张丽　吴海军

摘 要

随着国家医疗卫生体制改革的不断发展，随着信息技术和互联网的发展，电子病历的应用和推广得到了相关部门的高度重视，以电子病历为核心的卫生信息平台建设已经成为我国医疗卫生事业信息化发展的重要内容，电子病历在医疗机构里得到越来越多的应用。然而，电子病历在给我们带来方便的同时，安全方面却存在一些隐患，PKI（Public Key Infrastructure ），它能够为所有网络应用提供加密和数字签名等密码服务及所必需的密钥和证书管理体系，PKI技术的引入能有效解决电子病历安全方面存在的问题。

关键词

电子病历;安全;PKI

中图分类号： R319文献标识码： A

DOI：10.19694/j.cnki.issn2095-2457.2020.03.095

1 电子病历PKI安全的背景及现状

电子病历（EMR，Electronic Medical Record）也叫计算机化的病案系统或称基于计算机的病人记录（CPR，Computer-Based Patient Record）。它是用电子设备（计算机、健康卡等）保存、管理、传输和重现的数字化的医疗记录，用以取代手写纸张病历。它的内容包括纸张病历的所有信息。美国国立医学研究所将定义为：EMR是基于一个特定系统的电子化病人记录，该系统提供用户访问完整准确的数据、警示、提示和临床决策支持系统的能力。

随着国家医疗卫生体制改革的不断深入，电子病历的应用和推广得到了医疗机构的高度重视。但是，目前国内医疗结构在使用或拟建的电子病历系统中，存在一系列安全隐患。PKI是Public Key Infrastructure的首字母缩写，翻译过来就是公钥基础设施;PKI是一种遵循标准的利用公钥加密技术为电子商务的开展提供一套安全基础平台的技术和规范。《电子病历基本规范（试行）》于2010年4月正式实施，确立了电子病历系统规范和标准，但是大部分医疗机构的电子病历系统紧紧实现了纸质病历电子化，其应用安全问题仍普遍存在：医疗人员登录信息系统普遍采用用户名结合口令的弱认证方式，安全性较低，容易产生冒名顶替、医疗数据外泄等情况。电子病历涉及的病人隐私信息基本以明文形式存储，只要获取数据库的访问权限，便可随意查看和下载，存在泄漏风险。由于缺乏有效的技术手段，导致医疗诊断结果可以由任意医生出具，无法核实出具诊断结果的医生身份，存在出具虚假医疗诊断的隐患，间接导致医疗事故及医疗纠纷。电子病历的创建、修改、删除等操作缺乏有效的责任认定措施，其对时间准确度的严苛要求禁止采用默认的、可随意更改的系统服务器时间，上述隐患导致电子病历可信度降低。

总之，现有的电子病历安全应对方案并没有从根本上解决其假冒身份、存储安全、可信时间、病历信息被篡改、病历信息遭泄露以及医疗数据责任归属等诸多安全隐患。

2 电子病历系统的组成

2.1 国家卫生健康委员会数字证书服务管理系统

《卫生系统电子认证服务管理办法》规定，国家卫生健康委员会会创建集中的数字证书服务管理系统，收集、查询、统计和分析卫生系统内全部证书的用户信息，以及收集用户意见、监督服务质量等。国家卫生健康委员会借助数字证书服务管理系统控制及管理在卫生系统领域提供电子认证服务的CA。拟给卫生系统领域给出服务的电子认证服务机构，一定要符合以上试行的管理办法的相关要求，把CA系统接入到国家卫生健康委员会数字证书服务管理系统。

2.2 CA中心

CA中心为医院电子病历给出了电子认证服务，主要有证书业务和技术支持2种服务[1]。证书业务服务主要有证书管理、查询和时间戳服务等。证书管理主要包含证书申请、发放、更新、吊销、解锁、密钥恢复等业务服务。证书查询主要包含LDAP目录访问、OCSP证书在线状态查询及CRL证书黑名单列表下载3种服务。CA中心遵照与调用服务管理系统的证书信息同步接口，将数字证书申请、更新和吊销等同步在国家卫生健康委员会数字证书服务管理系统。

2.3 医院安全可信电子病历系统

医院安全可信电子病历系统主要有电子病历系统、安全认证系统、LRA与证书管理员、医护人员与科室机构证书等构成[2]。证书管理员有LRA给医护人员、科室机构与内部设备发数字证书。安全认证系统主要有密码、设备证书、时间戳、电子签章、签名验签、存储等模块。

