段文舟 連萬民

摘要：本文旨在研究電子病歷無紙化歸檔中數(shù)據(jù)的真實(shí)性和安全性問題。通過分析影響病歷電子信息在保存過程中的安全因素和傳統(tǒng)電子簽名在電子病歷防篡改中的不足，引入時(shí)間戳，對電子數(shù)據(jù)進(jìn)行安全加固，綜合考慮安全性和成本，提出了大量電子病歷檔案長期保存批量合并處理時(shí)間戳的方案，推進(jìn)醫(yī)院無紙化進(jìn)程。

關(guān)鍵詞：電子病歷；無紙化；電子簽名；時(shí)間戳

隨著醫(yī)院信息化進(jìn)程，電子病歷檔案無紙化建設(shè)是大勢所趨。[1]但是，電子病歷作為電子數(shù)據(jù)，有無形性、多樣性和易篡改等特性，是電子病歷的真實(shí)性、完整性受到質(zhì)疑，在法律效力上也無法與紙質(zhì)病歷相比，醫(yī)院對于電子化的檔案管理也并不成熟。[2]本文主要分析一下電子病歷的安全性影像因素和傳統(tǒng)解決方案，并探討電子時(shí)間戳在電子病例檔案的安全保護(hù)中的作用和實(shí)現(xiàn)。

1 電子檔案的安全性問題及通常的措施

電子信息存儲(chǔ)依賴于的存儲(chǔ)介質(zhì)的可讀性，為防止由于存儲(chǔ)介質(zhì)硬件故障導(dǎo)致數(shù)據(jù)丟失，通常我們會(huì)進(jìn)行多個(gè)備份和異地存儲(chǔ)；電子信息只有轉(zhuǎn)換為可視化的內(nèi)容才能供用戶閱讀理解。電子病歷記錄必須遵循有記錄可查或標(biāo)準(zhǔn)可循的格式，同時(shí)備份相應(yīng)標(biāo)準(zhǔn)文件，以備查驗(yàn)。

為保證電子病歷信息的真實(shí)性，證明當(dāng)前信息未被修改，通常通過設(shè)定的某種可驗(yàn)證的方法來證明，比如審計(jì)或數(shù)字簽名驗(yàn)證。為保證將來信息也不會(huì)被篡改，通常采用數(shù)字簽名的方法來保證。[3]但傳統(tǒng)數(shù)字簽名隨著時(shí)間推進(jìn)和技術(shù)進(jìn)步，有被破解的風(fēng)險(xiǎn)，下面針對電子病歷真實(shí)性保護(hù)進(jìn)行探討。

2 電子檔案的真實(shí)性保護(hù)

一般我們在討論真實(shí)性問題時(shí)，通常有以下兩種情況：

一是在電子信息不加任何技術(shù)保護(hù)電子信息，為保證其安全，需要從制度上保證電子信息在接收、歸檔、查閱等過程必須全程記錄、全程可控、可追溯，并且實(shí)現(xiàn)多人控制，互相牽制，而且是可審計(jì)的。也就是說，首先保管場所必須是安全的，具有防入侵、防破壞的措施。其次人員也必須是可靠的，且主觀沒有篡改電子信息的動(dòng)機(jī)。但對于醫(yī)院保存的醫(yī)案來說，從研究的角度看，應(yīng)該沒有篡改檔案的動(dòng)機(jī)，但從醫(yī)患糾紛，也就是從證據(jù)上講，對于保管在醫(yī)院的電子病歷就缺乏可信度，即在對醫(yī)院不利的情況下有篡改電子病歷的動(dòng)機(jī)。

另一種是對電子信息進(jìn)行加工處理，從技術(shù)上給予保護(hù)。大家知道，現(xiàn)在不少醫(yī)院都在推廣數(shù)字簽名，那么已經(jīng)進(jìn)行過數(shù)字簽名的的各種醫(yī)療記錄是可以防篡改，進(jìn)入電子檔案系統(tǒng)后只要文件原樣保存就可以在將來通過技術(shù)驗(yàn)證判斷是否在檔案存儲(chǔ)過程被修改過。[4]但問題來了，既然是檔案，其保存其可不是一時(shí)半會(huì)，一般都是幾十年或長期性的。但數(shù)字簽名采用的是密碼技術(shù)，而現(xiàn)時(shí)的密碼技術(shù)總會(huì)在將來的某個(gè)時(shí)候被破解，也許很短也許很長，反正遲早不安全，況且還有很多醫(yī)療檔案的形成過程并沒有使用過數(shù)字簽名。如何解決這個(gè)問題，這里提出一種電子時(shí)間戳的應(yīng)用來實(shí)現(xiàn)。

3 電子時(shí)間戳在電子檔案長期保存中的應(yīng)用方案

這里講的時(shí)間戳是指符合RFC3161協(xié)議標(biāo)準(zhǔn)的時(shí)間戳，它基于X.509的PKI。因?yàn)槭窃诨ヂ?lián)網(wǎng)上的公開服務(wù)，它被認(rèn)為是可信的時(shí)間戳。時(shí)間戳其實(shí)也是一種數(shù)字簽名，重要的是它具有兩種應(yīng)用特性：一是證明該電子數(shù)據(jù)在該時(shí)間是存在的，另一個(gè)特性就是對電子數(shù)據(jù)進(jìn)行安全加固，即保護(hù)該電子數(shù)據(jù)在該時(shí)間后不被篡改。[5]

