摘要:电子病历是医疗信息化发展的趋势,而要真正实现病历的电子化,首先要解决电子病历的真实可靠性问题,本文针对目前医院 CIS 的电子病历信息存在的安全和可信问题,把第三方权威认证机构基于数字证书的认证技术应用在医院 CIS 中,介绍了利用数字证书结合电子病历系统解决电子病历信息安全的作法,使电子病历具有真实性、可信性、安全性、合法性。
关键词:电子病历,数字证书,CIS,数字签名,身份认证,CA 认证技术
一、前言
电子病历是医疗信息化的一个重要的组成部分,是属于医院信息化水平的高级阶段,是建立在基本的医院信息管理系统(HIS) 、临床信息系统(CIS) ,医生工作站、护士工作站等应用系统和相关数据库的基础之上,既是医院内部的一种诊疗过程记录,同时也是一种具有法律性质的文书,既然病历是一种法律性质的文书就要确保电子病历的真实性和安全性。电子病历是由 CIS 中的医生工作站、护士工作站、PACS、LIS 和相关的医疗设备以及其他系统采集的信息,通过网络传输把信息保存在后台数据库上的数字电文,可见电子病历的数据采集、传输、存储都是由医院的 CIS 来完成。目前国内医院 CIS的电子病历的数据采集、传输、存储都没有统一的规范和标准,而且 CIS在医疗业务和信息技术上都是一个庞大复杂的管理系统,很多CIS 只关注其功能的实现,对数据安全考虑较少,因此人们会对电子病历数据的安全性、真实性和合法性带来质疑。本文把电子病历结合了数字证书进行应用,利用合法的第三方机构的 CA 认证来确保电子病历数据的真实性、安全性和合法性。
二、电子病历的安全隐患
1. 电子病历产生过程以及基本内容
电子病历信息是病人就诊的各个环节产生的,上一个环节信息是为下个环节服务的,有病人填写或病人主诉信息,再由医务人员输入 CIS,有医务人员对病人的诊疗信息,由医务人员自己录入 CIS,这些信息经医院的网络系统传输到 CIS 后台数据服务器进行存储。其中既有后台数据库方式存储,也有在服务器上以文件方式存储的。在数据库中,建立病历的描述结构,或者说电子病历的数据模型,将这些信息按照类别及发生的时间顺序,有机地组织成一个整体,用于以后的调用、维护更新、归档。因此,电子病历是病人在医院就诊时的整个诊疗过程记录,其基本包含的内容有:
1) 患者信息:指患者个人信息,如:姓名、性别、年龄、婚姻状况、个人健康信息、过往病史、家庭状况等;
2) 医嘱信息:指医生对病人治疗过程和健康指导意见等;
3) 病程记录信息:指患者病情状况的连续性记录;
4) 检查检验信息:指病人在诊疗过程中所做的各项医学检查和检验的结果记录;
5) 影像检查信息:指病人在诊疗过程中所做的各项医学影像检查的影像资料和诊断结
果记录;
6) 手术记录:指病人曾经所做的手术情况记录;
7) 护理信息:指患者接受护理的项目及护理情况和结果记录。
2. 电子病历安全的漏洞
从电子病历内容和产生过程可知,电子病历信息主要是由诊疗的各个医务人员录入信息通过
网络传输到服务器进行存储,并且对每个环节实时性的要求都很高,不难看出电子病历存在如下
安全问题:
‹ 系统登陆身份验证的问题
CIS 目前大多采用用户名密码方式来登陆系统,采用此种方式进行登陆系统存在着很大的弊端,比如密码设置过于简单、利用自己关切自己的数字(比如生日)来设置密码,密码存储在数据库中以明文的方式等,很容易被人盗取或破解,因此,CIS 系统登陆的身份验证需要解决是否有人使用他人的用户和口令进行病历信息输入和修改,是否有人越过 CIS 的身份验证进行病历信息输入和修改等等问题。
‹ 数据在网络中完整传输问题
医院 CIS 多数运行在医院内的局域网上,局域网上的 CIS 终端与服务器间的信息传输安全往往被忽视,因此,信息有可能被窃取并篡改,无法保障医务人员在 CIS 终端上输入和浏览的电子病历信息的正确性。
