梅甜 伊永菊 佘廣南 王文輝

一、引言

CA （Certificate Authority）即電子認(rèn)證，是通過由具有國(guó)家法律認(rèn)證的機(jī)構(gòu)頒發(fā)數(shù)字簽名證書給特定人員，并可解決獨(dú)立驗(yàn)證、時(shí)間可追溯及可靠性策略等問題。國(guó)家《電子病歷系統(tǒng)功能應(yīng)用水平分級(jí)評(píng)價(jià)》中電子認(rèn)證與簽名一項(xiàng)的考核指標(biāo)中明確指出 重點(diǎn)電子病歷相關(guān)記錄（門診、病房、檢查、檢驗(yàn)科室產(chǎn)生的醫(yī)療記錄）的最終醫(yī)療檔案至少有一類可實(shí)現(xiàn)可靠電子簽名功能，才能達(dá)到5級(jí)基本標(biāo)準(zhǔn)。

目前，信息系統(tǒng)引入數(shù)字簽名被越來越多的醫(yī)院列入信息化建設(shè)日程，同時(shí)，數(shù)字簽名的應(yīng)用不是簡(jiǎn)單地將紙質(zhì)簽名換成電子簽名，它在應(yīng)用過程中，會(huì)引起一系列醫(yī)院原有的業(yè)務(wù)系統(tǒng)的功能以及流程改造，并不是一蹴而就的。某院自2016年起，先后啟用CA簽名的系統(tǒng)包括門診及住院信息管理系統(tǒng)（HIS）、手術(shù)麻醉系統(tǒng)、移動(dòng)護(hù)理系統(tǒng)、影像檢查系統(tǒng)（PACS）、檢驗(yàn)系統(tǒng)（ LIS）等。本文主要圍繞醫(yī)囑系統(tǒng)、移動(dòng)護(hù)理系統(tǒng)、發(fā)藥系統(tǒng)以及電子病歷系統(tǒng)，講解了CA應(yīng)用改造后如何實(shí)現(xiàn)業(yè)務(wù)的流程運(yùn)轉(zhuǎn)、CA簽名的具體規(guī)則設(shè)置經(jīng)驗(yàn)，可為在電子病歷應(yīng)用水平評(píng)級(jí)過程中缺乏數(shù)字簽名改造經(jīng)驗(yàn)的中小型醫(yī)院提供較為詳細(xì)的指導(dǎo)與參考。

二、 CA電子認(rèn)證數(shù)字證書技術(shù)簡(jiǎn)介

數(shù)字簽名技術(shù)包括身份認(rèn)證、數(shù)字簽名和驗(yàn)證、可信時(shí)間戳、電子簽章功能。簽發(fā)數(shù)字證書的電子認(rèn)證系統(tǒng)和密鑰管理系統(tǒng)應(yīng)支持國(guó)密局要求的規(guī)范算法：1需保護(hù)文檔不被非法篡改，能進(jìn)行完整性認(rèn)證。2通過數(shù)字簽名的唯一性及可驗(yàn)證性，從而確保簽署者對(duì)所簽文檔的不可抵賴。3.支持時(shí)間戳。4可以查看簽署者身份證書的有效性，從而確認(rèn)簽署者。

某院采用的是廣東省衛(wèi)生系統(tǒng)電子認(rèn)證數(shù)字證書服務(wù)機(jī)構(gòu)提供的服務(wù)，部署了云密鑰安全管理系統(tǒng)服務(wù)器、數(shù)字簽名驗(yàn)證服務(wù)器、電子簽章和時(shí)間戳服務(wù)系統(tǒng)、云秘鑰手機(jī)APP。時(shí)間戳服務(wù)器的時(shí)間來源采用windows時(shí)間服務(wù)，業(yè)務(wù)系統(tǒng)的服務(wù)器均與時(shí)間戳服務(wù)器做同步。云密鑰安全管理服務(wù)包括證書管理、身份認(rèn)證管理、授權(quán)管理、電子簽名管理服務(wù)、電子印章、用戶管理、跨平臺(tái)支持等。