我們就用其第二種特性來保護(hù)醫(yī)院的存檔電子檔案，這種應(yīng)用的時(shí)間戳通常也稱歸檔時(shí)間戳。下面是這種方案的描述。歸檔時(shí)間戳的應(yīng)用機(jī)制如圖1：

時(shí)間戳工作過程是時(shí)間戳請求者將原文進(jìn)行哈希，然后將哈希值發(fā)送給時(shí)間戳服務(wù)請求時(shí)間戳，時(shí)間戳服務(wù)將接受到的哈希值附上時(shí)間標(biāo)識(shí)后進(jìn)行電子簽名，即用時(shí)間戳服務(wù)的數(shù)字證書完成該數(shù)字簽名后返回給請求者。其安全性取決于哈希算法和簽名算法的安全。所以歸檔時(shí)間戳的密碼算法要有足夠的安全強(qiáng)度。

電子病案資料在歸檔時(shí)進(jìn)行時(shí)間戳處理后進(jìn)行歸檔，特別是哪些未經(jīng)數(shù)字簽名的電子病歷信息更是一種保護(hù)，保證歸檔之后信息的真實(shí)性。隨著時(shí)間的推移，原有歸檔時(shí)間戳使用的哈希算法和簽名算法都有可能變得不安全，在預(yù)計(jì)不安全到來之前，需使用更安全的新的時(shí)間戳服務(wù)對電子檔案進(jìn)行再處理。比如說，當(dāng)時(shí)（T1）使用SHA1和RSA1024，現(xiàn)在（T2）就要使SHA256和RSA2048，在以后（T3）就需要使用SHA512和RSA4096，以此類推。這樣每次進(jìn)行加蓋時(shí)間戳處理后，就又變得安全了，如圖2：

這里有另外一個(gè)問題。隨著電子檔案的越來越多，要對原來的每個(gè)信息進(jìn)行時(shí)間戳處理將是非常大的工作量，除了讀取所有檔案信息，還要處理時(shí)間戳。如果時(shí)間戳訪問效率不高的話，處理時(shí)間也會(huì)非常耗時(shí)。以下方案可以作為折衷考慮。

（1）每次都使用盡可能安全的算法，目的就是增加使用算法的安全期，從而減少處理次數(shù)。

（2）合并多個(gè)舊時(shí)間戳信息為一個(gè)進(jìn)行時(shí)間戳的再處理，從而減少處理量。這可以對信息進(jìn)行分類，分類方法可以采取按時(shí)間段或相關(guān)性或者不同介質(zhì)，如圖3：

這里重點(diǎn)分析一下第二種方案的優(yōu)劣，如果合并的內(nèi)容越多，則減少的時(shí)間戳數(shù)量越多，處理效率的越高。但驗(yàn)證時(shí)間戳的時(shí)候，效率就低了。不管你想驗(yàn)證合并塊中那部分信息，都必須讀取整個(gè)塊進(jìn)行先行驗(yàn)證，才能再驗(yàn)證內(nèi)嵌的塊。所以應(yīng)合理分類合并進(jìn)行時(shí)間戳，大小亦要折衷處理。另外，一個(gè)更有效的辦法是采用哈希樹的方法來進(jìn)一步提高這種方法的處理效率，可以進(jìn)一步減少時(shí)間戳的處理量，而且哈希算法足夠強(qiáng)的話，可以減少中心哈希的次數(shù)，從而可以較長時(shí)間內(nèi)保證處理效率。

4 總結(jié)

歸檔時(shí)間戳在醫(yī)院電子病歷檔案中的應(yīng)用具有很好的作用：第一時(shí)間保護(hù)電子病歷檔案的真實(shí)性；電子檔案信息的再處理，可以定期檢驗(yàn)信息的各項(xiàng)安全性；為醫(yī)院提供更好的醫(yī)療證據(jù)保全；促進(jìn)醫(yī)院電子檔案的有效管理。

參考文獻(xiàn)：

[1]王曉盈，姜國成，白曉忠.醫(yī)院開展病案無紙化歸檔系統(tǒng)建設(shè)的思考[J].中國病案，2016，17（10）：4042.

[2]孫慧子，董曉明，張淑英，等.《電子病歷應(yīng)用管理規(guī)范（試行）》對電子病歷法律效力影響[J].中國醫(yī)院管理，2018，38（04）：6465.

[3]湯欽華，袁駿毅，馬群圣.基于電子簽名的病案無紙化歸檔系統(tǒng)的實(shí)現(xiàn)與應(yīng)用[J].中國醫(yī)療設(shè)備，2018，33（09）：129131.

[4]崔志斌，崔宇璇，王騰飛.基于CA認(rèn)證的可信電子病案系統(tǒng)設(shè)計(jì)[J].中國數(shù)字醫(yī)學(xué)，2017，12（01）：8385.

[5]邵淼，張妍.基于數(shù)字簽名和時(shí)間戳的電子病歷電子證據(jù)固化方法[J].信息安全與技術(shù)，2016，7（01）：5456.