区域医疗平台电子认证解决方案

区域医疗信息平台电子认证安全应用处理方案TIME\@"EEEE年O月"八月目录1. 背景 12. 需求分析 23. 总体方案 33.1. 设计思绪 33.2. 建设方案 53.3. 数字证书发放与管理系统 73.3.1. 服务模式 73.3.2. 数字证书形态及介质 73.3.3. 服务内容 93.3.4. 数字证书运行服务方案 113.4. 电子认证应用系统 153.4.1. PKI应用中间件软件 163.4.2. 数字署名验证服务器 243.4.3. 电子认证应用系统产品提议 293.5. 时间戳服务器 303.5.1. 建设模式 303.5.2. 时间戳服务器 333.6. 电子签章系统 393.6.1. 建设模式 393.6.2. 电子签章系统 413.7. 电子署名实现方案 443.7.1. 卫生部关于电子病历署名要求 443.7.2. 医生客户端中电子署名 483.7.3. 申请单中电子署名 493.7.4. 病历归档中电子署名 513.7.5. 电子病历系统（EMR）电子署名实现 523.7.6. 医嘱系统电子署名实现 593.7.7. 门急诊HIS系统电子署名实现 603.7.8. 试验室系统（LIS）电子署名实现 633.7.9. 影像系统（PACS）电子署名实现 653.7.10. 健康体检系统（PEIS）电子署名实现 654. 方案应用效果及优势 675. 医疗卫生领域成功案例集 696. 系统软硬件清单及报价 71背景为落实《电子署名法》和《电子病历基本规范》，保障医疗信息系统安全，躲避医疗行为法律风险，卫生部于1月7日公布了《卫生系统电子认证服务管理方法（试行）》，从行业角度提出使用电子认证服务保障卫生信息系统安全，满足卫生信息系统在身份认证、授权管理、责任认定等方面信息安全需求。随即，卫生部于5月7日公布了《卫生部办公厅关于做好卫生系统电子认证服务体系建设工作通知》，制订了《卫生系统电子认证服务规范（试行）》等五个电子认证服务技术规范，为卫生系统全方面推广电子认证服务应用提供了政策与技术服务规范保障，以确保我国各类卫生信息系统都能够实现安全、正当、有序开展。为落实落实《卫生系统电子认证服务管理方法（试行）》（卫办发[]125号）、《卫生部办公厅关于做好卫生系统电子认证服务体系建设工作通知》（卫办综发[]74号），深圳市卫生和人口计划生育委员会（以下简称市卫人委）已公布《关于开展本市卫生和人口计生系统电子认证服务体系统一建设工作通知》（深卫人发[]328号），主动开展了深圳市卫生系统电子认证服务体系建设工作。为愈加好地推进各区卫生信息化发展，顺应卫生部和市卫人委相关政策要求，切实保障各区域医疗信息平台系统安全，各区应建设电子认证服务系统，并依靠该系统为各区卫生单位及个体提供统一电子认证服务，有利于促进各区卫生系统电子认证服务体系建设，具备主要现实利益。需求分析依照对各区区域医疗信息平台实际调研情况，分析得出各区区域医疗信息平台主要存在以下安全需求：方便快捷数字证书发放与管理区域医疗信息平台所面临安全威胁，需要使用到数字证书，包括到数字证书申请、发放、更新、吊销等操作，医院业务特殊性和连续性，决定了卫生系统中数字证书使用需要对数字证书生命周期管理工作提供便捷化支持，即在判别用户真实身份后，即可快速提供证书申请、证书下载、证书更新、证书吊销和在线解锁等服务。确保医护人员登录区域医疗信息系统身份可靠性区域医疗信息平台包括医疗机构、公共卫生机构及行政机构等，平台用户类型多样，包含区域医疗机构、卫生行政部门、患者多类用户，传统“用户名+口令码”弱认证方式弊端逐步凸显，很轻易造成内部主要医疗数据外泄，甚至造成医院信息系统遭受破坏性攻击。所以，确保业务参加各方身份真实可靠，建立高安全性身份验证机制是确保区域医疗信息平台安全应用关键。