張麗　吳海軍

摘 要

隨著國(guó)家醫(yī)療衛(wèi)生體制改革的不斷發(fā)展，隨著信息技術(shù)和互聯(lián)網(wǎng)的發(fā)展，電子病歷的應(yīng)用和推廣得到了相關(guān)部門的高度重視，以電子病歷為核心的衛(wèi)生信息平臺(tái)建設(shè)已經(jīng)成為我國(guó)醫(yī)療衛(wèi)生事業(yè)信息化發(fā)展的重要內(nèi)容，電子病歷在醫(yī)療機(jī)構(gòu)里得到越來(lái)越多的應(yīng)用。然而，電子病歷在給我們帶來(lái)方便的同時(shí)，安全方面卻存在一些隱患，PKI（Public Key Infrastructure ），它能夠?yàn)樗芯W(wǎng)絡(luò)應(yīng)用提供加密和數(shù)字簽名等密碼服務(wù)及所必需的密鑰和證書管理體系，PKI技術(shù)的引入能有效解決電子病歷安全方面存在的問(wèn)題。

關(guān)鍵詞

電子病歷;安全;PKI

中圖分類號(hào)： R319文獻(xiàn)標(biāo)識(shí)碼： A

DOI：10.19694/j.cnki.issn2095-2457.2020.03.095

1 電子病歷PKI安全的背景及現(xiàn)狀

電子病歷（EMR，Electronic Medical Record）也叫計(jì)算機(jī)化的病案系統(tǒng)或稱基于計(jì)算機(jī)的病人記錄（CPR，Computer-Based Patient Record）。它是用電子設(shè)備（計(jì)算機(jī)、健康卡等）保存、管理、傳輸和重現(xiàn)的數(shù)字化的醫(yī)療記錄，用以取代手寫紙張病歷。它的內(nèi)容包括紙張病歷的所有信息。美國(guó)國(guó)立醫(yī)學(xué)研究所將定義為：EMR是基于一個(gè)特定系統(tǒng)的電子化病人記錄，該系統(tǒng)提供用戶訪問(wèn)完整準(zhǔn)確的數(shù)據(jù)、警示、提示和臨床決策支持系統(tǒng)的能力。

隨著國(guó)家醫(yī)療衛(wèi)生體制改革的不斷深入，電子病歷的應(yīng)用和推廣得到了醫(yī)療機(jī)構(gòu)的高度重視。但是，目前國(guó)內(nèi)醫(yī)療結(jié)構(gòu)在使用或擬建的電子病歷系統(tǒng)中，存在一系列安全隱患。PKI是Public Key Infrastructure的首字母縮寫，翻譯過(guò)來(lái)就是公鑰基礎(chǔ)設(shè)施;PKI是一種遵循標(biāo)準(zhǔn)的利用公鑰加密技術(shù)為電子商務(wù)的開(kāi)展提供一套安全基礎(chǔ)平臺(tái)的技術(shù)和規(guī)范?！峨娮硬v基本規(guī)范（試行）》于2010年4月正式實(shí)施，確立了電子病歷系統(tǒng)規(guī)范和標(biāo)準(zhǔn)，但是大部分醫(yī)療機(jī)構(gòu)的電子病歷系統(tǒng)緊緊實(shí)現(xiàn)了紙質(zhì)病歷電子化，其應(yīng)用安全問(wèn)題仍普遍存在：醫(yī)療人員登錄信息系統(tǒng)普遍采用用戶名結(jié)合口令的弱認(rèn)證方式，安全性較低，容易產(chǎn)生冒名頂替、醫(yī)療數(shù)據(jù)外泄等情況。電子病歷涉及的病人隱私信息基本以明文形式存儲(chǔ)，只要獲取數(shù)據(jù)庫(kù)的訪問(wèn)權(quán)限，便可隨意查看和下載，存在泄漏風(fēng)險(xiǎn)。由于缺乏有效的技術(shù)手段，導(dǎo)致醫(yī)療診斷結(jié)果可以由任意醫(yī)生出具，無(wú)法核實(shí)出具診斷結(jié)果的醫(yī)生身份，存在出具虛假醫(yī)療診斷的隱患，間接導(dǎo)致醫(yī)療事故及醫(yī)療糾紛。電子病歷的創(chuàng)建、修改、刪除等操作缺乏有效的責(zé)任認(rèn)定措施，其對(duì)時(shí)間準(zhǔn)確度的嚴(yán)苛要求禁止采用默認(rèn)的、可隨意更改的系統(tǒng)服務(wù)器時(shí)間，上述隱患導(dǎo)致電子病歷可信度降低。

