电子病历系统方案

一、引言

1、什么是电子病历

电子病历作为信息技术和网络技术在医疗领域应用的产物,其涵义与功能必定随着信息技术、网络技术的发展及社会对医疗保健需求的发展而发生变化。电子病历确切意思是电子化的医疗记录(electronicmedicalrecord,EMR)、电子健康记录(electronichealthrecord,EHR)、基于电子计算机的病人临床记录(computer-basedpatientrecord,CPR)、电子病人记录(electronicpatientrecord,EPR)、电子医疗保健记录(electronichealthcarerecord,EHCR)等,在国内俗称“电子病历”。电子病历是由一系列关于个人健康资料的数字化档案库(repository)构成,如病人的身份确认、病历记载、实验室检验、影像诊断报告、处置、治疗、用药等信息。通过信息网络,临床医生可以在任何地点、任何时间获取病人健康的相关信息,以避免重复检查、重复诊断、重复用药,同时计算机系统可以根据病人的历史信息,提示医生临床用药和处置的合理性,以提高临床检验、处方、处置的效率,避免医疗差错,提高医疗质量,节省医疗费用。电子病历的推广规范了医生的医疗行为,提高了整体医疗水平。特别是它对减轻医生的作业强度,降低医院管理成本有明显的作用,它的推广也使医疗系统的信息共享成为现实。

2、电子病历的安全隐患

从电子病历内容和产生过程可知,电子病历信息主要是由诊疗的各个医务人员录入信息通过网络传输到服务器进行存储,并且对每个环节实时性的要求都很高,不难看出电子病历存在如下安全问题:

系统登陆身份验证的问题

医院的信息系统目前大多采用用户名密码方式来登陆系统,采用此种方式进行登陆系统存在着很大的弊端,比如密码设置过于简单、利用自己关切的数字(比如生日)来设置密码,密码存储在数据库中以明文的方式等,很容易被人盗取或破解,因此,系统登陆的身份验证需要解决是否有人使用他人的用户和口令进行病历信息输入和修改,是否有人越过信息系统的身份验证进行病历信息输入和修改等等问题。

对系统信息录入或修改的不可抵赖问题

电子病历的信息需要在终端进行录入,而且对录入的信息要确实反映病人的真实情况,因此,确保录入信息的真实性显得非常重要,这需要每位信息的录入或修改人员对自己的操作行为负有高度的责任,即其行为不可抵赖。

电子病历的时间取证问题

要准确的把握病人的病情发展,需要对病人的诊断、医疗等的时间有个准确的把握,这就要求电子病历对实时性的要求很高。目前医院的信息系统对电子病历的时间记录往往是取终端计算机的系统时间,而不是国家授权的时间,因此,时间的准确性的取证非常重要。

数据在网络中完整传输问题

医院信息系统多数运行在医院内的局域网上,局域网上的终端与服务器间的信息传输安全往往被忽视,因此,信息有可能被窃取并篡改,无法保障医务人员在系统终端上输入和浏览的电子病历信息的正确性。

数据存储安全存储

电子病历信息多数是以明文的方式保存在后台数据库服务器上,而后台数据库服务器对于某些人是透明的。对于在数据库上的数据是否有人更改过,目前的医院信息系统是没有这种机制来验证的,所以也无法保障医务人员在系统终端上输入和浏览的电子病历信息的正确性。

二、基于数字证书的CA认证技术

1、什么是数字证书

数字证书就是标志网络用户身份信息的一系列数据,用来在网络通讯中识别通讯各方的身份,即要在网络上解决"我是谁"的问题,就如同现实中我们每一个人都拥有一张证明个人身份的身份证一样,以表明我们的身份或某种资格。数字证书由权威公正的第三方电子认证服务机构签发,以数字证书为核心的加密技术可以对网络上传输的信息进行加密和解密、数字签名和签名验证,确保网上传递信息的机密性、完整性,以及交易实体身份的真实性,签名信息的不可否认性,从而保障网络应用的安全性。

2、CA认证与CA机构

所谓认证机构(CA,CertificateAuthority),是采用公开密钥基础技术,专门提供网络身份认证服务,负责签发和管理数字证书,且具有权威性和公正性的第三方信任机构。它的作用类似于我们现实生活中颁发证件的机构,如身份证办理机构等。