确保电子化诊疗数据生成过程中真实性和完整性真实性主要表现在实时性和不可篡改性，也就是能够实时统计从各种临床信息系统采集来诊疗信息和医护人员统计主客观信息，应具备符合《电子署名法》要求数字署名，统计内容应具备防篡改功效和不可抵赖性，即使因某种原因需要修改，应详细统计修改人和修改时间。所以，建立医疗数据完整性保护机制，使用技术伎俩确保医疗数据在电子病历等业务系统中产生、存放、再利用整个生命周期过程完整、准确。实现图形化、可视化电子签章功效在现实医疗业务处理中，各医疗机构在处理医疗业务时均采取署名或加盖印章方式来确保纸质病历信息有效性。而在区域医疗信息平台中，一样需要医护人员产生电子署名数据具备图形化、可视化效果，并能够对电子签章有效性进行验证。这么愈加符合人们日常操作习惯，愈加轻易被用户接收和认可。确保电子病历内容和时间法律效力现在，很多医院和患者都对电子病历持审慎怀疑态度，关键问题是纠结于电子病历法律效力，一旦发生医患纠纷闹上法庭，都担心电子病历不能成为呈堂证供而败诉。所以，电子病历内容和时间正当性已经成为制约电子病历发展主要原因，有必要从法律角度出发，依靠现有技术伎俩确保电子病历内容和时间法律效力。总体方案设计思绪本方案以卫生部相关法律法规为依据，围绕各区域医疗信息平台实际安全需求，提供一整套基于电子认证服务和电子署名处理方案，经过数字证书、电子认证应用系统、时间戳服务器和电子签章系统为关键产品，提供身份认证、数字署名、数据加密、时间戳、电子签章服务，从“可信身份、可信行为、可信数据、可信时间”四个范围搭建各区可信区域医疗信息平台，从而真正实现区域医疗信息平台可信业务环境建设需求。可信行为由电子签章系统实现。可信行为由电子签章系统实现。图表SEQ图表\*ARABIC1区域医疗信息平台电子认证实现模型可信身份服务为区域医疗信息平台处理行为人身份凭证及凭证认证问题。区域医疗信息平台经过接入第三方数字证书服务，布署数字证书受理点，为医生、护士、药剂师、系统管理员等医院工作者发放数字证书身份凭证；医护人员使用数字证书登录区域医疗信息平台，区域医疗信息平台经过电子署名客户端，实现强身份认证。可信行为服务为区域医疗信息平台处理医疗行为可追溯问题。医生在电子病历等区域医疗信息平台系统中所进行关键操作，经过电子签章系统完成数字署名可视化服务。可信数据服务为区域医疗信息平台处理医疗数据可信化、正当化问题。经过在区域医疗信息平台集成电子认证应用系统，实现处方、医嘱、病程统计等关键医疗数据可信化转换，使之符合《电子署名法》对可信数据电文要求。可信时间服务为区域医疗信息平台处理医疗行为时间准确性和真实性问题。区域医疗信息平台系统保留医疗数据，需要加盖可信时间戳，确保此操作统计时间可靠性。建设方案针对各区域医疗信息平台，建设面向辖区统一数字证书发放与管理系统、电子认证系统、时间戳服务器以及电子签章系统，为辖区区域医疗机构提供证书认证、数据加密、时间戳、电子签章等服务，其总体框图以下所表示：图表SEQ图表\*ARABIC2区域医疗信息平台总体框图1、建设数字证书发放与管理系统为方便区域医疗信息平台用户数字证书申请、发放和后期服务，需在区域医疗信息平台设置数字证书发放与管理系统。数字证书管理员使用数字证书发放与管理系统对区域医疗机构医护人员提供数字证书发放与管理。2、利用电子认证应用系统实现安全登录、数字署名和署名验证电子认证应用系统主要为区域医疗信息平台提供数字署名及验证服务，经过在区域医疗信息平台中集成电子认证应用系统，实现用户登录应用系统身份真实性认证、敏感信息加密、数字署名/署名验证等功效，实现主要医疗业务步骤署名和验证，确保数据完整性和隐私保护。3、利用时间戳服务器和标按时间源设备实现区域医疗信息平台信息系统时间同时和可信时间应用经过布署标按时间源设备，确保区域医疗信息平台获取权威、统一、精准时间信息，为实现医疗数据时间认证需求奠定坚实基础。经过集成时间戳服务器，为诊疗数据提供可信时间戳服务。