深圳CA醫(yī)療解決方案.doc

深圳CA醫(yī)療解決方案一、 背景2二、 建設(shè)方案2三、證書發(fā)證流程43.1辦證流程圖43.2辦證流程描述5四、深圳CA產(chǎn)品在醫(yī)療系統(tǒng)中的應(yīng)用54.1 HIS系統(tǒng)54.1.1 HIS系統(tǒng)簡介54.1.2 CA產(chǎn)品在HIS中的應(yīng)用54.1.3 手寫簽名在醫(yī)療系統(tǒng)中的應(yīng)用74.1.4 CA產(chǎn)品在醫(yī)生站中的應(yīng)用84.1.5實現(xiàn)功能94.2 Pacs系統(tǒng)104.2.1 Pacs系統(tǒng)簡介104.2.2 CA產(chǎn)品在Pacs系統(tǒng)中的應(yīng)用104.2.3實現(xiàn)功能124.3 LIS系統(tǒng)134.3.1 LIS系統(tǒng)簡介134.3.2 CA產(chǎn)品在LIS用的應(yīng)用134.3.3實現(xiàn)功能154.4其他系統(tǒng)154.5應(yīng)用效果總結(jié)15五、 服務(wù)器配置155.1系統(tǒng)架構(gòu)155.2服務(wù)器說明16六、對現(xiàn)有系統(tǒng)進行改造16七、應(yīng)急預(yù)案167.1數(shù)字證書應(yīng)急服務(wù)167.2設(shè)備故障應(yīng)急解決方案16附 件181、 背景隨著國家醫(yī)療政策的不斷推進，公共衛(wèi)生、疾病防治等工作進一步得到加強。隨之也促進了醫(yī)院業(yè)務(wù)信息系統(tǒng)等軟硬件設(shè)施的完善、優(yōu)化。醫(yī)院的各業(yè)務(wù)信息系統(tǒng)是醫(yī)療信息化的重要組成部分，為加強醫(yī)療機構(gòu)重要信息系統(tǒng)管理和臨床使用，提升醫(yī)療機構(gòu)信息化水平，2010年2月22日，衛(wèi)生部印發(fā)了電子病歷基本規(guī)范（試行）的通知，并于4月1日開始實施。2005年4月，我國頒布實施的電子簽名法，確立了電子簽名的法律效力，從而從法律制度上保障了網(wǎng)上業(yè)務(wù)開展的安全，為我國信息安全認證體系和網(wǎng)絡(luò)信任體系的建立奠定了重要基礎(chǔ)。為貫徹電子簽名法和電子病歷基本規(guī)范，保障醫(yī)療管理信息系統(tǒng)的安全，規(guī)避醫(yī)療行為的法律風(fēng)險，衛(wèi)生部于2010年1月7日發(fā)布了衛(wèi)生系統(tǒng)電子認證服務(wù)管理辦法（試行），從行業(yè)角度提出使用電子認證服務(wù)保障衛(wèi)生信息系統(tǒng)安全，滿足衛(wèi)生信息系統(tǒng)在身份認證、授權(quán)管理、責(zé)任認定等方面的信息安全需求。隨后，衛(wèi)生部于2010年5月7日發(fā)布了衛(wèi)生部辦公廳關(guān)于做好衛(wèi)生系統(tǒng)電子認證服務(wù)體系建設(shè)工作的通知，制定了衛(wèi)生系統(tǒng)電子認證服務(wù)規(guī)范（試行）等五個電子認證服務(wù)技術(shù)規(guī)范，研究部署在全國衛(wèi)生系統(tǒng)推廣電子認證服務(wù)應(yīng)用。按照衛(wèi)生部辦公廳關(guān)于做好衛(wèi)生系統(tǒng)電子認證服務(wù)體系建設(shè)工作的通知和河南省衛(wèi)生廳要求，在醫(yī)院電子病歷、檢查檢驗等信息系統(tǒng)中，均需要采取電子認證技術(shù)有效防止假冒身份、篡改信息、越權(quán)操作、否定責(zé)任等問題。本方案依據(jù)上述背景，設(shè)計在電子病歷系統(tǒng)、檢查檢驗系統(tǒng)中引入CA認證，實現(xiàn)可靠的電子簽名應(yīng)用。