張麗　吳海軍

摘 要

隨著國家醫(yī)療衛(wèi)生體制改革的不斷發(fā)展，隨著信息技術和互聯(lián)網(wǎng)的發(fā)展，電子病歷的應用和推廣得到了相關部門的高度重視，以電子病歷為核心的衛(wèi)生信息平臺建設已經(jīng)成為我國醫(yī)療衛(wèi)生事業(yè)信息化發(fā)展的重要內(nèi)容，電子病歷在醫(yī)療機構(gòu)里得到越來越多的應用。然而，電子病歷在給我們帶來方便的同時，安全方面卻存在一些隱患，PKI（Public Key Infrastructure ），它能夠為所有網(wǎng)絡應用提供加密和數(shù)字簽名等密碼服務及所必需的密鑰和證書管理體系，PKI技術的引入能有效解決電子病歷安全方面存在的問題。

關鍵詞

電子病歷;安全;PKI

中圖分類號： R319文獻標識碼： A

DOI：10.19694/j.cnki.issn2095-2457.2020.03.095

1 電子病歷PKI安全的背景及現(xiàn)狀

電子病歷（EMR，Electronic Medical Record）也叫計算機化的病案系統(tǒng)或稱基于計算機的病人記錄（CPR，Computer-Based Patient Record）。它是用電子設備（計算機、健康卡等）保存、管理、傳輸和重現(xiàn)的數(shù)字化的醫(yī)療記錄，用以取代手寫紙張病歷。它的內(nèi)容包括紙張病歷的所有信息。美國國立醫(yī)學研究所將定義為：EMR是基于一個特定系統(tǒng)的電子化病人記錄，該系統(tǒng)提供用戶訪問完整準確的數(shù)據(jù)、警示、提示和臨床決策支持系統(tǒng)的能力。

隨著國家醫(yī)療衛(wèi)生體制改革的不斷深入，電子病歷的應用和推廣得到了醫(yī)療機構(gòu)的高度重視。但是，目前國內(nèi)醫(yī)療結(jié)構(gòu)在使用或擬建的電子病歷系統(tǒng)中，存在一系列安全隱患。PKI是Public Key Infrastructure的首字母縮寫，翻譯過來就是公鑰基礎設施;PKI是一種遵循標準的利用公鑰加密技術為電子商務的開展提供一套安全基礎平臺的技術和規(guī)范?！峨娮硬v基本規(guī)范（試行）》于2010年4月正式實施，確立了電子病歷系統(tǒng)規(guī)范和標準，但是大部分醫(yī)療機構(gòu)的電子病歷系統(tǒng)緊緊實現(xiàn)了紙質(zhì)病歷電子化，其應用安全問題仍普遍存在：醫(yī)療人員登錄信息系統(tǒng)普遍采用用戶名結(jié)合口令的弱認證方式，安全性較低，容易產(chǎn)生冒名頂替、醫(yī)療數(shù)據(jù)外泄等情況。電子病歷涉及的病人隱私信息基本以明文形式存儲，只要獲取數(shù)據(jù)庫的訪問權限，便可隨意查看和下載，存在泄漏風險。由于缺乏有效的技術手段，導致醫(yī)療診斷結(jié)果可以由任意醫(yī)生出具，無法核實出具診斷結(jié)果的醫(yī)生身份，存在出具虛假醫(yī)療診斷的隱患，間接導致醫(yī)療事故及醫(yī)療糾紛。電子病歷的創(chuàng)建、修改、刪除等操作缺乏有效的責任認定措施，其對時間準確度的嚴苛要求禁止采用默認的、可隨意更改的系統(tǒng)服務器時間，上述隱患導致電子病歷可信度降低。

總之，現(xiàn)有的電子病歷安全應對方案并沒有從根本上解決其假冒身份、存儲安全、可信時間、病歷信息被篡改、病歷信息遭泄露以及醫(yī)療數(shù)據(jù)責任歸屬等諸多安全隱患。

2 電子病歷系統(tǒng)的組成

2.1 國家衛(wèi)生健康委員會數(shù)字證書服務管理系統(tǒng)

