医院医疗数据无纸化安全平台的设计与实现

郑东山

关键词：医疗数据；无纸化；安全平台；合法性

中图分类号：TP311 文献标识码：A

文章编号：1009-3044（2023）10-0102-03

0 引言

随着医疗卫生体制改革的逐步深入，医院信息化作为医疗体制改革的重要抓手与载体的作用愈加明显，在医院信息管理系统的逐步发展与完善的背景下，医疗信息的互联互通、共享的需求在不断增长，医疗信息在传输与共享过程中，存在一定的不安全因素，一些偶然与恶意的破坏都会对医疗数据的完整性与严谨性造成不同程度的破坏，造成原始数据的失真。因此通过信息化手段在不改变医院现有网络架构的情况下，构建基于合法性可信患者临床信息的安全平台对于医疗机构而言是至关重要的。该平台的建设有助于整合医院现有各类信息资源，通过电子认证服务为医疗信息标准化、无纸化提供必要的应用基础，也为医疗机构深入推进医疗流程标准化改造提供必要的技术保障。

1 平台设计方案

在医院原有网络体系结构的环境下，对医院内部各应用系统提供基础安全解決方案，通过电子签名认证、数据安全保密措施、数据完整性验证、可信手写签名等技术，保障医疗电子数据的合法、安全、有效。做到各医疗流程数据完整可信，责任可追溯。

1.1 总体设计

平台身份认证服务为院内各临床信息系统参与者提供基础凭证与凭证合法性认证，医疗机构通过接入CA中心服务，建立CA数字证书发放点，为各临床、管理职能处室人员管理、发放电子身份凭证；医疗机构从业人员通过CA证书登录院内信息系统，安全平台通过签名客户端对登录系统人员的身份凭据进行强制认证。另外，可信行为服务为医院各信息系统解决医疗行为可追溯问题。医生在电子病历等医院信息系统中所进行的关键操作，可以通过电子签名客户端完成数字签名。通过在医院信息系统集成数字签名验证服务器，实现处方、医嘱、病程记录等关键医疗数据的真实、可信化，使医疗数据符合《电子签名法》对可信数据电文的要求。通过时间戳服务器为医院信息系统解决医疗行为时间准确性与真实性的问题。医院信息系统保存的医疗数据，需要加盖由国家授时时间源获取的可信时间戳，确保此操作记录的时间可靠性[1]，总体设计方案如图1。

1.2 平台架构

应用安全服务平台以PKI/CA安全基础设施为基础，为数字医疗系统提供基于CA证书服务、身份认证为基础的统一用户管理界面，以数字签名验证、电子签章服务为基础的统一授权管理，以可信时间戳、数据加密服务为基础的统一服务管理。从而提高数字医疗信息系统的安全性、可靠性，并使得数字医疗信息系统的数据和操作符合《电子病历应用管理规范（试行）》和《电子签名法》，并具有法律效力。平台架构图如图2所示。

1.3 设备选型

签名验证服务器：专用的电子签名/验证设备，用于身份认证、数字签名/验证、数据加密/解密等功能。证书管理服务器：专用的数字证书管理设备，用于数字证书的批量更新、数字证书自动更新、客户端推送升级。时间戳服务器：配合GPS/北斗/CDMA同步国家授时时间源设备，用于电子数据加盖时间戳、时间同步等功能。智能标准时钟系统：核心时钟源系统的信号接收单元具有接收GPS/北斗标准时间信号的功能，为整个系统提供校时信号，校正计时系统的偏差。

电子签章系统：负责提供电子印章的审批、授权、挂失等各流程的管理维护，负责医疗文书、检查检验报告等有关文档签名的可视化显示。

身份认证网关：建立业务系统统一门户，提供统一用户管理和授权访问控制功能，实现网络连接身份安全认证、数据安全加密传输。数字证书/介质：用于标识用户身份，支持多种存储介质如USBkey、蓝牙Key等，满足医院不同使用场景和习惯的多样化需求。

