電子病歷與數(shù)字證書對接

1、電子病歷與數(shù)字證書的對接電子病歷與數(shù)字證書的對接劉平數(shù)字證書的作用 證明公鑰屬于誰 說明公鑰的有效期和驗證鏈 使用該公鑰和對應的私鑰，可以做到： 機密性：信息不能泄露 真實性：身份不能假冒 完整性：數(shù)據(jù)不可篡改 抗抵賴：行為不能否認 通過密碼服務，實現(xiàn)上述安全保證數(shù)字簽名簽名數(shù)字簽名簽名 文檔文檔Plain text DocumentPlain text DocumentPlain text DocumentPlain text DocumentPlain text Document文檔文檔Plain text DocumentPlain text DocumentPlain text Doc

2、umentPlain text DocumentPlain text Document文檔文檔Plain text DocumentPlain text DocumentPlain text DocumentPlain text DocumentPlain text Document數(shù)字簽名數(shù)字簽名將簽名附加在文檔之后將簽名附加在文檔之后文檔文檔Plain text DocumentPlain text DocumentPlain text DocumentPlain text DocumentPlain text Document文檔文檔Plain text DocumentPlain te

3、xt DocumentPlain text DocumentPlain text DocumentPlain text Document文檔文檔Plain text DocumentPlain text DocumentPlain text DocumentPlain text DocumentPlain text Document信息摘要信息摘要壓縮壓縮用戶用戶B B的私鑰的私鑰 數(shù)字簽名驗簽名數(shù)字簽名驗簽名信息摘要信息摘要信息摘要信息摘要文檔文檔Plain text DocumentPlain text DocumentPlain text DocumentPlain text Docum

4、entPlain text Document文檔文檔Plain text DocumentPlain text DocumentPlain text DocumentPlain text DocumentPlain text Document文檔文檔Plain text DocumentPlain text DocumentPlain text DocumentPlain text DocumentPlain text Document數(shù)字簽名數(shù)字簽名比較兩個比較兩個摘要信息摘要信息是否一致是否一致壓縮壓縮用戶用戶B B的公鑰的公鑰用戶用戶B B真的在文件上簽了名（真實性）真的在文件上簽了名（

5、真實性）用戶用戶B B真的發(fā)送了信息（非否認性）。真的發(fā)送了信息（非否認性）。如果信息有了任何改動，摘要就會不匹配（完整性）。如果信息有了任何改動，摘要就會不匹配（完整性）。假如摘要相互匹配就可以有三種安全保證假如摘要相互匹配就可以有三種安全保證信息信息摘要摘要壓縮壓縮用戶用戶B B的私鑰的私鑰 文檔文檔Plain text DocumentPlain text文檔文檔Plain text DocumentPlain text文檔文檔Plain text DocumentPlain text數(shù)字數(shù)字簽名簽名文檔文檔Plain text DocumentPlain text文檔文檔Plain t

6、ext DocumentPlain text文檔文檔Plain text DocumentPlain text信息信息摘要摘要信息信息摘要摘要比較兩個摘要比較兩個摘要信息是否一致信息是否一致壓縮壓縮數(shù)字數(shù)字簽名簽名文檔文檔Plain text DocumentPlain text文檔文檔Plain text DocumentPlain text文檔文檔Plain text DocumentPlain text用戶用戶B B的公鑰的公鑰數(shù)字簽名的作用 許多安全需求要用數(shù)字簽名來解決 數(shù)字簽名基本用途是： 真實性 完整性 抗抵賴 要根據(jù)不同安全需求設計簽名方法 誰來簽名 對什么簽名 簽在哪里 簽了

7、干什么用 數(shù)字簽名機制 不同的簽名方法可以滿足不同的安全需求 真實性：對驗證方發(fā)來的挑戰(zhàn)數(shù)據(jù)簽名 完整性：對被保護數(shù)據(jù)的哈希值簽名 抗抵賴：由行為人對確定的內(nèi)容簽名 保持關聯(lián)關系：對關聯(lián)數(shù)據(jù)的哈希鏈簽名 指定受理/所有人：待簽數(shù)據(jù)中包括該人證書 指定后續(xù)操作：待簽數(shù)據(jù)中包括操作指示 逐級審批：待簽數(shù)據(jù)中包括前者的簽名衛(wèi)生部的電子病歷的規(guī)范 電子病歷基本規(guī)范電子病歷基本規(guī)范 總則 電子病歷基本要求 實施電子病歷基本條件 電子病歷的管理 附則 2010年4月1日起試行 規(guī)范中涉及的安全問題規(guī)范中涉及的安全問題 電子病歷系統(tǒng)應當為患者建立個人信息數(shù)據(jù)庫，授予唯一標識號碼并確保與患者的醫(yī)療記錄相對應