《衛(wèi)生系統(tǒng)電子認證服務管理辦法》規(guī)定，國家衛(wèi)生健康委員會會創(chuàng)建集中的數(shù)字證書服務管理系統(tǒng)，收集、查詢、統(tǒng)計和分析衛(wèi)生系統(tǒng)內(nèi)全部證書的用戶信息，以及收集用戶意見、監(jiān)督服務質(zhì)量等。國家衛(wèi)生健康委員會借助數(shù)字證書服務管理系統(tǒng)控制及管理在衛(wèi)生系統(tǒng)領域提供電子認證服務的CA。擬給衛(wèi)生系統(tǒng)領域給出服務的電子認證服務機構(gòu)，一定要符合以上試行的管理辦法的相關要求，把CA系統(tǒng)接入到國家衛(wèi)生健康委員會數(shù)字證書服務管理系統(tǒng)。

2.2 CA中心

CA中心為醫(yī)院電子病歷給出了電子認證服務，主要有證書業(yè)務和技術支持2種服務[1]。證書業(yè)務服務主要有證書管理、查詢和時間戳服務等。證書管理主要包含證書申請、發(fā)放、更新、吊銷、解鎖、密鑰恢復等業(yè)務服務。證書查詢主要包含LDAP目錄訪問、OCSP證書在線狀態(tài)查詢及CRL證書黑名單列表下載3種服務。CA中心遵照與調(diào)用服務管理系統(tǒng)的證書信息同步接口，將數(shù)字證書申請、更新和吊銷等同步在國家衛(wèi)生健康委員會數(shù)字證書服務管理系統(tǒng)。

2.3 醫(yī)院安全可信電子病歷系統(tǒng)

醫(yī)院安全可信電子病歷系統(tǒng)主要有電子病歷系統(tǒng)、安全認證系統(tǒng)、LRA與證書管理員、醫(yī)護人員與科室機構(gòu)證書等構(gòu)成[2]。證書管理員有LRA給醫(yī)護人員、科室機構(gòu)與內(nèi)部設備發(fā)數(shù)字證書。安全認證系統(tǒng)主要有密碼、設備證書、時間戳、電子簽章、簽名驗簽、存儲等模塊。

3 醫(yī)院電子病歷系統(tǒng)的安全需求

3.1 醫(yī)院信息系統(tǒng)的用戶身份真實性需求

醫(yī)院信息系統(tǒng)的封閉性使其弱化了身份認證的強度[3]。目前，醫(yī)護人員登錄信息系統(tǒng)一般用“用戶名+口令”的方式，隨著醫(yī)院對信息系統(tǒng)依靠程度的加深，這種弱認證方式的弊端不斷凸顯，這就容易造成醫(yī)生間用假名頂替、實習醫(yī)生代替主治醫(yī)生出診斷報考等狀況。因此，醫(yī)院信息系統(tǒng)身份認證機制的高安全性、可靠性，確保登錄系統(tǒng)的用戶身份的真實性，在醫(yī)院信息系統(tǒng)建設過程中顯得特別迫切。

3.2 醫(yī)療數(shù)據(jù)的責任歸屬問題

隨著醫(yī)院信息系統(tǒng)的各種功能不斷取代傳統(tǒng)看病診療的同時，醫(yī)療人員從紙質(zhì)診斷書到認可一般數(shù)據(jù)電文的內(nèi)容，數(shù)據(jù)電文的責任是否明確影響到信息化流程可否替代傳統(tǒng)紙質(zhì)的流程。因此，在用戶身份真實的基礎上，需與可靠的電子簽名一起，制定醫(yī)院信息系統(tǒng)中的責任機制，確保醫(yī)療數(shù)據(jù)的責任歸屬，從而去除醫(yī)療數(shù)據(jù)人工打印、手工簽字的方式，實現(xiàn)無紙化診療，充分體現(xiàn)出信息化的高效率優(yōu)勢。

3.3 醫(yī)療行為的時間可信需求

電子病歷的生成、修改與訪問等時間敏感度尤其高，然而，目前這些事件都是信息系統(tǒng)服務器時間產(chǎn)生的，很輕易發(fā)生在場時間的記錄不對，從而造成醫(yī)療行為時間缺少公信力。因此，在確保事件源可信的基礎上，得對全部關鍵操作實施時間戳并記錄，確保提供可信的時間服務。

3.4 數(shù)據(jù)在網(wǎng)絡中完整傳輸問題

醫(yī)院信息系統(tǒng)多數(shù)運行在局域網(wǎng)上，其中的信息系統(tǒng)終端和服務期間的信息傳輸安全通常會被忽略，因此，信息有可能被竊取和篡改，不能確保醫(yī)務人員在終端上輸入和查看的電子病歷內(nèi)容的正確性。

