基于PKI技術的電子病歷系統安全研究

張麗　吳海軍

摘 要

隨著國家醫療衛生體制改革的不斷發展，隨著信息技術和互聯網的發展，電子病歷的應用和推廣得到了相關部門的高度重視，以電子病歷為核心的衛生信息平臺建設已經成為我國醫療衛生事業信息化發展的重要內容，電子病歷在醫療機構里得到越來越多的應用。然而，電子病歷在給我們帶來方便的同時，安全方面卻存在一些隱患，PKI（Public Key Infrastructure ），它能夠為所有網絡應用提供加密和數字簽名等密碼服務及所必需的密鑰和證書管理體系，PKI技術的引入能有效解決電子病歷安全方面存在的問題。

關鍵詞

電子病歷;安全;PKI

中圖分類號： R319文獻標識碼： A

DOI：10.19694/j.cnki.issn2095-2457.2020.03.095

1 電子病歷PKI安全的背景及現狀

電子病歷（EMR，Electronic Medical Record）也叫計算機化的病案系統或稱基于計算機的病人記錄（CPR，Computer-Based Patient Record）。它是用電子設備（計算機、健康卡等）保存、管理、傳輸和重現的數字化的醫療記錄，用以取代手寫紙張病歷。它的內容包括紙張病歷的所有信息。美國國立醫學研究所將定義為：EMR是基于一個特定系統的電子化病人記錄，該系統提供用戶訪問完整準確的數據、警示、提示和臨床決策支持系統的能力。

隨著國家醫療衛生體制改革的不斷深入，電子病歷的應用和推廣得到了醫療機構的高度重視。但是，目前國內醫療結構在使用或擬建的電子病歷系統中，存在一系列安全隱患。PKI是Public Key Infrastructure的首字母縮寫，翻譯過來就是公鑰基礎設施;PKI是一種遵循標準的利用公鑰加密技術為電子商務的開展提供一套安全基礎平臺的技術和規范。《電子病歷基本規范（試行）》于2010年4月正式實施，確立了電子病歷系統規范和標準，但是大部分醫療機構的電子病歷系統緊緊實現了紙質病歷電子化，其應用安全問題仍普遍存在：醫療人員登錄信息系統普遍采用用戶名結合口令的弱認證方式，安全性較低，容易產生冒名頂替、醫療數據外泄等情況。電子病歷涉及的病人隱私信息基本以明文形式存儲，只要獲取數據庫的訪問權限，便可隨意查看和下載，存在泄漏風險。由于缺乏有效的技術手段，導致醫療診斷結果可以由任意醫生出具，無法核實出具診斷結果的醫生身份，存在出具虛假醫療診斷的隱患，間接導致醫療事故及醫療糾紛。電子病歷的創建、修改、刪除等操作缺乏有效的責任認定措施，其對時間準確度的嚴苛要求禁止采用默認的、可隨意更改的系統服務器時間，上述隱患導致電子病歷可信度降低。

總之，現有的電子病歷安全應對方案并沒有從根本上解決其假冒身份、存儲安全、可信時間、病歷信息被篡改、病歷信息遭泄露以及醫療數據責任歸屬等諸多安全隱患。

2 電子病歷系統的組成

2.1 國家衛生健康委員會數字證書服務管理系統

《衛生系統電子認證服務管理辦法》規定，國家衛生健康委員會會創建集中的數字證書服務管理系統，收集、查詢、統計和分析衛生系統內全部證書的用戶信息，以及收集用戶意見、監督服務質量等。國家衛生健康委員會借助數字證書服務管理系統控制及管理在衛生系統領域提供電子認證服務的CA。擬給衛生系統領域給出服務的電子認證服務機構，一定要符合以上試行的管理辦法的相關要求，把CA系統接入到國家衛生健康委員會數字證書服務管理系統。

2.2 CA中心

CA中心為醫院電子病歷給出了電子認證服務，主要有證書業務和技術支持2種服務[1]。證書業務服務主要有證書管理、查詢和時間戳服務等。證書管理主要包含證書申請、發放、更新、吊銷、解鎖、密鑰恢復等業務服務。證書查詢主要包含LDAP目錄訪問、OCSP證書在線狀態查詢及CRL證書黑名單列表下載3種服務。CA中心遵照與調用服務管理系統的證書信息同步接口，將數字證書申請、更新和吊銷等同步在國家衛生健康委員會數字證書服務管理系統。

2.3 醫院安全可信電子病歷系統

醫院安全可信電子病歷系統主要有電子病歷系統、安全認證系統、LRA與證書管理員、醫護人員與科室機構證書等構成[2]。證書管理員有LRA給醫護人員、科室機構與內部設備發數字證書。安全認證系統主要有密碼、設備證書、時間戳、電子簽章、簽名驗簽、存儲等模塊。

