医院全院CA认证项目解决方案
1项目背景
随着计算机技术和网络技术的不断发展,医院的信息化建设的步伐在逐步加快。各大医院都在利用先进的技术、设备替换原有医院信息的纸质管理。数字化医疗平台的建设,加强了医院对医疗数据的管理,大大提升了医院内部的工作效率,促进医学、科研、教学、减轻各类事务性工作的劳动强度,改善经营管理,堵塞漏洞、预防医患纠纷问题,保证病人和医院的经济利益,同时也为医院创造了更多的经济效益。
目前在三甲医院内普遍应用的数字医疗信息系统主要包括:医院信息系统(HIS)、检验科信息管理系统(LIS)、影像和通信系统(PACS)和电子病历系统(EMR)等。主要用于医院内部针对自身的工作流程,解决医院内重要信息和数据的记录、存储、查询、追溯等。
结合医院当前的信息化建设现状和前期在检验报告中采用CA进行电子签名的应用实践效果与体验,认为医院目前非常有必要和适合在全院范围实施CA认证项目,从而为全院的信息化应用提供安全保障,保证电子病历数据的完整性、私密性、防篡改性和防抵赖性。
2医院电子认证服务建设必要性分析
本项目将以卫生部相关法律法规为根据,从 DOCPROPERTY 项目 * MERGEFORMAT 医院的信息化现状为出发点,引入电子认证服务及相关的应用支撑来解决目前所面临的问题。
在医院业务中实施电子认证服务的应用,其必要性和可行性分析如下:
1、电子认证服务是保障电子病历信息安全的基础
基于电子认证服务可有效解决电子病历系统的身份真实、数据完整、行为规范、责任明确、隐私保护等安全问题,主要方法是:
医院业务电子病历签名认证应用需求模型
(1)基于电子认证服务建立强身份认证和权限管理机制:“用户名+口令”的身份认证方式已经被证明存在安全隐患,非法用户如果能够得到登录信息系统的用户名和口令,从而对信息系统进行破坏性攻击。为保证电子病历系统的安全,必须采取实名制的管理方式,可向电子病历系统参与实体颁发数字证书,实现强身份认证,并在此基础上建立基于实名的权限管理机制。
(2)基于电子认证服务的电子签名能提供可靠的数据完整性和不可否认性:基于电子认证服务可对电子病历进行电子签名,一方面能检测出电子病历是否被篡改,保证数据的完整性;另一方面在表明电子病历的生成者和修改者身份的同时还能表明文档是否修改,从而防止电子病历操作者否认;此外,还可通过对时间签名,形成时间戳来防止时间否认。为此,我们可以利用电子签名来满足电子病历的数据完整、责任明确的需求。
(3)基于电子认证服务提供的数字证书建立可靠的隐私保护机制:电子认证服务提供的数字证书是信息加密中密钥管理的基础,以数字证书为基础的数字信封技术能对电子病历中的隐私信息进行有效的存储和传输加密,从而保证隐私的有效保护。
综上所述,通过利用电子认证服务,可以建立有效的安全机制,保证非法用户进不来、非授权用户看不到、确认内容改不了、所作操作赖不掉。
2、电子认证服务是满足法律需求的基础服务
2005年4月1日,《中华人民共和国电子签名法》正式实施,其第七条明确规定“数据电文不得仅因为其是以电子、光学、磁或者类似手段生成、发送、接收或者储存的而被拒绝作为证据使用”。电子病历作为数据电文要作为有效法律证据存在,必须符合电子签名的相关要求。
在电子签名法中明确提出了数据电文符合法律法规规定的书面形式、原件形式和保存形式的要求以及可靠电子签名的要求,并在第十四条明确规定了“可靠的电子签名与手写签名或者盖章具有同等的法律效力”。因此,对于电子病历就是要做到:
(1)电子病历的格式应得到“固定”,即可以储存在计算机硬盘或其他设备中,而且可以随时调取,不发生信息失真;
(2)如根据存储需要,对电子病历进行压缩、转换、加密导致信息存在形式发生改变的,要能够还原,不影响其法律效力;
(3)电子病历的生成时间应和书写人的签名一起存储并保证真实可靠;
(4)医生的签名是“可靠的电子签名”,首先做到电子签名在发放时应是经过身份核实的;其二,电子签名只能被它的所有者使用。他人如果使用的,必须有电子签名所有者的明确授权才有效;其三,电子签名本身和它附着的数据电文应是有相应的技术保障其不能任意改动的。
以上各条的实现,核心是电子签名的可靠性。按照电子签名法规定,电子签名所依托的电子认证服务应当得到国家认可,如果一个电子签名是国家认可的电子认证服务机构(CA认证机构)所发放的数字签名证书,并且这个电子签名的操作是完全规范的话,那么这个电子签名就是我国法律所认可的电子签名,与签名盖章具有同等的法律效力。因此,合法电子认证服务是电子病历符合法律要求的基础。
3、选择合法的电子认证服务提供商
