数字医疗电子认证安全解决方案

数字医疗电子认证安全解决方案山东确信信息产业股份有限公司地址：济南市高新区舜华路2000号舜泰广场11号楼北区2层电话：0531-66590650传真：0531-88113370网址：前言数字医疗信息系统作为数字化医院建设的信息系统，集中反映了患者的诊断治疗过程，是医疗信息化发展的趋势。数字医疗信息系统由医院信息系统（HIS）、实验室信息管理系统（LIS）、电子病历系统（EMR）、影像归档和通信系统（PACS）等信息系统组成。随着数字化医院建设的普及以及《中华人民共和国电子签名法》和《电子病历基本规范》等相关法规的颁布，数字医疗信息系统将成为确定相关医疗责任的重要记录，其可靠性、安全性日益重要。山东确信信息产业股份有限公司（简称“山东确信”）作为专业的信息安全厂商，依据《中华人民共和国电子签名法》和《卫生系统电子认证服务管理办法（试行）》，通过对医院数字医疗信息系统服务模式的共性研究，设计了数字医疗信息系统应用安全解决方案，为数字化医院的建设推广保驾护航。数字医疗电子认证安全解决方案(20110831)3目录第一章电子认证在数字医疗中的应用分析...........................5第二章数字医疗信息系统中的需求分析.............................62.1高强度身份认证..............................................62.2电子病历的隐私性............................................62.3医疗行为责任认定............................................62.4可信医疗数据共享............................................6第三章法律法规要求.............................................73.1中华人民共和国电子签名法....................................73.2商用密码管理条例............................................73.3计算机信息系统安全专用产品检测和销售许可管理办法............73.4电子病历基本规范（试行）....................................83.5电子病历系统功能规范........................................93.6卫生部电子认证服务管理办法..................................9第四章数字医疗应用安全解决方案................................114.1方案概述...................................................114.1.1用户身份的认定.................................................................................124.1.2医疗数据的不可否定.........................................................................124.1.3信息产生时间的不可否定.................................................................124.1.4医疗数据的保密性.............................................................................124.2应用效果及特点.............................................124.3系统部署及作用.............................................144.3.1数字证书的发放.................................................................................154.3.2身份认证网关.....................................................................................154.3.3时间戳服务器.....................................................................................154.3.4电子签章系统.....................................................................................154.3.5签名验证服务器.................................................................................154.3.6主机加密服务器.................................................................................16数字医疗电子认证安全解决方案(20110831)44.4数字医疗信息系统应用方式...................................164.4.1在HIS下的应用...................................................................................164.4.2在LIS下的应用...................................................................................184.4.3在手术麻醉信息系统中的应用.........................................................194.5小结.......................................................20第五章商用密码产品与数字证书的关系............................215.1商用密码产品...............................................215.2数字证书...................................................215.3商密产品与数字证书的关系...................................21第六章公司简介................................................236.1山东确信信息产业股份有限公司...............................236.1.1产品简介.............................................................................................246.1.2典型案例.............................................................................................266.1.3公司资质.............................................................................................27附录：.........................................................28附录一：卫生部电子认证政策法规文件.............................28附录二：卫生部电子认证服务公告及名单...........................29数字医疗电子认证安全解决方案(20110831)5第一章电子认证在数字医疗中的应用分析随着计算机技术和网络技术的不断发展，医院内的信息化建设的步伐也在逐步加快。目前，各大医院正在逐步利用电子计算机和通讯设备构建数字化医疗平台，逐步替换原有的对医院内信息的纸质管理。数字化医疗平台的建设，加强了医院内对医疗数据的管理，同时也大大提升了医院内部的工作效率，将提高医院各项工作的效率和质量，促进医学科研、教学；减轻各类事务性工作的劳动强度；改善经营管理，堵塞漏洞，保证病人和医院的经济利益，同时为医院创造了更多的经济效益。目前在各大医院内普遍应用的数字医疗信息系统主要包括：医院信息系统（HIS）、实验室信息管理系统（LIS）、影像归档和通信系统（PACS）和电子病历系统（EMR）等，主要用于医院内部针对自身的工作流程，解决医院内重要信息和数据的记录、存储、查询、追溯等。在数字医疗信息系统不断的建立、完善过程中，对于信息系统的信息安全保护成为了关注的重点，保障医疗信息系统内信息的身份识别、信息的完整性、真实性及不可否定性的需求也越来越迫切。为了解决网络中信息的保密性、完整性、真实性和不可否认性等诸多信息安全问题，早在2005年4月1日起，为了规范电子签名行为，确立电子签名的法律效力，维护有关各方的合法权益，我国就颁布了《中华人民共和国电子签名法》，2010年，中华人民共和国卫生部为进一步解决数字医疗过程中的法律责任问题，先后出台了《电子病历基本规范（试行）》、《电子病历基本架构与数据标准（试行）》等行业规范，并发布了《卫生系统电子认证服务管理办法（试行）》等电子认证服务领域规范，为数字医疗信息系统中数字证书及商用密码产品的应用奠定了基础。因此，随着各医院信息系统的不断建立和完善，数字医疗信息系统的数据将成为确定相关医疗责任的重要记录，其可靠性、安全性日益重要。为解决其在应用安全问题，卫生部依据《卫生系统电子认证服务管理办法（试行）》对全国范围内的第三方认证机构进行了测试和鉴定，目前已通过鉴定的第三方认证机构累计有18家（详见附件二）。数字医疗电子认证安全解决方案(20110831)6第二章数字医疗信息系统中的需求分析在数字医疗信息系统中（HIS、LIS、PACS、EMR），对于应用安全的需求如下：2.1高强度身份认证对临床医生、上级医生和主治医生等医务人员进行身份可靠认证，确保账户安全，同时有效确保病人的诊疗信息安全。2.2电子病历的隐私性数字医疗信息系统中包含了大量的敏感数据，这些信息在医院局域网传输过程中应采用加密手段。同时，其中的数据要求一旦经过上级审签后，用户不能对病程、医嘱、诊断、处方、检查结果等内容进行篡改，同时，对于电子病历的隐私内容，可以提供可靠的加密手段进行电子病历数据的加密，从而确保就诊者的隐私。2.3医疗行为责任认定数据信息在医院的流转过程中，涉及到各级医务人员对数据的创建、修改、删除等操作，鉴于医患纠纷的普遍性及社会关注度，需建立有效的责任认定机制。2.4可信医疗数据共享相关的医疗数据作为居民健康档案的重要数据来源，需要建立标准、可信的医疗数据共享机制。数字医疗电子认证安全解决方案(20110831)7第三章法律法规要求为了规范电子认证在医疗信息系统中的应用，我国政府及相关部门先后出台了各项法律法规对电子签名这一行为进行规范，并且逐步进行推广和落实，具体内容如下：3.1中华人民共和国电子签名法我国于2004年颁布实施了《中华人民共和国电子签名法》，从法律上正式明确了“可靠的电子签名与