電子病歷與數(shù)字證書(shū)對(duì)接

1、電子病歷與數(shù)字證書(shū)的對(duì)接電子病歷與數(shù)字證書(shū)的對(duì)接劉平數(shù)字證書(shū)的作用 證明公鑰屬于誰(shuí) 說(shuō)明公鑰的有效期和驗(yàn)證鏈 使用該公鑰和對(duì)應(yīng)的私鑰，可以做到： 機(jī)密性：信息不能泄露 真實(shí)性：身份不能假冒 完整性：數(shù)據(jù)不可篡改 抗抵賴(lài)：行為不能否認(rèn) 通過(guò)密碼服務(wù)，實(shí)現(xiàn)上述安全保證數(shù)字簽名簽名數(shù)字簽名簽名 文檔文檔Plain text DocumentPlain text DocumentPlain text DocumentPlain text DocumentPlain text Document文檔文檔Plain text DocumentPlain text DocumentPlain text Doc

2、umentPlain text DocumentPlain text Document文檔文檔Plain text DocumentPlain text DocumentPlain text DocumentPlain text DocumentPlain text Document數(shù)字簽名數(shù)字簽名將簽名附加在文檔之后將簽名附加在文檔之后文檔文檔Plain text DocumentPlain text DocumentPlain text DocumentPlain text DocumentPlain text Document文檔文檔Plain text DocumentPlain te

3、xt DocumentPlain text DocumentPlain text DocumentPlain text Document文檔文檔Plain text DocumentPlain text DocumentPlain text DocumentPlain text DocumentPlain text Document信息摘要信息摘要壓縮壓縮用戶用戶B B的私鑰的私鑰 數(shù)字簽名驗(yàn)簽名數(shù)字簽名驗(yàn)簽名信息摘要信息摘要信息摘要信息摘要文檔文檔Plain text DocumentPlain text DocumentPlain text DocumentPlain text Docum

4、entPlain text Document文檔文檔Plain text DocumentPlain text DocumentPlain text DocumentPlain text DocumentPlain text Document文檔文檔Plain text DocumentPlain text DocumentPlain text DocumentPlain text DocumentPlain text Document數(shù)字簽名數(shù)字簽名比較兩個(gè)比較兩個(gè)摘要信息摘要信息是否一致是否一致壓縮壓縮用戶用戶B B的公鑰的公鑰用戶用戶B B真的在文件上簽了名（真實(shí)性）真的在文件上簽了名（

5、真實(shí)性）用戶用戶B B真的發(fā)送了信息（非否認(rèn)性）。真的發(fā)送了信息（非否認(rèn)性）。如果信息有了任何改動(dòng)，摘要就會(huì)不匹配（完整性）。如果信息有了任何改動(dòng)，摘要就會(huì)不匹配（完整性）。假如摘要相互匹配就可以有三種安全保證假如摘要相互匹配就可以有三種安全保證信息信息摘要摘要壓縮壓縮用戶用戶B B的私鑰的私鑰 文檔文檔Plain text DocumentPlain text文檔文檔Plain text DocumentPlain text文檔文檔Plain text DocumentPlain text數(shù)字?jǐn)?shù)字簽名簽名文檔文檔Plain text DocumentPlain text文檔文檔Plain t

6、ext DocumentPlain text文檔文檔Plain text DocumentPlain text信息信息摘要摘要信息信息摘要摘要比較兩個(gè)摘要比較兩個(gè)摘要信息是否一致信息是否一致壓縮壓縮數(shù)字?jǐn)?shù)字簽名簽名文檔文檔Plain text DocumentPlain text文檔文檔Plain text DocumentPlain text文檔文檔Plain text DocumentPlain text用戶用戶B B的公鑰的公鑰數(shù)字簽名的作用 許多安全需求要用數(shù)字簽名來(lái)解決 數(shù)字簽名基本用途是： 真實(shí)性 完整性 抗抵賴(lài) 要根據(jù)不同安全需求設(shè)計(jì)簽名方法 誰(shuí)來(lái)簽名 對(duì)什么簽名 簽在哪里 簽了

