鄭東山

關(guān)鍵詞：醫(yī)療數(shù)據(jù)；無紙化；安全平臺(tái)；合法性

中圖分類號(hào)：TP311 文獻(xiàn)標(biāo)識(shí)碼：A

文章編號(hào)：1009-3044（2023）10-0102-03

0 引言

隨著醫(yī)療衛(wèi)生體制改革的逐步深入，醫(yī)院信息化作為醫(yī)療體制改革的重要抓手與載體的作用愈加明顯，在醫(yī)院信息管理系統(tǒng)的逐步發(fā)展與完善的背景下，醫(yī)療信息的互聯(lián)互通、共享的需求在不斷增長，醫(yī)療信息在傳輸與共享過程中，存在一定的不安全因素，一些偶然與惡意的破壞都會(huì)對醫(yī)療數(shù)據(jù)的完整性與嚴(yán)謹(jǐn)性造成不同程度的破壞，造成原始數(shù)據(jù)的失真。因此通過信息化手段在不改變醫(yī)院現(xiàn)有網(wǎng)絡(luò)架構(gòu)的情況下，構(gòu)建基于合法性可信患者臨床信息的安全平臺(tái)對于醫(yī)療機(jī)構(gòu)而言是至關(guān)重要的。該平臺(tái)的建設(shè)有助于整合醫(yī)院現(xiàn)有各類信息資源，通過電子認(rèn)證服務(wù)為醫(yī)療信息標(biāo)準(zhǔn)化、無紙化提供必要的應(yīng)用基礎(chǔ)，也為醫(yī)療機(jī)構(gòu)深入推進(jìn)醫(yī)療流程標(biāo)準(zhǔn)化改造提供必要的技術(shù)保障。

1 平臺(tái)設(shè)計(jì)方案

在醫(yī)院原有網(wǎng)絡(luò)體系結(jié)構(gòu)的環(huán)境下，對醫(yī)院內(nèi)部各應(yīng)用系統(tǒng)提供基礎(chǔ)安全解決方案，通過電子簽名認(rèn)證、數(shù)據(jù)安全保密措施、數(shù)據(jù)完整性驗(yàn)證、可信手寫簽名等技術(shù)，保障醫(yī)療電子數(shù)據(jù)的合法、安全、有效。做到各醫(yī)療流程數(shù)據(jù)完整可信，責(zé)任可追溯。

1.1 總體設(shè)計(jì)

平臺(tái)身份認(rèn)證服務(wù)為院內(nèi)各臨床信息系統(tǒng)參與者提供基礎(chǔ)憑證與憑證合法性認(rèn)證，醫(yī)療機(jī)構(gòu)通過接入CA中心服務(wù)，建立CA數(shù)字證書發(fā)放點(diǎn)，為各臨床、管理職能處室人員管理、發(fā)放電子身份憑證；醫(yī)療機(jī)構(gòu)從業(yè)人員通過CA證書登錄院內(nèi)信息系統(tǒng)，安全平臺(tái)通過簽名客戶端對登錄系統(tǒng)人員的身份憑據(jù)進(jìn)行強(qiáng)制認(rèn)證。另外，可信行為服務(wù)為醫(yī)院各信息系統(tǒng)解決醫(yī)療行為可追溯問題。醫(yī)生在電子病歷等醫(yī)院信息系統(tǒng)中所進(jìn)行的關(guān)鍵操作，可以通過電子簽名客戶端完成數(shù)字簽名。通過在醫(yī)院信息系統(tǒng)集成數(shù)字簽名驗(yàn)證服務(wù)器，實(shí)現(xiàn)處方、醫(yī)囑、病程記錄等關(guān)鍵醫(yī)療數(shù)據(jù)的真實(shí)、可信化，使醫(yī)療數(shù)據(jù)符合《電子簽名法》對可信數(shù)據(jù)電文的要求。通過時(shí)間戳服務(wù)器為醫(yī)院信息系統(tǒng)解決醫(yī)療行為時(shí)間準(zhǔn)確性與真實(shí)性的問題。醫(yī)院信息系統(tǒng)保存的醫(yī)療數(shù)據(jù)，需要加蓋由國家授時(shí)時(shí)間源獲取的可信時(shí)間戳，確保此操作記錄的時(shí)間可靠性[1]，總體設(shè)計(jì)方案如圖1。

1.2 平臺(tái)架構(gòu)

