医院电子病历系统信息安全解决方案

引自 http://mp.weixin.qq.com/s?__biz=MjM5NTYxNDUzMA==&mid=2650800877&idx=1&sn=21f1139bbc50487b7d38780c6ab4c5cf&scene=23&srcid=0616vhwOwxkLA0i1oLZ3u0hz#rd

一、需求分析

随着电子病历系统在医院的普遍使用，病历无纸化存储再也不是空谈概念，消除纸张病历这一信息孤岛的思想已经深入人心。众所周知，病历不仅是病程记录，也是重要的、具有法律效力的文件，在解决医患纠纷中有着不可替代的作用。正因如此，在全面无纸化建设的过程中，医院心存诸多顾虑，包括，电子病历中的电子签名是否获得法律认可、电子病历容易复制是否能保证法律依据的唯一性，担心电子形态的病历会成为患者投诉医院的依据。归根结底，就是如何全面解决电子病历与纸质病历具有同等的法律效力。

我国《电子签名法》已明确了数据电文的法律效力，其核心是要引入可靠的电子签名。但可靠电子签名的技术实现尚未细化到医疗文书的书写和医疗文书的保存中，因此需要从医院实际使用需求出发，设计电子签名的技术实现，具体需求包括：

1用户身份的真实性

对临床医生、主治医生和护士等医务人员进行身份可靠认证，确保账户安全，同时有效确保病人的诊疗信息安全。

2电子病历的隐私性

医疗信息系统中包含了大量的敏感数据，这些信息在医院局域网传输过程中应采用加密手段。同时，电子病历要求一旦经过上级审签后，用户不能对病程、医嘱、诊断、处方等电子病历内容进行篡改。

3医疗行为的责任性

电子病历在医院的流转过程中，涉及到各级医务人员对电子病历的创建、修改、删除等操作，鉴于医患纠纷的普遍性及社会关注度，需建立有效的责任认定机制来确保电子病历的合法性。

4纸质文书的可信性

纸质文书作为患者手持的重要凭证，涉及到产生医患纠纷时的举证问题，需要采用有效手段保证纸质文书内容不会被随意伪造篡改。

二、方案特点

本方案解决了电子病历的真实可靠问题，确保了电子病历与纸质病历具有同等的法律效力。

1保证电子病历的合法性

依据《电子病历基本规范（试行）》以及《电子病历基本架构与数据标准（试行）》等行业规范，并在《中华人民共和国电子签名法》和《卫生系统电子认证服务管理办法（试行）》等电子认证服务领域规范的指引下设计本方案，符合相关法律法规的要求，贴合行业特点，具有可实施性。

2保证电子病历的安全性

为电子病历提供安全认证的环境基础，实现了用户的强身份认证，确保了电子病历传输的保密性和完整性；采用电子签名技术以及时间戳技术，确保了电子病历的可信化管理，从而真正实现了电子病历系统的“进不去、看不到、改不了、赖不掉”。

三、医院电子病历系统信息安全解决方案

针对医院的上述需求，新疆数字证书认证中心遵照《中华人民共和国电子签名法》、《卫生系统电子认证服务管理办法》以及《电子病历基本规范（试行）》相关规定，基于数字签名技术，为医院设计了一套无纸化安全解决方案，方案从“签发数字证书与电子签章”、“数字认证登录”和“电子病历可信处理”三个方面设计，全面保障电子病历的合法性，从根本上扫清了电子病历应用的后顾之忧。

1签发数字证书与电子签章

按照《电子签名法》的要求，对于医护人员这类长期从事医疗活动的群体，新疆数字证书认证中心为其签发有效的“个人数字证书”，对于患者/患者家属这类群体，新疆数字证书认证中心为采集的患者手写签名进行防篡改处理。

图1 签发数字证书与电子签章

2数字认证登录

在医院内网架设SSL安全认证网关与统一身份认证平台，首先将医生个人信息写入数字证书USBKEY，将医生所持的数字证书与应用系统内的医生账户绑定，登录应用系统时需通过SSL安全认证网关与统一身份认证平台验证数字证书的有效性。

认证接口采用标准动态库与控件形式，可在HIS、LIS、PACS、心电、手麻等各种医院信息系统中集成相应模块。

图2  数字认证登录

3电子病历可信处理

在医疗救助过程中，电子病历随时都可能作为法律文件，为使电子病历符合《电子签名法》对可信数据电文的要求，需对各类医疗文书进行可信处理。

（1）电子化的处方、病历、检验检查单等：该类数据需进行医生的电子签名和可信时间戳处理。

（2）纸质医疗文书：在打印相应的医疗文书时，采用二维码生成函数将电子单据上的信息进行可信化处理，生成相应的二维码图片，置于打印出来的纸质单据上，同时配合专用扫描枪，随时检验纸质单据上的二维码图片与电子文书的对应性。

图3  电子病历可信化处理

新疆CA是工信部确定的电子认证服务机构，是卫生部确定的全国卫生系统电子认证服务机构，也是自治区卫生厅确定的新疆唯一一家为自治区卫生系统提供电子认证服务的机构。

多年以来，新疆CA按照国家卫生部及自治区卫生厅的相关要求，在全区医疗卫生系统为四十多家各级医院开展数字证书、电子签名等电子认证服务，为卫生系统的信息安全做出了应有的贡献。

新疆CA凭借强大的技术力量和优质的服务体系将继续为自治区医疗卫生信息化和网络安全健康发展保驾护航。

新疆数字证书认证中心
地址：乌鲁木齐市天山区人民路183号兴亚大厦18楼网址：www.xjca.com.cn电话：0991-2819290微信公众号：XJCA777