7、干什么用 數(shù)字簽名機(jī)制 不同的簽名方法可以滿足不同的安全需求 真實(shí)性：對(duì)驗(yàn)證方發(fā)來(lái)的挑戰(zhàn)數(shù)據(jù)簽名 完整性：對(duì)被保護(hù)數(shù)據(jù)的哈希值簽名 抗抵賴(lài)：由行為人對(duì)確定的內(nèi)容簽名 保持關(guān)聯(lián)關(guān)系：對(duì)關(guān)聯(lián)數(shù)據(jù)的哈希鏈簽名 指定受理/所有人：待簽數(shù)據(jù)中包括該人證書(shū) 指定后續(xù)操作：待簽數(shù)據(jù)中包括操作指示 逐級(jí)審批：待簽數(shù)據(jù)中包括前者的簽名衛(wèi)生部的電子病歷的規(guī)范 電子病歷基本規(guī)范電子病歷基本規(guī)范 總則 電子病歷基本要求 實(shí)施電子病歷基本條件 電子病歷的管理 附則 2010年4月1日起試行 規(guī)范中涉及的安全問(wèn)題規(guī)范中涉及的安全問(wèn)題 電子病歷系統(tǒng)應(yīng)當(dāng)為患者建立個(gè)人信息數(shù)據(jù)庫(kù)，授予唯一標(biāo)識(shí)號(hào)碼并確保與患者的醫(yī)療記錄相對(duì)應(yīng)

8、電子病歷系統(tǒng)應(yīng)當(dāng)滿足國(guó)家信息安全等級(jí)保護(hù)制度與標(biāo)準(zhǔn)。嚴(yán)禁篡改、偽造、隱匿、搶奪、竊取和毀壞電子病歷。 規(guī)范中涉及的安全問(wèn)題規(guī)范中涉及的安全問(wèn)題（續(xù)） 電子病歷系統(tǒng)應(yīng)當(dāng)為操作人員提供專(zhuān)有的身份標(biāo)識(shí)和識(shí)別手段，并設(shè)置有相應(yīng)權(quán)限；操作人員對(duì)本人身份標(biāo)識(shí)的使用負(fù)責(zé) 醫(yī)務(wù)人員采用身份標(biāo)識(shí)登錄電子病歷系統(tǒng)完成各項(xiàng)記錄等操作并予確認(rèn)后，系統(tǒng)應(yīng)當(dāng)顯示醫(yī)務(wù)人員電子簽名。 規(guī)范中涉及的安全問(wèn)題規(guī)范中涉及的安全問(wèn)題（續(xù)） 電子病歷系統(tǒng)應(yīng)當(dāng)設(shè)置醫(yī)務(wù)人員審查、修改的權(quán)限和時(shí)限。 實(shí)習(xí)醫(yī)務(wù)人員、試用期醫(yī)務(wù)人員記錄的病歷，應(yīng)當(dāng)經(jīng)過(guò)在本醫(yī)療機(jī)構(gòu)合法執(zhí)業(yè)的醫(yī)務(wù)人員審閱、修改并予電子簽名確認(rèn)。 醫(yī)務(wù)人員修改時(shí)，電子病歷系統(tǒng)應(yīng)當(dāng)進(jìn)