應(yīng)用安全服務(wù)平臺(tái)以PKI/CA安全基礎(chǔ)設(shè)施為基礎(chǔ)，為數(shù)字醫(yī)療系統(tǒng)提供基于CA證書服務(wù)、身份認(rèn)證為基礎(chǔ)的統(tǒng)一用戶管理界面，以數(shù)字簽名驗(yàn)證、電子簽章服務(wù)為基礎(chǔ)的統(tǒng)一授權(quán)管理，以可信時(shí)間戳、數(shù)據(jù)加密服務(wù)為基礎(chǔ)的統(tǒng)一服務(wù)管理。從而提高數(shù)字醫(yī)療信息系統(tǒng)的安全性、可靠性，并使得數(shù)字醫(yī)療信息系統(tǒng)的數(shù)據(jù)和操作符合《電子病歷應(yīng)用管理規(guī)范（試行）》和《電子簽名法》，并具有法律效力。平臺(tái)架構(gòu)圖如圖2所示。

1.3 設(shè)備選型

簽名驗(yàn)證服務(wù)器：專用的電子簽名/驗(yàn)證設(shè)備，用于身份認(rèn)證、數(shù)字簽名/驗(yàn)證、數(shù)據(jù)加密/解密等功能。證書管理服務(wù)器：專用的數(shù)字證書管理設(shè)備，用于數(shù)字證書的批量更新、數(shù)字證書自動(dòng)更新、客戶端推送升級(jí)。時(shí)間戳服務(wù)器：配合GPS/北斗/CDMA同步國家授時(shí)時(shí)間源設(shè)備，用于電子數(shù)據(jù)加蓋時(shí)間戳、時(shí)間同步等功能。智能標(biāo)準(zhǔn)時(shí)鐘系統(tǒng)：核心時(shí)鐘源系統(tǒng)的信號(hào)接收單元具有接收GPS/北斗標(biāo)準(zhǔn)時(shí)間信號(hào)的功能，為整個(gè)系統(tǒng)提供校時(shí)信號(hào)，校正計(jì)時(shí)系統(tǒng)的偏差。

電子簽章系統(tǒng)：負(fù)責(zé)提供電子印章的審批、授權(quán)、掛失等各流程的管理維護(hù)，負(fù)責(zé)醫(yī)療文書、檢查檢驗(yàn)報(bào)告等有關(guān)文檔簽名的可視化顯示。

身份認(rèn)證網(wǎng)關(guān)：建立業(yè)務(wù)系統(tǒng)統(tǒng)一門戶，提供統(tǒng)一用戶管理和授權(quán)訪問控制功能，實(shí)現(xiàn)網(wǎng)絡(luò)連接身份安全認(rèn)證、數(shù)據(jù)安全加密傳輸。數(shù)字證書/介質(zhì)：用于標(biāo)識(shí)用戶身份，支持多種存儲(chǔ)介質(zhì)如USBkey、藍(lán)牙Key等，滿足醫(yī)院不同使用場景和習(xí)慣的多樣化需求。

1.4 應(yīng)用效果及特點(diǎn)

醫(yī)護(hù)人員身份確認(rèn)：通過國家衛(wèi)生部認(rèn)定的合法第三方電子認(rèn)證服務(wù)機(jī)構(gòu)，為醫(yī)療機(jī)構(gòu)電子病歷服務(wù)器發(fā)放數(shù)字證書，確定其在網(wǎng)絡(luò)上的合法性，第三方認(rèn)證服務(wù)機(jī)構(gòu)為院內(nèi)醫(yī)護(hù)人員辦法CA數(shù)字證書，可以采用智能手機(jī)App 認(rèn)證與傳統(tǒng)USBKey 結(jié)合的形式，確認(rèn)用戶身份，保證個(gè)人賬戶的安全，同時(shí)確認(rèn)醫(yī)護(hù)人員在應(yīng)用系統(tǒng)中的合法使用權(quán)益。

醫(yī)療數(shù)據(jù)的不可抵賴性：通過在院內(nèi)電子病歷系統(tǒng)、各臨床信息系統(tǒng)部署電子簽名服務(wù)，實(shí)現(xiàn)了醫(yī)療文書、檢查檢驗(yàn)報(bào)告的可視化簽名認(rèn)證，做到了醫(yī)療從業(yè)人員的在關(guān)鍵操作節(jié)點(diǎn)的不可否定性，確保電子醫(yī)療文書具備相應(yīng)的法律效力。有助于醫(yī)政管理部門建立起醫(yī)療糾紛的三方認(rèn)定機(jī)制，同時(shí)是醫(yī)院實(shí)施電子文書無紙化的先決條件。