8、電子病歷系統(tǒng)應當滿足國家信息安全等級保護制度與標準。嚴禁篡改、偽造、隱匿、搶奪、竊取和毀壞電子病歷。 規(guī)范中涉及的安全問題規(guī)范中涉及的安全問題（續(xù)） 電子病歷系統(tǒng)應當為操作人員提供專有的身份標識和識別手段，并設置有相應權(quán)限；操作人員對本人身份標識的使用負責 醫(yī)務人員采用身份標識登錄電子病歷系統(tǒng)完成各項記錄等操作并予確認后，系統(tǒng)應當顯示醫(yī)務人員電子簽名。 規(guī)范中涉及的安全問題規(guī)范中涉及的安全問題（續(xù)） 電子病歷系統(tǒng)應當設置醫(yī)務人員審查、修改的權(quán)限和時限。 實習醫(yī)務人員、試用期醫(yī)務人員記錄的病歷，應當經(jīng)過在本醫(yī)療機構(gòu)合法執(zhí)業(yè)的醫(yī)務人員審閱、修改并予電子簽名確認。 醫(yī)務人員修改時，電子病歷系統(tǒng)應當進

9、行身份識別、保存歷次修改痕跡、標記準確的修改時間和修改人信息。 使用密碼技術(shù)可以解決安全問題 加密，解決隱私和知識保護問題 簽名， 解決病歷完整性問題 解決病歷的管理問題 鑒別操作者身份真實性 明確操作者責任 證明病歷有效性 證明業(yè)務流程合法性電子病歷與密碼服務的關系醫(yī)療業(yè)務系統(tǒng)密碼基礎設施電子病歷管理系統(tǒng)電子病歷醫(yī)務人員醫(yī)務人員面對的系統(tǒng)醫(yī)務人員在此系統(tǒng)上操作相對獨立的系統(tǒng)通過標準接口提供病歷服務統(tǒng)一的密碼服務平臺通過標準接口提供密碼服務電子病歷 基本結(jié)構(gòu) 安全需求 安全機制電子病歷 基本結(jié)構(gòu)基本結(jié)構(gòu) 安全需求 安全機制電子病歷的基本結(jié)構(gòu)患者電子病歷病歷概要門（急）診病歷記錄住院病歷記錄健康

10、體檢記錄醫(yī)療機構(gòu)信息業(yè)務域（業(yè)務域（7 7項）項）業(yè)務活動記錄業(yè)務活動記錄電子病歷的基本結(jié)構(gòu)（續(xù)） 來自于衛(wèi)生部電子病歷數(shù)據(jù)結(jié)構(gòu)規(guī)范 業(yè)務內(nèi)容遵循電子病歷數(shù)據(jù)結(jié)構(gòu)規(guī)范 橫向可鏈接記錄 縱向可添加記錄 記錄由標識表示用途電子病歷 基本結(jié)構(gòu) 安全需求安全需求 安全機制電子病歷的安全需求 病歷自帶安全機制 安全機制應保證： 確保完整、明確責任 保護隱私、保護知識 具有權(quán)限、安全共享 安全機制應做到： 與記錄的醫(yī)療內(nèi)容無關 與醫(yī)療業(yè)務和流程無關 與醫(yī)療業(yè)務系統(tǒng)無關目的是目的是使病例成為獨立的安全對象使病例成為獨立的安全對象可以跨系統(tǒng)安全共享可以跨系統(tǒng)安全共享離開本系統(tǒng)時，安全性不被破壞離開本系統(tǒng)時，安

