[ 洪劼 ]——(2011-6-30) / 已閱11407次
摘要:電子病歷是醫(yī)療信息化發(fā)展的趨勢,而要真正實(shí)現(xiàn)病歷的電子化,首先要解決電子病歷的真實(shí)可靠性問題,本文針對目前醫(yī)院 CIS 的電子病歷信息存在的安全和可信問題,把第三方權(quán)威認(rèn)證機(jī)構(gòu)基于數(shù)字證書的認(rèn)證技術(shù)應(yīng)用在醫(yī)院 CIS 中,介紹了利用數(shù)字證書結(jié)合電子病歷系統(tǒng)解決電子病歷信息安全的作法,使電子病歷具有真實(shí)性、可信性、安全性、合法性。
關(guān)鍵詞:電子病歷,數(shù)字證書,CIS,數(shù)字簽名,身份認(rèn)證,CA 認(rèn)證技術(shù)
一、前言
電子病歷是醫(yī)療信息化的一個重要的組成部分,是屬于醫(yī)院信息化水平的高級階段,是建立在基本的醫(yī)院信息管理系統(tǒng)(HIS) 、臨床信息系統(tǒng)(CIS) ,醫(yī)生工作站、護(hù)士工作站等應(yīng)用系統(tǒng)和相關(guān)數(shù)據(jù)庫的基礎(chǔ)之上,既是醫(yī)院內(nèi)部的一種診療過程記錄,同時也是一種具有法律性質(zhì)的文書,既然病歷是一種法律性質(zhì)的文書就要確保電子病歷的真實(shí)性和安全性。電子病歷是由 CIS 中的醫(yī)生工作站、護(hù)士工作站、PACS、LIS 和相關(guān)的醫(yī)療設(shè)備以及其他系統(tǒng)采集的信息,通過網(wǎng)絡(luò)傳輸把信息保存在后臺數(shù)據(jù)庫上的數(shù)字電文,可見電子病歷的數(shù)據(jù)采集、傳輸、存儲都是由醫(yī)院的 CIS 來完成。目前國內(nèi)醫(yī)院 CIS的電子病歷的數(shù)據(jù)采集、傳輸、存儲都沒有統(tǒng)一的規(guī)范和標(biāo)準(zhǔn),而且 CIS在醫(yī)療業(yè)務(wù)和信息技術(shù)上都是一個龐大復(fù)雜的管理系統(tǒng),很多CIS 只關(guān)注其功能的實(shí)現(xiàn),對數(shù)據(jù)安全考慮較少,因此人們會對電子病歷數(shù)據(jù)的安全性、真實(shí)性和合法性帶來質(zhì)疑。本文把電子病歷結(jié)合了數(shù)字證書進(jìn)行應(yīng)用,利用合法的第三方機(jī)構(gòu)的 CA 認(rèn)證來確保電子病歷數(shù)據(jù)的真實(shí)性、安全性和合法性。
二、電子病歷的安全隱患
1. 電子病歷產(chǎn)生過程以及基本內(nèi)容
電子病歷信息是病人就診的各個環(huán)節(jié)產(chǎn)生的,上一個環(huán)節(jié)信息是為下個環(huán)節(jié)服務(wù)的,有病人填寫或病人主訴信息,再由醫(yī)務(wù)人員輸入 CIS,有醫(yī)務(wù)人員對病人的診療信息,由醫(yī)務(wù)人員自己錄入 CIS,這些信息經(jīng)醫(yī)院的網(wǎng)絡(luò)系統(tǒng)傳輸?shù)?CIS 后臺數(shù)據(jù)服務(wù)器進(jìn)行存儲。其中既有后臺數(shù)據(jù)庫方式存儲,也有在服務(wù)器上以文件方式存儲的。在數(shù)據(jù)庫中,建立病歷的描述結(jié)構(gòu),或者說電子病歷的數(shù)據(jù)模型,將這些信息按照類別及發(fā)生的時間順序,有機(jī)地組織成一個整體,用于以后的調(diào)用、維護(hù)更新、歸檔。因此,電子病歷是病人在醫(yī)院就診時的整個診療過程記錄,其基本包含的內(nèi)容有:
1) 患者信息:指患者個人信息,如:姓名、性別、年齡、婚姻狀況、個人健康信息、過往病史、家庭狀況等;
2) 醫(yī)囑信息:指醫(yī)生對病人治療過程和健康指導(dǎo)意見等;
3) 病程記錄信息:指患者病情狀況的連續(xù)性記錄;
4) 檢查檢驗(yàn)信息:指病人在診療過程中所做的各項(xiàng)醫(yī)學(xué)檢查和檢驗(yàn)的結(jié)果記錄;
5) 影像檢查信息:指病人在診療過程中所做的各項(xiàng)醫(yī)學(xué)影像檢查的影像資料和診斷結(jié)
果記錄;
6) 手術(shù)記錄:指病人曾經(jīng)所做的手術(shù)情況記錄;
7) 護(hù)理信息:指患者接受護(hù)理的項(xiàng)目及護(hù)理情況和結(jié)果記錄。
2. 電子病歷安全的漏洞
從電子病歷內(nèi)容和產(chǎn)生過程可知,電子病歷信息主要是由診療的各個醫(yī)務(wù)人員錄入信息通過
網(wǎng)絡(luò)傳輸?shù)椒⻊?wù)器進(jìn)行存儲,并且對每個環(huán)節(jié)實(shí)時性的要求都很高,不難看出電子病歷存在如下
安全問題:
‹ 系統(tǒng)登陸身份驗(yàn)證的問題
CIS 目前大多采用用戶名密碼方式來登陸系統(tǒng),采用此種方式進(jìn)行登陸系統(tǒng)存在著很大的弊端,比如密碼設(shè)置過于簡單、利用自己關(guān)切自己的數(shù)字(比如生日)來設(shè)置密碼,密碼存儲在數(shù)據(jù)庫中以明文的方式等,很容易被人盜取或破解,因此,CIS 系統(tǒng)登陸的身份驗(yàn)證需要解決是否有人使用他人的用戶和口令進(jìn)行病歷信息輸入和修改,是否有人越過 CIS 的身份驗(yàn)證進(jìn)行病歷信息輸入和修改等等問題。
‹ 數(shù)據(jù)在網(wǎng)絡(luò)中完整傳輸問題
醫(yī)院 CIS 多數(shù)運(yùn)行在醫(yī)院內(nèi)的局域網(wǎng)上,局域網(wǎng)上的 CIS 終端與服務(wù)器間的信息傳輸安全往往被忽視,因此,信息有可能被竊取并篡改,無法保障醫(yī)務(wù)人員在 CIS 終端上輸入和瀏覽的電子病歷信息的正確性。
‹ 數(shù)據(jù)存儲安全
電子病歷信息多數(shù)是以明文的方式保存在后臺數(shù)據(jù)庫服務(wù)器上,而后臺數(shù)據(jù)庫服務(wù)器對于某些人是透明的。對于在數(shù)據(jù)庫上的數(shù)據(jù)是否有人更改過,目前的醫(yī)院 CIS 是沒有這種機(jī)制來驗(yàn)證的,所以也無法保障醫(yī)務(wù)人員在 CIS 終端上輸入和瀏覽的電子病歷信息的正確性。對系統(tǒng)信息錄入或修改的不可抵賴問題
電子病歷的信息需要在 CIS 終端進(jìn)行錄入,而且對錄入的信息要確實(shí)反映病人的真實(shí)情況,因此,確保錄入信息的真實(shí)性顯得非常重要,這需要每位信息的錄入或修改人員對自己的操作行為負(fù)有高度的責(zé)任,即其行為不可抵賴。
‹ 電子病歷的時間取證問題
要準(zhǔn)確的把握病人的病情發(fā)展,需要對病人的診斷、醫(yī)療等的時間有個準(zhǔn)確的把握,這就要