9、行身份識(shí)別、保存歷次修改痕跡、標(biāo)記準(zhǔn)確的修改時(shí)間和修改人信息。 使用密碼技術(shù)可以解決安全問(wèn)題 加密，解決隱私和知識(shí)保護(hù)問(wèn)題 簽名， 解決病歷完整性問(wèn)題 解決病歷的管理問(wèn)題 鑒別操作者身份真實(shí)性 明確操作者責(zé)任 證明病歷有效性 證明業(yè)務(wù)流程合法性電子病歷與密碼服務(wù)的關(guān)系醫(yī)療業(yè)務(wù)系統(tǒng)密碼基礎(chǔ)設(shè)施電子病歷管理系統(tǒng)電子病歷醫(yī)務(wù)人員醫(yī)務(wù)人員面對(duì)的系統(tǒng)醫(yī)務(wù)人員在此系統(tǒng)上操作相對(duì)獨(dú)立的系統(tǒng)通過(guò)標(biāo)準(zhǔn)接口提供病歷服務(wù)統(tǒng)一的密碼服務(wù)平臺(tái)通過(guò)標(biāo)準(zhǔn)接口提供密碼服務(wù)電子病歷 基本結(jié)構(gòu) 安全需求 安全機(jī)制電子病歷 基本結(jié)構(gòu)基本結(jié)構(gòu) 安全需求 安全機(jī)制電子病歷的基本結(jié)構(gòu)患者電子病歷病歷概要門(mén)（急）診病歷記錄住院病歷記錄健康

10、體檢記錄醫(yī)療機(jī)構(gòu)信息業(yè)務(wù)域（業(yè)務(wù)域（7 7項(xiàng)）項(xiàng)）業(yè)務(wù)活動(dòng)記錄業(yè)務(wù)活動(dòng)記錄電子病歷的基本結(jié)構(gòu)（續(xù)） 來(lái)自于衛(wèi)生部電子病歷數(shù)據(jù)結(jié)構(gòu)規(guī)范 業(yè)務(wù)內(nèi)容遵循電子病歷數(shù)據(jù)結(jié)構(gòu)規(guī)范 橫向可鏈接記錄 縱向可添加記錄 記錄由標(biāo)識(shí)表示用途電子病歷 基本結(jié)構(gòu) 安全需求安全需求 安全機(jī)制電子病歷的安全需求 病歷自帶安全機(jī)制 安全機(jī)制應(yīng)保證： 確保完整、明確責(zé)任 保護(hù)隱私、保護(hù)知識(shí) 具有權(quán)限、安全共享 安全機(jī)制應(yīng)做到： 與記錄的醫(yī)療內(nèi)容無(wú)關(guān) 與醫(yī)療業(yè)務(wù)和流程無(wú)關(guān) 與醫(yī)療業(yè)務(wù)系統(tǒng)無(wú)關(guān)目的是目的是使病例成為獨(dú)立的安全對(duì)象使病例成為獨(dú)立的安全對(duì)象可以跨系統(tǒng)安全共享可以跨系統(tǒng)安全共享離開(kāi)本系統(tǒng)時(shí)，安全性不被破壞離開(kāi)本系統(tǒng)時(shí)，安

11、全性不被破壞電子病歷的安全需求（續(xù)） 橫向記錄間保持鏈接關(guān)系，前后順序不可變 縱向記錄間保持族群關(guān)系，先后順序不可變 記錄只能創(chuàng)建、添加，不能抽取、刪除 記錄不能修改，修改等于添加 醫(yī)務(wù)人員對(duì)記錄簽名 管理系統(tǒng)對(duì)病歷簽名 所有簽名不可撤銷(xiāo)對(duì)應(yīng)規(guī)范中關(guān)于修改的規(guī)定對(duì)應(yīng)規(guī)范中關(guān)于修改的規(guī)定保留修改痕跡，原始的簽名應(yīng)保留保留修改痕跡，原始的簽名應(yīng)保留修改者要簽名，等于添加新紀(jì)錄修改者要簽名，等于添加新紀(jì)錄電子病歷 基本結(jié)構(gòu) 安全需求 安全機(jī)制安全機(jī)制電子病歷的安全機(jī)制 每條記錄都應(yīng)由行為人簽名 待簽內(nèi)容應(yīng)包括： 內(nèi)容屬性：醫(yī)療行為產(chǎn)生的結(jié)果、數(shù)據(jù)或鏈接 時(shí)間屬性：簽名的時(shí)間或時(shí)間戳、修改審查的時(shí)限