4、利用电子签章系统实现对各类电子文档可视化签章经过在电子病历等区域医疗信息系统中集成电子签章系统，可实现电子署名可视化显示,满足了电子病历规范所要求“医务人员采取身份标识登录电子病历系统完成各项统计等操作并予确认后，系统应该显示医务人员电子署名”。数字证书发放与管理系统服务模式为确保数字证书服务及时可达和实现自主化管理，经过在各区建设证书发放与管理系统，指定证书管理员来为内部工作人员发放数字证书，同时为区域医疗信息平台提供一整套服务平台，从而使区域医疗平具备证书自助管理能力。经过证书受理点进行证书发放流程以下：在区域医疗信息平台建设数字证书发放与管理系统，用户经过数字证书发放与管理系统办理数字证书；证书管理员需要搜集用户信息和判别用户身份，将证书申请请求提交到数字证书发放与管理系统；CA系统签发证书，由数字证书发放与管理系统证书管理员负责灌制到证书介质中，并发放给最终用户。数字证书形态及介质证书形态数字证书具备完善产品形态，产品包含以下几个方面：产品包装：便于运输邮件产品包装盒和使用说明书；安装光盘：包含证书管理软件以及介质驱动安装文件；刮刮卡：存放证书介质初始密码；证书介质：存放证书信息等，包含USBKEY、SDKey、IC卡等介质。图表SEQ图表\*ARABIC3数字证书形态证书介质依照国家相关安全要求，为确确保书安全性及用户使用便利性，数字证书应采取智能化硬件证书介质，它具备以下优点：安全强度高：自带密码专用芯片，全部运算操作都在硬件介质内部进行；防拷贝：密钥在外部环境无法读取和进行拷贝；自动锁定：当输入PIN错误次数抵达指定次数，硬件介质将被锁定，只有被解锁后才能重新使用；使用方便：形状小巧，携带方便，操作简单。依照医生工作站终端设备不一样配置，可提供两类证书介质，分别为USBKey、卡证书（射频卡或智能IC卡）。服务内容数字证书生命周期服务设置在区域医疗信息平台数字证书发放与管理系统提供数字证书整个生命周期管理，包含证书申请、审核、更新、注销、查询等。图表SEQ图表\*ARABIC4数字证书生命周期服务详细以下：证书申请：证书申请者到数字证书发放与管理系统申请证书，由数字证书发放与管理系统工作人员代用户录入用户信息。由数字证书发放与管理系统工作人员依照证书申请用户所提供证实材料，对用户身份进行审核，并为经过审核用户签发证书。证书更新：证书使用期通常为一年，当用户证书到期后，需要进行更新操作。支持提供在线更新和离线更新两种模式。离线方式下，用户可到数字证书发放与管理系统进行办理，由证书管理员在进行身份审核后进行用户证书更新操作。在线模式下，用户可持旧证书进行自行登录数字证书发放与管理系统，由系统确认该证书更新权限后，自动签发新证书并下载到用户介质中，从而实现简便高效自助式证书更新。证书吊销：因为密钥遗失、人员变动或其它原因，在证书用户提出申请后，证书管理员能够废除该指定用户证书，并经过数字证书发放与管理系统进行作废证书列表公布，使得该证书不能再次使用。证书查询：可依照证书序列号、证书持有些人、证书状态、证书类型、办理时期等查询条件，准确查询处于生命周期各个阶段数字证书，及其持有些人详细信息。数字证书管理数字证书发放与管理系统管理员经过使用数字证书登录证书管理模块，实现本区域内用户证书业务管理。业务管理包含管理员管理、证书统计、查询、报表等功效：管理员管理：实现证书发放操作人员管理，包含增加、删除、查询，设置操作权限等等；证书统计功效：提供系统在某段时期内总共签发或注销证书数量统计服务，管理员只要输入统计起始日期、统计截止日期、待统计证书类型、待统计证书状态等条件，即可查询出符合要求结果，并对结果进行汇合统计。报表功效：系统就会提供文字和图表统计结果，并能够将统计查询结果打印输出或以文件形式保留。