電子病歷與數(shù)字證書對接

1、電子病歷與數(shù)字證書的對接電子病歷與數(shù)字證書的對接劉平數(shù)字證書的作用 證明公鑰屬于誰 說明公鑰的有效期和驗證鏈 使用該公鑰和對應(yīng)的私鑰，可以做到： 機密性：信息不能泄露 真實性：身份不能假冒 完整性：數(shù)據(jù)不可篡改 抗抵賴：行為不能否認(rèn) 通過密碼服務(wù)，實現(xiàn)上述安全保證數(shù)字簽名簽名數(shù)字簽名簽名 文檔文檔Plain text DocumentPlain text DocumentPlain text DocumentPlain text DocumentPlain text Document文檔文檔Plain text DocumentPlain text DocumentPlain text Doc

2、umentPlain text DocumentPlain text Document文檔文檔Plain text DocumentPlain text DocumentPlain text DocumentPlain text DocumentPlain text Document數(shù)字簽名數(shù)字簽名將簽名附加在文檔之后將簽名附加在文檔之后文檔文檔Plain text DocumentPlain text DocumentPlain text DocumentPlain text DocumentPlain text Document文檔文檔Plain text DocumentPlain te

3、xt DocumentPlain text DocumentPlain text DocumentPlain text Document文檔文檔Plain text DocumentPlain text DocumentPlain text DocumentPlain text DocumentPlain text Document信息摘要信息摘要壓縮壓縮用戶用戶B B的私鑰的私鑰 數(shù)字簽名驗簽名數(shù)字簽名驗簽名信息摘要信息摘要信息摘要信息摘要文檔文檔Plain text DocumentPlain text DocumentPlain text DocumentPlain text Docum

4、entPlain text Document文檔文檔Plain text DocumentPlain text DocumentPlain text DocumentPlain text DocumentPlain text Document文檔文檔Plain text DocumentPlain text DocumentPlain text DocumentPlain text DocumentPlain text Document數(shù)字簽名數(shù)字簽名比較兩個比較兩個摘要信息摘要信息是否一致是否一致壓縮壓縮用戶用戶B B的公鑰的公鑰用戶用戶B B真的在文件上簽了名（真實性）真的在文件上簽了名（

5、真實性）用戶用戶B B真的發(fā)送了信息（非否認(rèn)性）。真的發(fā)送了信息（非否認(rèn)性）。如果信息有了任何改動，摘要就會不匹配（完整性）。如果信息有了任何改動，摘要就會不匹配（完整性）。假如摘要相互匹配就可以有三種安全保證假如摘要相互匹配就可以有三種安全保證信息信息摘要摘要壓縮壓縮用戶用戶B B的私鑰的私鑰 文檔文檔Plain text DocumentPlain text文檔文檔Plain text DocumentPlain text文檔文檔Plain text DocumentPlain text數(shù)字?jǐn)?shù)字簽名簽名文檔文檔Plain text DocumentPlain text文檔文檔Plain t

6、ext DocumentPlain text文檔文檔Plain text DocumentPlain text信息信息摘要摘要信息信息摘要摘要比較兩個摘要比較兩個摘要信息是否一致信息是否一致壓縮壓縮數(shù)字?jǐn)?shù)字簽名簽名文檔文檔Plain text DocumentPlain text文檔文檔Plain text DocumentPlain text文檔文檔Plain text DocumentPlain text用戶用戶B B的公鑰的公鑰數(shù)字簽名的作用 許多安全需求要用數(shù)字簽名來解決 數(shù)字簽名基本用途是： 真實性 完整性 抗抵賴 要根據(jù)不同安全需求設(shè)計簽名方法 誰來簽名 對什么簽名 簽在哪里 簽了