總之，現(xiàn)有的電子病歷安全應(yīng)對(duì)方案并沒(méi)有從根本上解決其假冒身份、存儲(chǔ)安全、可信時(shí)間、病歷信息被篡改、病歷信息遭泄露以及醫(yī)療數(shù)據(jù)責(zé)任歸屬等諸多安全隱患。

2 電子病歷系統(tǒng)的組成

2.1 國(guó)家衛(wèi)生健康委員會(huì)數(shù)字證書服務(wù)管理系統(tǒng)

《衛(wèi)生系統(tǒng)電子認(rèn)證服務(wù)管理辦法》規(guī)定，國(guó)家衛(wèi)生健康委員會(huì)會(huì)創(chuàng)建集中的數(shù)字證書服務(wù)管理系統(tǒng)，收集、查詢、統(tǒng)計(jì)和分析衛(wèi)生系統(tǒng)內(nèi)全部證書的用戶信息，以及收集用戶意見(jiàn)、監(jiān)督服務(wù)質(zhì)量等。國(guó)家衛(wèi)生健康委員會(huì)借助數(shù)字證書服務(wù)管理系統(tǒng)控制及管理在衛(wèi)生系統(tǒng)領(lǐng)域提供電子認(rèn)證服務(wù)的CA。擬給衛(wèi)生系統(tǒng)領(lǐng)域給出服務(wù)的電子認(rèn)證服務(wù)機(jī)構(gòu)，一定要符合以上試行的管理辦法的相關(guān)要求，把CA系統(tǒng)接入到國(guó)家衛(wèi)生健康委員會(huì)數(shù)字證書服務(wù)管理系統(tǒng)。

2.2 CA中心

CA中心為醫(yī)院電子病歷給出了電子認(rèn)證服務(wù)，主要有證書業(yè)務(wù)和技術(shù)支持2種服務(wù)[1]。證書業(yè)務(wù)服務(wù)主要有證書管理、查詢和時(shí)間戳服務(wù)等。證書管理主要包含證書申請(qǐng)、發(fā)放、更新、吊銷、解鎖、密鑰恢復(fù)等業(yè)務(wù)服務(wù)。證書查詢主要包含LDAP目錄訪問(wèn)、OCSP證書在線狀態(tài)查詢及CRL證書黑名單列表下載3種服務(wù)。CA中心遵照與調(diào)用服務(wù)管理系統(tǒng)的證書信息同步接口，將數(shù)字證書申請(qǐng)、更新和吊銷等同步在國(guó)家衛(wèi)生健康委員會(huì)數(shù)字證書服務(wù)管理系統(tǒng)。

2.3 醫(yī)院安全可信電子病歷系統(tǒng)

醫(yī)院安全可信電子病歷系統(tǒng)主要有電子病歷系統(tǒng)、安全認(rèn)證系統(tǒng)、LRA與證書管理員、醫(yī)護(hù)人員與科室機(jī)構(gòu)證書等構(gòu)成[2]。證書管理員有LRA給醫(yī)護(hù)人員、科室機(jī)構(gòu)與內(nèi)部設(shè)備發(fā)數(shù)字證書。安全認(rèn)證系統(tǒng)主要有密碼、設(shè)備證書、時(shí)間戳、電子簽章、簽名驗(yàn)簽、存儲(chǔ)等模塊。

