信息安全體系在電子病歷中的應(yīng)用

信息安全體系在電子病歷中的應(yīng)用

電子病歷（er）是一種通過計算機(jī)手段進(jìn)行采集、加工、存儲、傳輸和服務(wù)的數(shù)字醫(yī)療記錄系統(tǒng)。該系統(tǒng)允許用戶訪問完整的數(shù)據(jù)、警告、提示和臨床決策。隨著EMR研究的不斷深入,其有助于提高醫(yī)療質(zhì)量、降低醫(yī)療成本和改善工作流程的優(yōu)點(diǎn)日益凸顯,并逐漸上升到個人健康記錄(personalhealthrecords,PHR)的層次。許多國家投以巨資進(jìn)行研究和開發(fā),如美國在2006年度聯(lián)邦政府預(yù)算中為實(shí)施EMR設(shè)立了1.25億美元的?？?布什總統(tǒng)要求醫(yī)療界在10年內(nèi)徹底取消傳統(tǒng)的紙張病歷,讓所有美國人都擁有一份PHR?；赪eb的電子病歷(Web-EMR)是適應(yīng)PHR概念的不斷發(fā)展,依托現(xiàn)代網(wǎng)絡(luò)建立的一個完整的、終身的、縱向的、多媒體的、包含所有重要臨床和健康信息的記錄系統(tǒng)。由于Web-EMR突破了傳統(tǒng)病歷的建立和保存概念,致力于在線病歷的存取和查閱,其安全性問題愈顯突出,已經(jīng)成為影響到電子病歷能否健康順利發(fā)展的關(guān)鍵性課題。一、數(shù)據(jù)的可靠性、完整性和適用性保護(hù)電子病歷信息的安全存儲、傳輸和使用涉及其各種數(shù)據(jù)的可靠性、完整性和可用性的保護(hù)。分析Web-EMR的信息安全需求,主要有以下五個方面。(一)網(wǎng)絡(luò)安全的保障病歷信息直接記載著患者的臨床和健康信息,包括某些個人的隱私。維護(hù)患者的機(jī)密和隱私權(quán)是Web-EMR全面推廣應(yīng)用的重要保障。因此,必須預(yù)防非法的信息存取、利用和信息在網(wǎng)絡(luò)傳輸過程中被截獲或竊取。機(jī)密性要求可通過用戶認(rèn)證和用于傳輸信息的密碼技術(shù)得以實(shí)現(xiàn)。(二)信息上傳制度確保病歷信息的完整性、真實(shí)性是Web-EMR應(yīng)用的基礎(chǔ)。要預(yù)防對電子病歷信息的隨意生成、修改和刪除,防止數(shù)據(jù)傳輸過程中的信息丟失和重復(fù),保證信息傳送次序的統(tǒng)一和規(guī)范。完整性要求可以通過數(shù)字簽名(digitalsignature)的方法實(shí)現(xiàn)。(三)基于emr的統(tǒng)一檢查行為的有效性病歷記錄是醫(yī)務(wù)人員和患者維護(hù)自身權(quán)益不受侵犯的重要法律依據(jù)。如何確定醫(yī)患雙方行為的合法性是保證Web-EMR順利實(shí)施的關(guān)鍵。因此,在臨床診療和健康檢查過程中,醫(yī)務(wù)人員對病歷內(nèi)容的記錄、修改以及醫(yī)生行為發(fā)生的時間必須是不可抵賴的。通過數(shù)字簽名同樣可以為不可抵賴性提供可靠的標(biāo)識。(四)醫(yī)務(wù)人員和醫(yī)療機(jī)構(gòu)身份確認(rèn)由于Web-EMR系統(tǒng)的特殊性,患者與醫(yī)務(wù)人員或醫(yī)療機(jī)構(gòu)的交流都可以在虛擬的網(wǎng)絡(luò)環(huán)境中進(jìn)行,所以對患者、醫(yī)務(wù)人員或醫(yī)療機(jī)構(gòu)進(jìn)行身份確認(rèn)成為Web-EMR系統(tǒng)應(yīng)用過程中十分重要的一環(huán)。當(dāng)某人或機(jī)構(gòu)聲稱具有某個特定的身份時,鑒別服務(wù)將提供一種方法來驗(yàn)證其聲明的正確性。一般會通過認(rèn)證中心(certificateauthority,CA)和數(shù)字證書(digitalcertificate或digitalID)來實(shí)現(xiàn)。