7、干什么用 數(shù)字簽名機制 不同的簽名方法可以滿足不同的安全需求 真實性：對驗證方發(fā)來的挑戰(zhàn)數(shù)據(jù)簽名 完整性：對被保護數(shù)據(jù)的哈希值簽名 抗抵賴：由行為人對確定的內(nèi)容簽名 保持關(guān)聯(lián)關(guān)系：對關(guān)聯(lián)數(shù)據(jù)的哈希鏈簽名 指定受理/所有人：待簽數(shù)據(jù)中包括該人證書 指定后續(xù)操作：待簽數(shù)據(jù)中包括操作指示 逐級審批：待簽數(shù)據(jù)中包括前者的簽名衛(wèi)生部的電子病歷的規(guī)范 電子病歷基本規(guī)范電子病歷基本規(guī)范 總則 電子病歷基本要求 實施電子病歷基本條件 電子病歷的管理 附則 2010年4月1日起試行 規(guī)范中涉及的安全問題規(guī)范中涉及的安全問題 電子病歷系統(tǒng)應(yīng)當(dāng)為患者建立個人信息數(shù)據(jù)庫，授予唯一標(biāo)識號碼并確保與患者的醫(yī)療記錄相對應(yīng)

8、電子病歷系統(tǒng)應(yīng)當(dāng)滿足國家信息安全等級保護制度與標(biāo)準(zhǔn)。嚴(yán)禁篡改、偽造、隱匿、搶奪、竊取和毀壞電子病歷。 規(guī)范中涉及的安全問題規(guī)范中涉及的安全問題（續(xù)） 電子病歷系統(tǒng)應(yīng)當(dāng)為操作人員提供專有的身份標(biāo)識和識別手段，并設(shè)置有相應(yīng)權(quán)限；操作人員對本人身份標(biāo)識的使用負(fù)責(zé) 醫(yī)務(wù)人員采用身份標(biāo)識登錄電子病歷系統(tǒng)完成各項記錄等操作并予確認(rèn)后，系統(tǒng)應(yīng)當(dāng)顯示醫(yī)務(wù)人員電子簽名。 規(guī)范中涉及的安全問題規(guī)范中涉及的安全問題（續(xù)） 電子病歷系統(tǒng)應(yīng)當(dāng)設(shè)置醫(yī)務(wù)人員審查、修改的權(quán)限和時限。 實習(xí)醫(yī)務(wù)人員、試用期醫(yī)務(wù)人員記錄的病歷，應(yīng)當(dāng)經(jīng)過在本醫(yī)療機構(gòu)合法執(zhí)業(yè)的醫(yī)務(wù)人員審閱、修改并予電子簽名確認(rèn)。 醫(yī)務(wù)人員修改時，電子病歷系統(tǒng)應(yīng)當(dāng)進

9、行身份識別、保存歷次修改痕跡、標(biāo)記準(zhǔn)確的修改時間和修改人信息。 使用密碼技術(shù)可以解決安全問題 加密，解決隱私和知識保護問題 簽名， 解決病歷完整性問題 解決病歷的管理問題 鑒別操作者身份真實性 明確操作者責(zé)任 證明病歷有效性 證明業(yè)務(wù)流程合法性電子病歷與密碼服務(wù)的關(guān)系醫(yī)療業(yè)務(wù)系統(tǒng)密碼基礎(chǔ)設(shè)施電子病歷管理系統(tǒng)電子病歷醫(yī)務(wù)人員醫(yī)務(wù)人員面對的系統(tǒng)醫(yī)務(wù)人員在此系統(tǒng)上操作相對獨立的系統(tǒng)通過標(biāo)準(zhǔn)接口提供病歷服務(wù)統(tǒng)一的密碼服務(wù)平臺通過標(biāo)準(zhǔn)接口提供密碼服務(wù)電子病歷 基本結(jié)構(gòu) 安全需求 安全機制電子病歷 基本結(jié)構(gòu)基本結(jié)構(gòu) 安全需求 安全機制電子病歷的基本結(jié)構(gòu)患者電子病歷病歷概要門（急）診病歷記錄住院病歷記錄健康

