醫(yī)院醫(yī)療數(shù)據(jù)無紙化安全平臺的設計與實現(xiàn)

鄭東山

關鍵詞：醫(yī)療數(shù)據(jù)；無紙化；安全平臺；合法性

中圖分類號：TP311 文獻標識碼：A

文章編號：1009-3044（2023）10-0102-03

0 引言

隨著醫(yī)療衛(wèi)生體制改革的逐步深入，醫(yī)院信息化作為醫(yī)療體制改革的重要抓手與載體的作用愈加明顯，在醫(yī)院信息管理系統(tǒng)的逐步發(fā)展與完善的背景下，醫(yī)療信息的互聯(lián)互通、共享的需求在不斷增長，醫(yī)療信息在傳輸與共享過程中，存在一定的不安全因素，一些偶然與惡意的破壞都會對醫(yī)療數(shù)據(jù)的完整性與嚴謹性造成不同程度的破壞，造成原始數(shù)據(jù)的失真。因此通過信息化手段在不改變醫(yī)院現(xiàn)有網(wǎng)絡架構的情況下，構建基于合法性可信患者臨床信息的安全平臺對于醫(yī)療機構而言是至關重要的。該平臺的建設有助于整合醫(yī)院現(xiàn)有各類信息資源，通過電子認證服務為醫(yī)療信息標準化、無紙化提供必要的應用基礎，也為醫(yī)療機構深入推進醫(yī)療流程標準化改造提供必要的技術保障。

1 平臺設計方案

在醫(yī)院原有網(wǎng)絡體系結構的環(huán)境下，對醫(yī)院內部各應用系統(tǒng)提供基礎安全解決方案，通過電子簽名認證、數(shù)據(jù)安全保密措施、數(shù)據(jù)完整性驗證、可信手寫簽名等技術，保障醫(yī)療電子數(shù)據(jù)的合法、安全、有效。做到各醫(yī)療流程數(shù)據(jù)完整可信，責任可追溯。

1.1 總體設計

平臺身份認證服務為院內各臨床信息系統(tǒng)參與者提供基礎憑證與憑證合法性認證，醫(yī)療機構通過接入CA中心服務，建立CA數(shù)字證書發(fā)放點，為各臨床、管理職能處室人員管理、發(fā)放電子身份憑證；醫(yī)療機構從業(yè)人員通過CA證書登錄院內信息系統(tǒng)，安全平臺通過簽名客戶端對登錄系統(tǒng)人員的身份憑據(jù)進行強制認證。另外，可信行為服務為醫(yī)院各信息系統(tǒng)解決醫(yī)療行為可追溯問題。醫(yī)生在電子病歷等醫(yī)院信息系統(tǒng)中所進行的關鍵操作，可以通過電子簽名客戶端完成數(shù)字簽名。通過在醫(yī)院信息系統(tǒng)集成數(shù)字簽名驗證服務器，實現(xiàn)處方、醫(yī)囑、病程記錄等關鍵醫(yī)療數(shù)據(jù)的真實、可信化，使醫(yī)療數(shù)據(jù)符合《電子簽名法》對可信數(shù)據(jù)電文的要求。通過時間戳服務器為醫(yī)院信息系統(tǒng)解決醫(yī)療行為時間準確性與真實性的問題。醫(yī)院信息系統(tǒng)保存的醫(yī)療數(shù)據(jù)，需要加蓋由國家授時時間源獲取的可信時間戳，確保此操作記錄的時間可靠性[1]，總體設計方案如圖1。

1.2 平臺架構

應用安全服務平臺以PKI/CA安全基礎設施為基礎，為數(shù)字醫(yī)療系統(tǒng)提供基于CA證書服務、身份認證為基礎的統(tǒng)一用戶管理界面，以數(shù)字簽名驗證、電子簽章服務為基礎的統(tǒng)一授權管理，以可信時間戳、數(shù)據(jù)加密服務為基礎的統(tǒng)一服務管理。從而提高數(shù)字醫(yī)療信息系統(tǒng)的安全性、可靠性，并使得數(shù)字醫(yī)療信息系統(tǒng)的數(shù)據(jù)和操作符合《電子病歷應用管理規(guī)范（試行）》和《電子簽名法》，并具有法律效力。平臺架構圖如圖2所示。