鄭州市中醫(yī)院與鄭州市中心作為鄭州市最早的大型三級甲等綜合醫(yī)院，多年來一直承擔(dān)著鄭州市以及河南地區(qū)的公共醫(yī)療、教學(xué)、科研、預(yù)防、保健、康復(fù)和急救等任務(wù)。隨著醫(yī)院的各項業(yè)務(wù)不斷取得較大發(fā)展。為提高醫(yī)院的工作效率，保障傳染病防治任務(wù)；醫(yī)院已陸續(xù)完成院內(nèi)信息管理系統(tǒng)、檢驗系統(tǒng)電子病歷系統(tǒng)等醫(yī)院信息系統(tǒng)的建設(shè)上線工作；而如何保證醫(yī)院信息化推進過程中的數(shù)據(jù)的合法性、完整性成了必須解決的重點問題。為更好的推進兩家醫(yī)院的信息化發(fā)展，切實保障信息系統(tǒng)安全，依據(jù)中華人民共和國電子簽名法、衛(wèi)生系統(tǒng)電子認證服務(wù)管理辦法及相關(guān)標準規(guī)范要求等，引入電子認證服務(wù)，基于電子簽名技術(shù)助推醫(yī)院的信息化建設(shè)。2、 建設(shè)方案總體框架：在不改變醫(yī)院網(wǎng)絡(luò)結(jié)構(gòu)的情況下，為全院構(gòu)建統(tǒng)一的證書服務(wù)平臺，并為醫(yī)院信息系統(tǒng)中重要信息系統(tǒng)數(shù)據(jù)的合法化、無紙化應(yīng)用建立一套完整的支撐平臺，通過引入認證、簽名、時間戳、可信手寫簽名等技術(shù)，保障電子病歷的合法、安全、有效。方案總體框架如下： 圖1：電子認證服務(wù)應(yīng)用總體框架電子認證服務(wù)建設(shè)包含兩個環(huán)節(jié)：醫(yī)護人員對電子病歷進行簽名、患者對知情文書進行電子簽名，通過上述環(huán)節(jié)的電子簽名保證電子病歷的合法性和安全性。具體建設(shè)工作如下： 依托已取得電子認證服務(wù)許可證資質(zhì)的合法第三方電子認證服務(wù)機構(gòu)深圳CA，構(gòu)建醫(yī)院電子認證服務(wù)體系，為各醫(yī)院信息系統(tǒng)用戶提供基于數(shù)字證書的電子認證服務(wù)。 基于電子認證技術(shù)，實現(xiàn)醫(yī)護人員對電子病歷進行電子簽名；需根據(jù)病歷書寫規(guī)范，確定簽名的文檔范圍，簽名的有效時間范圍，引入基于數(shù)字證書的身份認證、數(shù)字簽名、時間戳等技術(shù)，保證在電子病歷數(shù)據(jù)產(chǎn)生、交換過程中的安全可信。 實行患者對知情文書進行電子簽名；考慮到患者需對特定的醫(yī)療文書進行簽名確認，在醫(yī)療文書全面電子化后，為使患者直觀的認知電子簽名的安全可靠，引入可信手寫簽名技術(shù)，保證患者電子簽名的合法性和便捷性。三、證書發(fā)證流程3.1辦證流程圖圖2 ：證書辦證流程3.2辦證流程描述流程描述：1、醫(yī)院了解辦證指南并準備辦證資料。 2、醫(yī)院將收集的資料郵寄給巨鼎制證人員來對用戶資料進行初審。 3、巨鼎制證人員對用戶進行制證并以月交接資料給深圳CA。 4、深圳CA對巨鼎交付的資料進行審核并對資料進行歸檔。 5、證書制作通過后，由巨鼎人員給醫(yī)院用戶以郵寄的方式發(fā)放到醫(yī)院信息科。 6、用戶拿到證書后，可以進行系統(tǒng)操作。四、深圳CA產(chǎn)品在醫(yī)療系統(tǒng)中的應(yīng)用4.1 HIS系統(tǒng)4.1.1 HIS系統(tǒng)簡介醫(yī)院管理信息系統(tǒng)(Hospital Management Information System,HIS)的主要目標是支持醫(yī)院的行政管理與事務(wù)處理業(yè)務(wù)，減輕事務(wù)處理人員勞動強度，輔助醫(yī)院管理，輔助高層領(lǐng)導(dǎo)決策，提高醫(yī)院工作效率，從而使醫(yī)院能夠以少的投入獲得更好的社會效益與經(jīng)濟效益，像財務(wù)管理系統(tǒng)、人事管理系統(tǒng)、住院病人管理系統(tǒng)、藥品庫存管理系統(tǒng)等均屬于HIS的范圍。