(五)信息的有效性如何保證電子形式的病歷信息的有效性是開展Web-EMR服務(wù)的前提。Web-EMR作為病歷記錄的一種形式,其信息的有效性將直接關(guān)系到患者、醫(yī)務(wù)人員或醫(yī)療機(jī)構(gòu)的利益和聲譽(yù)。因此,要對網(wǎng)絡(luò)故障、硬件故障、系統(tǒng)軟件錯誤、應(yīng)用程序錯誤、操作錯誤及計算機(jī)病毒所產(chǎn)生的潛在威脅加以控制和預(yù)防,以確保病歷數(shù)據(jù)在確定的時刻、確定的地點(diǎn)是有效的。二、網(wǎng)絡(luò)安全系統(tǒng)(一)web-emr安全管理模型構(gòu)建Web-EMR安全體系必須以信息系統(tǒng)的安全標(biāo)準(zhǔn)和安全模型為依據(jù)。目前國內(nèi)外的信息安全標(biāo)準(zhǔn)和管理模型已有多種。本研究參考了國外的網(wǎng)絡(luò)風(fēng)險管理模型和適合國情的新型管理模型,結(jié)合基于Web的電子病歷特點(diǎn)設(shè)計了Web-EMR安全管理模型(圖1),試圖滿足WebEMR系統(tǒng)安全的要求。從圖1可以看出,明確安全需求是安全管理的第一步;依據(jù)Web-EMR的安全需求,有針對性地采取各種技術(shù)保護(hù)措施以實(shí)現(xiàn)系統(tǒng)的安全目標(biāo);同時建立用于發(fā)現(xiàn)非法活動、黑客入侵、病毒破壞乃至文件完整性的安全檢測系統(tǒng);一旦發(fā)現(xiàn)問題,可以采取補(bǔ)救措施。4者組成一個循環(huán)鏈,隨時與Web-EMR安全管理中心交互信息,做出安全決策,必要時向高層管理匯報。(二)數(shù)據(jù)安全支撐平臺信息安全平臺是保護(hù)Web-EMR資源的整體性解決方案,由公共安全支撐平臺和應(yīng)用安全支撐平臺兩部分構(gòu)成。公共安全支撐平臺構(gòu)建統(tǒng)一的信任服務(wù)體系,是應(yīng)用安全支撐平臺運(yùn)作的基礎(chǔ),而應(yīng)用安全支撐平臺則直接為Web-EMR系統(tǒng)的應(yīng)用提供安全和信任服務(wù)。信息安全平臺建立在Internet基礎(chǔ)設(shè)施之上,連接各個醫(yī)療機(jī)構(gòu)(醫(yī)院、診所、社區(qū)醫(yī)療站等)和衛(wèi)生保健部門的局域網(wǎng),形成一個無地域界限的電子病歷資源網(wǎng)絡(luò)。其中的公共安全支撐平臺是基于公鑰基礎(chǔ)設(shè)施(publickeyinfrastructure,PKI)和授權(quán)管理基礎(chǔ)設(shè)施(privilegemanagementinfrastructure,PMI)構(gòu)建的一個基本的安全支撐環(huán)境,主要部件包括認(rèn)證中心(CA)、授權(quán)中心(AA)、密鑰管理(KM)、策略中心(PA)和時間戳服務(wù)(timestampprotocol,TSP)。應(yīng)用安全支撐平臺則是由認(rèn)證系統(tǒng)、資源控制系統(tǒng)、授權(quán)系統(tǒng)、密碼系統(tǒng)和適配系統(tǒng)組成,為本地網(wǎng)絡(luò)中的電子病歷應(yīng)用和信息資源提供保護(hù)。三、學(xué)習(xí)和引進(jìn)電子病歷新方法新技術(shù)Web-EMR的安全技術(shù)應(yīng)盡可能地采用現(xiàn)有較為成熟的相關(guān)技術(shù),借助我國網(wǎng)絡(luò)基礎(chǔ)設(shè)施、安全法規(guī)、標(biāo)準(zhǔn)等不斷完善和迅速發(fā)展的勢頭,充分學(xué)習(xí)和引進(jìn)目前已被證實(shí)可行并適合電子病歷應(yīng)用的新方法和新技術(shù)。本課題的研究中主要涉及有以下幾種技術(shù)的應(yīng)用。