1、電子病歷與數字證書的對接電子病歷與數字證書的對接劉平數字證書的作用 證明公鑰屬于誰 說明公鑰的有效期和驗證鏈 使用該公鑰和對應的私鑰，可以做到： 機密性：信息不能泄露 真實性：身份不能假冒 完整性：數據不可篡改 抗抵賴：行為不能否認 通過密碼服務，實現上述安全保證數字簽名簽名數字簽名簽名 文檔文檔Plain text DocumentPlain text DocumentPlain text DocumentPlain text DocumentPlain text Document文檔文檔Plain text DocumentPlain text DocumentPlain text Doc

2、umentPlain text DocumentPlain text Document文檔文檔Plain text DocumentPlain text DocumentPlain text DocumentPlain text DocumentPlain text Document數字簽名數字簽名將簽名附加在文檔之后將簽名附加在文檔之后文檔文檔Plain text DocumentPlain text DocumentPlain text DocumentPlain text DocumentPlain text Document文檔文檔Plain text DocumentPlain te

3、xt DocumentPlain text DocumentPlain text DocumentPlain text Document文檔文檔Plain text DocumentPlain text DocumentPlain text DocumentPlain text DocumentPlain text Document信息摘要信息摘要壓縮壓縮用戶用戶B B的私鑰的私鑰 數字簽名驗簽名數字簽名驗簽名信息摘要信息摘要信息摘要信息摘要文檔文檔Plain text DocumentPlain text DocumentPlain text DocumentPlain text Docum

4、entPlain text Document文檔文檔Plain text DocumentPlain text DocumentPlain text DocumentPlain text DocumentPlain text Document文檔文檔Plain text DocumentPlain text DocumentPlain text DocumentPlain text DocumentPlain text Document數字簽名數字簽名比較兩個比較兩個摘要信息摘要信息是否一致是否一致壓縮壓縮用戶用戶B B的公鑰的公鑰用戶用戶B B真的在文件上簽了名（真實性）真的在文件上簽了名（

5、真實性）用戶用戶B B真的發送了信息（非否認性）。真的發送了信息（非否認性）。如果信息有了任何改動，摘要就會不匹配（完整性）。如果信息有了任何改動，摘要就會不匹配（完整性）。假如摘要相互匹配就可以有三種安全保證假如摘要相互匹配就可以有三種安全保證信息信息摘要摘要壓縮壓縮用戶用戶B B的私鑰的私鑰 文檔文檔Plain text DocumentPlain text文檔文檔Plain text DocumentPlain text文檔文檔Plain text DocumentPlain text數字數字簽名簽名文檔文檔Plain text DocumentPlain text文檔文檔Plain t

6、ext DocumentPlain text文檔文檔Plain text DocumentPlain text信息信息摘要摘要信息信息摘要摘要比較兩個摘要比較兩個摘要信息是否一致信息是否一致壓縮壓縮數字數字簽名簽名文檔文檔Plain text DocumentPlain text文檔文檔Plain text DocumentPlain text文檔文檔Plain text DocumentPlain text用戶用戶B B的公鑰的公鑰數字簽名的作用 許多安全需求要用數字簽名來解決 數字簽名基本用途是： 真實性 完整性 抗抵賴 要根據不同安全需求設計簽名方法 誰來簽名 對什么簽名 簽在哪里 簽了

7、干什么用 數字簽名機制 不同的簽名方法可以滿足不同的安全需求 真實性：對驗證方發來的挑戰數據簽名 完整性：對被保護數據的哈希值簽名 抗抵賴：由行為人對確定的內容簽名 保持關聯關系：對關聯數據的哈希鏈簽名 指定受理/所有人：待簽數據中包括該人證書 指定后續操作：待簽數據中包括操作指示 逐級審批：待簽數據中包括前者的簽名衛生部的電子病歷的規范 電子病歷基本規范電子病歷基本規范 總則 電子病歷基本要求 實施電子病歷基本條件 電子病歷的管理 附則 2010年4月1日起試行 規范中涉及的安全問題規范中涉及的安全問題 電子病歷系統應當為患者建立個人信息數據庫，授予唯一標識號碼并確保與患者的醫療記錄相對應

8、電子病歷系統應當滿足國家信息安全等級保護制度與標準。嚴禁篡改、偽造、隱匿、搶奪、竊取和毀壞電子病歷。 規范中涉及的安全問題規范中涉及的安全問題（續） 電子病歷系統應當為操作人員提供專有的身份標識和識別手段，并設置有相應權限；操作人員對本人身份標識的使用負責 醫務人員采用身份標識登錄電子病歷系統完成各項記錄等操作并予確認后，系統應當顯示醫務人員電子簽名。 規范中涉及的安全問題規范中涉及的安全問題（續） 電子病歷系統應當設置醫務人員審查、修改的權限和時限。 實習醫務人員、試用期醫務人員記錄的病歷，應當經過在本醫療機構合法執業的醫務人員審閱、修改并予電子簽名確認。 醫務人員修改時，電子病歷系統應當進