数字证书运行服务方案证书申请与发放用户数字证书发放采取集中制作发放模式，即在各区设证书服务点（也可在各医院分别设证书服务点），由各区证书管理员搜集、整理和审查用户证书申请信息真实可靠后，由各区证书管理员集中制作数字证书后分发到用户手中。证书发放流程以下列图所表示：图表SEQ图表\*ARABIC5数字证书申请发放流程图证书申请发放流程描述以下：(1) 各医院管理员搜集用户信息并鉴证申请资料真实性；(2) 各区证书管理员登录数字证书发放与管理系统提交证书申请信息，为用户制作数字证书；(3) 各区证书管理员将带有数字证书USBKEY转交给各医院管理员；(4) 各医院管理员将USBKEY数字证书分发给用户使用。证书更新证书使用期通常为一年，当用户证书到期后，需要进行更新操作。经过数字证书发放与管理系统，支持用户经过网络自助更新数字证书，即用户使用旧证书登录Web自助服务更新页面，数字署名证书发起更新请求，证书自动更新。用户自主更新数字证书流程以下列图所表示：图表SEQ图表\*ARABIC6用户自助更新数字证书流程图证书更新详细流程以下：(1)证书用户使用旧证书登录数字证书发放与管理系统；(2)系统验证旧证书有效性，确认已收费，授予该用户具备证书更新权限；(3)用户进行新证书下载，完成更新业务。证书解锁USBKey是存放数字证书物理载体，证书使用者在使用数字证书时需要输入USBKey保护口令，即证书口令。当使用者连续10次（实际情况可能有所不一样）输入错误口令时，USBKey会自动锁死，无法使用，此时需要将USBKey进行解锁。各区证书管理员经过数字证书发放与管理系统，支持用户在线自助进行USBKEY介质解锁，即用户登录Web自助服务解锁页面，解答系统问询私密问题，系统经过电子邮件/短信发送解锁授权码，用户输入授权码解锁。解锁流程以下列图所表示：图表SEQ图表\*ARABIC7USBKEY解锁流程图详细流程以下：(1)证书用户登录数字证书发放与管理系统，提出USBKey解锁请求；(2)各区证书管理业务人员确认USBKey持有些人身份，给予用户解锁授权码；(3)证书用户登录证书解锁页面，输入授权码，完成USBKey解锁。证书吊销因为密钥遗失、人员变动或其它原因，证书不能再继续使用需要吊销证书，数字证书吊销支持以下两种模式：用户在线吊销：用户登录Web自助服务输入想吊销证书信息，各区证书管理员鉴证用户身份，系统吊销证书，公布CRL。管理员吊销：管理员在系统中吊销证书，公布CRL。证书吊销发起人能够是授权证书管理员，也能够是证书持有者本身。授权证书管理员能够使用自己管理员证书，直接向CA提出吊销其管辖范围内证书；证书持有者能够经过提交鉴证材料，证实其证书持有些人身份后，提交证书吊销申请。数字证书吊销流程以下列图所表示：图表SEQ图表\*ARABIC8数字证书吊销流程图证书吊销详细流程以下：(1)证书管理员能够经过在线或离线方式提交证书吊销请求，或者证书用户也能够经过在线方式直接提交证书吊销请求；(2)系统判别证书吊销人身份；(3)公布证书撤消列表（CRL），并将CRL公布到相关应用系统；(4)被吊销证书无法再访问应用系统。证书补办在证书使用期内，证书使用者信息发生变更，证书介质发生损坏或者证书文件损坏需要为用户进行证书重新签发。各区证书管理员经过数字证书发放与管理系统，支持用户在线自助重签发数字证书，即用户向各区提出重签发请求，各区证书用户寄送鉴证材料，管理员授权，经过email/短信发送授权码，用户登录系统，输入授权码，下载证书，同时系统吊销原证书。电子认证应用系统电子认证应用系统主要为区域医疗信息平台提供数据加解密、数字署名及验证服务，经过在区域医疗信息平台中集成电子认证应用系统，实现用户登录应用系统身份真实性认证、对敏感信息进行加密、署名保护数字证书应用产品。现在,电子认证应用系统有硬件级和软件级两种形态产品，分别是PKI应用中间件软件和数字署名验证服务器，详细产品介绍以下：PKI应用中间件软件PKI应用中间件软件产品是一款利用X.509数字证书、数字信封、数字署名等先进安全技术，由客户端组件和安全网关组件两部分组成，分别为客户端和应用服务器提供安全服务。