網(wǎng)絡(luò)環(huán)境下電子病歷安全管理

◆王 俊 湯少梁

責(zé)任編輯:姚 濤

電子病歷是醫(yī)院信息管理現(xiàn)代化的重要標(biāo)志。以財(cái)務(wù)為主的醫(yī)院信息管理系統(tǒng)(HIS)正逐步向以病人信息為中心的臨床綜合信息管理系統(tǒng)(CIS)發(fā)展。電子病歷是當(dāng)前醫(yī)院信息系統(tǒng)的核心，其安全管理也成為醫(yī)院管理者的工作重點(diǎn)。

電子病歷系統(tǒng)的安全是電子病歷發(fā)展過程中必須要解決的問題。而電子病歷只有通過網(wǎng)絡(luò)才能充分發(fā)揮作用，隨著技術(shù)的發(fā)展，電子病歷系統(tǒng)正從局域網(wǎng)向廣域網(wǎng)發(fā)展［2］。在開放的網(wǎng)絡(luò)環(huán)境中，電子病歷系統(tǒng)的安全也面臨著新的挑戰(zhàn)，但與此同時網(wǎng)絡(luò)技術(shù)的飛速發(fā)展為解決這些挑戰(zhàn)提供了多種技術(shù)方法。

1 身份認(rèn)證技術(shù)

身份認(rèn)證(Authentication)是系統(tǒng)審查用戶身份的過程，以確定該用戶是否具有對某種資源的訪問和使用權(quán)限。身份認(rèn)證機(jī)制可以識別網(wǎng)絡(luò)中各實(shí)體的身份，防止出現(xiàn)身份欺詐，保證參與通信各實(shí)體之間身份的真實(shí)性［2］。

電子病歷的使用涉及多個部門，遠(yuǎn)程醫(yī)療的開展更拓寬了電子病歷的使用范圍，為防止電子病歷在網(wǎng)絡(luò)傳播和交互使用中被截取和篡改，對病歷的訪問和使用權(quán)限必須嚴(yán)格控制，這就需要對電子病歷采取身份認(rèn)證技術(shù)。身份認(rèn)證技術(shù)有很多種，目前，在醫(yī)療機(jī)構(gòu)比較流行的是密碼認(rèn)證和智能卡認(rèn)證。

密碼認(rèn)證易于管理、操作簡單，而且不需要額外成本，用戶只需要記得賬號與密碼就可以進(jìn)行相關(guān)資源的訪問和使用，所以密碼認(rèn)證在醫(yī)療機(jī)構(gòu)中應(yīng)用相當(dāng)普遍。但隨著攻擊手段不斷翻新，密碼認(rèn)證也面臨著很多問題，比如按鍵記錄軟件可以記錄用戶的按鍵操作;暴力破解使用字典中字符串的全集，對可能存在的所有組合進(jìn)行猜測，以致獲得正確的密碼。

智能卡又稱IC卡，是由一個或多個集成電路芯片(包括固化在芯片中的軟件)組成的設(shè)備，可以存儲密鑰、證書和用戶數(shù)據(jù)等敏感信息，以防止硬件級別的竄改。但如果不使用雙因素認(rèn)證方式，智能卡萬一丟失，系統(tǒng)資源將面臨被竊取的風(fēng)險(xiǎn)，所以一些醫(yī)院將智能卡和用戶口令同時使用。但使用這兩種傳統(tǒng)認(rèn)證方式的電子病歷都存在著安全缺陷，尤其是在網(wǎng)絡(luò)環(huán)境中，取而代之的是正在興起的新型認(rèn)證方式。

1.1 生物特征認(rèn)證

生物特征認(rèn)證又稱為“生物特征識別”，是指通過計(jì)算機(jī)利用人體固有的物理特征或行為特征鑒別個人身份［1］。生物特征識別具有普遍性、唯一性、穩(wěn)定性、易采集性和可接受性等特點(diǎn)，目前比較流行的是指紋認(rèn)證和虹膜認(rèn)證技術(shù)。

指紋是人的生物特征中一種重要的表現(xiàn)形式，具有“人人不同”和“終身不變”的特征，所以指紋認(rèn)證還有便利性和不可偽造性等優(yōu)點(diǎn)。虹膜認(rèn)證要求認(rèn)證者的虹膜特征現(xiàn)場實(shí)時采集，用戶在使用虹膜進(jìn)行身份認(rèn)證時無需輸入ID號等標(biāo)志信息，這避免了直接接觸公用傳感器帶來的不便。而且在醫(yī)療機(jī)構(gòu)中，使用虹膜認(rèn)證技術(shù)防止了病毒因用戶接觸傳感器引起的范圍性傳染，虹膜識別流程圖見圖1。