4.1.2 CA產(chǎn)品在HIS中的應(yīng)用（1） 、HIS系統(tǒng)證書登錄 HIS系統(tǒng)證書登錄流程： 圖： HIS系統(tǒng)中證書登錄HIS系統(tǒng)證書登錄描述： 1、醫(yī)院信息科從深圳CA官網(wǎng)下載驅(qū)動，在每個醫(yī)生電腦上安裝驅(qū)動； 2、當醫(yī)生插入深圳CA下發(fā)的UKEY后，用戶通過證書登錄，系統(tǒng)將證書的隨機簽名信息、證書信息（有效期、根證書等）傳給身份認證系統(tǒng)進行驗證，同時身份認證系統(tǒng)將得到的證書信息比對； 3、所有信息都驗證通過后（未通過，顯示登錄失?。?，系統(tǒng)提取證書信息中的“證書擁有者、擴展項（身份證號）” 進行用戶身份認定； 4、登錄成功，系統(tǒng)根據(jù)唯一標識（身份證號）匹配用戶進入HIS系統(tǒng)。HIS系統(tǒng)證書登錄相關(guān)接口：1、AxSetCertFilterStrP1(SC;SZCA;#;#;#;); 證書過濾2、AxSetKeyStoreP1() 設(shè)置簽名、解密證書3、AxSignP1() 數(shù)據(jù)簽名4、AxGetCertDataP1() 輸出驗簽后的證書詳細的方法說明見附件中相關(guān)接口及參數(shù)說明請參考文檔SZCA證書數(shù)字應(yīng)用接口說明PKCS1(OCX).doc。（2） 、HIS系統(tǒng)中EMR（電子病歷）數(shù)字簽名 EMR數(shù)字簽名流程圖：圖：電子病歷數(shù)字簽名和驗簽電子病歷簽名和驗簽流程描述： 1、醫(yī)生點擊電子病歷的簽名按鈕，醫(yī)生輸入PIN碼獲取病歷頁面； 2、身份認證系統(tǒng)對當前醫(yī)生的身份進行驗證，系統(tǒng)首先進行證書驗證； 3、證書驗證通過后，對當前頁面信息使用RSA算法，RSA算法對哈希值進行簽名； 4、HIS系統(tǒng)存儲簽名信息原文和簽名后結(jié)果； 5、當簽名信息需要驗證的時，將簽名值、原文、公鑰信息傳給身份認證系統(tǒng)，驗簽完成后返回原文。 當醫(yī)生對每日查房的病歷進行簽名時，只對當前醫(yī)生的這一段病歷進行簽名，當涉及到一份病歷上需要主治醫(yī)生/上級醫(yī)生簽名時，主治醫(yī)生簽名完成后提交病歷到上級醫(yī)生那，上級醫(yī)生對病歷進行修改后在進行數(shù)字簽名。電子病歷簽名相關(guān)接口：1、AxSetCertFilterStrP1(SC;SZCA;#;#;#;); 證書過濾2、AxSetKeyStoreP1() 設(shè)置簽名、解密證書3、AxSignP1() 數(shù)據(jù)簽名4、AxGetCertDataP1() 輸出驗簽后的證書詳細的方法說明見附件中相關(guān)接口及參數(shù)說明請參考文檔SZCA證書數(shù)字應(yīng)用接口說明PKCS1(OCX).doc。（3） HIS系統(tǒng)中EMR（電子病歷）電子簽章 數(shù)字簽名是隱藏在電子文檔中的一串字符，不能像現(xiàn)實世界的電子簽名一樣直接展現(xiàn)給用戶，通過依托成熟產(chǎn)品電子簽章系統(tǒng)，在醫(yī)囑單、檢驗單等醫(yī)療過程中實現(xiàn)電子簽章功能，實現(xiàn)了應(yīng)用系統(tǒng)中數(shù)字簽名的可視化、圖形化，使可靠電子簽名在應(yīng)用系統(tǒng)中可形象展現(xiàn)，并提供方便的簽章驗證辨?zhèn)尾僮鹘缑?。在電子病歷中為了更好的讓醫(yī)生看到自己的名字，故使用電子簽章以圖片的形式展現(xiàn)出來，電子簽章的圖片是保存在HIS系統(tǒng)那邊，由HIS系統(tǒng)自行操控。