9、行身份識別、保存歷次修改痕跡、標記準確的修改時間和修改人信息。 使用密碼技術可以解決安全問題 加密，解決隱私和知識保護問題 簽名， 解決病歷完整性問題 解決病歷的管理問題 鑒別操作者身份真實性 明確操作者責任 證明病歷有效性 證明業務流程合法性電子病歷與密碼服務的關系醫療業務系統密碼基礎設施電子病歷管理系統電子病歷醫務人員醫務人員面對的系統醫務人員在此系統上操作相對獨立的系統通過標準接口提供病歷服務統一的密碼服務平臺通過標準接口提供密碼服務電子病歷 基本結構 安全需求 安全機制電子病歷 基本結構基本結構 安全需求 安全機制電子病歷的基本結構患者電子病歷病歷概要門（急）診病歷記錄住院病歷記錄健康

10、體檢記錄醫療機構信息業務域（業務域（7 7項）項）業務活動記錄業務活動記錄電子病歷的基本結構（續） 來自于衛生部電子病歷數據結構規范 業務內容遵循電子病歷數據結構規范 橫向可鏈接記錄 縱向可添加記錄 記錄由標識表示用途電子病歷 基本結構 安全需求安全需求 安全機制電子病歷的安全需求 病歷自帶安全機制 安全機制應保證： 確保完整、明確責任 保護隱私、保護知識 具有權限、安全共享 安全機制應做到： 與記錄的醫療內容無關 與醫療業務和流程無關 與醫療業務系統無關目的是目的是使病例成為獨立的安全對象使病例成為獨立的安全對象可以跨系統安全共享可以跨系統安全共享離開本系統時，安全性不被破壞離開本系統時，安

11、全性不被破壞電子病歷的安全需求（續） 橫向記錄間保持鏈接關系，前后順序不可變 縱向記錄間保持族群關系，先后順序不可變 記錄只能創建、添加，不能抽取、刪除 記錄不能修改，修改等于添加 醫務人員對記錄簽名 管理系統對病歷簽名 所有簽名不可撤銷對應規范中關于修改的規定對應規范中關于修改的規定保留修改痕跡，原始的簽名應保留保留修改痕跡，原始的簽名應保留修改者要簽名，等于添加新紀錄修改者要簽名，等于添加新紀錄電子病歷 基本結構 安全需求 安全機制安全機制電子病歷的安全機制 每條記錄都應由行為人簽名 待簽內容應包括： 內容屬性：醫療行為產生的結果、數據或鏈接 時間屬性：簽名的時間或時間戳、修改審查的時限

12、簽名屬性：簽名者信息，如職稱、職務等 關聯屬性：與前記錄的關系，如治療、修改等 狀態屬性：可否鏈接、是否歸檔等 隱私屬性：隱私所有者的加密證書 權限屬性：誰能看到/修改/處理/擁有/本記錄 審批屬性：本記錄是否應審批，批準者的證書 完整性屬性：縱橫向哈希鏈接到本記錄的哈希值電子病歷的安全機制（續） 對橫向記錄的哈希鏈簽名，保持鏈接關系 用于后續記錄鏈或者修改記錄鏈 每鏈接一條記錄改簽一次，原順序不能改變 由病歷管理系統簽名 對縱向記錄的哈希鏈簽名，保持族群關系 記錄許進不許出 每添加一條記錄改簽一次，原次序不能改變 由病歷管理系統簽名病歷管理系統 安全需求 安全要求病歷管理系統 安全需求安全需

13、求 安全要求病歷管理系統的安全需求 為患者建立個人信息數據庫，授予唯一標識號碼并確保與患者的醫療記錄相對應 具有嚴格的復制管理功能。同一患者的相同信息可以復制，復制內容必須校對，不同患者的信息不得復制 應當滿足國家信息安全等級保護制度與標準。嚴禁篡改、偽造、隱匿、搶奪、竊取和毀壞電子病歷 病歷管理系統的安全需求（續） 門診電子病歷中的門（急）診病歷記錄以接診醫師錄入確認即為歸檔，歸檔后不得修改 住院電子病歷隨患者出院經上級醫師于患者出院審核確認后歸檔，歸檔后由電子病歷管理部門統一管理 醫務人員修改時，電子病歷系統應當進行身份識別、保存歷次修改痕跡、標記準確的修改時間和修改人信息 病歷管理系統