‹ 数据存储安全
电子病历信息多数是以明文的方式保存在后台数据库服务器上,而后台数据库服务器对于某些人是透明的。对于在数据库上的数据是否有人更改过,目前的医院 CIS 是没有这种机制来验证的,所以也无法保障医务人员在 CIS 终端上输入和浏览的电子病历信息的正确性。对系统信息录入或修改的不可抵赖问题
电子病历的信息需要在 CIS 终端进行录入,而且对录入的信息要确实反映病人的真实情况,因此,确保录入信息的真实性显得非常重要,这需要每位信息的录入或修改人员对自己的操作行为负有高度的责任,即其行为不可抵赖。
‹ 电子病历的时间取证问题
要准确的把握病人的病情发展,需要对病人的诊断、医疗等的时间有个准确的把握,这就要
求电子病历对实时性的要求很高。目前医院的 CIS 对电子病历的时间记录往往是取终端计算机的系统时间,而不是国家授时的时间,因此,时间的准确性的取证非常重要。
三、基于数字证书的CA认证技术
数字证书是标志网络用户身份信息的一系列数据,用来在网络通讯中识别通讯各方的身份,即要在网络上解决"我是谁"的问题,就如同现实中我们每一个人都要拥有一张证明个人身份的身份证或驾驶执照一样,以表明我们的身份或某种资格。数字证书是由权威公正的第三方机构即 CA 中心签发的,以数字证书为核心的加密技术可以对网络上传输的信息进行加密和解密、数字签名和签名验证,确保网上传递信息的机密性、完整性,以及交易实体身份的真实性,签名信息的不可否认性,从而保障网络应用的安全性。简单的说我们可以使用数字证书来保证:信息除发送方和接收方外不被其他人窃取即使被窃取得到的也是不能读懂的乱码;信息在传输过程中不被篡改;发送方能够通过数字证书来确认接收方的身份;发送方对于自己发送的信息不能抵赖;信息存储的完整机密。 数字证书采用公钥密码体制,即每个实体都有一对互相匹配的密钥:公开密钥(公钥)和私有密钥(私钥)。每个用户拥有一把仅为本人所掌握的私钥,用它进行解密和签名;另外还拥有一把公钥并可以对外公开,用于加密和验证签名。 CA就是数字或电子证书认证中心,是一个负责数字证书发放和管理,同时为电子商务或电子政务系统等提供数字身份验证和安全可信支撑平台的第三方的权威机构。应用系统通过第三方认证机构提供的数字证书和安全支撑平台使应用系统具有可信性和合法性。这就是 CA 认证的意义。CA 认证对应用系统主要提供以下功能:
1) 身份认证
通过安全应用支撑平台为应用系统提供安全认证的环境基础,利用为系统的用户、设备、机
构、业务等颁发数字证书作为身份识别和认证的依据,在应用系统的登陆部分,实现用户与服务资源的双向认证,达到“一人一证、一机一证、每个机构一证、每个业务一证、持证上岗”的效果。
2) 数据签名
对数据的签名和验签,是将数据作为证据的一种最有效的方法。系统通过利用用户的签名私
钥,对数据进行签名运算,并把运算结果作为一个字段存储在数据库中,这样数据就是经过这个用户签名的数据,具有法律效力,不能修改。当需要对数据进行验签时,系统只要再用用户的证书进行一次运算,就可以确定签名的有效性。对数据作签名验签可以确认数据单元的来源和完整性,并保护数据,防止被人伪造或篡改。
3) 数据的加解密
基于安全的整体规划考虑,数据在网络中传输时要确保机密数据不为第三方窃取。需要在机
密数据的传输过程中进行加密处理,只能由接收方进行解密还原成明文,才能保证机密数据即使被第三方窃取也由于没有解密密钥而只能是一些无用的加密文件,这就是“取得到,但看不懂”。认证系统采用的是基于非对称和对称加密技术的数字信封的加密方式,即原文利用对称算法进行加密,得到原文的密文,在把对称算法的密钥利用非对称算法进行加密得到密钥密文,把原文密文和密钥密文加上公钥组成了数字信封进行机密传输,而用于加密和解密的私钥只能在存在数字证书中。