1.4 应用效果及特点

医护人员身份确认：通过国家卫生部认定的合法第三方电子认证服务机构，为医疗机构电子病历服务器发放数字证书，确定其在网络上的合法性，第三方认证服务机构为院内医护人员办法CA数字证书，可以采用智能手机App 认证与传统USBKey 结合的形式，确认用户身份，保证个人账户的安全，同时确认医护人员在应用系统中的合法使用权益。

医疗数据的不可抵赖性：通过在院内电子病历系统、各临床信息系统部署电子签名服务，实现了医疗文书、检查检验报告的可视化签名认证，做到了医疗从业人员的在关键操作节点的不可否定性，确保电子医疗文书具备相应的法律效力。有助于医政管理部门建立起医疗纠纷的三方认定机制，同时是医院实施电子文书无纸化的先决条件。

医疗信息产生时间的确定性：在医院电子病历系统的使用中，电子文书的书写关键时间节点是至关重要的。通过时间戳服务器在电子病历系统中的部署，实时从国家授时时间源获取可靠时间，确保信息产生时间的不可否定性。其中，时间戳服务器自身包含由第三方认证机构颁发数字证书，并对国家授时时间进行数字签名，确保通过权威机构的准确认证。

医疗信息的安全性与完整性：通过在院内电子病历系统中使用签名验证服务器，不但可以保证登录系统的人员合法身份，还可以进行数据签名、验证，确保数据的机密性和完整性。

无纸化安全平台的应用与实施解决了医疗机构内部在系统数据交互过程中的身份认证、行为确认、数据完整、可信时间节点等问题，使得整个医疗数据产生过程与纸质医疗文书一样具备法律效力。从而真正解决了数据在医院信息管理系统流转中的真实性、可靠性同时解决了医疗数据被篡改的问题[2]。

2 平台实施步骤

医院数字医疗平台涉及HIS、LIS、EMR、PACS等重要医疗信息系统，同时要与应用系统开发商集成安全组件，以实现可信身份认证、数据签名/验证、数据加密/解密、电子签章、远程访问等安全功能，实施技术要求高、涉及面广，系统建设应按照“统一规划、分步实施”的原则分步实施。

2.1 数字证书发放

医院各科室对需要使用证书的用户信息进行统计，包括：用户名称、身份证件信息、用户科室等关键信息，将相关信息组织成文档，经过确定后发送给证书代理点，申请发放相关证书。

证书发放具体流程如下：

1）医院收集填写医护人员信息表，完成整理后，统一核实信息的真实性与可靠性。

2）医院相关部门对需要办理USBKey的工作人员信息进行确认、审核证书申请列表信息，出具人员信息真实声明。

3）相关人员信息资料统一发送给医院证书代理点，由其统一发放有效证书，并将数字证书存放到US?BKey中。

4）将包含用户有效证书的USBKey（其中包含用户基本信息、对应的密钥和证书）返回医院科室，完成证书申请过程。

2.2 电子签章系统实施

电子签章系统由签章服务端程序和签章客户端程序组成，电子签章管理系统（服务端）、电子签章服务程序和数据库服务器部署在签章服务端，签章应用系统、印章制作工具部署在签章客户端，管理员可以通过浏览器，在任意一台计算机上对签章服务进行配置、管理；普通用户可以使用印章制作工具制作印章后，通过浏览器，在任意一台计算机上对自己的印章等信息进行管理，用户的管理请求经过管理员的审核后即可生效。

在实际应用系统中集成电子签章控件的相关功能接口，再配合使用个人电子签章USBKey即可在应用系统中实现电子签章。

2.3 时间戳与签名服务器部署

1）前期准备

本项目部署、实施时间戳服务器，为保证实施顺利，需要做好充分的准备工作，包括收集客户网络配置信息，及应用情况。做好准备工作。

2）产品部署

为保证用户能及时进行获取签名、验证、身份认证操作，在实施时，需要将签名验证服务器的服务端口投放到服务网络中，让应用服务器、用户均能访问。签名服务器网络架构如图3所示。

