朱曉曦

摘要：數(shù)字醫(yī)療是現(xiàn)代化的信息技術(shù)發(fā)展推廣下電子商務(wù)的延伸，在具體應(yīng)用中需要應(yīng)用到數(shù)字簽名技術(shù)，以確保電力病歷的安全性。在信息技術(shù)發(fā)展的推動(dòng)下，醫(yī)院大范圍的實(shí)現(xiàn)了信息化建設(shè)的整體趨勢(shì)，在大環(huán)境的影響和建設(shè)下，電子病理系統(tǒng)建設(shè)的必要性和重要性已經(jīng)為醫(yī)院所接受和認(rèn)可。本文就實(shí)現(xiàn)CA認(rèn)證的運(yùn)行大環(huán)境下，對(duì)醫(yī)院信息化建設(shè)中電子病歷在安全認(rèn)證過程中所采用數(shù)字簽名來(lái)防止電子病歷備篡改，以及實(shí)現(xiàn)對(duì)電子處方的安全認(rèn)證。

關(guān)鍵詞：CA認(rèn)證；醫(yī)院信息化系統(tǒng)建設(shè)；電子病歷；數(shù)字簽名；應(yīng)用

近年來(lái)，隨著醫(yī)院信息信息化建設(shè)的加強(qiáng)及醫(yī)療事業(yè)的現(xiàn)代化發(fā)展，"無(wú)紙化醫(yī)院"的模式逐漸為公眾所熟知，在信息化建設(shè)中，電子病歷是實(shí)現(xiàn)無(wú)紙化的核心。通過電子病歷的應(yīng)用能有效解決傳統(tǒng)紙質(zhì)病歷中所存在的缺陷和不足，在提高工作效率的基礎(chǔ)上能夠有效保存患者的信息[1]。雖然眾多醫(yī)院關(guān)注電子病歷的建設(shè)，但是對(duì)其安全性存在疑慮，而數(shù)字簽名技術(shù)能夠有效的解決電子病歷的數(shù)據(jù)安全問題，國(guó)家頒布的《電子簽名法》中明確規(guī)定了電子簽名同蓋章和手寫簽名具有同等的法律效力。

1 數(shù)字簽名與公鑰基礎(chǔ)設(shè)施（PKI）

1.1數(shù)字簽名 數(shù)字簽名是指在現(xiàn)代化的信息數(shù)據(jù)當(dāng)中，或邏輯或附加上具有一定聯(lián)系的以電子形式所呈現(xiàn)的數(shù)據(jù)，主要用于對(duì)數(shù)據(jù)信息包含的內(nèi)容以及簽署人的身份進(jìn)行確認(rèn)和認(rèn)證，以防偽造，類似于手寫的物理簽名，但在此基礎(chǔ)上添加了加密技術(shù)，對(duì)具體的數(shù)字信息進(jìn)行鑒別。數(shù)字簽名能夠?qū)⒕哂胁町愋郧也淮嬖趯?duì)稱特征的數(shù)字摘要和密鑰兩種技術(shù)實(shí)現(xiàn)了綜合應(yīng)用[2]。

在數(shù)字簽名中公鑰具有一定的公開性，所以極為容易得到，但是私鑰一般由簽名者嚴(yán)格進(jìn)行保密。在數(shù)字化的傳輸中，消息具有一定的可信度，在確保其準(zhǔn)確有效之后由簽名者進(jìn)行認(rèn)可；消息如果本身已經(jīng)完整，在完成簽名之后則不可進(jìn)行改動(dòng)；且簽名不可重復(fù)進(jìn)行使用，最終結(jié)果以消息函數(shù)的形式呈現(xiàn)；另外，電子簽名不可否認(rèn)、不可偽造，且簽名者對(duì)已經(jīng)簽署之后的簽名無(wú)法否認(rèn)。

1.2公鑰基礎(chǔ)設(shè)施 為了實(shí)現(xiàn)數(shù)字簽名技術(shù)的真正應(yīng)用，需要保證私鑰的私密性和公鑰的公開性。一般情況下，私鑰由用戶自行負(fù)責(zé)，智能卡保存是最安全有效的方式。公鑰則需要確保所有人都明確其可信度，具有一定的難度?；诖朔N現(xiàn)狀，對(duì)公鑰分發(fā)最有效的途徑是通過可信的CA認(rèn)證，實(shí)現(xiàn)第三方的數(shù)字證書頒發(fā)。此狀態(tài)運(yùn)行的生成、管理、頒發(fā)、撤銷等過程中所涉及到的全部軟件、硬件、法律法規(guī)、行為規(guī)范等統(tǒng)稱為公鑰基礎(chǔ)設(shè)施。

2 CA認(rèn)證在醫(yī)院電子病歷數(shù)字簽名中的應(yīng)用

2.1證書申請(qǐng) 醫(yī)生和護(hù)士是醫(yī)院信息化管理的使用者，所以，首先需要由CA認(rèn)證中心進(jìn)行個(gè)人數(shù)字證書的簽發(fā)。數(shù)字證書一般也稱為密鑰，在信息化建設(shè)中以USB接口的形式存在，它的簽發(fā)標(biāo)志著網(wǎng)絡(luò)用戶身份的數(shù)據(jù)信息，其中主要包括身份說明以及本人的簽名和加密私鑰。在基本運(yùn)行中，數(shù)字證書主要在網(wǎng)絡(luò)通訊中負(fù)責(zé)各自身份、信息加密、數(shù)字簽名等的識(shí)別[3]。

