時間戳在電子病歷無紙化歸檔中的應用研究

段文舟 連萬民

摘要：本文旨在研究電子病歷無紙化歸檔中數據的真實性和安全性問題。通過分析影響病歷電子信息在保存過程中的安全因素和傳統電子簽名在電子病歷防篡改中的不足，引入時間戳，對電子數據進行安全加固，綜合考慮安全性和成本，提出了大量電子病歷檔案長期保存批量合并處理時間戳的方案，推進醫院無紙化進程。

關鍵詞：電子病歷；無紙化；電子簽名；時間戳

隨著醫院信息化進程，電子病歷檔案無紙化建設是大勢所趨。[1]但是，電子病歷作為電子數據，有無形性、多樣性和易篡改等特性，是電子病歷的真實性、完整性受到質疑，在法律效力上也無法與紙質病歷相比，醫院對于電子化的檔案管理也并不成熟。[2]本文主要分析一下電子病歷的安全性影像因素和傳統解決方案，并探討電子時間戳在電子病例檔案的安全保護中的作用和實現。

1 電子檔案的安全性問題及通常的措施

電子信息存儲依賴于的存儲介質的可讀性，為防止由于存儲介質硬件故障導致數據丟失，通常我們會進行多個備份和異地存儲；電子信息只有轉換為可視化的內容才能供用戶閱讀理解。電子病歷記錄必須遵循有記錄可查或標準可循的格式，同時備份相應標準文件，以備查驗。

為保證電子病歷信息的真實性，證明當前信息未被修改，通常通過設定的某種可驗證的方法來證明，比如審計或數字簽名驗證。為保證將來信息也不會被篡改，通常采用數字簽名的方法來保證。[3]但傳統數字簽名隨著時間推進和技術進步，有被破解的風險，下面針對電子病歷真實性保護進行探討。

2 電子檔案的真實性保護

一般我們在討論真實性問題時，通常有以下兩種情況：

一是在電子信息不加任何技術保護電子信息，為保證其安全，需要從制度上保證電子信息在接收、歸檔、查閱等過程必須全程記錄、全程可控、可追溯，并且實現多人控制，互相牽制，而且是可審計的。也就是說，首先保管場所必須是安全的，具有防入侵、防破壞的措施。其次人員也必須是可靠的，且主觀沒有篡改電子信息的動機。但對于醫院保存的醫案來說，從研究的角度看，應該沒有篡改檔案的動機，但從醫患糾紛，也就是從證據上講，對于保管在醫院的電子病歷就缺乏可信度，即在對醫院不利的情況下有篡改電子病歷的動機。

另一種是對電子信息進行加工處理，從技術上給予保護。大家知道，現在不少醫院都在推廣數字簽名，那么已經進行過數字簽名的的各種醫療記錄是可以防篡改，進入電子檔案系統后只要文件原樣保存就可以在將來通過技術驗證判斷是否在檔案存儲過程被修改過。[4]但問題來了，既然是檔案，其保存其可不是一時半會，一般都是幾十年或長期性的。但數字簽名采用的是密碼技術，而現時的密碼技術總會在將來的某個時候被破解，也許很短也許很長，反正遲早不安全，況且還有很多醫療檔案的形成過程并沒有使用過數字簽名。如何解決這個問題，這里提出一種電子時間戳的應用來實現。

3 電子時間戳在電子檔案長期保存中的應用方案

這里講的時間戳是指符合RFC3161協議標準的時間戳，它基于X.509的PKI。因為是在互聯網上的公開服務，它被認為是可信的時間戳。時間戳其實也是一種數字簽名，重要的是它具有兩種應用特性：一是證明該電子數據在該時間是存在的，另一個特性就是對電子數據進行安全加固，即保護該電子數據在該時間后不被篡改。[5]

我們就用其第二種特性來保護醫院的存檔電子檔案，這種應用的時間戳通常也稱歸檔時間戳。下面是這種方案的描述。歸檔時間戳的應用機制如圖1：

時間戳工作過程是時間戳請求者將原文進行哈希，然后將哈希值發送給時間戳服務請求時間戳，時間戳服務將接受到的哈希值附上時間標識后進行電子簽名，即用時間戳服務的數字證書完成該數字簽名后返回給請求者。其安全性取決于哈希算法和簽名算法的安全。所以歸檔時間戳的密碼算法要有足夠的安全強度。

電子病案資料在歸檔時進行時間戳處理后進行歸檔，特別是哪些未經數字簽名的電子病歷信息更是一種保護，保證歸檔之后信息的真實性。隨著時間的推移，原有歸檔時間戳使用的哈希算法和簽名算法都有可能變得不安全，在預計不安全到來之前，需使用更安全的新的時間戳服務對電子檔案進行再處理。比如說，當時（T1）使用SHA1和RSA1024，現在（T2）就要使SHA256和RSA2048，在以后（T3）就需要使用SHA512和RSA4096，以此類推。這樣每次進行加蓋時間戳處理后，就又變得安全了，如圖2：

這里有另外一個問題。隨著電子檔案的越來越多，要對原來的每個信息進行時間戳處理將是非常大的工作量，除了讀取所有檔案信息，還要處理時間戳。如果時間戳訪問效率不高的話，處理時間也會非常耗時。以下方案可以作為折衷考慮。

（1）每次都使用盡可能安全的算法，目的就是增加使用算法的安全期，從而減少處理次數。

（2）合并多個舊時間戳信息為一個進行時間戳的再處理，從而減少處理量。這可以對信息進行分類，分類方法可以采取按時間段或相關性或者不同介質，如圖3：

這里重點分析一下第二種方案的優劣，如果合并的內容越多，則減少的時間戳數量越多，處理效率的越高。但驗證時間戳的時候，效率就低了。不管你想驗證合并塊中那部分信息，都必須讀取整個塊進行先行驗證，才能再驗證內嵌的塊。所以應合理分類合并進行時間戳，大小亦要折衷處理。另外，一個更有效的辦法是采用哈希樹的方法來進一步提高這種方法的處理效率，可以進一步減少時間戳的處理量，而且哈希算法足夠強的話，可以減少中心哈希的次數，從而可以較長時間內保證處理效率。

4 總結

歸檔時間戳在醫院電子病歷檔案中的應用具有很好的作用：第一時間保護電子病歷檔案的真實性；電子檔案信息的再處理，可以定期檢驗信息的各項安全性；為醫院提供更好的醫療證據保全；促進醫院電子檔案的有效管理。

參考文獻：

[1]王曉盈，姜國成，白曉忠.醫院開展病案無紙化歸檔系統建設的思考[J].中國病案，2016，17（10）：4042.

[2]孫慧子，董曉明，張淑英，等.《電子病歷應用管理規范（試行）》對電子病歷法律效力影響[J].中國醫院管理，2018，38（04）：6465.

[3]湯欽華，袁駿毅，馬群圣.基于電子簽名的病案無紙化歸檔系統的實現與應用[J].中國醫療設備，2018，33（09）：129131.

[4]崔志斌，崔宇璇，王騰飛.基于CA認證的可信電子病案系統設計[J].中國數字醫學，2017，12（01）：8385.

[5]邵淼，張妍.基于數字簽名和時間戳的電子病歷電子證據固化方法[J].信息安全與技術，2016，7（01）：5456.