4) 可信时间戳
可信时间戳服务是数字签名功能与基于公共标准时间源的时间服务系统的结合,通过对目标
数据加上可信时间源提供的时间标记,以确认系统所处理的数据在某一时间(之前)的存在性,并用数据签名来保证时间标记的完整性与真实性。可信时间戳服务为实现事务处理的抵赖性提供了时间证据基础。当提交数据需要加盖时间戳时,可以通过使用认证系统中的时间戳服务系统,加盖有时间戳服务器签名的可信时间,并保留时间戳证据。这样对方就可以获得有时间戳标记的数据文件。
四、数字证书在电子病历中的应用
数字证书是网络上(或称为数字化的)实体身份证,可以用于出示给对方来表明自己的真实身份。围绕着数字证书中所包含的公钥和保存在“数字证书载体”(后面会具体描述,一种类似 U盘的 USB_KEY 硬件介质,由使用者实体自己保管)中的私钥,利用这两者之间可以互相加密解密的功能,来实现身份认证、保密性及完整性等一系列安全服务技术。
这个实体可以是自然人、机构、岗位或服务器等硬件设备。具体到电子病历系统中,主要是
指医护人员(医生、护士、药剂师等)、医院领导、系统管理人员和服务器设备等。在将来还可以扩展到患者(用于网上预约和查看结果)、他院相关人员(用于远程会诊)和上级领导部门(用于督察) 。结合数字证书 CA 认证平台的电子病历系统的架构图如图 1 所示。
图 1 电子病历系统数字证书安全平台 如图所示,电子病历系统安全平台服务器端的核心为 PKI Server(安全应用支撑服务器)及安全服务中间件,PKI Server 是一个硬件密码设备,它提供了身份认证识别(证书鉴别) 、数据加密解密、数字签名及验签等安全运算功能,以硬件方式为应用系统提供服务器端数据机密性、数据完整性、身份认证、防抵赖等服务,符合国密办《证书认证系统密码及其相关安全技术规范》,具有稳定、可靠、高效、易管理的特点。电子病历系统实时性要求很高,同时系统对 PKI Server 的依赖程度也较高,为了避免由于偶发的机器故障而导致对系统业务应用的较大影响,可以通过配置两台或两台以上的 PKI Server进行双机冗余,一旦出现故障时可以马上切换至备用设备。
安全服务中间件是基于 PKI 公钥基础设施构建安全应用的开发环境与运行支撑环境,遵循国密办《证书认证系统密码及其相关安全技术规范》 ,兼容 PKCS#11、Windows CSP、JCE 等国际信息安全应用标准。能够屏蔽底层安全设备的硬件差异和复杂的密码实现逻辑,使用户只需在特定业务逻辑中嵌入所需安全功能,然后再进行简单的部署和配置,即可实现基于 PKI 的安全应用,可极大程度的降低应用系统的开发成本,提高开发效率。简单的说,它提供给电子病历等业务应用系统一整套二次开发接口函数,通过它可以很方便的调用密码设备(包括 PKI Server 和数字证书载体)实现各种认证功能。TSP Server指时间戳服务器,电子病历系统中产生的各种关键数据,在签名之前可以通过时间戳服务器获取当前的标准时间,并附加在签名之中,不可更改,提供准确的时间证据。 客户端用户需要配置“数字证书载体” (简称 USB KEY),其中存储了由 CA中心颁布的数字证书,同时也在保护区存储了代表个人数字签名的私钥。USB KEY 还包含了相关加密算法,配合载体内置的 CPU 运算芯片,可以实现数据的加密和签名等运算功能。USB KEY 通过 PIN 码保护其安全使用,三次尝试输入 PIN 码错误,KEY 将自动锁死,必须交还给 CA 中心进行解锁方能使用。
五、总结
兰州市城市公共汽车电车客运管理条例
甘肃省兰州市人大常委会
兰州市城市公共汽车电车客运管理条例
(2003年8月22日兰州市第十三届人民代表大会常务委员会第十一次会议通过 2003年11月28日省十届人大常委会第七次会议批准 2003年12月9日兰州市人民代表大会常务委员会公告第4号公布)