10、體檢記錄醫(yī)療機構(gòu)信息業(yè)務(wù)域（業(yè)務(wù)域（7 7項）項）業(yè)務(wù)活動記錄業(yè)務(wù)活動記錄電子病歷的基本結(jié)構(gòu)（續(xù)） 來自于衛(wèi)生部電子病歷數(shù)據(jù)結(jié)構(gòu)規(guī)范 業(yè)務(wù)內(nèi)容遵循電子病歷數(shù)據(jù)結(jié)構(gòu)規(guī)范 橫向可鏈接記錄 縱向可添加記錄 記錄由標(biāo)識表示用途電子病歷 基本結(jié)構(gòu) 安全需求安全需求 安全機制電子病歷的安全需求 病歷自帶安全機制 安全機制應(yīng)保證： 確保完整、明確責(zé)任 保護隱私、保護知識 具有權(quán)限、安全共享 安全機制應(yīng)做到： 與記錄的醫(yī)療內(nèi)容無關(guān) 與醫(yī)療業(yè)務(wù)和流程無關(guān) 與醫(yī)療業(yè)務(wù)系統(tǒng)無關(guān)目的是目的是使病例成為獨立的安全對象使病例成為獨立的安全對象可以跨系統(tǒng)安全共享可以跨系統(tǒng)安全共享離開本系統(tǒng)時，安全性不被破壞離開本系統(tǒng)時，安

11、全性不被破壞電子病歷的安全需求（續(xù)） 橫向記錄間保持鏈接關(guān)系，前后順序不可變 縱向記錄間保持族群關(guān)系，先后順序不可變 記錄只能創(chuàng)建、添加，不能抽取、刪除 記錄不能修改，修改等于添加 醫(yī)務(wù)人員對記錄簽名 管理系統(tǒng)對病歷簽名 所有簽名不可撤銷對應(yīng)規(guī)范中關(guān)于修改的規(guī)定對應(yīng)規(guī)范中關(guān)于修改的規(guī)定保留修改痕跡，原始的簽名應(yīng)保留保留修改痕跡，原始的簽名應(yīng)保留修改者要簽名，等于添加新紀(jì)錄修改者要簽名，等于添加新紀(jì)錄電子病歷 基本結(jié)構(gòu) 安全需求 安全機制安全機制電子病歷的安全機制 每條記錄都應(yīng)由行為人簽名 待簽內(nèi)容應(yīng)包括： 內(nèi)容屬性：醫(yī)療行為產(chǎn)生的結(jié)果、數(shù)據(jù)或鏈接 時間屬性：簽名的時間或時間戳、修改審查的時限

12、簽名屬性：簽名者信息，如職稱、職務(wù)等 關(guān)聯(lián)屬性：與前記錄的關(guān)系，如治療、修改等 狀態(tài)屬性：可否鏈接、是否歸檔等 隱私屬性：隱私所有者的加密證書 權(quán)限屬性：誰能看到/修改/處理/擁有/本記錄 審批屬性：本記錄是否應(yīng)審批，批準(zhǔn)者的證書 完整性屬性：縱橫向哈希鏈接到本記錄的哈希值電子病歷的安全機制（續(xù)） 對橫向記錄的哈希鏈簽名，保持鏈接關(guān)系 用于后續(xù)記錄鏈或者修改記錄鏈 每鏈接一條記錄改簽一次，原順序不能改變 由病歷管理系統(tǒng)簽名 對縱向記錄的哈希鏈簽名，保持族群關(guān)系 記錄許進不許出 每添加一條記錄改簽一次，原次序不能改變 由病歷管理系統(tǒng)簽名病歷管理系統(tǒng) 安全需求 安全要求病歷管理系統(tǒng) 安全需求安全需

13、求 安全要求病歷管理系統(tǒng)的安全需求 為患者建立個人信息數(shù)據(jù)庫，授予唯一標(biāo)識號碼并確保與患者的醫(yī)療記錄相對應(yīng) 具有嚴(yán)格的復(fù)制管理功能。同一患者的相同信息可以復(fù)制，復(fù)制內(nèi)容必須校對，不同患者的信息不得復(fù)制 應(yīng)當(dāng)滿足國家信息安全等級保護制度與標(biāo)準(zhǔn)。嚴(yán)禁篡改、偽造、隱匿、搶奪、竊取和毀壞電子病歷 病歷管理系統(tǒng)的安全需求（續(xù)） 門診電子病歷中的門（急）診病歷記錄以接診醫(yī)師錄入確認(rèn)即為歸檔，歸檔后不得修改 住院電子病歷隨患者出院經(jīng)上級醫(yī)師于患者出院審核確認(rèn)后歸檔，歸檔后由電子病歷管理部門統(tǒng)一管理 醫(yī)務(wù)人員修改時，電子病歷系統(tǒng)應(yīng)當(dāng)進行身份識別、保存歷次修改痕跡、標(biāo)記準(zhǔn)確的修改時間和修改人信息 病歷管理系統(tǒng)