12、簽名屬性：簽名者信息，如職稱(chēng)、職務(wù)等 關(guān)聯(lián)屬性：與前記錄的關(guān)系，如治療、修改等 狀態(tài)屬性：可否鏈接、是否歸檔等 隱私屬性：隱私所有者的加密證書(shū) 權(quán)限屬性：誰(shuí)能看到/修改/處理/擁有/本記錄 審批屬性：本記錄是否應(yīng)審批，批準(zhǔn)者的證書(shū) 完整性屬性：縱橫向哈希鏈接到本記錄的哈希值電子病歷的安全機(jī)制（續(xù)） 對(duì)橫向記錄的哈希鏈簽名，保持鏈接關(guān)系 用于后續(xù)記錄鏈或者修改記錄鏈 每鏈接一條記錄改簽一次，原順序不能改變 由病歷管理系統(tǒng)簽名 對(duì)縱向記錄的哈希鏈簽名，保持族群關(guān)系 記錄許進(jìn)不許出 每添加一條記錄改簽一次，原次序不能改變 由病歷管理系統(tǒng)簽名病歷管理系統(tǒng) 安全需求 安全要求病歷管理系統(tǒng) 安全需求安全需

13、求 安全要求病歷管理系統(tǒng)的安全需求 為患者建立個(gè)人信息數(shù)據(jù)庫(kù)，授予唯一標(biāo)識(shí)號(hào)碼并確保與患者的醫(yī)療記錄相對(duì)應(yīng) 具有嚴(yán)格的復(fù)制管理功能。同一患者的相同信息可以復(fù)制，復(fù)制內(nèi)容必須校對(duì)，不同患者的信息不得復(fù)制 應(yīng)當(dāng)滿足國(guó)家信息安全等級(jí)保護(hù)制度與標(biāo)準(zhǔn)。嚴(yán)禁篡改、偽造、隱匿、搶奪、竊取和毀壞電子病歷 病歷管理系統(tǒng)的安全需求（續(xù)） 門(mén)診電子病歷中的門(mén)（急）診病歷記錄以接診醫(yī)師錄入確認(rèn)即為歸檔，歸檔后不得修改 住院電子病歷隨患者出院經(jīng)上級(jí)醫(yī)師于患者出院審核確認(rèn)后歸檔，歸檔后由電子病歷管理部門(mén)統(tǒng)一管理 醫(yī)務(wù)人員修改時(shí)，電子病歷系統(tǒng)應(yīng)當(dāng)進(jìn)行身份識(shí)別、保存歷次修改痕跡、標(biāo)記準(zhǔn)確的修改時(shí)間和修改人信息 病歷管理系統(tǒng)

14、安全需求 安全要求安全要求病歷管理系統(tǒng)的安全要求 與密碼算法、密碼設(shè)備、密鑰管理無(wú)關(guān)， 通過(guò)標(biāo)準(zhǔn)接口為業(yè)務(wù)系統(tǒng)提供病歷服務(wù) 創(chuàng)建、添加、修改、閱讀、打印、查詢(xún)、統(tǒng)計(jì)等 不接受醫(yī)務(wù)人員的直接訪問(wèn) 按照病歷的安全機(jī)制管理病歷 對(duì)病歷進(jìn)行的操作應(yīng)有日志記錄 應(yīng)有數(shù)據(jù)備份機(jī)制 病歷管理系統(tǒng)的安全要求（續(xù)） 管理人員登錄系統(tǒng)應(yīng)驗(yàn)證身份 管理人員應(yīng)按權(quán)限進(jìn)行檢索、統(tǒng)計(jì)、復(fù)印、檢驗(yàn)等操作 管理人員不能對(duì)病歷進(jìn)行訪問(wèn)操作 管理人員的操作行為應(yīng)有日志記錄醫(yī)療業(yè)務(wù)系統(tǒng) 安全需求 安全要求醫(yī)療業(yè)務(wù)系統(tǒng) 安全需求安全需求 安全要求醫(yī)療業(yè)務(wù)系統(tǒng)安全需求 應(yīng)當(dāng)為操作人員提供專(zhuān)有的身份標(biāo)識(shí)和識(shí)別手段，并設(shè)置有相應(yīng)權(quán)限；操作