第一章 总则
第一条 为了加强本市城市公共汽车、电车客运(以下简称公共客运)的管理,规范城市公共客运秩序,保障乘客与经营者的合法权益,根据本市实际制定本条例。
第二条 在本市城市规划区内从事公共汽车、电车客运发展规划编制,设施建设、维护以及管理、营运、服务、使用公共汽车电车的单位和个人,均应遵守本条例。
第三条 本条例所称公共汽车、电车,是指在本市城市规划区按照编码固定线路行驶、沿线设置停靠车站、供公众乘用的城市客运车辆。
本条例所称的设施,是指用于公共客运的车辆、车站、站牌、候车亭、保修场、配电设施、站务用房等。
第四条 市人民政府城市建设行政主管部门负责本条例的组织实施。
交通、公安、工商、计划、规划、土地、财政、物价、环保、旅游等部门,应当依照各自职责,协同做好公共客运管理工作。
第五条 公共客运的发展、经营和管理,应当遵循全面规划、统一管理、公平竞争、规范经营、协调发展、服务乘客、安全运行的原则。
对公共客运车辆按人口数量实行总量控制。
公共客运票价实行政府定价。
第六条 市人民政府在城市客运发展中对大型公共汽车和电车的发展给予优先和扶持,并鼓励公共客运的经营和管理采用先进的科学技术和管理方法。
第二章 规划建设
第七条 城市建设行政主管部门应当根据城市总体规划和经济社会发展计划,编制公共客运发展规划和建设计划,再由规划和计划行政主管部门分别组织审定并报经市人民政府批准后组织实施。
公共客运发展规划和建设计划应当包括公共客运线路设置规划、公共客运设施建设规划、公共客运车辆更新及增减规划等内容。
第八条 规划行政主管部门选定和预留、控制的公共客运设施建设用地和空间,任何单位和个人均不得侵占、挪作他用、变更使用范围。
第九条 政府应积极鼓励公民、法人和其他组织投资公共客运事业建设。
政府投资的公共客运设施,由城市建设行政主管部门组织建设。
第十条 新城区开发、旧城区改造、大型工业园区以及居住小区、旅游景点等建设时,应当按照公共客运发展规划和建设计划配套建设公共客运设施。
第十一条 规划和新建、改建、扩建城市道路,应当设置公共客运首尾场站及中途停车站点。城市主干道有设置条件的应当设置港湾式停车站点。
第十二条 城市建设行政主管部门应当根据公共客运发展规划和建设计划,会同公安交警部门合理布局线路、设置站点,并根据客运状况适时进行调整;调整时应当事先向社会公布。
第十三条 公共客运线路中途站点的设置和调整,应当方便乘客安全乘车和转乘,站距一般为500米至800米,同一站点的上、下行站点距离一般不得超过50米。
第十四条 公共客运线路的首尾场站及中途站点,应当有统一、规范、明确的名称并设置醒目的站牌,站牌应当标明线路名称、首尾站点、始末时间、所在站点和沿途停靠站点等内容。
第三章 设施管理
第十五条 公共客运经营者应当对公共客运设施,定期进行检验、维修和保养,保证其技术、安全性能和相关指标符合国家规定的标准。
公共客运设施发生故障时,经营者应当及时进行抢修,有关单位和个人应当给予协助和配合。
第十六条 未经批准,任何单位和个人均不得设置、调整或者迁移、拆除、占用公共客运设施。
因城市建设确需迁移、拆除或者占用公共客运设施的,应当征得城市建设行政主管部门同意,并按规定予以还建,还建确有困难的应当依法补偿。
第十七条 电车供电单位应当按照国家有关规定,设置电车供电设施保护标志,并按国家规定的技术标准和规范、定期对电车供电设施进行维护,保证其安全和正常使用,电车供电设施发生故障时应当立即组织抢修,尽快恢复其正常使用。
建设工程施工危及电车供电设施安全或者运输超高物件穿越电车触线网和馈线网的,建设单位或者运输单位应当事先书面通知电车供电单位并与之协商,采取相应的保护措施后,方可施工或者通行。