HIS簽章功能實現(xiàn)：作為業(yè)內(nèi)技術(shù)領(lǐng)先的電子印章產(chǎn)品提供商，我們提供多種簽章文檔格式，包括:Word、Excel、Web網(wǎng)頁、PDF，實現(xiàn)在各種文檔上加蓋印章，驗證印章，批量簽章等功能。對于以上四種格式的文件，能直接用我司的電子簽章系統(tǒng)進行簽章，對于其他格式文件建議轉(zhuǎn)化成PDF文件后在進行簽章，對于無法轉(zhuǎn)PDF格式的文件采用系統(tǒng)開發(fā)商自己保存簽章圖片，自行控制簽章的位置。4.1.3 手寫簽名在醫(yī)療系統(tǒng)中的應(yīng)用 手寫簽名流程圖： 圖：手寫簽名流程示意圖流程描述： 1、在電子病歷系統(tǒng)生成患者知情 同書，點擊“完成并請求簽名”按鈕。 2、此時自動啟動客戶端程序，將知情同意書轉(zhuǎn)成PDF格式。 3、患者/患者家屬代表利用手寫筆在手寫簽名版上簽名。 4、客戶端拍照。 5、客戶端采集圖片、患者身份信息、文檔摘要信息、拍照圖片上傳。 6、生成證書請求，提交給手寫板內(nèi)置ukey制作一次性證書。 7、系統(tǒng)自動在電子版知情文書中簽名，加蓋時間戳、入庫，并傳給客戶端 8、主治醫(yī)生/上級醫(yī)生使用自己的證書對患者簽過名的文檔進行數(shù)字簽名（PDF）簽章，加蓋時間戳并提交。 9、驗證數(shù)字簽名、入庫，同步給EMR。 10、EMR存儲、展現(xiàn)知情同意書4.1.4 CA產(chǎn)品在醫(yī)生站中的應(yīng)用 醫(yī)囑流程圖：圖：醫(yī)囑簽名和驗簽流程 醫(yī)囑簽名和驗簽流程描述： 1、醫(yī)生點擊醫(yī)生站的醫(yī)囑提交按鈕，醫(yī)生輸入PIN碼獲取醫(yī)囑單頁面； 2、身份認證系統(tǒng)對當前醫(yī)生的身份進行驗證，系統(tǒng)首先進行證書驗證； 3、證書驗證通過后，對當前頁面信息使用RSA算法，RSA算法對哈希值進行逐條簽名； 4、HIS系統(tǒng)存儲簽名信息原文和簽名后結(jié)果； 5、當簽名信息需要驗證的時，將簽名值、原文、公鑰信息傳給身份認證系統(tǒng)，驗簽完成后返回原文。醫(yī)囑簽名相關(guān)接口：1、AxSetCertFilterStrP1(SC;SZCA;#;#;#;); 證書過濾2、AxSetKeyStoreP1() 設(shè)置簽名、解密證書3、AxSignP1() 數(shù)據(jù)簽名4、AxGetCertDataP1() 輸出驗簽后的證書詳細的方法說明見附件中相關(guān)接口及參數(shù)說明請參考文檔SZCA證書數(shù)字應(yīng)用接口說明PKCS1(OCX).doc。4.1.5實現(xiàn)功能 通過在HIS系統(tǒng)中集成數(shù)字證書安全認證系統(tǒng)中的身份認證系統(tǒng)、電子簽章、電子簽名系統(tǒng)以及時間戳服務(wù)器后將有效保證HIS系統(tǒng)中的各類信息數(shù)據(jù)安全。系統(tǒng)部署完成后將能實現(xiàn)以下功能：1、 登入登出HIS的網(wǎng)絡(luò)用記身份將得到安全認證，只有“合法”身份才能允許進入該系統(tǒng)，有效阻止了異常網(wǎng)絡(luò)身份的非法訪問，為HIS系統(tǒng)的各類數(shù)據(jù)安全建起了“屏障”的作用。2、 在HIS系統(tǒng)融入電子簽章/數(shù)字簽名系統(tǒng)后，所有在系統(tǒng)中操作并簽名的用戶的行為都將實現(xiàn)有效的電子簽章和簽名，保證了所有數(shù)據(jù)都是經(jīng)過合法授權(quán)而創(chuàng)建，保證了所有數(shù)據(jù)的真實性，有效性。同時也保證了操作行為的不可否認性。3、 HIS系統(tǒng)融入了時間戳后，將對所有系統(tǒng)網(wǎng)絡(luò)用戶的進入和退出，以及所有簽名環(huán)節(jié)的簽名等加上了合法可信的精確時間，有效保證了各類信息的完整性和可追溯性。