15、人員對(duì)本人身份標(biāo)識(shí)的使用負(fù)責(zé) 醫(yī)務(wù)人員采用身份標(biāo)識(shí)登錄電子病歷系統(tǒng)完成各項(xiàng)記錄等操作并予確認(rèn)后，系統(tǒng)應(yīng)當(dāng)顯示醫(yī)務(wù)人員電子簽名。醫(yī)療業(yè)務(wù)系統(tǒng)安全需求（續(xù)） 電子病歷系統(tǒng)應(yīng)當(dāng)設(shè)置醫(yī)務(wù)人員審查、修改的權(quán)限和時(shí)限。 實(shí)習(xí)醫(yī)務(wù)人員、試用期醫(yī)務(wù)人員記錄的病歷，應(yīng)當(dāng)經(jīng)過(guò)在本醫(yī)療機(jī)構(gòu)合法執(zhí)業(yè)的醫(yī)務(wù)人員審閱、修改并予電子簽名確認(rèn)。 醫(yī)務(wù)人員修改時(shí)，電子病歷系統(tǒng)應(yīng)當(dāng)進(jìn)行身份識(shí)別、保存歷次修改痕跡、標(biāo)記準(zhǔn)確的修改時(shí)間和修改人信息醫(yī)療業(yè)務(wù)系統(tǒng) 安全需求 安全要求安全要求醫(yī)療業(yè)務(wù)系統(tǒng)的安全要求 操作者登錄系統(tǒng)應(yīng)驗(yàn)證身份 操作者應(yīng)按權(quán)限操作，權(quán)限應(yīng)分等級(jí) 操作者審查、修改的權(quán)限應(yīng)設(shè)置時(shí)限 操作者的行為應(yīng)有日志記錄，可追溯

16、 系統(tǒng)把操作的結(jié)果轉(zhuǎn)化為對(duì)病歷管理系統(tǒng)的訪問(wèn)操作密碼基礎(chǔ)設(shè)施 密碼基礎(chǔ)設(shè)施提供的服務(wù) 密碼基礎(chǔ)設(shè)施簡(jiǎn)要介紹密碼基礎(chǔ)設(shè)施 密碼基礎(chǔ)設(shè)施提供的服務(wù)密碼基礎(chǔ)設(shè)施提供的服務(wù) 密碼基礎(chǔ)設(shè)施簡(jiǎn)要介紹密碼基礎(chǔ)設(shè)施提供的服務(wù) 提供通用密碼服務(wù) 數(shù)字簽名、驗(yàn)簽 數(shù)據(jù)加密、解密 提供典型密碼服務(wù) 身份鑒別 權(quán)限管理 證書(shū)解析、驗(yàn)證 時(shí)間戳 證據(jù)采集與管理密碼基礎(chǔ)設(shè)施 密碼基礎(chǔ)設(shè)施提供的服務(wù) 密碼基礎(chǔ)設(shè)施簡(jiǎn)要介紹密碼基礎(chǔ)設(shè)施簡(jiǎn)要介紹密碼基礎(chǔ)設(shè)施框架時(shí)間戳系統(tǒng)屬性證書(shū)系統(tǒng)證書(shū)認(rèn)證系統(tǒng)身份鑒別責(zé)任認(rèn)定單點(diǎn)登錄訪問(wèn)控制時(shí)間戳典型密碼服務(wù)層通用密碼服務(wù)層密碼設(shè)備管理通用密碼服務(wù)密碼設(shè)備服務(wù)層密碼設(shè)備應(yīng)用 1 應(yīng)用 N公鑰密