1.3 設備選型

簽名驗證服務器：專用的電子簽名/驗證設備，用于身份認證、數(shù)字簽名/驗證、數(shù)據(jù)加密/解密等功能。證書管理服務器：專用的數(shù)字證書管理設備，用于數(shù)字證書的批量更新、數(shù)字證書自動更新、客戶端推送升級。時間戳服務器：配合GPS/北斗/CDMA同步國家授時時間源設備，用于電子數(shù)據(jù)加蓋時間戳、時間同步等功能。智能標準時鐘系統(tǒng)：核心時鐘源系統(tǒng)的信號接收單元具有接收GPS/北斗標準時間信號的功能，為整個系統(tǒng)提供校時信號，校正計時系統(tǒng)的偏差。

電子簽章系統(tǒng)：負責提供電子印章的審批、授權、掛失等各流程的管理維護，負責醫(yī)療文書、檢查檢驗報告等有關文檔簽名的可視化顯示。

身份認證網(wǎng)關：建立業(yè)務系統(tǒng)統(tǒng)一門戶，提供統(tǒng)一用戶管理和授權訪問控制功能，實現(xiàn)網(wǎng)絡連接身份安全認證、數(shù)據(jù)安全加密傳輸。數(shù)字證書/介質：用于標識用戶身份，支持多種存儲介質如USBkey、藍牙Key等，滿足醫(yī)院不同使用場景和習慣的多樣化需求。

1.4 應用效果及特點

醫(yī)護人員身份確認：通過國家衛(wèi)生部認定的合法第三方電子認證服務機構，為醫(yī)療機構電子病歷服務器發(fā)放數(shù)字證書，確定其在網(wǎng)絡上的合法性，第三方認證服務機構為院內醫(yī)護人員辦法CA數(shù)字證書，可以采用智能手機App 認證與傳統(tǒng)USBKey 結合的形式，確認用戶身份，保證個人賬戶的安全，同時確認醫(yī)護人員在應用系統(tǒng)中的合法使用權益。

醫(yī)療數(shù)據(jù)的不可抵賴性：通過在院內電子病歷系統(tǒng)、各臨床信息系統(tǒng)部署電子簽名服務，實現(xiàn)了醫(yī)療文書、檢查檢驗報告的可視化簽名認證，做到了醫(yī)療從業(yè)人員的在關鍵操作節(jié)點的不可否定性，確保電子醫(yī)療文書具備相應的法律效力。有助于醫(yī)政管理部門建立起醫(yī)療糾紛的三方認定機制，同時是醫(yī)院實施電子文書無紙化的先決條件。

醫(yī)療信息產生時間的確定性：在醫(yī)院電子病歷系統(tǒng)的使用中，電子文書的書寫關鍵時間節(jié)點是至關重要的。通過時間戳服務器在電子病歷系統(tǒng)中的部署，實時從國家授時時間源獲取可靠時間，確保信息產生時間的不可否定性。其中，時間戳服務器自身包含由第三方認證機構頒發(fā)數(shù)字證書，并對國家授時時間進行數(shù)字簽名，確保通過權威機構的準確認證。

醫(yī)療信息的安全性與完整性：通過在院內電子病歷系統(tǒng)中使用簽名驗證服務器，不但可以保證登錄系統(tǒng)的人員合法身份，還可以進行數(shù)據(jù)簽名、驗證，確保數(shù)據(jù)的機密性和完整性。

無紙化安全平臺的應用與實施解決了醫(yī)療機構內部在系統(tǒng)數(shù)據(jù)交互過程中的身份認證、行為確認、數(shù)據(jù)完整、可信時間節(jié)點等問題，使得整個醫(yī)療數(shù)據(jù)產生過程與紙質醫(yī)療文書一樣具備法律效力。從而真正解決了數(shù)據(jù)在醫(yī)院信息管理系統(tǒng)流轉中的真實性、可靠性同時解決了醫(yī)療數(shù)據(jù)被篡改的問題[2]。