醫(yī)療信息產(chǎn)生時(shí)間的確定性：在醫(yī)院電子病歷系統(tǒng)的使用中，電子文書的書寫關(guān)鍵時(shí)間節(jié)點(diǎn)是至關(guān)重要的。通過時(shí)間戳服務(wù)器在電子病歷系統(tǒng)中的部署，實(shí)時(shí)從國家授時(shí)時(shí)間源獲取可靠時(shí)間，確保信息產(chǎn)生時(shí)間的不可否定性。其中，時(shí)間戳服務(wù)器自身包含由第三方認(rèn)證機(jī)構(gòu)頒發(fā)數(shù)字證書，并對國家授時(shí)時(shí)間進(jìn)行數(shù)字簽名，確保通過權(quán)威機(jī)構(gòu)的準(zhǔn)確認(rèn)證。

醫(yī)療信息的安全性與完整性：通過在院內(nèi)電子病歷系統(tǒng)中使用簽名驗(yàn)證服務(wù)器，不但可以保證登錄系統(tǒng)的人員合法身份，還可以進(jìn)行數(shù)據(jù)簽名、驗(yàn)證，確保數(shù)據(jù)的機(jī)密性和完整性。

無紙化安全平臺(tái)的應(yīng)用與實(shí)施解決了醫(yī)療機(jī)構(gòu)內(nèi)部在系統(tǒng)數(shù)據(jù)交互過程中的身份認(rèn)證、行為確認(rèn)、數(shù)據(jù)完整、可信時(shí)間節(jié)點(diǎn)等問題，使得整個(gè)醫(yī)療數(shù)據(jù)產(chǎn)生過程與紙質(zhì)醫(yī)療文書一樣具備法律效力。從而真正解決了數(shù)據(jù)在醫(yī)院信息管理系統(tǒng)流轉(zhuǎn)中的真實(shí)性、可靠性同時(shí)解決了醫(yī)療數(shù)據(jù)被篡改的問題[2]。

2 平臺(tái)實(shí)施步驟

醫(yī)院數(shù)字醫(yī)療平臺(tái)涉及HIS、LIS、EMR、PACS等重要醫(yī)療信息系統(tǒng)，同時(shí)要與應(yīng)用系統(tǒng)開發(fā)商集成安全組件，以實(shí)現(xiàn)可信身份認(rèn)證、數(shù)據(jù)簽名/驗(yàn)證、數(shù)據(jù)加密/解密、電子簽章、遠(yuǎn)程訪問等安全功能，實(shí)施技術(shù)要求高、涉及面廣，系統(tǒng)建設(shè)應(yīng)按照“統(tǒng)一規(guī)劃、分步實(shí)施”的原則分步實(shí)施。

2.1 數(shù)字證書發(fā)放

醫(yī)院各科室對需要使用證書的用戶信息進(jìn)行統(tǒng)計(jì)，包括：用戶名稱、身份證件信息、用戶科室等關(guān)鍵信息，將相關(guān)信息組織成文檔，經(jīng)過確定后發(fā)送給證書代理點(diǎn)，申請發(fā)放相關(guān)證書。

證書發(fā)放具體流程如下：

1）醫(yī)院收集填寫醫(yī)護(hù)人員信息表，完成整理后，統(tǒng)一核實(shí)信息的真實(shí)性與可靠性。

2）醫(yī)院相關(guān)部門對需要辦理USBKey的工作人員信息進(jìn)行確認(rèn)、審核證書申請列表信息，出具人員信息真實(shí)聲明。

3）相關(guān)人員信息資料統(tǒng)一發(fā)送給醫(yī)院證書代理點(diǎn)，由其統(tǒng)一發(fā)放有效證書，并將數(shù)字證書存放到US?BKey中。

4）將包含用戶有效證書的USBKey（其中包含用戶基本信息、對應(yīng)的密鑰和證書）返回醫(yī)院科室，完成證書申請過程。

2.2 電子簽章系統(tǒng)實(shí)施

電子簽章系統(tǒng)由簽章服務(wù)端程序和簽章客戶端程序組成，電子簽章管理系統(tǒng)（服務(wù)端）、電子簽章服務(wù)程序和數(shù)據(jù)庫服務(wù)器部署在簽章服務(wù)端，簽章應(yīng)用系統(tǒng)、印章制作工具部署在簽章客戶端，管理員可以通過瀏覽器，在任意一臺(tái)計(jì)算機(jī)上對簽章服務(wù)進(jìn)行配置、管理；普通用戶可以使用印章制作工具制作印章后，通過瀏覽器，在任意一臺(tái)計(jì)算機(jī)上對自己的印章等信息進(jìn)行管理，用戶的管理請求經(jīng)過管理員的審核后即可生效。