在HIS系統(tǒng)對數(shù)字證書安全系統(tǒng)的部署，將為醫(yī)院帶來更大的社會效益和經(jīng)濟效益。4.2 Pacs系統(tǒng)4.2.1 Pacs系統(tǒng)簡介PACS系統(tǒng)是Picture Archiving and Communication Systems的縮寫，意為影像歸檔和通信系統(tǒng)。它是應(yīng)用在醫(yī)院影像科室的系統(tǒng)，主要的任務(wù)就是把日常產(chǎn)生的各種醫(yī)學(xué)影像（包括核磁，CT，超聲，各種X光機，各種紅外儀、顯微儀等設(shè)備產(chǎn)生的圖像）通過各種接口（模擬，DICOM，網(wǎng)絡(luò)）以數(shù)字化的方式海量保存起來，當需要的時候在一定的授權(quán)下能夠很快的調(diào)回使用，同時增加一些輔助診斷管理功能。它在各種影像設(shè)備間傳輸數(shù)據(jù)和組織存儲數(shù)據(jù)具有重要作用。4.2.2 CA產(chǎn)品在Pacs系統(tǒng)中的應(yīng)用(一)、Pacs系統(tǒng)證書登錄Pacs證書登錄流程圖：圖：Pacs系統(tǒng)證書登錄Pacs系統(tǒng)證書登錄描述： 1、醫(yī)院信息科從深圳CA官網(wǎng)下載驅(qū)動，在每個醫(yī)生電腦上安裝驅(qū)動； 2、當醫(yī)生插入深圳CA下發(fā)的UKEY后，用戶通過證書登錄，系統(tǒng)將證書的隨機簽名信息、證書信息（有效期、根證書等）傳給身份認證系統(tǒng)進行驗證，同時身份認證系統(tǒng)將得到的證書信息比對； 3、所有信息都驗證通過后（未通過，顯示登錄失?。到y(tǒng)提取證書信息中的“證書擁有者、擴展項（身份證號）” 進行用戶身份認定； 4、登錄成功，系統(tǒng)根據(jù)唯一標識（身份證號）匹配用戶進入Pacs系統(tǒng)。Pacs證書登錄中相關(guān)接口：1、AxSetCertFilterStrP1(SC;SZCA;#;#;#;); 證書過濾2、AxSetKeyStoreP1() 設(shè)置簽名、解密證書3、AxSignP1() 數(shù)據(jù)簽名4、AxGetCertDataP1() 輸出驗簽后的證書詳細的方法說明見附件中相關(guān)接口及參數(shù)說明請參考文檔SZCA證書數(shù)字應(yīng)用接口說明PKCS1(OCX).doc。(二)、Pacs系統(tǒng)中檢查報告數(shù)字簽名Pacs簽名驗簽流程圖：圖：Pacs數(shù)字簽名和驗簽Pacs數(shù)字簽名和驗簽流程描述： 1、醫(yī)生點擊檢查系統(tǒng)的審核按鈕，醫(yī)生輸入PIN碼獲取檢查報告頁面； 2、身份認證系統(tǒng)對當前醫(yī)生的身份進行驗證，系統(tǒng)首先進行證書驗證； 3、證書驗證通過后，對當前頁面信息使用RSA算法，RSA算法對哈希值進行簽名； 4、Pacs系統(tǒng)存儲簽名信息原文和簽名后結(jié)果； 5、當簽名信息需要驗證的時，將簽名值、原文、公鑰信息傳給身份認證系統(tǒng)，驗簽完成后返回原文。Pacs數(shù)字簽名中相關(guān)接口：1、AxSetCertFilterStrP1(SC;SZCA;#;#;#;); 證書過濾2、AxSetKeyStoreP1() 設(shè)置簽名、解密證書3、AxSignP1() 數(shù)據(jù)簽名4、AxGetCertDataP1() 輸出驗簽后的證書詳細的方法說明見附件中相關(guān)接口及參數(shù)說明請參考文檔SZCA證書數(shù)字應(yīng)用接口說明PKCS1(OCX).doc。(3) 、Pacs系統(tǒng)中檢查報告電子簽章 數(shù)字簽名是隱藏在電子文檔中的一串字符，不能像現(xiàn)實世界的電子簽名一樣直接展現(xiàn)給用戶，通過依托成熟產(chǎn)品電子簽章系統(tǒng)，在醫(yī)囑單、檢驗單等醫(yī)療過程中實現(xiàn)電子簽章功能，實現(xiàn)了應(yīng)用系統(tǒng)中數(shù)字簽名的可視化、圖形化，使可靠電子簽名在應(yīng)用系統(tǒng)中可形象展現(xiàn)，并提供方便的簽章驗證辨?zhèn)尾僮鹘缑?。