3 醫(yī)院電子病歷系統(tǒng)的安全需求

3.1 醫(yī)院信息系統(tǒng)的用戶身份真實(shí)性需求

醫(yī)院信息系統(tǒng)的封閉性使其弱化了身份認(rèn)證的強(qiáng)度[3]。目前，醫(yī)護(hù)人員登錄信息系統(tǒng)一般用“用戶名+口令”的方式，隨著醫(yī)院對(duì)信息系統(tǒng)依靠程度的加深，這種弱認(rèn)證方式的弊端不斷凸顯，這就容易造成醫(yī)生間用假名頂替、實(shí)習(xí)醫(yī)生代替主治醫(yī)生出診斷報(bào)考等狀況。因此，醫(yī)院信息系統(tǒng)身份認(rèn)證機(jī)制的高安全性、可靠性，確保登錄系統(tǒng)的用戶身份的真實(shí)性，在醫(yī)院信息系統(tǒng)建設(shè)過(guò)程中顯得特別迫切。

3.2 醫(yī)療數(shù)據(jù)的責(zé)任歸屬問(wèn)題

隨著醫(yī)院信息系統(tǒng)的各種功能不斷取代傳統(tǒng)看病診療的同時(shí)，醫(yī)療人員從紙質(zhì)診斷書到認(rèn)可一般數(shù)據(jù)電文的內(nèi)容，數(shù)據(jù)電文的責(zé)任是否明確影響到信息化流程可否替代傳統(tǒng)紙質(zhì)的流程。因此，在用戶身份真實(shí)的基礎(chǔ)上，需與可靠的電子簽名一起，制定醫(yī)院信息系統(tǒng)中的責(zé)任機(jī)制，確保醫(yī)療數(shù)據(jù)的責(zé)任歸屬，從而去除醫(yī)療數(shù)據(jù)人工打印、手工簽字的方式，實(shí)現(xiàn)無(wú)紙化診療，充分體現(xiàn)出信息化的高效率優(yōu)勢(shì)。

3.3 醫(yī)療行為的時(shí)間可信需求

電子病歷的生成、修改與訪問(wèn)等時(shí)間敏感度尤其高，然而，目前這些事件都是信息系統(tǒng)服務(wù)器時(shí)間產(chǎn)生的，很輕易發(fā)生在場(chǎng)時(shí)間的記錄不對(duì)，從而造成醫(yī)療行為時(shí)間缺少公信力。因此，在確保事件源可信的基礎(chǔ)上，得對(duì)全部關(guān)鍵操作實(shí)施時(shí)間戳并記錄，確保提供可信的時(shí)間服務(wù)。

3.4 數(shù)據(jù)在網(wǎng)絡(luò)中完整傳輸問(wèn)題

醫(yī)院信息系統(tǒng)多數(shù)運(yùn)行在局域網(wǎng)上，其中的信息系統(tǒng)終端和服務(wù)期間的信息傳輸安全通常會(huì)被忽略，因此，信息有可能被竊取和篡改，不能確保醫(yī)務(wù)人員在終端上輸入和查看的電子病歷內(nèi)容的正確性。

4 電子病歷PKI安全解決方案及優(yōu)點(diǎn)

4.1 電子病歷PKI安全解決方案

針對(duì)現(xiàn)有系統(tǒng)中存在的一系列安全問(wèn)題，依據(jù)《中華人民共和國(guó)電子簽名法》和《電子病歷基本規(guī)范（試行）》，以PKI技術(shù)為基礎(chǔ)，結(jié)合電子簽章系統(tǒng)、簽名驗(yàn)證服務(wù)器、SSL VPN安全網(wǎng)關(guān)等安全產(chǎn)品，為電子病歷系統(tǒng)提供一套全面的應(yīng)用安全解決方案。方案采用經(jīng)國(guó)家衛(wèi)生健康委員會(huì)認(rèn)可的第三方數(shù)字證書認(rèn)證機(jī)構(gòu)頒發(fā)的數(shù)字證書，實(shí)現(xiàn)對(duì)醫(yī)護(hù)人員身份真實(shí)合法性認(rèn)證[4]。采用數(shù)據(jù)加密技術(shù)，保證電子病歷數(shù)據(jù)敏感信息的私密性。同時(shí)可與電子簽章系統(tǒng)結(jié)合，為用戶生產(chǎn)電子簽章，并將電子印章灌入證書介質(zhì)和數(shù)字證書進(jìn)行有效綁定，按照發(fā)放流程將包括數(shù)字證書和電子簽章圖片的證書介質(zhì)分配給最終用戶[5]。客戶端集成的電子簽章套件提供對(duì)電子病歷相關(guān)醫(yī)療數(shù)據(jù)的數(shù)字簽名和電子簽章，最后將帶有數(shù)字簽名和電子簽章的醫(yī)療數(shù)據(jù)提交到電子病歷系統(tǒng)。采用數(shù)字簽名和時(shí)間戳技術(shù)，保證電子病歷數(shù)據(jù)的可靠性、合法性，防止電子病歷信息泄露、篡改、假冒和偽造，從而建立起“身份可信、數(shù)據(jù)可信、行為可信”的安全保護(hù)體系。結(jié)構(gòu)圖見(jiàn)圖1。