17、碼基礎(chǔ)設(shè)施應(yīng)用技術(shù)體系框架基礎(chǔ)設(shè)施安全支撐平臺(tái)密碼基礎(chǔ)設(shè)施框架（續(xù)） 密碼設(shè)備服務(wù)層密碼設(shè)備服務(wù)層 由密碼機(jī)、密碼卡、智能密碼終端等設(shè)備組成，通過(guò)標(biāo)準(zhǔn)的密碼設(shè)備應(yīng)用接口向通用密碼服務(wù)層提供基礎(chǔ)密碼服務(wù)。 基礎(chǔ)密碼服務(wù)包括密鑰生成、單一的密碼運(yùn)算、文件管理等服務(wù)。 密碼設(shè)備通過(guò)統(tǒng)一的設(shè)備管理接口來(lái)接受通用密碼服務(wù)層的密碼設(shè)備管理。密碼基礎(chǔ)設(shè)施框架（續(xù)） 通用密碼服務(wù)層通用密碼服務(wù)層 由通用密碼服務(wù)和密碼設(shè)備管理服務(wù)組成，為上層應(yīng)用提供與底層具體密碼設(shè)備透明的密碼服務(wù)和設(shè)備管理服務(wù)。 通用密碼服務(wù)層通過(guò)統(tǒng)一的密碼服務(wù)接口向典型密碼服務(wù)層和應(yīng)用層提供證書(shū)解析、證書(shū)認(rèn)證、信息的機(jī)密性、完整性和不可否認(rèn)

18、性等通用密碼服務(wù)。 將上層的密碼服務(wù)請(qǐng)求轉(zhuǎn)化為具體的基礎(chǔ)密碼操作請(qǐng)求，通過(guò)統(tǒng)一的密碼設(shè)備應(yīng)用接口調(diào)用相應(yīng)密碼設(shè)備實(shí)現(xiàn)具體的密碼運(yùn)算和密鑰操作。 密碼設(shè)備管理向上層管理應(yīng)用提供統(tǒng)一的設(shè)備管理應(yīng)用接口，為實(shí)現(xiàn)遠(yuǎn)程密鑰管理、設(shè)備維護(hù)、設(shè)備監(jiān)控等上層管理應(yīng)用提供設(shè)備管理功能，將上層管理應(yīng)用的管理請(qǐng)求轉(zhuǎn)換為標(biāo)準(zhǔn)的消息調(diào)用，通過(guò)安全通道實(shí)現(xiàn)管理應(yīng)用與密碼設(shè)備間的消息傳遞。密碼基礎(chǔ)設(shè)施框架（續(xù)）典型密碼服務(wù)層典型密碼服務(wù)層 由責(zé)任認(rèn)定、身份鑒別、單點(diǎn)登錄、訪問(wèn)控制和時(shí)間戳等服務(wù)組成，為上層應(yīng)用提供對(duì)應(yīng)的密碼功能服務(wù)。責(zé)任認(rèn)定通過(guò)標(biāo)準(zhǔn)接口為上層應(yīng)用提供證據(jù)采集服務(wù)，為責(zé)任認(rèn)定應(yīng)用系統(tǒng)提供可信證據(jù)，實(shí)現(xiàn)證據(jù)的存儲(chǔ)、歸檔、查詢(xún)和使用審計(jì)等管理功能。身份鑒別通過(guò)標(biāo)準(zhǔn)接口為上層應(yīng)用提供身份查詢(xún)、身份解析、身份驗(yàn)證等身份鑒別服務(wù)。單點(diǎn)登錄通過(guò)標(biāo)準(zhǔn)接口為上層應(yīng)用提供登錄憑據(jù)的產(chǎn)生、獲取、驗(yàn)證等服務(wù)，在相互間存在信任關(guān)系的應(yīng)用系統(tǒng)之間實(shí)現(xiàn)單點(diǎn)登錄和單點(diǎn)注銷(xiāo)。訪問(wèn)控制通過(guò)標(biāo)準(zhǔn)接口為上層應(yīng)用提供系統(tǒng)資源的訪問(wèn)控制，實(shí)現(xiàn)用戶管理，資源管理、訪問(wèn)控制策略管理和用戶授權(quán)等功能。時(shí)間戳通過(guò)標(biāo)準(zhǔn)接口為上層應(yīng)用和典型密碼服務(wù)層其它組成部