圖1 虹膜識別流程圖

1.2 身份認(rèn)證協(xié)議

網(wǎng)絡(luò)環(huán)境中的身份認(rèn)證協(xié)議是指對參與通信的主體(病人、醫(yī)生、計(jì)算機(jī)等)提供安全認(rèn)證的協(xié)議，該協(xié)議及系統(tǒng)在網(wǎng)絡(luò)安全中占據(jù)十分重要的位置，對于網(wǎng)絡(luò)應(yīng)用的安全有著非常重要的作用，具有代表性的是Kerberos協(xié)議。

Kerberos協(xié)議是麻省理工學(xué)院開發(fā)的基于TCP/IP網(wǎng)絡(luò)設(shè)計(jì)的可信第三方認(rèn)證協(xié)議，是目前分布式網(wǎng)絡(luò)計(jì)算機(jī)環(huán)境中應(yīng)用最為廣泛的認(rèn)證協(xié)議。

Kerberos已廣泛應(yīng)用于 Internet和Intranet服務(wù)的安全訪問，具有高度的安全性、可靠性、透明性和可伸縮性等優(yōu)點(diǎn)。對于電子病歷的遠(yuǎn)程訪問，已有少數(shù)醫(yī)院在認(rèn)證服務(wù)系統(tǒng)中加入了支持Kerberos認(rèn)證協(xié)議的模塊，使電子病歷在網(wǎng)絡(luò)中被正確的用戶以正確的方式訪問。目前廣泛使用的Kerberos的版本是第5版(v5)，Kerberos v5已成為 Internet標(biāo)準(zhǔn)(RFC1510)。

2 PKI技術(shù)

隨著公鑰加密技術(shù)在網(wǎng)絡(luò)安全領(lǐng)域的應(yīng)用，以提供身份認(rèn)證、數(shù)據(jù)完整性和消息保密性等安全服務(wù)為核心的公鑰加密基礎(chǔ)設(shè)施(Public Key Infrastructure，PKI)已成為網(wǎng)絡(luò)環(huán)境中為各類應(yīng)用提供安全支撐的重要技術(shù)。

電子病歷在開放的網(wǎng)絡(luò)環(huán)境中傳輸，一方面需要確認(rèn)訪問者的合法身份，防止出現(xiàn)虛假身份;另一方面必須保證病歷信息的安全性，防止信息被竊取。同時，一旦發(fā)生糾紛，必須能夠提供充足的證據(jù)以供仲裁。為了保證在互聯(lián)網(wǎng)環(huán)境下電子病歷交流活動的正常進(jìn)行，就必須從技術(shù)上實(shí)現(xiàn)身份認(rèn)證和安全傳輸，保證服務(wù)的權(quán)威性、不可抵賴性和數(shù)據(jù)完整性。PKI提供了一個安全框架，使各類構(gòu)件、應(yīng)用和策略組合起來為網(wǎng)絡(luò)環(huán)境中的相關(guān)活動提供多項(xiàng)安全保證，在實(shí)現(xiàn)方式上，PKI支 持 SSL、IP overVPN 和SPMIME等協(xié)議，這使得PKI可以支持Web加密、VPN和安全郵件等應(yīng)用［2］。PKI的核心是要解決網(wǎng)絡(luò)環(huán)境中的信任問題，確定網(wǎng)絡(luò)環(huán)境中行為主體(包括組織和個人)身份的唯一性、真實(shí)性和合法性，保護(hù)行為主體合法的安全利益。目前，PKI已成為世界各國共同采用的安全體系，PKI組成示意圖見圖2。

圖2 PKI的組成示意圖析［2］

3 數(shù)據(jù)加密技術(shù)

數(shù)據(jù)加密技術(shù)是指對所發(fā)送的明文消息進(jìn)行密鑰加密然后傳送，接收方用解密密鑰進(jìn)行解密再現(xiàn)明文消息，從而保證傳輸過程中密文信息的安全保密性。數(shù)據(jù)加密技術(shù)被譽(yù)為信息安全的核心。電子病歷包含多種數(shù)據(jù)信息，比如圖像信息和文本信息，在網(wǎng)絡(luò)傳輸時為了保證信息內(nèi)容不被非法獲得，就需要引入加密技術(shù)。

電子病歷的網(wǎng)絡(luò)傳輸過程中應(yīng)用混沌系統(tǒng)進(jìn)行加密，充分保證電子病歷圖像傳輸?shù)陌踩浴?/p>

3.1 圖像加密技術(shù)

近年來，由于混沌動力學(xué)的發(fā)展，人們開始認(rèn)識到混沌系統(tǒng)作為新型密碼系統(tǒng)的優(yōu)點(diǎn)，可以用來加密圖像、文本和聲音數(shù)據(jù)。基于混沌的圖像加密技術(shù)是目前一個研究熱點(diǎn)。