(一)pki體系中用戶身份信息的建立PKI是信息安全基礎(chǔ)設(shè)施的一部分,是一種遵循標(biāo)準(zhǔn)的利用公鑰加密技術(shù)為用戶和應(yīng)用程序提供數(shù)據(jù)機(jī)密性、完整性、網(wǎng)上身份認(rèn)證和行為不可抵賴的一套安全基礎(chǔ)平臺的技術(shù)和規(guī)范。PKI是一個由多部件構(gòu)成的綜合系統(tǒng),可通過公鑰數(shù)字證書的方式為每一個合法用戶提供合法的身份證明,并通過公鑰密碼體制中用戶私鑰的機(jī)密性來提供用戶身份的惟一性驗(yàn)證,在用戶的實(shí)體身份與數(shù)字證書的標(biāo)識(Identification,ID)號間建立起惟一的映射關(guān)系。建立一個完整的PKI平臺,可利用PKI技術(shù)對Web-EMR系統(tǒng)提供安全支持,為Web-EMR系統(tǒng)建立全面、完善的信任服務(wù)和密鑰管理體系提供可靠的保障。PMI也是信息安全基礎(chǔ)設(shè)施的一個重要組成部分,目標(biāo)是向用戶和應(yīng)用程序提供授權(quán)管理服務(wù),提供用戶身份到應(yīng)用授權(quán)的映射功能,提供與實(shí)際應(yīng)用處理模式相對應(yīng)的、與具體應(yīng)用系統(tǒng)開發(fā)和管理無關(guān)的授權(quán)和訪問控制機(jī)制,簡化具體應(yīng)用系統(tǒng)的開發(fā)與維護(hù)。PMI是一個屬性證書、屬性權(quán)威、屬性證書庫等部件構(gòu)成的綜合系統(tǒng),用來實(shí)現(xiàn)權(quán)限和證書的產(chǎn)生、管理、存儲、分發(fā)和撤銷等功能。(二)實(shí)驗(yàn)數(shù)據(jù)的定義數(shù)字簽名(digitalsignature)是采用雙重加密的方法來實(shí)現(xiàn)數(shù)據(jù)的完整性和數(shù)據(jù)的真實(shí)性。由此可以解決兩個問題:①確認(rèn)信息是由簽名者發(fā)送的;②信息自簽名后發(fā)出至接受者收到為止未曾作過任何修改。由于Web-EMR不僅在其文檔的不同組成部分或不同時期需要不同的負(fù)責(zé)醫(yī)生進(jìn)行簽名確認(rèn),同時還要有利于病歷通過Internet的遠(yuǎn)程交換和適應(yīng)病歷內(nèi)容的變化與發(fā)展,所以本研究選擇了可擴(kuò)展標(biāo)記語言(extensiblemarkuplanguage,XML)數(shù)字簽名技術(shù)。其不僅可以實(shí)現(xiàn)對整篇病歷文檔的簽名,更重要的是能夠?qū)Σv文檔的特定部分進(jìn)行簽名,而且可以保留電子病歷的信息結(jié)構(gòu),對病歷的表達(dá)更直接和更直觀。XML數(shù)字簽名的標(biāo)準(zhǔn)——XML-signaturesyntaxandprocessing(XMLsignature)是由負(fù)責(zé)制訂Web技術(shù)標(biāo)準(zhǔn)的W3C(WorldWideWebConsortium)組織于2002年作為數(shù)字簽名的規(guī)范推薦的。W3C將XML數(shù)字簽名解釋為:定義一種與XML語法兼容的數(shù)字簽名語法描述規(guī)范,描述數(shù)字簽名本身和簽名的生成與驗(yàn)證過程。作為一個安全有效的數(shù)字簽名方案,該規(guī)范可以滿足Web-EMR數(shù)字簽名的完整性(integrity)、簽名確認(rèn)(authentication)和不可抵賴性(nonerepudiation)的要求。(三)密鑰加密和分配加密技術(shù)是一種主動的信息安全防范措施,其原理是利用一定的加密算法,將明文轉(zhuǎn)換成為無意義的密文,阻止非法用戶理解原始數(shù)據(jù),從而確保數(shù)據(jù)的機(jī)密性。