求電子病歷對實(shí)時性的要求很高。目前醫(yī)院的 CIS 對電子病歷的時間記錄往往是取終端計(jì)算機(jī)的系統(tǒng)時間,而不是國家授時的時間,因此,時間的準(zhǔn)確性的取證非常重要。
三、基于數(shù)字證書的CA認(rèn)證技術(shù)
數(shù)字證書是標(biāo)志網(wǎng)絡(luò)用戶身份信息的一系列數(shù)據(jù),用來在網(wǎng)絡(luò)通訊中識別通訊各方的身份,即要在網(wǎng)絡(luò)上解決"我是誰"的問題,就如同現(xiàn)實(shí)中我們每一個人都要擁有一張證明個人身份的身份證或駕駛執(zhí)照一樣,以表明我們的身份或某種資格。數(shù)字證書是由權(quán)威公正的第三方機(jī)構(gòu)即 CA 中心簽發(fā)的,以數(shù)字證書為核心的加密技術(shù)可以對網(wǎng)絡(luò)上傳輸?shù)男畔⑦M(jìn)行加密和解密、數(shù)字簽名和簽名驗(yàn)證,確保網(wǎng)上傳遞信息的機(jī)密性、完整性,以及交易實(shí)體身份的真實(shí)性,簽名信息的不可否認(rèn)性,從而保障網(wǎng)絡(luò)應(yīng)用的安全性。簡單的說我們可以使用數(shù)字證書來保證:信息除發(fā)送方和接收方外不被其他人竊取即使被竊取得到的也是不能讀懂的亂碼;信息在傳輸過程中不被篡改;發(fā)送方能夠通過數(shù)字證書來確認(rèn)接收方的身份;發(fā)送方對于自己發(fā)送的信息不能抵賴;信息存儲的完整機(jī)密。 數(shù)字證書采用公鑰密碼體制,即每個實(shí)體都有一對互相匹配的密鑰:公開密鑰(公鑰)和私有密鑰(私鑰)。每個用戶擁有一把僅為本人所掌握的私鑰,用它進(jìn)行解密和簽名;另外還擁有一把公鑰并可以對外公開,用于加密和驗(yàn)證簽名。 CA就是數(shù)字或電子證書認(rèn)證中心,是一個負(fù)責(zé)數(shù)字證書發(fā)放和管理,同時為電子商務(wù)或電子政務(wù)系統(tǒng)等提供數(shù)字身份驗(yàn)證和安全可信支撐平臺的第三方的權(quán)威機(jī)構(gòu)。應(yīng)用系統(tǒng)通過第三方認(rèn)證機(jī)構(gòu)提供的數(shù)字證書和安全支撐平臺使應(yīng)用系統(tǒng)具有可信性和合法性。這就是 CA 認(rèn)證的意義。CA 認(rèn)證對應(yīng)用系統(tǒng)主要提供以下功能:
1) 身份認(rèn)證
通過安全應(yīng)用支撐平臺為應(yīng)用系統(tǒng)提供安全認(rèn)證的環(huán)境基礎(chǔ),利用為系統(tǒng)的用戶、設(shè)備、機(jī)
構(gòu)、業(yè)務(wù)等頒發(fā)數(shù)字證書作為身份識別和認(rèn)證的依據(jù),在應(yīng)用系統(tǒng)的登陸部分,實(shí)現(xiàn)用戶與服務(wù)資源的雙向認(rèn)證,達(dá)到“一人一證、一機(jī)一證、每個機(jī)構(gòu)一證、每個業(yè)務(wù)一證、持證上崗”的效果。
2) 數(shù)據(jù)簽名
對數(shù)據(jù)的簽名和驗(yàn)簽,是將數(shù)據(jù)作為證據(jù)的一種最有效的方法。系統(tǒng)通過利用用戶的簽名私