2.4 任务分解

为保证医院信息系统电子签名及电子认证体系的稳定运行，电子签名及电子认证体系中的相关实施过程设计业务系统相关的各方面人员，因此需要“统一协调，统一步调，统一目标”，为此在实施中可能设计到的各方人员及相关工作表述如下：

院方：需要信息处机房管理人员参与，主要工作包括设备、服务器进入机房，配置设备、服务器接入网络，分配合法网络IP，规划设备、服务器放置位置及分配网络线路，参与规划可能涉及的线路走线等工作。

业务系统方：在产品方提供相应接口的情况下，与客户协调电子签名及CA认证体系添加点，数据表现形式，数据存储、集成、测试，并最终实现客户方希望达到的安全认证需求。

平台实施方：要根据院方要求，部署产品服务器，根据要求配置相关产品服务器参数，顺利并入院内相关网络，在网络中测试设备运行正常，服务连接正常；为业务系统方提供产品配套的接口，配合业务系统方接口集成，与业务系统方通力合作，实现院方的最终目标。

3 无纸化实施案例

3.1 电子病案归档

平台依托电子病案管理系统，实现如下设计功能：

1） 将电子医疗数据从源头采集进行档案化封装，形成与应用无关、不可抵赖、易阅读、被法律认可的版式文档；

2） 采用模板技术、可控的虚拟打印技术实现对电子医疗数据的PDF版式转化，提供便捷的模板定制工具，实现模块快速定制；

3） 基于《医疗机构病历管理规定》《电子病历基本规范》《卫生系统电认证服务管理办法》等文件，设计电子病案管理和使用的业务功能；实现医院病案生成和归档管理。

3.2 医疗数据的版式转换

医疗数据散落在医院各类信息系统中，要实现医疗数据的版式化转化，首先需要从不同临床业务系统中抽取医疗数据，然后依托预先设定的各类业务的模板进行版式文件的组合，最后生成版式文件。图4展示了医疗数据版式化转化过程：

1） 数据采集：各类临床业务系统可以通过开放数据库医疗数据采集接口收集各类医疗数据；或者业务系统提供整合好的XML文件，将医疗数据提供给可信病案管理信息系统；

2） 模板匹配：根据预先定义好的模板和匹配关系，将模板和数据进行匹配，实现医疗数据的PDF版式转化；

3） 可信处理：进行下一步可信的版式文件处理。

3.3 电子病案的可信处理

电子病案的可信处理包括：原始医疗数据的过程签名信息的保存、PDF病案的电子签章、PDF病案的时间戳、打印文件的二维码和数字水印保护。

1） 从临床业务系统中获取“原文数据+数字证书+ 数字签名+时间戳等信息”；

2） 通过系统提供的专用接口，将上述信息对应到生成的PDF 版式文件，保存到PDF 版式文件隐藏域中[3]；

3） 对新生成的PDF版式文件调用PDF签章服务器进行电子签章；

4） 调用时间戳服务器，实现对PDF版式文件的时间戳加盖；

5） 基于系统提供的二维码和数字水印服务，产生二维码和数字水印。

3.4 电子病案的输出与借阅

以单个患者病历目录的方式整合打包，按权限输出病历档案数据，以签名方式加密输出的数据文件，保证数据的安全性、防扩散。病案调阅提供两种途径：一种是在HIS系统中的病案内部调阅；另外一种是在专门的病案查阅室完成的外部调阅。

4 结束语

该项目已在天津市肿瘤医院及分院区安全、稳定运行半年有余，CA数字签章已覆盖到各临床医师的电子处方、电子病历、智慧护理以及各类检查检验相关子系统。安全平台的运行满足了医政、病案等职能处室的管理需求以及各临床检诊科室的无纸化需求，收到了良好的效果。同时，医疗无纸化安全平台的实施与应用也在一定程度上对医院内部的诊疗流程与诊疗行为起到了安全认证、规范化的促进作用，同时在医院临床诊疗过程当中也会不断发现新问题，总结经验積极推进医疗数据的无纸化广泛应用。