第十八条 任何单位和个人,都有爱护公共客运设施的义务。
禁止下列行为:
(一)损坏、侵占公共客运设施;
(二)覆盖、涂改公共客运线路站牌、标志牌和客运交通标志;
(三)在公共客运场站范围内修建建筑物、构筑物或者堆放和悬挂物品,倾倒废料污物,停放其他车辆、设置摊点、摆放物品;
(四)其他危及公共汽车、电车设施安全的行为。
第四章 线路经营
第十九条 公共客运线路实行特许经营管理,特许经营权通过招投标方式取得。
公共客运经营者的特许经营权受法律保护。
第二十条 申请或者竞标公共客运线路经营权的公共客运经营者,应当具备下列条件:
(一)具有从事公共客运的资信;
(二)具有符合公共客运要求的营运车辆或者相应的车辆购置资金;
(三)具有合理、可行的公共客运线路营运方案;
(四)具有健全的公共客运营运服务和安全管理保障措施;
(五)具有相应的专业管理人员和符合公共客运要求的司、售人员。
第二十一条 城市建设行政主管部门应当与取得公共客运经营权并获得相应证书的经营者签订公共客运线路营运协议,明确双方的权利、义务和责任。
城市建设行政主管部门应当对公共客运经营许可证、公共客运车辆营运证和公交客运服务证实行年度审验;对年度审验不合格又在规定期限内达不到审验要求的,应当收回相应的资格证书。
第二十二条 取得公共客运经营权并获得相应证书的经营者,应当到工商、公安、税务、物价等有关行政管理部门办理相关手续,并在规定的期限内投入营运。
经营者在规定的经营期限内不得擅自转让或者变相转让公共客运经营权,不得吸纳非公共客运车辆挂靠从事公共客运。
第二十三条 公共客运经营期限已满或者经营期限未满但确需停运或转让经营权的,应当提前90日向城市建设行政主管部门提出书面申请,城市建设行政主管部门应当自接到申请之日起30日内予以审核并报经市人民政府批准后,方可停运或转让,并于停运前15日向社会公布。
经批准停运的经营者,应当缴回公共客运经营许可证、车辆营运证和从业人员的公共客运服务证,并向工商、公安、税务、物价等有关部门办理相关手续。
第二十四条 禁止无公共客运经营权的单位和个人从事公共客运业务。
第五章 营运服务
第二十五条 因市政工程建设或道路状况及大型节会活动等特殊情况需要临时变更公共客运线路、站点或者营运时间的,应当经城市建设行政主管部门会同公安交警部门批准并事先向社会公布,经营者应予执行。
第二十六条 公共客运经营者应当遵守下列规定:
(一)遵守国家和省、市有关公共客运营运的管理规定,接受城市建设行政主管部门和其他相关行政管理部门的管理和监督;
(二)执行公共客运行业管理标准,组织从业人员参加公共客运职业培训,教育从业人员安全行车、规范营运、热情服务;
(三)按照规定的线路、站点、车辆载客限额、车辆配备数和营运时间营运,保证运行安全可靠;
(四)按照规定标准统一制作和悬挂线路营运服务标志,设置车内服务设施和票价表,定期消毒,保持车辆整洁美观,技术性能良好;
(五)在营运车辆内设置老、弱、病、残、孕专用座位,醒目位置张贴乘坐规则、警示标志和投诉电话号码;
(六)其他应当遵守的规定。
第二十七条 有下列情形之一的,经营者应当按照城市建设行政主管部门的统一调度,及时组织车辆和从业人员进行疏运:
(一)主要客流集散点运力严重不足;
(二)抢险救灾;
(三)经政府决定需要紧急疏运的其他情形。
第二十八条 在公共客运车辆和公共客运设施上设置广告,除符合户外广告设置的相关规定外,其位置、面积、色彩等还应当符合公共客运管理的相关规定,并不得覆盖车辆营运标志,不得妨碍行车安全视线。
第二十九条 公共客运从业人员应当遵守下列规定:
(一)遵守道路交通管理规定和公共客运服务规范,自觉维护交通秩序,服从客运管理人员的管理、监督和调度;
(二)按照规定携带和使用相关证照,做到车证相符、人照相符;