卫生部从2008年开始,启动了医疗卫生电子认证服务体系建设,形成了相应的管理办法和技术标准,因此在电子病历系统建设中选择和使用电子认证服务必须符合这些法规和标准的要求。在服务机构选择上,必须按照《卫生系统电子认证服务管理办法(试行)》(卫办发〔2009〕125号)文件的要求,选择已接入卫生部电子认证服务机构提供服务,各省级卫生行政部门信息化工作领导小组负责选择本辖区的电子认证服务机构。并责指导、推进本辖区卫生信息系统开展安全、规范的电子认证服务应用。在服务使用上,必须符合《卫生系统电子认证服务规范(试行)》、《卫生系统数字证书应用集成规范(试行)》、《卫生系统数字证书格式规范(试行)》、《卫生系统数字证书介质技术规范(试行)》和《卫生系统数字证书服务管理平台接入规范(试行)》等相关规范。
4、引入电子认证之后的应用效果
通过引入电子认证相关技术包括身份认证、信息加解密、数字签名、签名验证、时间戳等电子认证服务,不管是响应国家政策还是医疗机构解决自身的安全问题,都有非常好的应用效果。
(1)解决了用户身份真实性的安全问题
对临床医生、上级医生和主治医生等医务人员进行身份可靠认证,确保账户安全,同时有效确保病人的诊疗信息安全。
(2)解决了医疗数据隐私性的安全需求
数字医疗信息系统中包含了大量的敏感数据,如病情、病程、医嘱、诊断、处方、检查结果、手术情况等,这些数据一旦经过审签后,不能被非法篡改,不能被随意访问、随意扩散。
(3)解决了医疗行为责任认定及可信时间的安全需求
数据信息在医院的流转过程中,涉及到各级医务人员对数据的创建、修改、删除等操作,鉴于医患纠纷的普遍性和社会关注度,需建立有效的责任认定机制,可以确保哪个医护人员在什么时间做了什么事情,也为医疗数据共享奠定了基础。
(4)为医疗机构节约了成本,优化了管理流程
目前每个医疗机构每天都要耗费很多办公耗材,当医疗机构采用以数字签名为核心的信息化系统后,医生医嘱、检查单据等打印耗费就可以节约下来,病人出院时可根据病人需要打印需要单据,可以大大的节省医院的运营成本。
(5)为解决医疗纠纷提供了可靠凭证
医疗纠纷是每个医院不可回避的问题,原始病历作为医疗纠纷判定的凭证,对于纠纷的解决意义重大,以前的纸质病历存在医生护士不能及时打印,及时手工签名,导致病历失去法律证据力等问题,使用电子签名以后,通过第三方CA机构认证,可以确保医院产生的电子病历就是患者医疗过程产生的病历,将医院的管理推向即时化,为解决纠纷提供了可靠的保障,另外医生护士也可以将精力放在诊疗上,提高医生护士医技水平,同时也可以做到数据的真实可靠。
3方案设计
3.1支撑平台设计
为医院建设本地化的CA认证安全支撑平台。支撑平台主要由基础设施层、安全服务层、安全应用层三个部分组成。
基础设施层实现证书的签发、管理、证书源目录、密钥生产与存储、司法取证服务等。基础设施层由CA中心及其分支机构负责建设和维护。
应用支撑层主要提供应用系统运行所需要的PKI各项安全服务,由PKI安全中间件和各种形态的证书应用服务器组成。
PKI安全中间件是以公钥基础设施PKI为核心,建立在一系列相关国际安全标准的基础上,并对PKI基本功能如对称加密和解密、非对称加密和解密、信息摘要、单向散列、数字签名以及密钥生成、储存、销毁等进一步扩充,进而形成系统安全服务器接口。向上为应用系统提供开发接口,向下提供统一的密码算法接口以及各种设备驱动接口。
证书应用支撑层包含认证服务器、签名验签服务器、电子签章服务器、时间戳服务器。是在PKI安全中间件基础上对PKI基本功能进行二次封装,在屏蔽安全实现细节的基础上,以外包(接口)的形式为应用系统提供认证、签名、时间戳相关专业服务,最大程度上减轻了应用系统在安全实现方面的代价。
安全应用层是与具体应用系统紧密结合的部分,通过对具体应用系统的配置和集成开发,实现CA认证的各项功能,保证应用系统用户身份的合法性以及数据的机密性、完整性和不可抵赖性。
安全应用层主要对医院内部的业务系统进行CA认证服务集成接入,使其实现CA证书认证、电子签名(签章)、时间戳、数字加密的安全应用。
根据平台架构模型我们可以设计出医院全院CA认证项目的功能运行示意图
功能运行示意图描述:
(1)为充分保证CA认证安全支撑平台的安全运行,医院在可考虑将该CA支撑平台部署在医疗专网内了,与陕西省CA认证中心通过手工方式定期完成证书相关信息的数据同步。
(2)医疗专网内用户在使用CA证书进行身份认证、加密、签名(签章)时,直接调用医疗专网内部署的CA认证安全支撑平台所提供的相关服务即可完成相关安全功能应用。
(3)通过对办公外网与医疗专网之间防火墙的访问配置,当办公外网内用户在使用CA证书进行身份认证、加密、签名(签章)时,先穿过两个网络之间的防火墙,进入医疗专网,然后再调用医疗专网内部署的CA认证安全支撑平台所提供的相关服务即可完成相关安全功能应用。