◆單 昊

關(guān)于CA認(rèn)證在電子病歷信息安全的應(yīng)用分析

◆單 昊

(徐州醫(yī)科大學(xué)附屬第三醫(yī)院 江蘇 221003)

電子病歷已經(jīng)在很多醫(yī)院得到了應(yīng)用，但是電子病歷信息存在很多安全性問題。本文主要對(duì)CA認(rèn)證保證電子病歷信息安全的作法進(jìn)行了簡(jiǎn)要介紹。

CA認(rèn)證；電子病歷；信息安全

0 引言

近年來，隨著計(jì)算機(jī)技術(shù)的不斷進(jìn)步，醫(yī)院電子病歷和信息化管理已經(jīng)成為了可能。目前，一些醫(yī)院都構(gòu)建了HIS，使醫(yī)院的工作人員可以通過HIS對(duì)病人的病例進(jìn)行數(shù)字化管理，這也是我們常說的電子病歷。電子病歷的出現(xiàn)是醫(yī)院的重要改革和進(jìn)步，極大的提高了醫(yī)院工作效率和管理能力。電子病歷的出現(xiàn)適應(yīng)了信息化時(shí)代發(fā)展的要求，既滿足了對(duì)病人信息保障的作用，又實(shí)現(xiàn)了醫(yī)院的無紙化管理。但是，電子病歷在管理中也存在一些信息安全問題，因此，應(yīng)加大對(duì)電子信息安全保護(hù)的工作。

1 電子病歷安全問題簡(jiǎn)述

電子病歷管理系統(tǒng)是一個(gè)復(fù)雜而又龐大的信息系統(tǒng)，里面包含所有前來就醫(yī)病人的病歷信息，如果電子病歷管理系統(tǒng)出現(xiàn)信息泄露的情況，首先對(duì)病人隱私是一種泄露，其次也會(huì)給醫(yī)院來帶負(fù)面影響，因此，應(yīng)加強(qiáng)對(duì)電子病歷的信息安全管理，下面對(duì)電子病歷安全問題進(jìn)行簡(jiǎn)要闡述。

1.1電子病歷中的基本內(nèi)容

電子病歷中包含病人的很多信息，主要包含以下幾個(gè)部分：一是患者個(gè)人基本信息，其中包括患者的姓名、年齡、戶籍所在地、身份證號(hào)、婚姻狀況等；二是就醫(yī)信息，病人在診斷后醫(yī)生給予的治療意見；三是患病情況記錄，電子病歷中會(huì)記錄病人所有的醫(yī)院就診情況，形成一個(gè)相對(duì)連續(xù)的病歷，從一定程度上可以方便在次就醫(yī)時(shí)醫(yī)生的診斷；四是影像檢查信息，病人在病情診斷過程中的影像檢查也會(huì)被記錄到電子病歷中；五是手術(shù)信息，電子病歷中會(huì)詳細(xì)記錄病人的每一次手術(shù)信息，對(duì)后續(xù)的治療起到指導(dǎo)作用；六是醫(yī)院護(hù)理信息記錄，可以詳細(xì)記錄病人在不同護(hù)理狀態(tài)下的恢復(fù)效果，對(duì)病人之后的護(hù)理有很好的借鑒意義。由上可知，電子病歷中記錄的所有內(nèi)容都是非常重要的，并且可以對(duì)病人之后的康復(fù)治療或再次就診起到指導(dǎo)性的作用，因此，應(yīng)加強(qiáng)對(duì)電子病歷的信息安全管理。

1.2電子病歷的信息產(chǎn)生流程

病歷是對(duì)患者所有就醫(yī)流程的一個(gè)記錄，可以清晰的記下病人在醫(yī)院就醫(yī)的所有診斷信息和病人的健康情況，并且當(dāng)病人再次就醫(yī)時(shí)，上次就醫(yī)病歷還可作為病情診斷參考。電子病歷和傳統(tǒng)紙質(zhì)病歷的作用相同，只是使用電子病歷處理病人病歷信息的效率更高?；颊叩结t(yī)院就醫(yī)需要走流程，將就醫(yī)流程中各種信息記錄下來就成了電子病歷，并且對(duì)上個(gè)環(huán)節(jié)的就診信息記錄對(duì)下一個(gè)環(huán)節(jié)的病情診斷或治療有重要幫助，所以也可以說電子病歷是病人病情信息不斷積累的過程。醫(yī)院對(duì)每個(gè)患者都會(huì)形成一個(gè)獨(dú)一無二的電子病歷，在病人就醫(yī)結(jié)束離開醫(yī)院時(shí)，醫(yī)院信息管理人員會(huì)將病人的病歷信息封存，當(dāng)病人在次來到醫(yī)院就診時(shí)，就會(huì)再次將電子病歷調(diào)度出來，為本次的病情診斷做出參考，因此，電子病歷也是一個(gè)相對(duì)連續(xù)性的病歷。