在電子病歷中為了更好的讓醫(yī)生看到自己的名字，故使用電子簽章以圖片的形式展現(xiàn)出來，電子簽章的圖片是保存在pacs系統(tǒng)那邊，由pacs系統(tǒng)自行操控。PACS簽章實現(xiàn)：作為業(yè)內(nèi)技術(shù)領(lǐng)先的電子印章產(chǎn)品提供商，我們提供多種簽章文檔格式，包括:Word、Excel、Web網(wǎng)頁、PDF，實現(xiàn)在各種文檔上加蓋印章，驗證印章，批量簽章等功能。對于以上四種格式的文件，能直接用我司的電子簽章系統(tǒng)進行簽章，對于其他格式文件建議轉(zhuǎn)化成PDF文件后在進行簽章，對于無法轉(zhuǎn)PDF格式的文件采用系統(tǒng)開發(fā)商自己保存簽章圖片，自行控制簽章的位置。4.2.3實現(xiàn)功能通過在PACS系統(tǒng)中融入數(shù)字證書身份認證系統(tǒng)，電子簽章系統(tǒng)，并將所有服務(wù)接時間戳服器的安全系統(tǒng)建立。完成了對每位患者的影像檢查結(jié)果及其報告進行數(shù)字簽章，同時患者對其檢查結(jié)果進行手寫簽名，并且簽名同時被加蓋可信時間戳。確定了圖像信息的真實性和完整性。需要上級醫(yī)生審核的結(jié)果和報告，也需經(jīng)上級醫(yī)生加蓋電子簽章，再次加蓋時間可信時間戳，并利用指定權(quán)限的醫(yī)生公鑰進行加密，保證影像傳輸?shù)谋Ｃ苄裕袡?quán)限的醫(yī)生利用其數(shù)字證書的私鑰進行解密后才能查看相關(guān)圖像及報告。PACS系統(tǒng)的電子認證安全系統(tǒng)建立使得各文件和報告不再被隨意修改、刪除。從而解決了影像被篡改、不真實性的問題。也保證了操作醫(yī)生和審核醫(yī)生的行為不可抵賴性。:4.3 LIS系統(tǒng)4.3.1 LIS系統(tǒng)簡介LIS系統(tǒng)(Laboratory Information System) 即 實驗室（檢驗科）信息系統(tǒng)，它是醫(yī)院信息管理的重要組成部分之一，自從人類社會進入信息時代，信息技術(shù)的迅速發(fā)展加快了各行各業(yè)現(xiàn)代化與信息化的進程。LIS系統(tǒng)逐步采用了智能輔助功能來處理大信息量的檢驗工作，即LIS系統(tǒng)不僅是自動接收檢驗數(shù)據(jù)，打印檢驗報告，系統(tǒng)保存檢驗信息的工具，而且可根據(jù)實驗室的需要實現(xiàn)智能輔助功能。隨著IT技術(shù)的不斷發(fā)展，人工智能在LIS系統(tǒng)中的應(yīng)用也越來越廣泛。4.3.2 CA產(chǎn)品在LIS用的應(yīng)用(一)、LIS系統(tǒng)證書登錄LIS系統(tǒng)證書登錄流程圖： 圖：LIS系統(tǒng)證書登錄LIS系統(tǒng)證書登錄描述： 1、醫(yī)院信息科從深圳CA官網(wǎng)下載驅(qū)動，在每個醫(yī)生電腦上安裝驅(qū)動； 2、當醫(yī)生插入深圳CA下發(fā)的UKEY后，用戶通過證書登錄，系統(tǒng)將證書的隨機簽名信息、證書信息（有效期、根證書等）傳給身份認證系統(tǒng)進行驗證，同時身份認證系統(tǒng)將得到的證書信息比對； 3、所有信息都驗證通過后（未通過，顯示登錄失?。?，系統(tǒng)提取證書信息中的“證書擁有者、擴展項（身份證號）” 進行用戶身份認定； 4、登錄成功，系統(tǒng)根據(jù)唯一標識（身份證號）匹配用戶進入LIS系統(tǒng)。