圖1 電子病歷系統(tǒng)PKI結(jié)構(gòu)圖

4.2 電子病歷PKI安全解決方案的優(yōu)點(diǎn)

通過(guò)存儲(chǔ)在USBKEY中的第三方數(shù)字證書，實(shí)現(xiàn)醫(yī)護(hù)人員身份的有效鑒別，確保電子病歷系統(tǒng)用戶身份的真實(shí)合法性。采用高安全級(jí)別的國(guó)密SM1密碼算法，對(duì)電子病歷涉及的敏感信息進(jìn)行加密保護(hù)，防止電子病歷數(shù)據(jù)在傳輸和存儲(chǔ)過(guò)程中被竊取、篡改和偽造。采用數(shù)字簽名技術(shù)，對(duì)電子病歷數(shù)據(jù)進(jìn)行與手寫簽名具有同等法律效力的電子簽名，建立醫(yī)院信息系統(tǒng)中的責(zé)任認(rèn)定機(jī)制，保障醫(yī)療數(shù)據(jù)明確的責(zé)任歸屬，防止醫(yī)護(hù)人員行為抵賴。通過(guò)電子簽章技術(shù)，在處方開(kāi)具、報(bào)告單、檢驗(yàn)單等醫(yī)療過(guò)程中實(shí)現(xiàn)電子簽章功能，實(shí)現(xiàn)了電子病歷中數(shù)字簽名的可視化、圖形化，使得可靠電子簽名在電子病歷中可以形象展現(xiàn)。采用時(shí)間戳技術(shù)，通過(guò)可信的事件源，對(duì)電子病歷生成、修改等關(guān)鍵事件發(fā)生的時(shí)間進(jìn)行有效記錄，加蓋標(biāo)準(zhǔn)時(shí)間戳，確保醫(yī)療行為時(shí)間的公信力。對(duì)于遠(yuǎn)程辦公的醫(yī)生、坐診專家，通過(guò)SSL VPN安全網(wǎng)關(guān)進(jìn)行遠(yuǎn)程登錄時(shí)的身份認(rèn)證和通信數(shù)據(jù)的加密保護(hù)，解決遠(yuǎn)程辦公帶來(lái)的諸多安全問(wèn)題。

5 結(jié)論

隨著新醫(yī)改的推進(jìn)，醫(yī)療信息化成為大家關(guān)注的焦點(diǎn)，電子病歷的使用越來(lái)越普遍，電子病歷的安全性就顯得尤為重要。基于PKI技術(shù)的電子病歷系統(tǒng)可以確保醫(yī)護(hù)人員身份真實(shí)合法，確保病歷信息安全可靠，確保責(zé)任歸屬明晰，能有效提高醫(yī)療單位的公信力和工作效率。

參考文獻(xiàn)

[1]鐘軍.數(shù)字簽名在電子病歷上的研究[J].電子技術(shù)與軟件工程，2016.7.

[2]葛愿維.PKI技術(shù)在醫(yī)療行業(yè)電子病歷系統(tǒng)中的應(yīng)用[J].信息安全與通信保密，2016.7.

[3]王文翠，李志強(qiáng)，秦芳，等.基于數(shù)字簽名的可信電子病歷系統(tǒng)[J].中國(guó)數(shù)字醫(yī)學(xué)，2016.3.

[4]姚力，李哲.醫(yī)院電子病歷安全保障體系構(gòu)建[J].中國(guó)醫(yī)療設(shè)備，2015.6.

[5]孫慶波，李曉娜.醫(yī)院信息系統(tǒng)安全性研究[J].計(jì)算機(jī)光盤軟件與應(yīng)用，2014.8.