14、安全需求 安全要求安全要求病歷管理系統的安全要求 與密碼算法、密碼設備、密鑰管理無關， 通過標準接口為業務系統提供病歷服務 創建、添加、修改、閱讀、打印、查詢、統計等 不接受醫務人員的直接訪問 按照病歷的安全機制管理病歷 對病歷進行的操作應有日志記錄 應有數據備份機制 病歷管理系統的安全要求（續） 管理人員登錄系統應驗證身份 管理人員應按權限進行檢索、統計、復印、檢驗等操作 管理人員不能對病歷進行訪問操作 管理人員的操作行為應有日志記錄醫療業務系統 安全需求 安全要求醫療業務系統 安全需求安全需求 安全要求醫療業務系統安全需求 應當為操作人員提供專有的身份標識和識別手段，并設置有相應權限；操作

15、人員對本人身份標識的使用負責 醫務人員采用身份標識登錄電子病歷系統完成各項記錄等操作并予確認后，系統應當顯示醫務人員電子簽名。醫療業務系統安全需求（續） 電子病歷系統應當設置醫務人員審查、修改的權限和時限。 實習醫務人員、試用期醫務人員記錄的病歷，應當經過在本醫療機構合法執業的醫務人員審閱、修改并予電子簽名確認。 醫務人員修改時，電子病歷系統應當進行身份識別、保存歷次修改痕跡、標記準確的修改時間和修改人信息醫療業務系統 安全需求 安全要求安全要求醫療業務系統的安全要求 操作者登錄系統應驗證身份 操作者應按權限操作，權限應分等級 操作者審查、修改的權限應設置時限 操作者的行為應有日志記錄，可追溯

16、 系統把操作的結果轉化為對病歷管理系統的訪問操作密碼基礎設施 密碼基礎設施提供的服務 密碼基礎設施簡要介紹密碼基礎設施 密碼基礎設施提供的服務密碼基礎設施提供的服務 密碼基礎設施簡要介紹密碼基礎設施提供的服務 提供通用密碼服務 數字簽名、驗簽 數據加密、解密 提供典型密碼服務 身份鑒別 權限管理 證書解析、驗證 時間戳 證據采集與管理密碼基礎設施 密碼基礎設施提供的服務 密碼基礎設施簡要介紹密碼基礎設施簡要介紹密碼基礎設施框架時間戳系統屬性證書系統證書認證系統身份鑒別責任認定單點登錄訪問控制時間戳典型密碼服務層通用密碼服務層密碼設備管理通用密碼服務密碼設備服務層密碼設備應用 1 應用 N公鑰密

17、碼基礎設施應用技術體系框架基礎設施安全支撐平臺密碼基礎設施框架（續） 密碼設備服務層密碼設備服務層 由密碼機、密碼卡、智能密碼終端等設備組成，通過標準的密碼設備應用接口向通用密碼服務層提供基礎密碼服務。 基礎密碼服務包括密鑰生成、單一的密碼運算、文件管理等服務。 密碼設備通過統一的設備管理接口來接受通用密碼服務層的密碼設備管理。密碼基礎設施框架（續） 通用密碼服務層通用密碼服務層 由通用密碼服務和密碼設備管理服務組成，為上層應用提供與底層具體密碼設備透明的密碼服務和設備管理服務。 通用密碼服務層通過統一的密碼服務接口向典型密碼服務層和應用層提供證書解析、證書認證、信息的機密性、完整性和不可否認

18、性等通用密碼服務。 將上層的密碼服務請求轉化為具體的基礎密碼操作請求，通過統一的密碼設備應用接口調用相應密碼設備實現具體的密碼運算和密鑰操作。 密碼設備管理向上層管理應用提供統一的設備管理應用接口，為實現遠程密鑰管理、設備維護、設備監控等上層管理應用提供設備管理功能，將上層管理應用的管理請求轉換為標準的消息調用，通過安全通道實現管理應用與密碼設備間的消息傳遞。密碼基礎設施框架（續）典型密碼服務層典型密碼服務層 由責任認定、身份鑒別、單點登錄、訪問控制和時間戳等服務組成，為上層應用提供對應的密碼功能服務。責任認定通過標準接口為上層應用提供證據采集服務，為責任認定應用系統提供可信證據，實現證據的存儲、歸檔、查詢和使用審計等管理功能。身份鑒別通過標準接口為上層應用提供身份查詢、身份解析、身份驗證等身份鑒別服務。單點登錄通過標準接口為上層應用提供登錄憑據的產生、獲取、驗證等服務，在相互間存在信任關系的應用系統之間實現單點登錄和單點注銷。訪問控制通過標準接口為上層應用提供系統資源的訪問控制，實現用戶管理，資源管理、訪問控制策略管理和用戶授權等功能。時間戳通過標準接口為上層應用和典型密碼服務層其它組成部