险，同时保障机构业务运行的效率
和员工办公的体验。零信任在医疗行业远程办公应用场景如图B.3.1所示。
图B.3.1 零信任在医疗行业远程办公应用场景
T/GDNS 014-2024
10
通过零信任系统提供统一的远程接入访问入口，在出口防火墙上关闭原有的服务端口映射，在内网
防火墙上取消办公网直连内部业务系统的网络策略，避免内部服务完全暴露在办公网络中，所有的互联
网终端设备访问医疗信息系统都需进行用户、终端、应用的身份认证，并进行细粒度的权限访问校验然
后通过代理网关访问具体的医疗信息系统，这样能极大的减少内部资源被非授权访问的行为。
员工远程远程办公时，使用零信任客户端访问使用B.2.1 隧道访问方式，使用浏览器访问使用B.2.2
反向代理访问方式，使用移动APP 访问通过拉起内置的零信任SDK 包实现隧道建立。零信任控制中心
和代理网关均采用集群部署，保证远程接入入口的高可用性，仅零信任代理网关暴露在外网，所有内部
医疗信息系统的服务和端口均被隐藏，通过可信用户、可信设备、可信应用、可信链路，建立信任链的
方式来访问业务系统。
B. 3. 2 远程运维场景
由于医疗卫生机构信息科室人员编制有限，大量的运维工作无法及时到现场处理，因此，通常会采
用雇佣第三方的运维人员或者使用移动终端远程运维的方式保障运维的及时性。在远程运维场景下，零
信任可以实现最小权限访问以及终端环境安全检测，从而保障运维过程的安全性。零信任在医疗行业远
程运维应用场景如图B.3.2所示。
图B.3.2 零信任在医疗行业远程运维应用场景
通过部署零信任安全访问控制系统，确保运维人员经过身份验证、运维终端经过环境检测后才可获
得运维权限，对运维人员的身份和运维终端的环境进行持续安全评估并及时调整运维权限。在实际运维
场景中，零信任安全访问控制系统可与堡垒机、远程桌面、远程应用发布等常见运维工具和手段组合使
用。
T/GDNS 014-2024
11
附录C
（资料性）
健康医疗信息零信任安全访问控制应用流程参考
C.1 系统准备流程
a）系统选型，参照“图1 零信任安全访问控制系统参考架构”进行系统选型设计，零信任核心组
件至少包含策略管理PA和策略执行点PEP；
b）身份认证初始化，包括访问主体和资源的身份注册验证；
c）访问控制策略初始化，根据安全需求配置对应的访问控制策略，配置的策略参数包含用户（角
色）、设备、医疗信息系统、信任等级、操作权限等；
d）策略管理PA对策略执行点PEP进行初始化设置，为访问主体和资源配置安全代理，包含为应用
配置域名解析指向的安全代理地址、为访问主体安装安全代理agent并配置参数等。
C.2 资源访问流程
在整个访问过程中，策略管理PA应持续监测当前安全状态，并根据监测评估结果进行信任评估，
对访问主体的访问权限进行动态调整，包含下发访问控制策略、修改访问控制策略、向策略执行点PEP
下发指令阻断当前访问等操作。
a）访问主体发起访问请求，通过DNS解析或路由设置重定向访问请求至策略执行点PEP并上报策
略管理PA；
b）策略管理PA对访问主体进行身份认证，身份校验的形式应是密码口令验证、短信验证、动态口
令验证、扫码验证、生物特征验证、证书验证等验证方式的2种或以上的组合；
c）策略管理PA根据来自用户、设备、网络、应用、服务等多源的信息监测当前访问过程的安全状
态；
d）策略管理PA根据安全监测信息对访问主体进行信任评估；
e）策略管理PA根据身份认证结果、信任评估结果、访问控制策略来判断是否对访问主体进行授权
或进行增强认证，并将信息下发至策略执行点PEP；
f）访问主体在通过策略管理PA的授权后，通过策略执行点PEP访问目标资源；
g）访问主体访问目标资源过程中，策略管理PA持续监测访问过程中来自用户、设备、网络、应用、
服务等多源的信息，根据信任评估结果判断允许/拒绝访问或根据策略进行增强认证，增强认证时机和
频率由策略配置决定。
T/GDNS 014-2024
12
参考文献
[1] GB/T 25070-2019 信息安全技术网络安全等级保护安全设计技术要求
[2] GB/T 28827.1-2022 信息技术服务运行维护第1部分：通用要求
[3] GB/T 28827.8-2022 信息技术服务运行维护第8部分：医院信息系统管理要求
[4] GB/T 43696-2024 网络安全技术零信任参考体系架构
[5] NIST SP 800-207 Zero trust architecture
[6] GB/T 43696-2024 网络安全技术零信任参考体系架构（即将实施）