LIS系統(tǒng)證書登錄中相關(guān)接口：1、AxSetCertFilterStrP1(SC;SZCA;#;#;#;); 證書過濾2、AxSetKeyStoreP1() 設(shè)置簽名、解密證書3、AxSignP1() 數(shù)據(jù)簽名4、AxGetCertDataP1() 輸出驗簽后的證書詳細的方法說明見附件中相關(guān)接口及參數(shù)說明請參考文檔SZCA證書數(shù)字應(yīng)用接口說明PKCS1(OCX).doc。(二)、LIS系統(tǒng)中檢驗單數(shù)字簽名LIS系統(tǒng)中檢驗單數(shù)字簽名流程圖： 圖：LIS數(shù)字簽名和驗簽LIS簽名和驗簽流程描述： 1、醫(yī)生點擊檢驗系統(tǒng)的審核按鈕，醫(yī)生輸入PIN碼獲取檢查單頁面； 2、身份認證系統(tǒng)對當前醫(yī)生的身份進行驗證，系統(tǒng)首先進行證書驗證； 3、證書驗證通過后，對當前頁面信息使用RSA算法，RSA算法對哈希值進行簽名； 4、LIS系統(tǒng)存儲簽名信息原文和簽名后結(jié)果； 5、當簽名信息需要驗證的時，將簽名值、原文、公鑰信息傳給身份認證系統(tǒng)，驗簽完成后返回原文。LIS數(shù)字簽名中相關(guān)接口：1、AxSetCertFilterStrP1(SC;SZCA;#;#;#;); 證書過濾2、AxSetKeyStoreP1() 設(shè)置簽名、解密證書3、AxSignP1() 數(shù)據(jù)簽名4、AxGetCertDataP1() 輸出驗簽后的證書詳細的方法說明見附件中相關(guān)接口及參數(shù)說明請參考文檔SZCA證書數(shù)字應(yīng)用接口說明PKCS1(OCX).doc。(三)、檢驗單電子簽章數(shù)字簽名是隱藏在電子文檔中的一串字符，不能像現(xiàn)實世界的電子簽名一樣直接展現(xiàn)給用戶，通過依托成熟產(chǎn)品電子簽章系統(tǒng)，在醫(yī)囑單、檢驗單等醫(yī)療過程中實現(xiàn)電子簽章功能，實現(xiàn)了應(yīng)用系統(tǒng)中數(shù)字簽名的可視化、圖形化，使可靠電子簽名在應(yīng)用系統(tǒng)中可形象展現(xiàn)，并提供方便的簽章驗證辨?zhèn)尾僮鹘缑?。在電子病歷中為了更好的讓醫(yī)生看到自己的名字，故使用電子簽章以圖片的形式展現(xiàn)出來，電子簽章的圖片是保存在LIS系統(tǒng)那邊，由LIS系統(tǒng)自行操控。LIS簽章實現(xiàn)：作為業(yè)內(nèi)技術(shù)領(lǐng)先的電子印章產(chǎn)品提供商，我們提供多種簽章文檔格式，包括:Word、Excel、Web網(wǎng)頁、PDF，實現(xiàn)在各種文檔上加蓋印章，驗證印章，批量簽章等功能。對于以上四種格式的文件，能直接用我司的電子簽章系統(tǒng)進行簽章，對于其他格式文件建議轉(zhuǎn)化成PDF文件后在進行簽章，對于無法轉(zhuǎn)PDF格式的文件采用系統(tǒng)開發(fā)商自己保存簽章圖片，自行控制簽章的位置。4.3.3實現(xiàn)功能通過在LIS系統(tǒng)中部屬身份認證系統(tǒng)、電子簽章系統(tǒng)，并通過電子簽章的會簽功能，實現(xiàn)對患者檢查結(jié)果的審核；同時患都也對檢查結(jié)果進行手寫簽名，確認檢查結(jié)果的效力，且電子簽章后的文件和報告不再被隨意修改、刪除。同時，通過時間戳服務(wù)器對檢查結(jié)果的簽字加蓋可信時間后存儲，為以后的審計和查詢提供可靠的依據(jù)，從而避免了檢查結(jié)果可能導(dǎo)致的糾紛。由于全過程通過第三方認證機構(gòu)的可靠認證，確保了檢驗結(jié)果的法律效力。4.4其他系統(tǒng)醫(yī)院其他系統(tǒng)例如：OA、HRP、用血、手麻、心電等系統(tǒng)都能用到我們的CA產(chǎn)品，主要集中在證書、數(shù)字簽名、電子簽章、手寫簽名板、時間戳上。醫(yī)院系統(tǒng)眾多，涉及到的各類報表很多，需要醫(yī)生、護士簽名的表單很多，這也能使我們的CA產(chǎn)品得到廣泛的應(yīng)用。