2 平臺實施步驟

醫(yī)院數(shù)字醫(yī)療平臺涉及HIS、LIS、EMR、PACS等重要醫(yī)療信息系統(tǒng)，同時要與應用系統(tǒng)開發(fā)商集成安全組件，以實現(xiàn)可信身份認證、數(shù)據(jù)簽名/驗證、數(shù)據(jù)加密/解密、電子簽章、遠程訪問等安全功能，實施技術要求高、涉及面廣，系統(tǒng)建設應按照“統(tǒng)一規(guī)劃、分步實施”的原則分步實施。

2.1 數(shù)字證書發(fā)放

醫(yī)院各科室對需要使用證書的用戶信息進行統(tǒng)計，包括：用戶名稱、身份證件信息、用戶科室等關鍵信息，將相關信息組織成文檔，經過確定后發(fā)送給證書代理點，申請發(fā)放相關證書。

證書發(fā)放具體流程如下：

1）醫(yī)院收集填寫醫(yī)護人員信息表，完成整理后，統(tǒng)一核實信息的真實性與可靠性。

2）醫(yī)院相關部門對需要辦理USBKey的工作人員信息進行確認、審核證書申請列表信息，出具人員信息真實聲明。

3）相關人員信息資料統(tǒng)一發(fā)送給醫(yī)院證書代理點，由其統(tǒng)一發(fā)放有效證書，并將數(shù)字證書存放到US?BKey中。

4）將包含用戶有效證書的USBKey（其中包含用戶基本信息、對應的密鑰和證書）返回醫(yī)院科室，完成證書申請過程。

2.2 電子簽章系統(tǒng)實施

電子簽章系統(tǒng)由簽章服務端程序和簽章客戶端程序組成，電子簽章管理系統(tǒng)（服務端）、電子簽章服務程序和數(shù)據(jù)庫服務器部署在簽章服務端，簽章應用系統(tǒng)、印章制作工具部署在簽章客戶端，管理員可以通過瀏覽器，在任意一臺計算機上對簽章服務進行配置、管理；普通用戶可以使用印章制作工具制作印章后，通過瀏覽器，在任意一臺計算機上對自己的印章等信息進行管理，用戶的管理請求經過管理員的審核后即可生效。

在實際應用系統(tǒng)中集成電子簽章控件的相關功能接口，再配合使用個人電子簽章USBKey即可在應用系統(tǒng)中實現(xiàn)電子簽章。

2.3 時間戳與簽名服務器部署

1）前期準備

本項目部署、實施時間戳服務器，為保證實施順利，需要做好充分的準備工作，包括收集客戶網(wǎng)絡配置信息，及應用情況。做好準備工作。

2）產品部署

為保證用戶能及時進行獲取簽名、驗證、身份認證操作，在實施時，需要將簽名驗證服務器的服務端口投放到服務網(wǎng)絡中，讓應用服務器、用戶均能訪問。簽名服務器網(wǎng)絡架構如圖3所示。

2.4 任務分解

為保證醫(yī)院信息系統(tǒng)電子簽名及電子認證體系的穩(wěn)定運行，電子簽名及電子認證體系中的相關實施過程設計業(yè)務系統(tǒng)相關的各方面人員，因此需要“統(tǒng)一協(xié)調，統(tǒng)一步調，統(tǒng)一目標”，為此在實施中可能設計到的各方人員及相關工作表述如下：

院方：需要信息處機房管理人員參與，主要工作包括設備、服務器進入機房，配置設備、服務器接入網(wǎng)絡，分配合法網(wǎng)絡IP，規(guī)劃設備、服務器放置位置及分配網(wǎng)絡線路，參與規(guī)劃可能涉及的線路走線等工作。

業(yè)務系統(tǒng)方：在產品方提供相應接口的情況下，與客戶協(xié)調電子簽名及CA認證體系添加點，數(shù)據(jù)表現(xiàn)形式，數(shù)據(jù)存儲、集成、測試，并最終實現(xiàn)客戶方希望達到的安全認證需求。

平臺實施方：要根據(jù)院方要求，部署產品服務器，根據(jù)要求配置相關產品服務器參數(shù)，順利并入院內相關網(wǎng)絡，在網(wǎng)絡中測試設備運行正常，服務連接正常；為業(yè)務系統(tǒng)方提供產品配套的接口，配合業(yè)務系統(tǒng)方接口集成，與業(yè)務系統(tǒng)方通力合作，實現(xiàn)院方的最終目標。

