电子病历与数字证书对接概念.ppt

电子病历与数字证书的对接 刘平 数字证书的作用 证明公钥属于谁 说明公钥的有效期和验证链 使用该公钥和对应的私钥，可以做到： 机密性：信息不能泄露 真实性：身份不能假冒 完整性：数据不可篡改 抗抵赖：行为不能否认 通过密码服务，实现上述安全保证 数字签名－签名 数字签名－验签名 数字签名的作用 许多安全需求要用数字签名来解决 数字签名基本用途是： 真实性 完整性 抗抵赖 要根据不同安全需求设计签名方法 谁来签名 对什么签名 签在哪里 签了干什么用 数字签名机制 不同的签名方法可以满足不同的安全需求 真实性：对验证方发来的挑战数据签名 完整性：对被保护数据的哈希值签名 抗抵赖：由行为人对确定的内容签名 保持关联关系：对关联数据的哈希链签名 指定受理/所有人：待签数据中包括该人证书 指定后续操作：待签数据中包括操作指示 逐级审批：待签数据中包括前者的签名 卫生部的电子病历的规范 电子病历基本规范 总则 电子病历基本要求 实施电子病历基本条件 电子病历的管理 附则 2010年4月1日起试行 规范中涉及的安全问题 电子病历系统应当为患者建立个人信息数据库，授予唯一标识号码并确保与患者的医疗记录相对应 电子病历系统应当满足国家信息安全等级保护制度与标准。严禁篡改、伪造、隐匿、抢夺、窃取和毁坏电子病历。 规范中涉及的安全问题（续） 电子病历系统应当为操作人员提供专有的身份标识和识别手段，并设置有相应权限；操作人员对本人身份标识的使用负责 医务人员采用身份标识登录电子病历系统完成各项记录等操作并予确认后，系统应当显示医务人员电子签名。 规范中涉及的安全问题（续） 电子病历系统应当设置医务人员审查、修改的权限和时限。 实习医务人员、试用期医务人员记录的病历，应当经过在本医疗机构合法执业的医务人员审阅、修改并予电子签名确认。 医务人员修改时，电子病历系统应当进行身份识别、保存历次修改痕迹、标记准确的修改时间和修改人信息。 使用密码技术可以解决安全问题 加密，解决隐私和知识保护问题 签名， 解决病历完整性问题 解决病历的管理问题 鉴别操作者身份真实性 明确操作者责任 证明病历有效性 证明业务流程合法性 电子病历与密码服务的关系 电子病历 基本结构 安全需求 安全机制 电子病历 基本结构 安全需求 安全机制 电子病历的基本结构 电子病历的基本结构（续） 来自于卫生部电子病历数据结构规范 业务内容遵循电子病历数据结构规范 横向可链接记录 纵向可添加记录 记录由标识表示用途 电子病历 基本结构 安全需求 安全机制 电子病历的安全需求 病历自带安全机制 安全机制应保证： 确保完整、明确责任 保护隐私、保护知识 具有权限、安全共享 安全机制应做到： 与记录的医疗内容无关 与医疗业务和流程无关 与医疗业务系统无关 电子病历的安全需求（续） 横向记录间保持链接关系，前后顺序不可变 纵向记录间保持族群关系，先后顺序不可变 记录只能创建、添加，不能抽取、删除 记录不能修改，修改等于添加 医务人员对记录签名 管理系统对病历签名 所有签名不可撤销 电子病历 基本结构 安全需求 安全机制 电子病历的安全机制 每条记录都应由行为人签名 待签内容应包括： 内容属性：医疗行为产生的结果、数据或链接 时间属性：签名的时间或时间戳、修改审查的时限 签名属性：签名者信息，如职称、职务等 关联属性：与前记录的关系，如治疗、修改等 状态属性：可否链接、是否归档等 隐私属性：隐私所有者的加密证书 权限属性：谁能看到/修改/处理/拥有/…本记录 审批属性：本记录是否应审批，批准者的证书 完整性属性：纵横向哈希链接到本记录的哈希值 电子病历的安全机制（续） 对横向记录的哈希链签名，保持链接关系 用于后续记录链或者修改记录链 每链接一条记录改签一次，原顺序不能改变 由病历管理系统签名 对纵向记录的哈希链签名，保持族群关系 记录许进不许出 每添加一条记录改签一次，原次序不能改变 由病历管理系统签名 病历管理系统 安全需求 安全要求 病历管理系统 安全需求 安全要求 病历管理系统的安全需求 为患者建立个人信息数据库，授予唯一标识号码并确保与患者的医疗记录相对应 具有严格的复制管理功能。同一患者的相同信息可以复制，复制内容必须校对，不同患者的信息不得复制 应当满足国家信息安全等级保护制度与标准。严禁篡改、伪造、隐匿、抢夺、窃取和毁坏电子病历 病历管理系统的安全需求（续） 门诊电子病历中的门（急）诊病历记录以接诊医师录入确认即为归档，归档后不得修改 住院电子病历随患者出院经上级医师于患者出院审核确认后归档，归档后由电子病历管理部门统一管理 医务人员修改时，电子病历系统应当进行身份识别、保存历次修改痕迹、标记准确的修改时间和修改人信息 病历管理系统 安全需求 安全