11、全性不被破壞電子病歷的安全需求（續(xù)） 橫向記錄間保持鏈接關系，前后順序不可變 縱向記錄間保持族群關系，先后順序不可變 記錄只能創(chuàng)建、添加，不能抽取、刪除 記錄不能修改，修改等于添加 醫(yī)務人員對記錄簽名 管理系統(tǒng)對病歷簽名 所有簽名不可撤銷對應規(guī)范中關于修改的規(guī)定對應規(guī)范中關于修改的規(guī)定保留修改痕跡，原始的簽名應保留保留修改痕跡，原始的簽名應保留修改者要簽名，等于添加新紀錄修改者要簽名，等于添加新紀錄電子病歷 基本結(jié)構(gòu) 安全需求 安全機制安全機制電子病歷的安全機制 每條記錄都應由行為人簽名 待簽內(nèi)容應包括： 內(nèi)容屬性：醫(yī)療行為產(chǎn)生的結(jié)果、數(shù)據(jù)或鏈接 時間屬性：簽名的時間或時間戳、修改審查的時限

12、簽名屬性：簽名者信息，如職稱、職務等 關聯(lián)屬性：與前記錄的關系，如治療、修改等 狀態(tài)屬性：可否鏈接、是否歸檔等 隱私屬性：隱私所有者的加密證書 權(quán)限屬性：誰能看到/修改/處理/擁有/本記錄 審批屬性：本記錄是否應審批，批準者的證書 完整性屬性：縱橫向哈希鏈接到本記錄的哈希值電子病歷的安全機制（續(xù)） 對橫向記錄的哈希鏈簽名，保持鏈接關系 用于后續(xù)記錄鏈或者修改記錄鏈 每鏈接一條記錄改簽一次，原順序不能改變 由病歷管理系統(tǒng)簽名 對縱向記錄的哈希鏈簽名，保持族群關系 記錄許進不許出 每添加一條記錄改簽一次，原次序不能改變 由病歷管理系統(tǒng)簽名病歷管理系統(tǒng) 安全需求 安全要求病歷管理系統(tǒng) 安全需求安全需

13、求 安全要求病歷管理系統(tǒng)的安全需求 為患者建立個人信息數(shù)據(jù)庫，授予唯一標識號碼并確保與患者的醫(yī)療記錄相對應 具有嚴格的復制管理功能。同一患者的相同信息可以復制，復制內(nèi)容必須校對，不同患者的信息不得復制 應當滿足國家信息安全等級保護制度與標準。嚴禁篡改、偽造、隱匿、搶奪、竊取和毀壞電子病歷 病歷管理系統(tǒng)的安全需求（續(xù)） 門診電子病歷中的門（急）診病歷記錄以接診醫(yī)師錄入確認即為歸檔，歸檔后不得修改 住院電子病歷隨患者出院經(jīng)上級醫(yī)師于患者出院審核確認后歸檔，歸檔后由電子病歷管理部門統(tǒng)一管理 醫(yī)務人員修改時，電子病歷系統(tǒng)應當進行身份識別、保存歷次修改痕跡、標記準確的修改時間和修改人信息 病歷管理系統(tǒng)

14、安全需求 安全要求安全要求病歷管理系統(tǒng)的安全要求 與密碼算法、密碼設備、密鑰管理無關， 通過標準接口為業(yè)務系統(tǒng)提供病歷服務 創(chuàng)建、添加、修改、閱讀、打印、查詢、統(tǒng)計等 不接受醫(yī)務人員的直接訪問 按照病歷的安全機制管理病歷 對病歷進行的操作應有日志記錄 應有數(shù)據(jù)備份機制 病歷管理系統(tǒng)的安全要求（續(xù)） 管理人員登錄系統(tǒng)應驗證身份 管理人員應按權(quán)限進行檢索、統(tǒng)計、復印、檢驗等操作 管理人員不能對病歷進行訪問操作 管理人員的操作行為應有日志記錄醫(yī)療業(yè)務系統(tǒng) 安全需求 安全要求醫(yī)療業(yè)務系統(tǒng) 安全需求安全需求 安全要求醫(yī)療業(yè)務系統(tǒng)安全需求 應當為操作人員提供專有的身份標識和識別手段，并設置有相應權(quán)限；操作