三、CA在醫(yī)院系統(tǒng)的應(yīng)用

（一）身份認(rèn)證管理

某院通過云CA解決加物理介質(zhì)并行的方式，支持醫(yī)護(hù)人員在手機(jī)端在線提交個(gè)人手寫簽名信息，實(shí)現(xiàn)印章與證書的關(guān)聯(lián)。當(dāng)證書在醫(yī)院業(yè)務(wù)系統(tǒng)正式啟用前，需要在醫(yī)院內(nèi)網(wǎng)的電子認(rèn)證網(wǎng)關(guān)統(tǒng)一注冊(cè)登記。某院的身份認(rèn)證方式有多種，包括口令認(rèn)證、口令認(rèn)證+短信認(rèn)證、口令認(rèn)證+設(shè)備認(rèn)證、掃碼認(rèn)證。業(yè)務(wù)系統(tǒng)通過調(diào)用CA的接口，可實(shí)現(xiàn)當(dāng)醫(yī)務(wù)人員通過物理介質(zhì)+口令或者手機(jī)終端APP掃碼，完成登錄認(rèn)證后，在本次登錄期間可免掃碼認(rèn)證或免密簽名。

（二）門診與住院流程中的數(shù)字簽名

門診與住院流程的整體工作模式如圖所示，圖左側(cè)為門診簽名流程，醫(yī)生通過云秘鑰APP掃碼登錄門診醫(yī)生站后，可使用數(shù)字簽名對(duì)門診病歷和門診處方進(jìn)行數(shù)字簽名，這時(shí)，會(huì)將所有處方包括申請(qǐng)單上自動(dòng)插入醫(yī)生的個(gè)性化簽名圖片，患者繳費(fèi)后，藥房可通過系統(tǒng)上調(diào)閱電子處方查看，完成核對(duì)工作再發(fā)藥。圖右側(cè)為住院簽名流程。醫(yī)生進(jìn)行日常醫(yī)囑開立后，護(hù)士審核界面只允許審核已簽名后的醫(yī)囑，數(shù)字簽名實(shí)際上作為了審核是否進(jìn)入下一步流程判斷依據(jù)。審核護(hù)士以及PDA執(zhí)行護(hù)士的簽名會(huì)自動(dòng)反饋到醫(yī)囑單上。

數(shù)字簽名改造后，醫(yī)囑的開立界面將保存以及簽名功能合并為“CA保存”。具體規(guī)則為：1當(dāng)新開立或停止醫(yī)囑CA保存時(shí)，系統(tǒng)自動(dòng)將所有新開立的醫(yī)囑進(jìn)行保存簽名。2在非開立狀態(tài)下，允許醫(yī)生進(jìn)行單條簽名或者批量簽名。3新開立的醫(yī)囑用“☆”做標(biāo)識(shí)，停止的醫(yī)囑用“△”做標(biāo)識(shí)。4護(hù)士審核醫(yī)囑之前，允許醫(yī)生解簽修改。5護(hù)士站醫(yī)囑查詢界面，增加開立簽名時(shí)間、開立者、停止簽名時(shí)間、停止者，從而解決醫(yī)生補(bǔ)簽名有沒有及時(shí)通知護(hù)士造成的責(zé)任推諉。

（三）病歷文書的數(shù)字簽名

某院住院、主治、主任醫(yī)師三級(jí)簽名的權(quán)限控制如下 1本人修改的規(guī)則為 數(shù)字簽名之后，上級(jí)醫(yī)生簽名之前，本人可以修改、保存病歷;刪除病歷之前，必須解除所有簽名; 2同級(jí)醫(yī)生修改的規(guī)則為：同級(jí)醫(yī)生以及下級(jí)醫(yī)生不允許刪除、修改病歷?？梢圆榭醇按蛴?，3上級(jí)醫(yī)生修改的規(guī)則為：上級(jí)醫(yī)生可以刪除、修改下級(jí)醫(yī)生病歷，允許但不強(qiáng)制上級(jí)醫(yī)生簽名;上級(jí)醫(yī)生的簽名自動(dòng)向左、前排列;上級(jí)醫(yī)生解簽下級(jí)醫(yī)生的簽名時(shí)，必須同時(shí)解除本人簽名。所有病歷的保存、簽名、解簽、刪除都會(huì)保留日志，病歷痕跡可基于日志進(jìn)行展現(xiàn)。