3 医院电子病历系统的安全需求

3.1 医院信息系统的用户身份真实性需求

医院信息系统的封闭性使其弱化了身份认证的强度[3]。目前，医护人员登录信息系统一般用“用户名+口令”的方式，随着医院对信息系统依靠程度的加深，这种弱认证方式的弊端不断凸显，这就容易造成医生间用假名顶替、实习医生代替主治医生出诊断报考等状况。因此，医院信息系统身份认证机制的高安全性、可靠性，确保登录系统的用户身份的真实性，在医院信息系统建设过程中显得特别迫切。

3.2 医疗数据的责任归属问题

随着医院信息系统的各种功能不断取代传统看病诊疗的同时，医疗人员从纸质诊断书到认可一般数据电文的内容，数据电文的责任是否明确影响到信息化流程可否替代传统纸质的流程。因此，在用户身份真实的基础上，需与可靠的电子签名一起，制定医院信息系統中的责任机制，确保医疗数据的责任归属，从而去除医疗数据人工打印、手工签字的方式，实现无纸化诊疗，充分体现出信息化的高效率优势。

3.3 医疗行为的时间可信需求

电子病历的生成、修改与访问等时间敏感度尤其高，然而，目前这些事件都是信息系统服务器时间产生的，很轻易发生在场时间的记录不对，从而造成医疗行为时间缺少公信力。因此，在确保事件源可信的基础上，得对全部关键操作实施时间戳并记录，确保提供可信的时间服务。

3.4 数据在网络中完整传输问题

医院信息系统多数运行在局域网上，其中的信息系统终端和服务期间的信息传输安全通常会被忽略，因此，信息有可能被窃取和篡改，不能确保医务人员在终端上输入和查看的电子病历内容的正确性。

4 电子病历PKI安全解决方案及优点

4.1 电子病历PKI安全解决方案

针对现有系统中存在的一系列安全问题，依据《中华人民共和国电子签名法》和《电子病历基本规范（试行）》，以PKI技术为基础，结合电子签章系统、签名验证服务器、SSL VPN安全网关等安全产品，为电子病历系统提供一套全面的应用安全解决方案。方案采用经国家卫生健康委员会认可的第三方数字证书认证机构颁发的数字证书，实现对医护人员身份真实合法性认证[4]。采用数据加密技术，保证电子病历数据敏感信息的私密性。同时可与电子签章系统结合，为用户生产电子签章，并将电子印章灌入证书介质和数字证书进行有效绑定，按照发放流程将包括数字证书和电子签章图片的证书介质分配给最终用户[5]。客户端集成的电子签章套件提供对电子病历相关医疗数据的数字签名和电子签章，最后将带有数字签名和电子签章的医疗数据提交到电子病历系统。采用数字签名和时间戳技术，保证电子病历数据的可靠性、合法性，防止电子病历信息泄露、篡改、假冒和伪造，从而建立起“身份可信、数据可信、行为可信”的安全保护体系。结构图见图1。

图1 电子病历系统PKI结构图

4.2 电子病历PKI安全解决方案的优点

通过存储在USBKEY中的第三方数字证书，实现医护人员身份的有效鉴别，确保电子病历系统用户身份的真实合法性。采用高安全级别的国密SM1密码算法，对电子病历涉及的敏感信息进行加密保护，防止电子病历数据在传输和存储过程中被窃取、篡改和伪造。采用数字签名技术，对电子病历数据进行与手写签名具有同等法律效力的电子签名，建立医院信息系统中的責任认定机制，保障医疗数据明确的责任归属，防止医护人员行为抵赖。通过电子签章技术，在处方开具、报告单、检验单等医疗过程中实现电子签章功能，实现了电子病历中数字签名的可视化、图形化，使得可靠电子签名在电子病历中可以形象展现。采用时间戳技术，通过可信的事件源，对电子病历生成、修改等关键事件发生的时间进行有效记录，加盖标准时间戳，确保医疗行为时间的公信力。对于远程办公的医生、坐诊专家，通过SSL VPN安全网关进行远程登录时的身份认证和通信数据的加密保护，解决远程办公带来的诸多安全问题。

5 结论

随着新医改的推进，医疗信息化成为大家关注的焦点，电子病历的使用越来越普遍，电子病历的安全性就显得尤为重要。基于PKI技术的电子病历系统可以确保医护人员身份真实合法，确保病历信息安全可靠，确保责任归属明晰，能有效提高医疗单位的公信力和工作效率。

参考文献

[1]钟军.数字签名在电子病历上的研究[J].电子技术与软件工程，2016.7.

[2]葛愿维.PKI技术在医疗行业电子病历系统中的应用[J].信息安全与通信保密，2016.7.

[3]王文翠，李志强，秦芳，等.基于数字签名的可信电子病历系统[J].中国数字医学，2016.3.

[4]姚力，李哲.医院电子病历安全保障体系构建[J].中国医疗设备，2015.6.

[5]孙庆波，李晓娜.医院信息系统安全性研究[J].计算机光盘软件与应用，2014.8.