1.3電子病歷存在的安全問題

電子病歷從信息錄入到信息傳輸整個(gè)過程都是由醫(yī)務(wù)人員通過網(wǎng)絡(luò)技術(shù)來操作，所以，電子病歷在安全性方面存在很多問題。電子病歷主要有四大安全問題：一是信息管理系統(tǒng)的登錄方式過于簡(jiǎn)單。目前，大多數(shù)醫(yī)院的病歷管理系統(tǒng)只需要輸入登錄名和密碼就能登錄操作，一旦醫(yī)務(wù)人員不小心將賬號(hào)和密碼泄露，不法分子很可能會(huì)登錄電子病歷管理系統(tǒng)，來篡改病人病歷信息或者竊取大量病人的患病信息，從事非法操作。二是電子病歷信息在傳輸過程中的安全問題。醫(yī)院的電子病歷信息主要是通過局域網(wǎng)進(jìn)行，但是，對(duì)于局域網(wǎng)中傳輸信息的安全性卻不能得到很好的保證，因此，應(yīng)加強(qiáng)對(duì)傳輸過程的安全保障設(shè)置，使電子病歷信息的傳輸過程方便、安全、高效。三是數(shù)據(jù)信息存儲(chǔ)的安全性問題。醫(yī)院的所有病歷信息都是保存于后臺(tái)服務(wù)器中，但是服務(wù)器中的存儲(chǔ)內(nèi)容對(duì)于一些工作人員是完全開放的，并且醫(yī)院也沒有方式來檢測(cè)電子病歷數(shù)據(jù)庫(kù)是否被更改過，所以也就不能保證每個(gè)病人病歷的正確性。

2 CA安全認(rèn)證概述

CA認(rèn)識(shí)是由第三方提供，是一種特殊加密的信息化技術(shù)。CA認(rèn)證的發(fā)放機(jī)構(gòu)必須是第三方權(quán)威機(jī)構(gòu)，可以保證信息的絕對(duì)安全，同時(shí)，發(fā)放CA認(rèn)證的機(jī)構(gòu)應(yīng)具有合法性和權(quán)威性，達(dá)到應(yīng)有的信息安全保護(hù)目的。CA認(rèn)證主要從以下幾個(gè)方面來實(shí)現(xiàn)信息安全保護(hù)：一是，用戶在進(jìn)行系統(tǒng)登錄時(shí)需要配合專門的數(shù)字證書才能完成登錄，并且數(shù)字證書具有唯一性，辦理CA認(rèn)證的企業(yè)必須持企業(yè)營(yíng)業(yè)執(zhí)照原件到相關(guān)第三方機(jī)構(gòu)獲取數(shù)字證書，并且數(shù)字證書具有唯一性，只能是申請(qǐng)企業(yè)自己使用，并且數(shù)字證書具有一定的有效期，到期后必須再辦理相關(guān)的續(xù)簽手續(xù)，才能繼續(xù)使用數(shù)字證書。二是，通過數(shù)字證書可以對(duì)企業(yè)的文件資料進(jìn)行簽名，避免出現(xiàn)了偽造資料的可能性。三是，加密和解密技術(shù)，使用CA認(rèn)證的企業(yè)可以使用數(shù)字證書對(duì)需要上傳的資料進(jìn)行加密，將原本的文件轉(zhuǎn)換成特殊的加密格式，接收方收到文件后，再通過數(shù)字證書對(duì)加密了的文件進(jìn)行解密，保證了信息傳輸過程中的安全。

3 CA認(rèn)證在電子病歷信息安全管理中的應(yīng)用

醫(yī)院電子病歷管理系統(tǒng)中使用CA認(rèn)證可以保證信息的存儲(chǔ)、傳輸安全，對(duì)保證醫(yī)院電子病歷的正確性有著十分重要的作用，下面對(duì)醫(yī)院電子病歷信息管理中CA認(rèn)證的步驟進(jìn)行簡(jiǎn)要介紹。