混沌系統(tǒng)的特點(diǎn)，決定了混沌系統(tǒng)作為密碼系統(tǒng)的優(yōu)勢:(1)遍歷性。在有限區(qū)域內(nèi)，混沌軌道上的點(diǎn)可以任意接近，這使得對初始條件(明文)的預(yù)測非常困難;(2)混合性。混沌軌道的極不規(guī)則性以及系統(tǒng)局部擴(kuò)展、壓縮、折疊，使得混沌系統(tǒng)的輸出類似于隨機(jī)噪聲;(3)指數(shù)發(fā)散性。平面上任意接近的兩點(diǎn)隨著迭代的進(jìn)行都會出現(xiàn)指數(shù)性發(fā)散［3］。由此可以看出，混沌系統(tǒng)的混合特性和擴(kuò)散特性完全符合密碼學(xué)的要求，特別是混沌在二維平面上的不規(guī)則性，使混沌系統(tǒng)更加適合于圖像數(shù)據(jù)的加密。引入混沌加密技術(shù)可以解決電子病歷在網(wǎng)絡(luò)環(huán)境中圖像信息的安全保護(hù)問題，使用該技術(shù)加密圖像時，不需要對圖像預(yù)處理，節(jié)省了時間。但加密過程沒有引進(jìn)數(shù)據(jù)壓縮技術(shù)，會對加密后圖像密文的通信造成一定的壓力。

3.2 XML文檔加密與簽名

XML(ExtensibleMarkupLanguage)是一種結(jié)構(gòu)化描述語言，不僅可以用來標(biāo)識一個文檔，而且它可以通過DTD或SCHEMA的描述來定義表示文檔結(jié)構(gòu)的元素及標(biāo)識，這使得它幾乎可以用來表達(dá)任何復(fù)雜的文檔內(nèi)容。

XML的特性非常適合于表達(dá)病歷內(nèi)容。(1)XML是一種面向?qū)ο蟮膶哟谓Y(jié)構(gòu)描述語言，對于病歷這種復(fù)雜的結(jié)構(gòu)，用 XML比用關(guān)系式描述更合適;(2)由于XML文檔是一種自含文檔，可以定義描述的文檔結(jié)構(gòu)，它適合于多變病歷結(jié)構(gòu)的描述，而采用關(guān)系式數(shù)據(jù)庫則受到結(jié)構(gòu)不宜經(jīng)常變化的限制;(3)XML作為互聯(lián)網(wǎng)時代的標(biāo)準(zhǔn)文檔描述語言，有利于病歷內(nèi)容的對外交換［4］。

基于XML技術(shù)的數(shù)字簽名除了可以對整篇病歷文檔進(jìn)行簽名外，還可以對病歷文檔的指定部分進(jìn)行簽名，并保留電子病歷的信息結(jié)構(gòu)，以便更直接和直觀的表達(dá)病歷。它同時可以滿足電子病歷系統(tǒng)對數(shù)據(jù)原始性、完整性、簽名確認(rèn)和不可抵賴性的要求。

4 總結(jié)

電子病歷是醫(yī)療工作中的主要信息源，對于病歷信息的采集、存儲、處理、傳遞、保密和表現(xiàn)需要嚴(yán)格的安全管理措施。在網(wǎng)絡(luò)環(huán)境中，關(guān)于電子病歷的安全管理工作變的日益復(fù)雜，難度也越來越高，傳統(tǒng)的關(guān)于電子病歷安全保護(hù)措施已不能滿足管理要求。但計(jì)算機(jī)技術(shù)的發(fā)展提供了新的安全措施，充分合理的運(yùn)用這些措施，不僅能滿足電子病歷安全管理要求，而且能夠?yàn)獒t(yī)院信息化建設(shè)的快速推進(jìn)提供技術(shù)保障。雖然對于部分技術(shù)的全面實(shí)施還需時日，但只要轉(zhuǎn)變思想觀念，完善法律法規(guī)建設(shè)，強(qiáng)化監(jiān)督和管理，引進(jìn)新技術(shù)人才，堅(jiān)決實(shí)施新技術(shù)改革，就一定可以妥善解決網(wǎng)絡(luò)環(huán)境下電子病歷的安全管理問題，保證電子病歷在醫(yī)院信息化條件下不斷健康快速的發(fā)展。

［1］張文瑞.電子病歷促進(jìn)醫(yī)院信息化建設(shè)［J］.醫(yī)療設(shè)備信息，2006，21(12):24－25.

［2］王 群.計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)［M］.北京:清華大學(xué)出版社，2008.52－53，69.

［3］李昌剛，韓正之.圖像加密技術(shù)新進(jìn)展［J］.信息與控制，2003，32(4):339－343.

［4］曹榮桂，李包羅.醫(yī)院管理學(xué)信息管理分冊［M］.北京:人民衛(wèi)生出版社，2009.473－475.