2.2登錄系統(tǒng)實(shí)現(xiàn)身份認(rèn)證 電子病歷的防偽系統(tǒng)是在公鑰基礎(chǔ)設(shè)施的前提下所建立的，通過CA認(rèn)證的證書簽發(fā)而在強(qiáng)化管理功能的基礎(chǔ)上實(shí)現(xiàn)電子簽名。為了確保電子病歷的整體安全性，尤其是涉及患者的隱私問題，要對(duì)用戶權(quán)限進(jìn)行嚴(yán)格管理，特別重視病歷的調(diào)閱查看和打印權(quán)限。在認(rèn)證環(huán)節(jié)中，用戶在得到授權(quán)之后能夠獲取一個(gè)USB的數(shù)字證書準(zhǔn)入，體現(xiàn)用戶的唯一關(guān)聯(lián)性。用戶在進(jìn)行系統(tǒng)登錄時(shí)需要實(shí)現(xiàn)硬件證書的鍵入，并且輸入用戶名和密碼，進(jìn)而由系統(tǒng)對(duì)其基本信息及合法性進(jìn)行檢測(cè)和驗(yàn)證，強(qiáng)化安全管理。在登錄的最后環(huán)節(jié)，系統(tǒng)會(huì)根據(jù)證書的信息而在系統(tǒng)內(nèi)進(jìn)行相應(yīng)用戶的映射，進(jìn)而實(shí)現(xiàn)合法授權(quán)，在系統(tǒng)內(nèi)對(duì)自身權(quán)限所允許的病歷信息進(jìn)行查閱，并對(duì)相關(guān)人員進(jìn)行授權(quán)打印，以避免出現(xiàn)越權(quán)操作的現(xiàn)象。

2.3對(duì)完成歸檔的電子病歷進(jìn)行電子簽名 數(shù)字簽名是通過數(shù)學(xué)運(yùn)算方法和技術(shù)的應(yīng)用實(shí)現(xiàn)簽名信息的處理，在完成CA認(rèn)證之后，由證書持有者擁有證書私鑰，確保電子信息的安全性和有效性，以及證書的唯一性。證書中包含簽名的公鑰，能夠?qū)灻畔⒌恼鎮(zhèn)芜M(jìn)行有效的鑒別，確保所有信息特征的完全一致性，可以通過明文方式進(jìn)行獲取，但并不能在獲取特征值之后進(jìn)行病歷原文的推導(dǎo)，有效體現(xiàn)了安全性的建設(shè)[4]。另外，電子簽名技術(shù)不能對(duì)病歷書寫著的身份進(jìn)行隨時(shí)的鑒別，還需要進(jìn)行驗(yàn)簽?zāi)０娴脑O(shè)計(jì)，對(duì)簽名的真實(shí)性進(jìn)行確定，以防出現(xiàn)更改的現(xiàn)象。完成電子簽名之后的電子記錄在信息化系統(tǒng)內(nèi)組成患者的電子病歷，一般由患者和醫(yī)院病案室進(jìn)行保管。

2.4系統(tǒng)驗(yàn)證 在基于第三方的CA認(rèn)證之后，任何人都可以通過數(shù)字證書中的公鑰對(duì)電子病歷記錄的真實(shí)性進(jìn)行驗(yàn)證。在出現(xiàn)糾紛現(xiàn)象時(shí)，仲裁機(jī)構(gòu)一般將抗抵賴權(quán)標(biāo)作為裁決依據(jù)。進(jìn)行驗(yàn)簽時(shí)首先進(jìn)行電子病歷的明文讀取，通過中間件的應(yīng)用，再結(jié)合醫(yī)生的公鑰對(duì)信息進(jìn)行數(shù)字驗(yàn)簽，進(jìn)而得到最終的數(shù)據(jù)結(jié)果，這均是基于CA認(rèn)證的運(yùn)行平臺(tái)而進(jìn)行的，確保簽名數(shù)據(jù)同驗(yàn)簽數(shù)據(jù)的統(tǒng)一性。

3 結(jié)論

在醫(yī)院現(xiàn)代化建設(shè)的信息系統(tǒng)中，電子病歷是一項(xiàng)相對(duì)復(fù)雜的系統(tǒng)性工程，而且其中涉及的問題較多，不僅有技術(shù)環(huán)節(jié)的問題，還有具體應(yīng)用中信息化的各個(gè)層面。所以在基本的建設(shè)中，在完成第三方的CA認(rèn)證之后，并且在醫(yī)院信息系統(tǒng)全面有效運(yùn)行的基礎(chǔ)上，完成個(gè)人數(shù)字證書的簽發(fā)，在確保病歷信息安全有效的基礎(chǔ)上，實(shí)現(xiàn)了信息的透明公開性及查閱便捷性，極大地促進(jìn)了病歷的規(guī)范書寫及醫(yī)院的整體有效管理。

參考文獻(xiàn)：

[1]徐剛.基于CA認(rèn)證的醫(yī)院電子病歷安全模型[A].天津市電子學(xué)會(huì).第二十六屆中國(guó)（天津）2012IT、網(wǎng)絡(luò)、信息技術(shù)、電子、儀器儀表創(chuàng)新學(xué)術(shù)會(huì)議論文集[C].天津市電子學(xué)會(huì)：，2012：4.

[2]任曉剛.數(shù)字簽名在醫(yī)院電子病歷中的應(yīng)用研究[J].信息技術(shù)，2013，01：118-120.

[3]廖淑華，許垂?jié)?CA認(rèn)證在電子病歷信息安全的應(yīng)用探索[J].醫(yī)學(xué)信息，2005，11：1420-1424.

[4]王秀玲.CA技術(shù)在電子病歷中的安全應(yīng)用[J].中外醫(yī)療，2012，24：177-178. 編輯/周蕓霏