3 醫院電子病歷系統的安全需求

3.1 醫院信息系統的用戶身份真實性需求

醫院信息系統的封閉性使其弱化了身份認證的強度[3]。目前，醫護人員登錄信息系統一般用“用戶名+口令”的方式，隨著醫院對信息系統依靠程度的加深，這種弱認證方式的弊端不斷凸顯，這就容易造成醫生間用假名頂替、實習醫生代替主治醫生出診斷報考等狀況。因此，醫院信息系統身份認證機制的高安全性、可靠性，確保登錄系統的用戶身份的真實性，在醫院信息系統建設過程中顯得特別迫切。

3.2 醫療數據的責任歸屬問題

隨著醫院信息系統的各種功能不斷取代傳統看病診療的同時，醫療人員從紙質診斷書到認可一般數據電文的內容，數據電文的責任是否明確影響到信息化流程可否替代傳統紙質的流程。因此，在用戶身份真實的基礎上，需與可靠的電子簽名一起，制定醫院信息系統中的責任機制，確保醫療數據的責任歸屬，從而去除醫療數據人工打印、手工簽字的方式，實現無紙化診療，充分體現出信息化的高效率優勢。

3.3 醫療行為的時間可信需求

電子病歷的生成、修改與訪問等時間敏感度尤其高，然而，目前這些事件都是信息系統服務器時間產生的，很輕易發生在場時間的記錄不對，從而造成醫療行為時間缺少公信力。因此，在確保事件源可信的基礎上，得對全部關鍵操作實施時間戳并記錄，確保提供可信的時間服務。

3.4 數據在網絡中完整傳輸問題

醫院信息系統多數運行在局域網上，其中的信息系統終端和服務期間的信息傳輸安全通常會被忽略，因此，信息有可能被竊取和篡改，不能確保醫務人員在終端上輸入和查看的電子病歷內容的正確性。

4 電子病歷PKI安全解決方案及優點

4.1 電子病歷PKI安全解決方案

針對現有系統中存在的一系列安全問題，依據《中華人民共和國電子簽名法》和《電子病歷基本規范（試行）》，以PKI技術為基礎，結合電子簽章系統、簽名驗證服務器、SSL VPN安全網關等安全產品，為電子病歷系統提供一套全面的應用安全解決方案。方案采用經國家衛生健康委員會認可的第三方數字證書認證機構頒發的數字證書，實現對醫護人員身份真實合法性認證[4]。采用數據加密技術，保證電子病歷數據敏感信息的私密性。同時可與電子簽章系統結合，為用戶生產電子簽章，并將電子印章灌入證書介質和數字證書進行有效綁定，按照發放流程將包括數字證書和電子簽章圖片的證書介質分配給最終用戶[5]。客戶端集成的電子簽章套件提供對電子病歷相關醫療數據的數字簽名和電子簽章，最后將帶有數字簽名和電子簽章的醫療數據提交到電子病歷系統。采用數字簽名和時間戳技術，保證電子病歷數據的可靠性、合法性，防止電子病歷信息泄露、篡改、假冒和偽造，從而建立起“身份可信、數據可信、行為可信”的安全保護體系。結構圖見圖1。

圖1 電子病歷系統PKI結構圖

4.2 電子病歷PKI安全解決方案的優點

通過存儲在USBKEY中的第三方數字證書，實現醫護人員身份的有效鑒別，確保電子病歷系統用戶身份的真實合法性。采用高安全級別的國密SM1密碼算法，對電子病歷涉及的敏感信息進行加密保護，防止電子病歷數據在傳輸和存儲過程中被竊取、篡改和偽造。采用數字簽名技術，對電子病歷數據進行與手寫簽名具有同等法律效力的電子簽名，建立醫院信息系統中的責任認定機制，保障醫療數據明確的責任歸屬，防止醫護人員行為抵賴。通過電子簽章技術，在處方開具、報告單、檢驗單等醫療過程中實現電子簽章功能，實現了電子病歷中數字簽名的可視化、圖形化，使得可靠電子簽名在電子病歷中可以形象展現。采用時間戳技術，通過可信的事件源，對電子病歷生成、修改等關鍵事件發生的時間進行有效記錄，加蓋標準時間戳，確保醫療行為時間的公信力。對于遠程辦公的醫生、坐診專家，通過SSL VPN安全網關進行遠程登錄時的身份認證和通信數據的加密保護，解決遠程辦公帶來的諸多安全問題。

5 結論

隨著新醫改的推進，醫療信息化成為大家關注的焦點，電子病歷的使用越來越普遍，電子病歷的安全性就顯得尤為重要。基于PKI技術的電子病歷系統可以確保醫護人員身份真實合法，確保病歷信息安全可靠，確保責任歸屬明晰，能有效提高醫療單位的公信力和工作效率。

參考文獻

[1]鐘軍.數字簽名在電子病歷上的研究[J].電子技術與軟件工程，2016.7.

[2]葛愿維.PKI技術在醫療行業電子病歷系統中的應用[J].信息安全與通信保密，2016.7.

[3]王文翠，李志強，秦芳，等.基于數字簽名的可信電子病歷系統[J].中國數字醫學，2016.3.

[4]姚力，李哲.醫院電子病歷安全保障體系構建[J].中國醫療設備，2015.6.

[5]孫慶波，李曉娜.醫院信息系統安全性研究[J].計算機光盤軟件與應用，2014.8.