15、人員對本人身份標識的使用負責 醫(yī)務人員采用身份標識登錄電子病歷系統(tǒng)完成各項記錄等操作并予確認后，系統(tǒng)應當顯示醫(yī)務人員電子簽名。醫(yī)療業(yè)務系統(tǒng)安全需求（續(xù)） 電子病歷系統(tǒng)應當設置醫(yī)務人員審查、修改的權(quán)限和時限。 實習醫(yī)務人員、試用期醫(yī)務人員記錄的病歷，應當經(jīng)過在本醫(yī)療機構(gòu)合法執(zhí)業(yè)的醫(yī)務人員審閱、修改并予電子簽名確認。 醫(yī)務人員修改時，電子病歷系統(tǒng)應當進行身份識別、保存歷次修改痕跡、標記準確的修改時間和修改人信息醫(yī)療業(yè)務系統(tǒng) 安全需求 安全要求安全要求醫(yī)療業(yè)務系統(tǒng)的安全要求 操作者登錄系統(tǒng)應驗證身份 操作者應按權(quán)限操作，權(quán)限應分等級 操作者審查、修改的權(quán)限應設置時限 操作者的行為應有日志記錄，可追溯

16、 系統(tǒng)把操作的結(jié)果轉(zhuǎn)化為對病歷管理系統(tǒng)的訪問操作密碼基礎設施 密碼基礎設施提供的服務 密碼基礎設施簡要介紹密碼基礎設施 密碼基礎設施提供的服務密碼基礎設施提供的服務 密碼基礎設施簡要介紹密碼基礎設施提供的服務 提供通用密碼服務 數(shù)字簽名、驗簽 數(shù)據(jù)加密、解密 提供典型密碼服務 身份鑒別 權(quán)限管理 證書解析、驗證 時間戳 證據(jù)采集與管理密碼基礎設施 密碼基礎設施提供的服務 密碼基礎設施簡要介紹密碼基礎設施簡要介紹密碼基礎設施框架時間戳系統(tǒng)屬性證書系統(tǒng)證書認證系統(tǒng)身份鑒別責任認定單點登錄訪問控制時間戳典型密碼服務層通用密碼服務層密碼設備管理通用密碼服務密碼設備服務層密碼設備應用 1 應用 N公鑰密

17、碼基礎設施應用技術(shù)體系框架基礎設施安全支撐平臺密碼基礎設施框架（續(xù)） 密碼設備服務層密碼設備服務層 由密碼機、密碼卡、智能密碼終端等設備組成，通過標準的密碼設備應用接口向通用密碼服務層提供基礎密碼服務。 基礎密碼服務包括密鑰生成、單一的密碼運算、文件管理等服務。 密碼設備通過統(tǒng)一的設備管理接口來接受通用密碼服務層的密碼設備管理。密碼基礎設施框架（續(xù)） 通用密碼服務層通用密碼服務層 由通用密碼服務和密碼設備管理服務組成，為上層應用提供與底層具體密碼設備透明的密碼服務和設備管理服務。 通用密碼服務層通過統(tǒng)一的密碼服務接口向典型密碼服務層和應用層提供證書解析、證書認證、信息的機密性、完整性和不可否認

18、性等通用密碼服務。 將上層的密碼服務請求轉(zhuǎn)化為具體的基礎密碼操作請求，通過統(tǒng)一的密碼設備應用接口調(diào)用相應密碼設備實現(xiàn)具體的密碼運算和密鑰操作。 密碼設備管理向上層管理應用提供統(tǒng)一的設備管理應用接口，為實現(xiàn)遠程密鑰管理、設備維護、設備監(jiān)控等上層管理應用提供設備管理功能，將上層管理應用的管理請求轉(zhuǎn)換為標準的消息調(diào)用，通過安全通道實現(xiàn)管理應用與密碼設備間的消息傳遞。密碼基礎設施框架（續(xù)）典型密碼服務層典型密碼服務層 由責任認定、身份鑒別、單點登錄、訪問控制和時間戳等服務組成，為上層應用提供對應的密碼功能服務。責任認定通過標準接口為上層應用提供證據(jù)采集服務，為責任認定應用系統(tǒng)提供可信證據(jù)，實現(xiàn)證據(jù)的存儲、歸檔、查詢和使用審計等管理功能。身份鑒別通過標準接口為上層應用提供身份查詢、身份解析、身份驗證等身份鑒別服務。單點登錄通過標準接口為上層應用提供登錄憑據(jù)的產(chǎn)生、獲取、驗證等服務，在相互間存在信任關系的應用系統(tǒng)之間實現(xiàn)單點登錄和單點注銷。訪問控制通過標準接口為上層應用提供系統(tǒng)資源的訪問控制，實現(xiàn)用戶管理，資源管理、訪問控制策略管理和用戶授權(quán)等功能。時間戳通過標準接口為上層應用和典型密碼服務層其它組成部