4.5應(yīng)用效果總結(jié)在數(shù)字醫(yī)療信息系統(tǒng)中建成數(shù)字證書安全認證服務(wù)系統(tǒng)后，將為數(shù)字醫(yī)療信息系統(tǒng)中的各系統(tǒng)用戶實現(xiàn)網(wǎng)絡(luò)身份可信、數(shù)據(jù)流轉(zhuǎn)過程中的數(shù)據(jù)可信、行為可信、時間可信。系統(tǒng)的建成保證了數(shù)字醫(yī)療系統(tǒng)中信息數(shù)據(jù)的安全性和可靠性，確保了所有醫(yī)療數(shù)據(jù)信息的法律效力。數(shù)字證書安全認證系統(tǒng)的建立，將提升整個醫(yī)療服務(wù)機構(gòu)的核心竟爭力，為各醫(yī)療服務(wù)機構(gòu)帶來更大的經(jīng)濟效益。也將更好地塑造整個醫(yī)療服務(wù)機構(gòu)的社會形象，更好地服務(wù)大眾。5、 服務(wù)器配置5.1系統(tǒng)架構(gòu)1) 操作系統(tǒng)安裝windows server 2008，不能使用GHOST版本。2) IE瀏覽器IE8.0或者更高版本3) 管理服務(wù)器IP必須固定4) 系統(tǒng)管理員帳戶必須設(shè)置密碼5.2服務(wù)器說明1處理器：8核處理器或以上（可選Inter類型）2內(nèi)存：16GB以上3硬盤：50G以上4網(wǎng)卡：千兆網(wǎng)卡5顯示器：普通6鍵盤鼠標：普通六、對現(xiàn)有系統(tǒng)進行改造1、證書登錄需要將證書與數(shù)據(jù)庫中的用戶表進行綁定，建議綁定身份證號碼及其醫(yī)生姓名；2、證書驗證通過webservice方式來對證書的擁有者進行驗證；3、醫(yī)生、護士對病歷、各類報表、各種報告進行簽名時將簽名值保存在各大供應(yīng)商的數(shù)據(jù)庫中，簽名文件采用數(shù)據(jù)流的方式來保存。4、數(shù)字簽名驗簽通過webservice方式來進行驗簽。5、各大供應(yīng)商將醫(yī)生簽名圖片保存在自己數(shù)據(jù)庫中，醫(yī)生點擊簽名時從各自數(shù)據(jù)庫中調(diào)用簽章圖片，放到相應(yīng)位置。七、應(yīng)急預(yù)案7.1數(shù)字證書應(yīng)急服務(wù) 場景描述：醫(yī)生或護士在進行業(yè)務(wù)操作的過程中，出現(xiàn)小概率的介質(zhì)損壞。無法正常進行業(yè)務(wù)的下一步操作，業(yè)務(wù)處理中斷。 應(yīng)急服務(wù)目標(1) 解決因證書介質(zhì)故障而導(dǎo)致的業(yè)務(wù)中斷。(2) 快速提供證書恢復(fù)服務(wù)。(3) 證書恢復(fù)服務(wù)高效且安全。 應(yīng)急服務(wù)解決方案1）雙證書備份方案：給予熱門專家配2套證書與介質(zhì)，一般醫(yī)生配1證書與介質(zhì)。當出現(xiàn)介質(zhì)損壞時，直接使用備用介質(zhì)替代，以快速恢復(fù)中斷業(yè)務(wù)。2）證書管理員恢復(fù)方案：當出現(xiàn)證書介質(zhì)故障時，由用戶到證書管理員處提交證書重新辦理申請。證書管理員對證書進行重新簽發(fā)，簽發(fā)完畢后將介質(zhì)交送與用戶。7.2設(shè)備故障應(yīng)急解決方案 場景描述：核心設(shè)備出現(xiàn)問題導(dǎo)致業(yè)務(wù)中斷。 應(yīng)急解決目標(1) 杜絕因某類安全設(shè)備出現(xiàn)故障造成業(yè)務(wù)中斷。(2) 設(shè)備故障能夠及時獲知。(3) 當出現(xiàn)中斷時能夠快速恢復(fù)。 應(yīng)急解決方案1) 目前鄭州雙院采取的是在2臺服務(wù)器上都部署身份認證系統(tǒng)，當一臺服務(wù)器宕掉，另外一臺服務(wù)器開啟能直接運行。