鑰,對數(shù)據(jù)進(jìn)行簽名運(yùn)算,并把運(yùn)算結(jié)果作為一個字段存儲在數(shù)據(jù)庫中,這樣數(shù)據(jù)就是經(jīng)過這個用戶簽名的數(shù)據(jù),具有法律效力,不能修改。當(dāng)需要對數(shù)據(jù)進(jìn)行驗(yàn)簽時,系統(tǒng)只要再用用戶的證書進(jìn)行一次運(yùn)算,就可以確定簽名的有效性。對數(shù)據(jù)作簽名驗(yàn)簽可以確認(rèn)數(shù)據(jù)單元的來源和完整性,并保護(hù)數(shù)據(jù),防止被人偽造或篡改。
3) 數(shù)據(jù)的加解密
基于安全的整體規(guī)劃考慮,數(shù)據(jù)在網(wǎng)絡(luò)中傳輸時要確保機(jī)密數(shù)據(jù)不為第三方竊取。需要在機(jī)
密數(shù)據(jù)的傳輸過程中進(jìn)行加密處理,只能由接收方進(jìn)行解密還原成明文,才能保證機(jī)密數(shù)據(jù)即使被第三方竊取也由于沒有解密密鑰而只能是一些無用的加密文件,這就是“取得到,但看不懂”。認(rèn)證系統(tǒng)采用的是基于非對稱和對稱加密技術(shù)的數(shù)字信封的加密方式,即原文利用對稱算法進(jìn)行加密,得到原文的密文,在把對稱算法的密鑰利用非對稱算法進(jìn)行加密得到密鑰密文,把原文密文和密鑰密文加上公鑰組成了數(shù)字信封進(jìn)行機(jī)密傳輸,而用于加密和解密的私鑰只能在存在數(shù)字證書中。
4) 可信時間戳
可信時間戳服務(wù)是數(shù)字簽名功能與基于公共標(biāo)準(zhǔn)時間源的時間服務(wù)系統(tǒng)的結(jié)合,通過對目標(biāo)
數(shù)據(jù)加上可信時間源提供的時間標(biāo)記,以確認(rèn)系統(tǒng)所處理的數(shù)據(jù)在某一時間(之前)的存在性,并用數(shù)據(jù)簽名來保證時間標(biāo)記的完整性與真實(shí)性。可信時間戳服務(wù)為實(shí)現(xiàn)事務(wù)處理的抵賴性提供了時間證據(jù)基礎(chǔ)。當(dāng)提交數(shù)據(jù)需要加蓋時間戳?xí)r,可以通過使用認(rèn)證系統(tǒng)中的時間戳服務(wù)系統(tǒng),加蓋有時間戳服務(wù)器簽名的可信時間,并保留時間戳證據(jù)。這樣對方就可以獲得有時間戳標(biāo)記的數(shù)據(jù)文件。
四、數(shù)字證書在電子病歷中的應(yīng)用
數(shù)字證書是網(wǎng)絡(luò)上(或稱為數(shù)字化的)實(shí)體身份證,可以用于出示給對方來表明自己的真實(shí)身份。圍繞著數(shù)字證書中所包含的公鑰和保存在“數(shù)字證書載體”(后面會具體描述,一種類似 U盤的 USB_KEY 硬件介質(zhì),由使用者實(shí)體自己保管)中的私鑰,利用這兩者之間可以互相加密解密的功能,來實(shí)現(xiàn)身份認(rèn)證、保密性及完整性等一系列安全服務(wù)技術(shù)。
這個實(shí)體可以是自然人、機(jī)構(gòu)、崗位或服務(wù)器等硬件設(shè)備。具體到電子病歷系統(tǒng)中,主要是
指醫(yī)護(hù)人員(醫(yī)生、護(hù)士、藥劑師等)、醫(yī)院領(lǐng)導(dǎo)、系統(tǒng)管理人員和服務(wù)器設(shè)備等。在將來還可以擴(kuò)展到患者(用于網(wǎng)上預(yù)約和查看結(jié)果)、他院相關(guān)人員(用于遠(yuǎn)程會診)和上級領(lǐng)導(dǎo)部門(用于督察) 。結(jié)合數(shù)字證書 CA 認(rèn)證平臺的電子病歷系統(tǒng)的架構(gòu)圖如圖 1 所示。