門診或者住院醫(yī)囑作簽名時(shí)，系統(tǒng)判斷系統(tǒng)登錄者與簽名者一致，輸入正確密碼后，方可簽名成功;病歷作三級(jí)簽名時(shí)，無需判斷登陸者與簽名者一致。對(duì)填寫完的病歷進(jìn)行“保存”，沒有保存的病歷不允許簽名。簽名自動(dòng)插入到正確的位置，簽名本身自動(dòng)保存。

（四）密文的數(shù)據(jù)庫存儲(chǔ)

某院對(duì)于經(jīng)過CA簽名加密后病歷原文的簽名值均進(jìn)行了數(shù)據(jù)庫存儲(chǔ)，該簽名值密文可由電子認(rèn)證數(shù)字證書服務(wù)機(jī)構(gòu)進(jìn)行認(rèn)證并解密還原。

（五）配置文件

由于電子病歷系統(tǒng)中在調(diào)用數(shù)字證書進(jìn)行操作時(shí)，會(huì)首先連接CA電子認(rèn)證網(wǎng)關(guān)服務(wù)器進(jìn)行數(shù)據(jù)驗(yàn)證，而電子認(rèn)證網(wǎng)關(guān)的服務(wù)器證書具有有效期，更新后服務(wù)器證書信息會(huì)改變。因此我院電子病歷系統(tǒng)中對(duì)于網(wǎng)關(guān)服務(wù)器的配置信息采用單獨(dú)的配置文件進(jìn)行維護(hù)管理，以便在證書更新時(shí)維護(hù)。

四、醫(yī)院CA管理制度

如果缺少明確的文件規(guī)范數(shù)字證書的管理，將會(huì)導(dǎo)致具體操作無法落實(shí)，影響管理與使用效率。我院由醫(yī)務(wù)部、護(hù)理部、信息數(shù)據(jù)處共同制訂了中山大學(xué)附屬第六醫(yī)院電子簽名證書管理辦法》。辦法詳細(xì)規(guī)定了各管理部門的責(zé)任劃分，數(shù)字證書的更新、掛失、注銷與回收處理程序以及數(shù)字證書及其電子密鑰的使用注意事項(xiàng)等內(nèi)容，明確了數(shù)字證書持有者對(duì)所簽署的文檔為第一責(zé)任人。

五、小結(jié)與展望

通過引入“是否數(shù)字簽名作為是否允許下一步業(yè)務(wù)環(huán)節(jié)的判斷依據(jù)”的指導(dǎo)思路，某院較為清晰順暢地完成了主要業(yè)務(wù)系統(tǒng)的CA數(shù)字簽名改造，各個(gè)醫(yī)技系統(tǒng)的相關(guān)改造工作也大同小異。一系列的優(yōu)化不僅使得門診和住院的醫(yī)療業(yè)務(wù)流程更加簡(jiǎn)潔順暢，提高了臨床醫(yī)生以及護(hù)士的工作效率，也在系統(tǒng)層面規(guī)范了醫(yī)療行為，保證了醫(yī)療文書質(zhì)量。數(shù)字簽名工作推進(jìn)的局面從一開始靠信息部門強(qiáng)推，變成了臨床科室主動(dòng)要求啟用的積極景象。數(shù)字簽名是醫(yī)院無紙化的基礎(chǔ)，也需要在使用過程中不斷優(yōu)化流程細(xì)節(jié)。目前某院正在積極建設(shè)患者數(shù)字簽名項(xiàng)目，加速無紙化工作的推進(jìn)，邁向新臺(tái)階。