159数字证书在医院电子病历中应用.pdfVIP

数字证书在医院电子病历中的应用 ① ① ① 杨龙 常奕 邓玫玲 ①珠海市人民医院 摘 要 随着《电子签名法》的颁布，数字证书等各类现代化技术在信息系统建设中日益得 到普及，是新时期卫生信息化的发展方向。利用数字认证技术保证电子病历数据的原始性和 真实性。数字认证技术肯定了电子病历的证据价值，明确了可靠电子签名的标准，为开展电 子病历的应用创造了有利的法律环境。数字认证技术采用法规上认可的第三方数字认证的方 式，有效地实现用户身份认证和访问控制，确保数据的不可篡改性和可追溯性。本文结合我 院信息系统的实际情况，就数字证书技术在我院信息系统中的实施过程和实施过程中遇到的 问题及体会进行了讨论和总结。 关键词 数字证书 电子病历 电子签名 医院应用系统 1 前言 电子病历是医疗信息化的一个重要的组成部分，是建立在基本的医院信息管理系统 （HIS）、医生工作站、护士工作站等应用系统和相关数据库的基础之上[1]。电子病历将病人 的诊疗信息、卫生经济信息与医院管理信息等进行最有效的收集、储存、传输与整合。 电子病历应用初始阶段，人们只关注其功能的实现，对数据安全考虑较少，电子病历 数据的安全性、真实性和合法性存在较大隐患，通过电子病历结合数字证书，利用合 法的第三方机构的 CA 认证，来确保电子病历数据的真实性、安全性和合法性。 2 电子病历的安全隐患 在电子病历的使用中，各个医务人员录入患者信息，并通过网络传输到服务器进行存储。 在录入信息和保存信息阶段，都要求很高的安全性，因此会存有如下安全隐患： 2.1 系统登录身份验证的问题 通常信息系统大多采用用户名、密码方式来登陆系统， 很容易被人盗取或破解，因此医院信息系统需要解决身份认证问题。 2.2 数据在网络中安全传输的问题 医院系统多数运行在局域网上，信息在传输过程中有可 能被窃取并篡改，无法保障医院人员在系统终端上输入和浏览电子病历信息的正确性。 2.3 对系统信息录入或修改的不可抵赖问题 在医院系统应用中对就医人员诊疗信息的录 入、审批、修改、删除，以及对医嘱的下达、执行等操作，可能会出现用户不认可其行为的 [2] 情况，则需要对安全事件及越权操作具有良好的可追溯性 。 2.4 信息的可靠时间源问题 要准确的把握病人的病情，需要知道病人的诊断、医疗等记录 的准确时间，这就要求电子病历有着很高的实时性。目前医院的信息系统时间来源于本地服 务器系统时间，而不是国家授时的时间，因此其时间可靠性成为电子病历能否视为合法证据 的一个重要因素。 2.5 数据安全存储问题 医院应用系统多数是以明文的方式保存在数据库服务器上，而数据 库服务器对于某些人是透明的。数据库上的数据是否有人更改过，目前的医院信息系统是没 有这种机制来验证的。 3 数字证书技术 数字证书是标志网络用户身份信息的一系列数据，用来在网络通信中识别通信各方的身 份。它以数字证书为核心的加密技术(加密传输、数字签名、数字信封等安全技术)可以对网 络上传输的信息进行加密和解密、数字签名和签名验证，确保网上传递信息的机密性、完整 性及交易的不可抵赖性。因此数字证书技术可以很好地解决以上医院应用系统的安全隐患问 [3] 题 。 3.1 数字证书 数字证书采用公钥体制，即利用一对互相匹配的密钥进行加密、解密。每个 用户自己设定一把特定的仅为本人所知的私有密钥（私钥），用它进行解密和签名；同时 设定一把公共密钥（公钥）并由本人公开，为一组用户所共享，用于加密和验证签名。当 发送一份保密文件时，发送方使用接收方的公钥对数据加密，而接收方则使用自己的私钥 解密，这样信息就可以安全无误地到达目的地了。通过数字的手段保证加密过程是一个不 [4] 可逆过程，即只有用私有密钥才能解密 。 数字证书具体使用过程则是通过一个类似于 U盘的 USB-KEY 为使用载体，而这个载体则 是由第三方的权威机构——CA 数字认证中心提供，该中心负责数字证书的发放和管理，并 为医院信息系统提供数字认证和安全支撑平台，保证医院信息系统使用数字证书具有可信性 和合法性。 3.2 电子签名及其合法性 3.2.