3 無紙化實施案例

3.1 電子病案歸檔

平臺依托電子病案管理系統(tǒng)，實現(xiàn)如下設計功能：

1） 將電子醫(yī)療數(shù)據(jù)從源頭采集進行檔案化封裝，形成與應用無關、不可抵賴、易閱讀、被法律認可的版式文檔；

2） 采用模板技術、可控的虛擬打印技術實現(xiàn)對電子醫(yī)療數(shù)據(jù)的PDF版式轉化，提供便捷的模板定制工具，實現(xiàn)模塊快速定制；

3） 基于《醫(yī)療機構病歷管理規(guī)定》《電子病歷基本規(guī)范》《衛(wèi)生系統(tǒng)電認證服務管理辦法》等文件，設計電子病案管理和使用的業(yè)務功能；實現(xiàn)醫(yī)院病案生成和歸檔管理。

3.2 醫(yī)療數(shù)據(jù)的版式轉換

醫(yī)療數(shù)據(jù)散落在醫(yī)院各類信息系統(tǒng)中，要實現(xiàn)醫(yī)療數(shù)據(jù)的版式化轉化，首先需要從不同臨床業(yè)務系統(tǒng)中抽取醫(yī)療數(shù)據(jù)，然后依托預先設定的各類業(yè)務的模板進行版式文件的組合，最后生成版式文件。圖4展示了醫(yī)療數(shù)據(jù)版式化轉化過程：

1） 數(shù)據(jù)采集：各類臨床業(yè)務系統(tǒng)可以通過開放數(shù)據(jù)庫醫(yī)療數(shù)據(jù)采集接口收集各類醫(yī)療數(shù)據(jù)；或者業(yè)務系統(tǒng)提供整合好的XML文件，將醫(yī)療數(shù)據(jù)提供給可信病案管理信息系統(tǒng)；

2） 模板匹配：根據(jù)預先定義好的模板和匹配關系，將模板和數(shù)據(jù)進行匹配，實現(xiàn)醫(yī)療數(shù)據(jù)的PDF版式轉化；

3） 可信處理：進行下一步可信的版式文件處理。

3.3 電子病案的可信處理

電子病案的可信處理包括：原始醫(yī)療數(shù)據(jù)的過程簽名信息的保存、PDF病案的電子簽章、PDF病案的時間戳、打印文件的二維碼和數(shù)字水印保護。

1） 從臨床業(yè)務系統(tǒng)中獲取“原文數(shù)據(jù)+數(shù)字證書+ 數(shù)字簽名+時間戳等信息”；

2） 通過系統(tǒng)提供的專用接口，將上述信息對應到生成的PDF 版式文件，保存到PDF 版式文件隱藏域中[3]；

3） 對新生成的PDF版式文件調用PDF簽章服務器進行電子簽章；

4） 調用時間戳服務器，實現(xiàn)對PDF版式文件的時間戳加蓋；

5） 基于系統(tǒng)提供的二維碼和數(shù)字水印服務，產生二維碼和數(shù)字水印。

3.4 電子病案的輸出與借閱

以單個患者病歷目錄的方式整合打包，按權限輸出病歷檔案數(shù)據(jù)，以簽名方式加密輸出的數(shù)據(jù)文件，保證數(shù)據(jù)的安全性、防擴散。病案調閱提供兩種途徑：一種是在HIS系統(tǒng)中的病案內部調閱；另外一種是在專門的病案查閱室完成的外部調閱。

4 結束語

該項目已在天津市腫瘤醫(yī)院及分院區(qū)安全、穩(wěn)定運行半年有余，CA數(shù)字簽章已覆蓋到各臨床醫(yī)師的電子處方、電子病歷、智慧護理以及各類檢查檢驗相關子系統(tǒng)。安全平臺的運行滿足了醫(yī)政、病案等職能處室的管理需求以及各臨床檢診科室的無紙化需求，收到了良好的效果。同時，醫(yī)療無紙化安全平臺的實施與應用也在一定程度上對醫(yī)院內部的診療流程與診療行為起到了安全認證、規(guī)范化的促進作用，同時在醫(yī)院臨床診療過程當中也會不斷發(fā)現(xiàn)新問題，總結經驗積極推進醫(yī)療數(shù)據(jù)的無紙化廣泛應用。