3.1醫(yī)院數(shù)字證書的申請(qǐng)

醫(yī)院中每一個(gè)需要接收和管理電子病歷的工作人員都應(yīng)該有一個(gè)獨(dú)一無二的數(shù)字證書，數(shù)字證書需要向第三方安全保障機(jī)構(gòu)申請(qǐng)，可以由醫(yī)院統(tǒng)一辦理。工作人員在進(jìn)行電子病歷系統(tǒng)登錄時(shí)必須使用數(shù)字證書才能登錄，并且醫(yī)生在接收數(shù)字證書時(shí)也要使用數(shù)字證書。數(shù)字證書的使用主要是為了完成數(shù)字簽名、信息加密和通信雙方身份確認(rèn)。

3.2加入第三方認(rèn)證邏輯結(jié)構(gòu)

CA認(rèn)證平臺(tái)的主要目的是幫助企業(yè)保護(hù)信息安全，因此，CA認(rèn)證平臺(tái)具有一套獨(dú)一無二的信息安全加密邏輯結(jié)構(gòu)，可以將信息變成完全不同的另一種面貌，使非數(shù)字證書持有者根本無法讀取信息。CA認(rèn)證平臺(tái)是第三方認(rèn)證平臺(tái)，具有權(quán)威性，所以擁有值得信賴的數(shù)據(jù)加密技術(shù)。醫(yī)院工作人員在登錄電子病歷管理系統(tǒng)時(shí)，必須使用數(shù)字證書才能完成登錄，并且由于數(shù)字證書是每人配發(fā)一個(gè)，且數(shù)字證書中有持有者的個(gè)人信息，因此，系統(tǒng)會(huì)記錄下登錄者的姓名和登錄時(shí)間，這對(duì)電子信息安全也是一種間接保障。電子病歷的傳輸過程也存在一些安全問題，為了使各部門間協(xié)調(diào)工作，電子病歷管理人員需要將病人病歷發(fā)給相關(guān)部門的主治醫(yī)師，便于醫(yī)生對(duì)病人病情的分析。為了保證電子病歷傳輸過程中的安全，必須使用數(shù)字證書對(duì)電子病歷進(jìn)行加密傳輸，病歷發(fā)送方將病歷信息通過數(shù)字證書加密，然后醫(yī)生受到加密的病歷后再使用自己的數(shù)字證書對(duì)病歷進(jìn)行解密，保證了整個(gè)電子病歷傳輸過程中的安全性。

3.3電子病歷的加密存儲(chǔ)

電子病歷的管理系統(tǒng)中存有大量的病人病歷，雖然登錄電子病歷管理系統(tǒng)的時(shí)候需要進(jìn)行數(shù)字證書身份認(rèn)證，但是，電子病歷管理系統(tǒng)登錄后可能會(huì)出現(xiàn)登錄人臨時(shí)走開的現(xiàn)象，這時(shí)可能會(huì)有人趁機(jī)從計(jì)算機(jī)中盜取電子病歷。為了全方位保證電子病歷的安全，在病歷存儲(chǔ)過程中也要對(duì)其進(jìn)行加密處理，需要調(diào)取查看時(shí)再使用數(shù)字證書對(duì)其解密。

4 結(jié)束語(yǔ)

綜上所述，電子病歷提高醫(yī)院工作效率的同時(shí)也帶來了一系列信息安全問題，通過CA認(rèn)證可以很好的解決電子病歷的信息安全問題，醫(yī)院應(yīng)加快推進(jìn)電子病歷CA認(rèn)證安全體系建設(shè)，保證醫(yī)院電子病歷的信息安全，為患者提供更好的治療和服務(wù)。

[1]王雯璟.中醫(yī)電子病歷信息標(biāo)準(zhǔn)應(yīng)用符合性研究[D].湖北中醫(yī)藥大學(xué)，2014.

[2]吳陽(yáng).電子認(rèn)證行業(yè)立法規(guī)制研究[D].中國(guó)政法大學(xué)，2011.

[3]張旺俏.電子病歷共享系統(tǒng)中安全方案設(shè)計(jì)[D].浙江工業(yè)大學(xué)，2009.

[4]李娜.基于第三方的電子病歷信息整合平臺(tái)的研究[D].合肥工業(yè)大學(xué)，2008.