圖 1 電子病歷系統(tǒng)數(shù)字證書安全平臺 如圖所示,電子病歷系統(tǒng)安全平臺服務(wù)器端的核心為 PKI Server(安全應(yīng)用支撐服務(wù)器)及安全服務(wù)中間件,PKI Server 是一個硬件密碼設(shè)備,它提供了身份認(rèn)證識別(證書鑒別) 、數(shù)據(jù)加密解密、數(shù)字簽名及驗(yàn)簽等安全運(yùn)算功能,以硬件方式為應(yīng)用系統(tǒng)提供服務(wù)器端數(shù)據(jù)機(jī)密性、數(shù)據(jù)完整性、身份認(rèn)證、防抵賴等服務(wù),符合國密辦《證書認(rèn)證系統(tǒng)密碼及其相關(guān)安全技術(shù)規(guī)范》,具有穩(wěn)定、可靠、高效、易管理的特點(diǎn)。電子病歷系統(tǒng)實(shí)時性要求很高,同時系統(tǒng)對 PKI Server 的依賴程度也較高,為了避免由于偶發(fā)的機(jī)器故障而導(dǎo)致對系統(tǒng)業(yè)務(wù)應(yīng)用的較大影響,可以通過配置兩臺或兩臺以上的 PKI Server進(jìn)行雙機(jī)冗余,一旦出現(xiàn)故障時可以馬上切換至備用設(shè)備。
安全服務(wù)中間件是基于 PKI 公鑰基礎(chǔ)設(shè)施構(gòu)建安全應(yīng)用的開發(fā)環(huán)境與運(yùn)行支撐環(huán)境,遵循國密辦《證書認(rèn)證系統(tǒng)密碼及其相關(guān)安全技術(shù)規(guī)范》 ,兼容 PKCS#11、Windows CSP、JCE 等國際信息安全應(yīng)用標(biāo)準(zhǔn)。能夠屏蔽底層安全設(shè)備的硬件差異和復(fù)雜的密碼實(shí)現(xiàn)邏輯,使用戶只需在特定業(yè)務(wù)邏輯中嵌入所需安全功能,然后再進(jìn)行簡單的部署和配置,即可實(shí)現(xiàn)基于 PKI 的安全應(yīng)用,可極大程度的降低應(yīng)用系統(tǒng)的開發(fā)成本,提高開發(fā)效率。簡單的說,它提供給電子病歷等業(yè)務(wù)應(yīng)用系統(tǒng)一整套二次開發(fā)接口函數(shù),通過它可以很方便的調(diào)用密碼設(shè)備(包括 PKI Server 和數(shù)字證書載體)實(shí)現(xiàn)各種認(rèn)證功能。TSP Server指時間戳服務(wù)器,電子病歷系統(tǒng)中產(chǎn)生的各種關(guān)鍵數(shù)據(jù),在簽名之前可以通過時間戳服務(wù)器獲取當(dāng)前的標(biāo)準(zhǔn)時間,并附加在簽名之中,不可更改,提供準(zhǔn)確的時間證據(jù)。 客戶端用戶需要配置“數(shù)字證書載體” (簡稱 USB KEY),其中存儲了由 CA中心頒布的數(shù)字證書,同時也在保護(hù)區(qū)存儲了代表個人數(shù)字簽名的私鑰。USB KEY 還包含了相關(guān)加密算法,配合載體內(nèi)置的 CPU 運(yùn)算芯片,可以實(shí)現(xiàn)數(shù)據(jù)的加密和簽名等運(yùn)算功能。USB KEY 通過 PIN 碼保護(hù)其安全使用,三次嘗試輸入 PIN 碼錯誤,KEY 將自動鎖死,必須交還給 CA 中心進(jìn)行解鎖方能使用。
五、總結(jié)
總共2頁 1 [2]
下一頁