在實(shí)際應(yīng)用系統(tǒng)中集成電子簽章控件的相關(guān)功能接口，再配合使用個(gè)人電子簽章USBKey即可在應(yīng)用系統(tǒng)中實(shí)現(xiàn)電子簽章。

2.3 時(shí)間戳與簽名服務(wù)器部署

1）前期準(zhǔn)備

本項(xiàng)目部署、實(shí)施時(shí)間戳服務(wù)器，為保證實(shí)施順利，需要做好充分的準(zhǔn)備工作，包括收集客戶網(wǎng)絡(luò)配置信息，及應(yīng)用情況。做好準(zhǔn)備工作。

2）產(chǎn)品部署

為保證用戶能及時(shí)進(jìn)行獲取簽名、驗(yàn)證、身份認(rèn)證操作，在實(shí)施時(shí)，需要將簽名驗(yàn)證服務(wù)器的服務(wù)端口投放到服務(wù)網(wǎng)絡(luò)中，讓應(yīng)用服務(wù)器、用戶均能訪問。簽名服務(wù)器網(wǎng)絡(luò)架構(gòu)如圖3所示。

2.4 任務(wù)分解

為保證醫(yī)院信息系統(tǒng)電子簽名及電子認(rèn)證體系的穩(wěn)定運(yùn)行，電子簽名及電子認(rèn)證體系中的相關(guān)實(shí)施過程設(shè)計(jì)業(yè)務(wù)系統(tǒng)相關(guān)的各方面人員，因此需要“統(tǒng)一協(xié)調(diào)，統(tǒng)一步調(diào)，統(tǒng)一目標(biāo)”，為此在實(shí)施中可能設(shè)計(jì)到的各方人員及相關(guān)工作表述如下：

院方：需要信息處機(jī)房管理人員參與，主要工作包括設(shè)備、服務(wù)器進(jìn)入機(jī)房，配置設(shè)備、服務(wù)器接入網(wǎng)絡(luò)，分配合法網(wǎng)絡(luò)IP，規(guī)劃設(shè)備、服務(wù)器放置位置及分配網(wǎng)絡(luò)線路，參與規(guī)劃可能涉及的線路走線等工作。

業(yè)務(wù)系統(tǒng)方：在產(chǎn)品方提供相應(yīng)接口的情況下，與客戶協(xié)調(diào)電子簽名及CA認(rèn)證體系添加點(diǎn)，數(shù)據(jù)表現(xiàn)形式，數(shù)據(jù)存儲(chǔ)、集成、測試，并最終實(shí)現(xiàn)客戶方希望達(dá)到的安全認(rèn)證需求。

平臺(tái)實(shí)施方：要根據(jù)院方要求，部署產(chǎn)品服務(wù)器，根據(jù)要求配置相關(guān)產(chǎn)品服務(wù)器參數(shù)，順利并入院內(nèi)相關(guān)網(wǎng)絡(luò)，在網(wǎng)絡(luò)中測試設(shè)備運(yùn)行正常，服務(wù)連接正常；為業(yè)務(wù)系統(tǒng)方提供產(chǎn)品配套的接口，配合業(yè)務(wù)系統(tǒng)方接口集成，與業(yè)務(wù)系統(tǒng)方通力合作，實(shí)現(xiàn)院方的最終目標(biāo)。

3 無紙化實(shí)施案例

3.1 電子病案歸檔

平臺(tái)依托電子病案管理系統(tǒng)，實(shí)現(xiàn)如下設(shè)計(jì)功能：

1） 將電子醫(yī)療數(shù)據(jù)從源頭采集進(jìn)行檔案化封裝，形成與應(yīng)用無關(guān)、不可抵賴、易閱讀、被法律認(rèn)可的版式文檔；

2） 采用模板技術(shù)、可控的虛擬打印技術(shù)實(shí)現(xiàn)對電子醫(yī)療數(shù)據(jù)的PDF版式轉(zhuǎn)化，提供便捷的模板定制工具，實(shí)現(xiàn)模塊快速定制；