14、安全需求 安全要求安全要求病歷管理系統(tǒng)的安全要求 與密碼算法、密碼設(shè)備、密鑰管理無關(guān)， 通過標(biāo)準(zhǔn)接口為業(yè)務(wù)系統(tǒng)提供病歷服務(wù) 創(chuàng)建、添加、修改、閱讀、打印、查詢、統(tǒng)計等 不接受醫(yī)務(wù)人員的直接訪問 按照病歷的安全機制管理病歷 對病歷進行的操作應(yīng)有日志記錄 應(yīng)有數(shù)據(jù)備份機制 病歷管理系統(tǒng)的安全要求（續(xù)） 管理人員登錄系統(tǒng)應(yīng)驗證身份 管理人員應(yīng)按權(quán)限進行檢索、統(tǒng)計、復(fù)印、檢驗等操作 管理人員不能對病歷進行訪問操作 管理人員的操作行為應(yīng)有日志記錄醫(yī)療業(yè)務(wù)系統(tǒng) 安全需求 安全要求醫(yī)療業(yè)務(wù)系統(tǒng) 安全需求安全需求 安全要求醫(yī)療業(yè)務(wù)系統(tǒng)安全需求 應(yīng)當(dāng)為操作人員提供專有的身份標(biāo)識和識別手段，并設(shè)置有相應(yīng)權(quán)限；操作

15、人員對本人身份標(biāo)識的使用負(fù)責(zé) 醫(yī)務(wù)人員采用身份標(biāo)識登錄電子病歷系統(tǒng)完成各項記錄等操作并予確認(rèn)后，系統(tǒng)應(yīng)當(dāng)顯示醫(yī)務(wù)人員電子簽名。醫(yī)療業(yè)務(wù)系統(tǒng)安全需求（續(xù)） 電子病歷系統(tǒng)應(yīng)當(dāng)設(shè)置醫(yī)務(wù)人員審查、修改的權(quán)限和時限。 實習(xí)醫(yī)務(wù)人員、試用期醫(yī)務(wù)人員記錄的病歷，應(yīng)當(dāng)經(jīng)過在本醫(yī)療機構(gòu)合法執(zhí)業(yè)的醫(yī)務(wù)人員審閱、修改并予電子簽名確認(rèn)。 醫(yī)務(wù)人員修改時，電子病歷系統(tǒng)應(yīng)當(dāng)進行身份識別、保存歷次修改痕跡、標(biāo)記準(zhǔn)確的修改時間和修改人信息醫(yī)療業(yè)務(wù)系統(tǒng) 安全需求 安全要求安全要求醫(yī)療業(yè)務(wù)系統(tǒng)的安全要求 操作者登錄系統(tǒng)應(yīng)驗證身份 操作者應(yīng)按權(quán)限操作，權(quán)限應(yīng)分等級 操作者審查、修改的權(quán)限應(yīng)設(shè)置時限 操作者的行為應(yīng)有日志記錄，可追溯

16、 系統(tǒng)把操作的結(jié)果轉(zhuǎn)化為對病歷管理系統(tǒng)的訪問操作密碼基礎(chǔ)設(shè)施 密碼基礎(chǔ)設(shè)施提供的服務(wù) 密碼基礎(chǔ)設(shè)施簡要介紹密碼基礎(chǔ)設(shè)施 密碼基礎(chǔ)設(shè)施提供的服務(wù)密碼基礎(chǔ)設(shè)施提供的服務(wù) 密碼基礎(chǔ)設(shè)施簡要介紹密碼基礎(chǔ)設(shè)施提供的服務(wù) 提供通用密碼服務(wù) 數(shù)字簽名、驗簽 數(shù)據(jù)加密、解密 提供典型密碼服務(wù) 身份鑒別 權(quán)限管理 證書解析、驗證 時間戳 證據(jù)采集與管理密碼基礎(chǔ)設(shè)施 密碼基礎(chǔ)設(shè)施提供的服務(wù) 密碼基礎(chǔ)設(shè)施簡要介紹密碼基礎(chǔ)設(shè)施簡要介紹密碼基礎(chǔ)設(shè)施框架時間戳系統(tǒng)屬性證書系統(tǒng)證書認(rèn)證系統(tǒng)身份鑒別責(zé)任認(rèn)定單點登錄訪問控制時間戳典型密碼服務(wù)層通用密碼服務(wù)層密碼設(shè)備管理通用密碼服務(wù)密碼設(shè)備服務(wù)層密碼設(shè)備應(yīng)用 1 應(yīng)用 N公鑰密