应用系统通过第三方认证机构提供的数字证书和安全支撑平台使应用系统具有可信性和合法性。这就是CA认证的意义。CA认证对应用系统主要提供以下功能:

1)身份认证

通过安全应用支撑平台为应用系统提供安全认证的环境基础,利用为系统的用户、设备、机构、业务等颁发数字证书作为身份识别和认证的依据。

2)数据签名

对数据的签名和验签,是将数据作为证据的一种最有效的方法。系统通过利用用户的签名私钥,对数据进行签名运算,并把运算结果作为一个字段存储在数据库中,这样数据就是经过这个用户签名的数据,具有法律效力,不能修改。当需要对数据进行验签时,系统只要再用用户的证书进行一次运算,就可以确定签名的有效性。对数据作签名验签可以确认数据单元的来源和完整性,并保护数据,防止被人伪造或篡改。

3)数据的加解密

基于安全的整体规划考虑,数据在网络中传输时要确保机密数据不为第三方窃取。需要在机密数据的传输过程中进行加密处理,只能由接收方进行解密还原成明文,才能保证机密数据即使被第三方窃取也由于没有解密密钥而只能是一些无用的加密文件,这就是取得到,但看不懂。认证系统采用的是基于非对称和对称加密技术的数字信封的加密方式,即原文利用对称算法进行加密,得到原文的密文,在把对称算法的密钥利用非对称算法进行加密得到密钥密文,把原文密文和密钥密文加上公钥组成了数字信封进行机密传输,而用于加密和解密的私钥只能存在在数字证书中。

4)可信时间戳

可信时间戳服务是数字签名功能与基于公共标准时间源的时间服务系统的结合,通过对目标数据加上可信时间源提供的时间标记,以确认系统所处理的数据在某一时间(之前)的存在性,并用数据签名来保证时间标记的完整性与真实性。可信时间戳服务为实现事务处理的抵赖性提供了时间证据基础。当提交数据需要加盖时间戳时,可以通过使用认证系统中的时间戳服务系统,加盖有时间戳服务器签名的可信时间,并保留时间戳证据。这样对方就可以获得有时间戳标记的数据文件。

3、电子签名与电子病历

2005年4月,《中华人民共和国电子签名法》和信息产业部《电子认证服务管理办法》正式实施,确立了电子签名的法律效力。根据我国电子签名法第十四条的规定:可靠的电子签名与手写签名或者盖章具有同等的法律效力,那么什么是可靠的电子签名呢?电子签名法第十三条规定:电子签名同时符合下列条件的,视为可靠的电子签名:

(一)电子签名制作数据用于电子签名时,属于电子签名人专有;

(二)签署时电子签名制作数据仅由电子签名人控制;

(三)签署后对电子签名的任何改动能够被发现;

(四)签署后对数据电文内容和形式的任何改动能够被发现。

医生的签名是电子病历必不可少的一个环节,而电子病历只能与电子签名相匹配。所以电子签名必需满足以下要求:其一,电子签名在发放时应是经过身份核实的,与特定主体一一对应;其二,电子签名只能被它的所有者使用,他人如果使用,必须有电子签名所有者的明确授权才有效;其三,电子签名本身和它附着的数据电文应是有相应的技术保障其不能任意改动的。简单地说,如果一个电子签名是现在国家认可的电子认证服务机构(CA认证机构)所发放的数字签名,而对这个电子签名的操作是完全规范的话(包括电子认证服务机构、电子签名人、电子签名依赖方),那么这个电子签名就是我国法律所认可的电子签名,就与签名盖章具有同等的法律效力。

三、数字证书在电子病历中的应用

1、电子病历的安全保障方案

如图所示,电子病历系统安全平台服务器端的核心为数字签名服务器、身份认证网关,它提供了身份认证识别(证书鉴别)、数据加密解密、数字签名及验签等安全运算功能,以硬件方式为应用系统提供服务器端数据机密性、数据完整性、身份认证、防抵赖等服务,符合国密办《证书认证系统密码及其相关安全技术规范》,具有稳定、可靠、高效、易管理的特点。