3） 基于《醫(yī)療機(jī)構(gòu)病歷管理規(guī)定》《電子病歷基本規(guī)范》《衛(wèi)生系統(tǒng)電認(rèn)證服務(wù)管理辦法》等文件，設(shè)計(jì)電子病案管理和使用的業(yè)務(wù)功能；實(shí)現(xiàn)醫(yī)院病案生成和歸檔管理。

3.2 醫(yī)療數(shù)據(jù)的版式轉(zhuǎn)換

醫(yī)療數(shù)據(jù)散落在醫(yī)院各類信息系統(tǒng)中，要實(shí)現(xiàn)醫(yī)療數(shù)據(jù)的版式化轉(zhuǎn)化，首先需要從不同臨床業(yè)務(wù)系統(tǒng)中抽取醫(yī)療數(shù)據(jù)，然后依托預(yù)先設(shè)定的各類業(yè)務(wù)的模板進(jìn)行版式文件的組合，最后生成版式文件。圖4展示了醫(yī)療數(shù)據(jù)版式化轉(zhuǎn)化過程：

1） 數(shù)據(jù)采集：各類臨床業(yè)務(wù)系統(tǒng)可以通過開放數(shù)據(jù)庫醫(yī)療數(shù)據(jù)采集接口收集各類醫(yī)療數(shù)據(jù)；或者業(yè)務(wù)系統(tǒng)提供整合好的XML文件，將醫(yī)療數(shù)據(jù)提供給可信病案管理信息系統(tǒng)；

2） 模板匹配：根據(jù)預(yù)先定義好的模板和匹配關(guān)系，將模板和數(shù)據(jù)進(jìn)行匹配，實(shí)現(xiàn)醫(yī)療數(shù)據(jù)的PDF版式轉(zhuǎn)化；

3） 可信處理：進(jìn)行下一步可信的版式文件處理。

3.3 電子病案的可信處理

電子病案的可信處理包括：原始醫(yī)療數(shù)據(jù)的過程簽名信息的保存、PDF病案的電子簽章、PDF病案的時(shí)間戳、打印文件的二維碼和數(shù)字水印保護(hù)。

1） 從臨床業(yè)務(wù)系統(tǒng)中獲取“原文數(shù)據(jù)+數(shù)字證書+ 數(shù)字簽名+時(shí)間戳等信息”；

2） 通過系統(tǒng)提供的專用接口，將上述信息對應(yīng)到生成的PDF 版式文件，保存到PDF 版式文件隱藏域中[3]；

3） 對新生成的PDF版式文件調(diào)用PDF簽章服務(wù)器進(jìn)行電子簽章；

4） 調(diào)用時(shí)間戳服務(wù)器，實(shí)現(xiàn)對PDF版式文件的時(shí)間戳加蓋；

5） 基于系統(tǒng)提供的二維碼和數(shù)字水印服務(wù)，產(chǎn)生二維碼和數(shù)字水印。

3.4 電子病案的輸出與借閱

以單個(gè)患者病歷目錄的方式整合打包，按權(quán)限輸出病歷檔案數(shù)據(jù)，以簽名方式加密輸出的數(shù)據(jù)文件，保證數(shù)據(jù)的安全性、防擴(kuò)散。病案調(diào)閱提供兩種途徑：一種是在HIS系統(tǒng)中的病案內(nèi)部調(diào)閱；另外一種是在專門的病案查閱室完成的外部調(diào)閱。

4 結(jié)束語

該項(xiàng)目已在天津市腫瘤醫(yī)院及分院區(qū)安全、穩(wěn)定運(yùn)行半年有余，CA數(shù)字簽章已覆蓋到各臨床醫(yī)師的電子處方、電子病歷、智慧護(hù)理以及各類檢查檢驗(yàn)相關(guān)子系統(tǒng)。安全平臺(tái)的運(yùn)行滿足了醫(yī)政、病案等職能處室的管理需求以及各臨床檢診科室的無紙化需求，收到了良好的效果。同時(shí)，醫(yī)療無紙化安全平臺(tái)的實(shí)施與應(yīng)用也在一定程度上對醫(yī)院內(nèi)部的診療流程與診療行為起到了安全認(rèn)證、規(guī)范化的促進(jìn)作用，同時(shí)在醫(yī)院臨床診療過程當(dāng)中也會(huì)不斷發(fā)現(xiàn)新問題，總結(jié)經(jīng)驗(yàn)積極推進(jìn)醫(yī)療數(shù)據(jù)的無紙化廣泛應(yīng)用。