目前常用的加密技術(shù)有私用密鑰和公共密鑰(privatekeyandpublickey)。私鑰加密,又稱對稱密鑰加密,即信息的發(fā)送方和接受方用一個密鑰去加密和解密數(shù)據(jù)。其最大的優(yōu)勢是簡化了加密的處理,加密和解密的速度快,適合于對大數(shù)據(jù)量進(jìn)行加密,但密鑰管理困難。公共密鑰加密,又稱非對稱密鑰加密系統(tǒng),它需要使用一對密鑰來分別完成加密和解密操作,一個公開發(fā)布,即公開密鑰,另一個由用戶自己秘密保存,即私用密鑰,它只能由生成密鑰對的一方掌握。信息發(fā)送者用公開密鑰去加密,而信息接受者則用私用密鑰去解密。公鑰機(jī)制靈活,但加密和解密速度卻比對稱密鑰加密慢得多。在Web-EMR系統(tǒng)中,電子病歷在傳輸過程中的安全性至關(guān)重要。同時還要針對不同權(quán)限的用戶,使其最終看到在權(quán)限允許范圍內(nèi)的信息。例如,醫(yī)護(hù)人員可能需要醫(yī)療詳細(xì)信息或部分個人資料,而研究人員則不需要查看醫(yī)療歷史。因此,本設(shè)計中采用了公共密鑰加密的方法,加密算法采用RSA(rivest-shamir-adleman)算法。為了使數(shù)據(jù)加密和數(shù)字簽名真正安全可靠,公共密鑰的分配是其關(guān)鍵技術(shù)之一。公共密鑰的分配技術(shù)有多種,在WebEMR系統(tǒng)中采用公共密鑰證書的方法來解決密鑰分配的問題,具體有四個方面的要求:①醫(yī)患雙方及其管理方都可以閱讀證書以確定證書擁有者的名字和公共密鑰;②任何一方都可以驗(yàn)證證書的來源以鑒定真?zhèn)?③任何一方都可以驗(yàn)證證書的時效性以確定是否有效;④只有證書管理機(jī)構(gòu)才能制作和更新證書。(四)不可抵賴的行為數(shù)字時間戳(digitaltimestamp,DTS)是一個經(jīng)過加密后形成的憑證文檔,其內(nèi)容包括記錄和修改病歷的權(quán)威時間。當(dāng)醫(yī)生對電子病歷內(nèi)容進(jìn)行記錄或修改后,他們的行為必須是不可抵賴的。這種行為的不可抵賴性,不但可以通過上述的數(shù)字簽名來驗(yàn)證其身份,而且還可以通過數(shù)字時間戳將其簽名的時間記錄下來。當(dāng)需要驗(yàn)證Web-EMR中醫(yī)生行為的時間時,驗(yàn)證者通過取得時間戳服務(wù)器的證書,驗(yàn)證時間戳即可得到簽名時間,醫(yī)生行為發(fā)生的時間也就不可抵賴了。(五)web-emr的身份認(rèn)證數(shù)字證書(digitalcertificate,digitalID)是利用電子手段來證實(shí)一個用戶的身份及用戶對Web-EMR的訪問權(quán)限的工具。一般可分為四種類型:醫(yī)生證書、病員證書、網(wǎng)關(guān)證書和CA系統(tǒng)證書。在臨床診療和保健過程中,醫(yī)患雙方都必須利用認(rèn)證中心簽發(fā)的數(shù)字證書來證明各自的身份。數(shù)字證書由證書管理中心進(jìn)行數(shù)字簽名后,任何第三方都無法修改證書的內(nèi)容。只有申請了相應(yīng)數(shù)字證書的人,才能使用安全的電子病歷進(jìn)行網(wǎng)上醫(yī)療和保健活動。(六)web-emr安全體系設(shè)計認(rèn)證中心(certificateauthority,CA)是承擔(dān)網(wǎng)上認(rèn)證服務(wù),包括簽發(fā)數(shù)字證書,并能確認(rèn)用戶身份的服務(wù)機(jī)構(gòu)或授權(quán)機(jī)構(gòu)。認(rèn)證中心依據(jù)認(rèn)證操作規(guī)定(certificationpracticestatement,CPS)受理數(shù)字證書的申請、簽發(fā)及對數(shù)字證書的管理等。因此,無論是數(shù)字證書的發(fā)放,還是數(shù)字時間戳服務(wù),都不是由醫(yī)生和病員