电子病历系统实时性要求很高,同时系统对数字签名服务器的依赖程度也较高,为了避免由于偶发的机器故障而导致对系统业务应用的较大影响,可以通过配置两台数字签名服务器进行双机冗余,一旦出现故障时可以马上切换至备用设备。

电子病历系统中产生的各种关键数据,在签名之前可以通过时间戳服务器获取当前的标准时间,并附加在签名之中,不可更改,提供准确的时间证据。

客户端用户需要配置“数字证书载体”(简称USBKEY),其中存储了由CA中心颁布的数字证书,同时也在保护区存储了代表个人数字签名的私钥。USBKEY还包含了相关加密算法,配合载体内置的CPU运算芯片,可以实现数据的加密和签名等运算功能。USBKEY通过PIN码保护其安全使用,在规定的次数内尝试输入PIN码错误,KEY将自动锁死,必须交还给CA中心进行解锁方能使用。

2、功能说明

1)身份认证方式

在登陆医院信息系统时,考虑到医护人员的实际情况,我们推荐采用数字证书登陆和用户名+口令登陆结合的方式,这样对于安全性、使用灵活性上更加适合实际应用。

数字证书登陆:医院的正式医护人员在正常情况下,必需采用数字证书登陆,以保证系统的安全和用户身份的真实性。

用户名+口令登陆:如果医护人员忘记证书或者丢失证书,在紧急情况下,可以通过用户名+口令的方式进入系统,以便不耽误工作。或者在身份认证网关出现故障无法进行身份认证时,也可以设置成通过用户名+口令的方式进入系统。对于没有签名权力的实习学生,日常采用用户名+口令的方式进入系统。

2)签名/签名验证

对于在医院系统中,医护人员需要承担法律责任的所有信息都采用数字签名保护,以作为以后法律公证的重要证据。签名的范围围绕针对电子病历完整内容进行。

签名内容:

门诊医生在开出处方后,必须进行对处方进行电子签名。住院医生对住院的医嘱(临时、长期)下达必须签名,护士对医嘱的执行单也须要签名。实习医护人员只做记录,由老师进行校验签名。

在检验、病理等系统中的报告单和报告结果进行签名。

每日医生的病历文书和护士的护理文书进行签名。

药房发药,血库,手术,麻醉都必须进行签名。

在病历进行归档时,对病案首页进行签名。

签名方式:

对要签名的内容采用先组成XML文件,再对文件进行签名,并且把签名内容和原文一起保存在一个XML文件中,最后把XML文件保存在数据库,并且把该信息与医嘱或病历信息进行关联。对于多次签名的信息,采用增量签名保存。

存储方式:

和应用一样,单独建表保存签名信息和时间戳信息。和原始信息进行通过关联以便验证。

3)电子签章服务

电子签章系统建设依托于PKI认证平台,以第三方数字身份证书为基础,以数字签名为核心技术,将数字签名与印章图片、手写签名图片以及被签章对象绑定在一起,为签章文档提供完整性验证和真实性验证。

4)时间戳

在所有的签名的同时,采用时间戳进行时间公正的保护,时间戳采用有效的时间源服务器时间,并且采用服务器证书做签名,保证时间的公正以及系统的性能。

5)数据加解密

对于一些关键数据可以采用加密传输,以保证数据的完整性。

3、网络部署

整个医院信息系统安全保障平台是由身份认证网关、数字签名服务器、时间戳服务器等组成。

身份认证网关采用标准SSL协议,在浏览器和服务器之间建立一条128位的安全加密通道,同时SSL握手过程提供了浏览器和服务器之间相互进行数字证书认证的功能,实现了网上身份的可靠确认。

签名验证系统,保障系统的交易数据的不可抵赖性和完整性,防止用户对关键交易的抵赖,使管理员在事后能够拿出有力的证据证明操作用户的真实身份。整个系统分为客户端和服务器端两个部分。

时间戳服务器,权威可信第三方时间戳服务机构对持数字证书的医生提交的数据电文采用密码技术进行数字签名后生成特定格式的文件凭证,该时间戳和电子文件唯一对应,表示电子文件在加盖时间戳时的状态和时间,对该文件提供完整性保护及不可否认性证明。