4 電子病歷PKI安全解決方案及優(yōu)點

4.1 電子病歷PKI安全解決方案

針對現(xiàn)有系統(tǒng)中存在的一系列安全問題，依據(jù)《中華人民共和國電子簽名法》和《電子病歷基本規(guī)范（試行）》，以PKI技術為基礎，結(jié)合電子簽章系統(tǒng)、簽名驗證服務器、SSL VPN安全網(wǎng)關等安全產(chǎn)品，為電子病歷系統(tǒng)提供一套全面的應用安全解決方案。方案采用經(jīng)國家衛(wèi)生健康委員會認可的第三方數(shù)字證書認證機構(gòu)頒發(fā)的數(shù)字證書，實現(xiàn)對醫(yī)護人員身份真實合法性認證[4]。采用數(shù)據(jù)加密技術，保證電子病歷數(shù)據(jù)敏感信息的私密性。同時可與電子簽章系統(tǒng)結(jié)合，為用戶生產(chǎn)電子簽章，并將電子印章灌入證書介質(zhì)和數(shù)字證書進行有效綁定，按照發(fā)放流程將包括數(shù)字證書和電子簽章圖片的證書介質(zhì)分配給最終用戶[5]?？蛻舳思傻碾娮雍炚绿准峁﹄娮硬v相關醫(yī)療數(shù)據(jù)的數(shù)字簽名和電子簽章，最后將帶有數(shù)字簽名和電子簽章的醫(yī)療數(shù)據(jù)提交到電子病歷系統(tǒng)。采用數(shù)字簽名和時間戳技術，保證電子病歷數(shù)據(jù)的可靠性、合法性，防止電子病歷信息泄露、篡改、假冒和偽造，從而建立起“身份可信、數(shù)據(jù)可信、行為可信”的安全保護體系。結(jié)構(gòu)圖見圖1。

圖1 電子病歷系統(tǒng)PKI結(jié)構(gòu)圖

4.2 電子病歷PKI安全解決方案的優(yōu)點

通過存儲在USBKEY中的第三方數(shù)字證書，實現(xiàn)醫(yī)護人員身份的有效鑒別，確保電子病歷系統(tǒng)用戶身份的真實合法性。采用高安全級別的國密SM1密碼算法，對電子病歷涉及的敏感信息進行加密保護，防止電子病歷數(shù)據(jù)在傳輸和存儲過程中被竊取、篡改和偽造。采用數(shù)字簽名技術，對電子病歷數(shù)據(jù)進行與手寫簽名具有同等法律效力的電子簽名，建立醫(yī)院信息系統(tǒng)中的責任認定機制，保障醫(yī)療數(shù)據(jù)明確的責任歸屬，防止醫(yī)護人員行為抵賴。通過電子簽章技術，在處方開具、報告單、檢驗單等醫(yī)療過程中實現(xiàn)電子簽章功能，實現(xiàn)了電子病歷中數(shù)字簽名的可視化、圖形化，使得可靠電子簽名在電子病歷中可以形象展現(xiàn)。采用時間戳技術，通過可信的事件源，對電子病歷生成、修改等關鍵事件發(fā)生的時間進行有效記錄，加蓋標準時間戳，確保醫(yī)療行為時間的公信力。對于遠程辦公的醫(yī)生、坐診專家，通過SSL VPN安全網(wǎng)關進行遠程登錄時的身份認證和通信數(shù)據(jù)的加密保護，解決遠程辦公帶來的諸多安全問題。

5 結(jié)論

隨著新醫(yī)改的推進，醫(yī)療信息化成為大家關注的焦點，電子病歷的使用越來越普遍，電子病歷的安全性就顯得尤為重要?；赑KI技術的電子病歷系統(tǒng)可以確保醫(yī)護人員身份真實合法，確保病歷信息安全可靠，確保責任歸屬明晰，能有效提高醫(yī)療單位的公信力和工作效率。

參考文獻

[1]鐘軍.數(shù)字簽名在電子病歷上的研究[J].電子技術與軟件工程，2016.7.

[2]葛愿維.PKI技術在醫(yī)療行業(yè)電子病歷系統(tǒng)中的應用[J].信息安全與通信保密，2016.7.

[3]王文翠，李志強，秦芳，等.基于數(shù)字簽名的可信電子病歷系統(tǒng)[J].中國數(shù)字醫(yī)學，2016.3.

[4]姚力，李哲.醫(yī)院電子病歷安全保障體系構(gòu)建[J].中國醫(yī)療設備，2015.6.

[5]孫慶波，李曉娜.醫(yī)院信息系統(tǒng)安全性研究[J].計算機光盤軟件與應用，2014.8.