(三)佩戴统一服务标志,衣冠整洁,仪表大方,使用文明用语,讲普通话,及时报清线路名称、车辆行驶方向和停靠站点名称,为乘客主动提供安全、文明、周到的服务;
(四)严格执行各项安全操作规程,做好安全行车提示,启动车辆应做到先关门,后起步;
(五)按线行驶、接站停车,无正当理由不得拒载乘客、到站不停或者越站停车,不得中途逐客、滞站揽客,不得在公共客运线路站点以外的行驶途中上下乘客和敞开车门招揽乘客,不得互相追逐抢拉乘客,不得擅自改变营运路线,不得载客加油;
(六)车辆运行中由于临时故障不能继续运行时,应当向乘客说明,并安排乘客持已购车票改乘同线路营运车辆;
(七)按照规定的票价售票,向乘客给付有效票据,并认真查验票据;
(八)维护车厢内的正常秩序,在保证行车安全的前提下协助、配合公安机关查处发生在营运车辆上的违法犯罪行为;
(九)按照行车作业班次计划营运;
(十)其他为维护公共客运车辆正常营运而应当遵守的规定。
第三十条 公共客运经营者和从业人员的服务,应当受到社会尊重。
任何单位和个人不得围堵妨碍公共汽车、电车正常营运。
第三十一条 乘客乘坐公共客运车辆,应当遵守公共客运车辆乘坐规则,主动按规定购票,使用其他有效票证或者其他免费、优惠乘车证件的,应当主动出示票证。禁止乘客携带易燃、易爆、有毒物品和动物乘车。
盲人、伤残军人、一级残疾人凭证可以免费乘车。
市人民政府可据法律、法规的规定制定对其他人员的优惠办法。
第三十二条 乘客乘坐公共客运车辆,享有获得安全、便捷、准点、舒适的客运服务的权利。
有下列情形之一的,乘客可以拒付车费:
(一)未按规定标明营运收费的;
(二)不出具有效票据的;
(三)装有电子读卡机的车辆因电子读卡机未开启或者发生故障,无法使用电子乘车卡的。
第三十三条 城市建设行政主管部门应当认真受理乘客和从业人员的投诉,并及时作出公正处理。投诉电话应在经营时间内开通。
第六章 法律责任
第三十四条 违反本条例规定,有下列行为之一的,由城市建设行政主管部门责令改正,处以10000元以上30000元以下罚款,有违法所得的,依法没收违法所得;造成损失的,依法承担赔偿责任;情节严重的,可以收回其经营权:
(一)未按规定取得公共客运经营权,擅自从事公共客运营运的;
(二)公共客运经营者未经批准擅自转让或者变相转让公共客运经营权的;
(三)公共客运经营者吸纳非公共客运车辆挂靠从事公共客运的;
(四)公共客运经营者未经批准擅自停运或者已取得经营权,在规定期限内不投入营运的;
(五)公共客运经营者不服从城市建设行政主管部门紧急疏运统一调度的。
第三十五条 公共客运经营者未经批准擅自变更公共客运线路、站点、营运时间、减少班次的,由城市建设行政主管部门处以警告,责令限期改正;逾期不改正的,处以5000元以上10000元以下罚款;情节严重的,可以收回其经营权。
第三十六条 公共客运从业人员违反本条例第二十九条第(四)、(五)、(七)项规定的,由城市建设行政主管部门和经营企业对经营者和从业人员依照相关规定,给予处理。
第三十七条 违反本条例规定的其他行为,由工商、物价、公安、规划等有关行政主管部门在各自法定职责权限内,依照法律、法规和规章的相关规定予以处罚。
第三十八条 当事人对城市建设行政主管部门和其他有关行政主管部门依照本条例作出的行政处罚不服的,可以依法申请行政复议或提起行政诉讼。
第三十九条 城市建设行政主管部门的工作人员在公共客运管理工作中玩忽职守、滥用职权、徇私舞弊的,由其所在单位或上级机关给予行政处分;情节严重构成犯罪的,由司法机关依法追究其刑事责任。
第七章 附则
第四十条 本条例执行中的具体应用问题,由市城市建设行政主管部门负责解释。
第四十一条 榆中、皋兰、永登三县和红古区城市公共客运的管理,参照本条例执行。
第四十二条 本条例自2004年1月1日起施行。