17、碼基礎(chǔ)設(shè)施應(yīng)用技術(shù)體系框架基礎(chǔ)設(shè)施安全支撐平臺密碼基礎(chǔ)設(shè)施框架（續(xù)） 密碼設(shè)備服務(wù)層密碼設(shè)備服務(wù)層 由密碼機、密碼卡、智能密碼終端等設(shè)備組成，通過標(biāo)準(zhǔn)的密碼設(shè)備應(yīng)用接口向通用密碼服務(wù)層提供基礎(chǔ)密碼服務(wù)。 基礎(chǔ)密碼服務(wù)包括密鑰生成、單一的密碼運算、文件管理等服務(wù)。 密碼設(shè)備通過統(tǒng)一的設(shè)備管理接口來接受通用密碼服務(wù)層的密碼設(shè)備管理。密碼基礎(chǔ)設(shè)施框架（續(xù)） 通用密碼服務(wù)層通用密碼服務(wù)層 由通用密碼服務(wù)和密碼設(shè)備管理服務(wù)組成，為上層應(yīng)用提供與底層具體密碼設(shè)備透明的密碼服務(wù)和設(shè)備管理服務(wù)。 通用密碼服務(wù)層通過統(tǒng)一的密碼服務(wù)接口向典型密碼服務(wù)層和應(yīng)用層提供證書解析、證書認(rèn)證、信息的機密性、完整性和不可否認(rèn)

18、性等通用密碼服務(wù)。 將上層的密碼服務(wù)請求轉(zhuǎn)化為具體的基礎(chǔ)密碼操作請求，通過統(tǒng)一的密碼設(shè)備應(yīng)用接口調(diào)用相應(yīng)密碼設(shè)備實現(xiàn)具體的密碼運算和密鑰操作。 密碼設(shè)備管理向上層管理應(yīng)用提供統(tǒng)一的設(shè)備管理應(yīng)用接口，為實現(xiàn)遠(yuǎn)程密鑰管理、設(shè)備維護、設(shè)備監(jiān)控等上層管理應(yīng)用提供設(shè)備管理功能，將上層管理應(yīng)用的管理請求轉(zhuǎn)換為標(biāo)準(zhǔn)的消息調(diào)用，通過安全通道實現(xiàn)管理應(yīng)用與密碼設(shè)備間的消息傳遞。密碼基礎(chǔ)設(shè)施框架（續(xù)）典型密碼服務(wù)層典型密碼服務(wù)層 由責(zé)任認(rèn)定、身份鑒別、單點登錄、訪問控制和時間戳等服務(wù)組成，為上層應(yīng)用提供對應(yīng)的密碼功能服務(wù)。責(zé)任認(rèn)定通過標(biāo)準(zhǔn)接口為上層應(yīng)用提供證據(jù)采集服務(wù)，為責(zé)任認(rèn)定應(yīng)用系統(tǒng)提供可信證據(jù)，實現(xiàn)證據(jù)的存儲、歸檔、查詢和使用審計等管理功能。身份鑒別通過標(biāo)準(zhǔn)接口為上層應(yīng)用提供身份查詢、身份解析、身份驗證等身份鑒別服務(wù)。單點登錄通過標(biāo)準(zhǔn)接口為上層應(yīng)用提供登錄憑據(jù)的產(chǎn)生、獲取、驗證等服務(wù)，在相互間存在信任關(guān)系的應(yīng)用系統(tǒng)之間實現(xiàn)單點登錄和單點注銷。訪問控制通過標(biāo)準(zhǔn)接口為上層應(yīng)用提供系統(tǒng)資源的訪問控制，實現(xiàn)用戶管理，資源管理、訪問控制策略管理和用戶授權(quán)等功能。時間戳通過標(biāo)準(zhǔn)接口為上層應(yīng)用和典型密碼服務(wù)層其它組成部