客户端组件既能够内嵌到Web页面或客户端软件中，也能够被专用Client程序调用，对用户使用是透明；服务器端接口布署在应用服务器上，接收并处理由客户端发送过来安全认证、数据加解密和署名验证等系列安全处理请求，为应用系统提供安全保护。系统功效PKI应用中间件软件具备加密解密、数字署名、数字信封、时间戳等安全功效，能够依照用户应用系统详细安全要求以单独或组合方式进行系统整合。PKI应用中间件软件详细功效以下：加解密：采取对称和非对称加密解密算法，实现对敏感信息加密操作，预防敏感信息被非法窃取。数字署名：为应用系统提供主要业务数据及关键操作行为数字署名，应用系统经过这些数字署名统计，在发生纠纷时对数字署名进行验证，真正实现主要业务数据和关键操作完整性和不可抵赖性；数字证书解析：对数字证书域进行解析，将解析后证书内容，如证书序列号、用户身份证号码等相关信息提交应用系统供给用系统使用；数字信封：提供数字信封加密机制，提升数据加密效率和加密强度；密钥分割：采取门限算法，能够将加密密钥分割成若干份提供给多人保管，当需要调取密钥时，依照预先约定密钥持有策略在多人在场情况下将完成密钥重新组装得到原有密钥。服务端证书管理功效：在应用服务器上提供B/S方式证书管理工具，用户能够使用该工具很方便配置和管理服务器证书。应用方式数字证书应用接口在PKCS#11、CSP等标准底层证书调用接口基础上，进行组件级应用封装，设计成由证书控件和服务端组件两部分，分别与浏览器和Web服务器协同工作，确保具备安全完备、使用透明、性能高效特点：浏览器端采取客户端组件，服务器端详细调用形式为基于对象安全证书组件，二者功效是对称，主要有验证证书、数字署名、证书解析、数字信封、随机数、加解密等功效。从结构上，该系统由证书控件和服务端组件两部分组成，分别与浏览器和Web服务器协同工作，以下列图所表示：图表SEQ图表\*ARABIC9证书应用方式证书应用接口客户端组件内嵌到Web页面或客户端软件中，当用户浏览应用系统时自动下载并在浏览器中工作，用户使用是透明；服务器端安全网关作为基于对象证书组件，配置于WEB服务器上，由应用程序进行调用，保护Web服务器应用信息。浏览器客户端组件和服务端功效是对称，主要有验证证书、加/解密、署名/验证、以及解析证书等功效。系统集成数字署名与验证署名在各区区域医疗信息平台中，实现数字署名集成工作流程以下列图所表示：图表SEQ图表\*ARABIC10数字署名集成示意图对需要电子署名页面集成工作以下：在用户表单提交页面中加入脚本，经过调用证书控件，实现对表单信息加密、署名和组包；（表单中可带有文件附件）后台接收程序中调用对应证书组件接口，完成解密、验签等操作；在数据库中保留此次表单数据及其电子署名。加密与解密加密后数据假如不需要保留，只是在通信过程中加密，则可经过配置SSL网站，建立SSL加密通道即可，不需要额外开发工作。对于加密数据需要保留，一定时间后又需要解密，则需要使用API接口对数据进行加密。加密和解密过程类似上节署名与验证，只是调用API接口函数不一样而已。程序改造关键内容1、数据库改造应用系统数据库需要做两个部分改造。在用户表中增加一个证书用户唯一标识字段，该字段值是该用户数字证书中用户唯一标识。（SF+身份证号）在各个署名表单对应数据库表中增加数字署名值字段，该字段用于存放对表单或者数据署名值。2、程序改造应用系统登陆模块和署名表单页面需要做改造。应用系统登陆模块需要做改造，参考PKI应用中间件集成Demo，将服务器端和客户端实现相互验证署名、服务端验证客户端证书有效性和解析客户端证书集成到应用系统中，代替原有用户名密码登陆方式。署名表单页面调用客户端署名方法对表单或数据做电子署名，然后将署名值及署名证书存放在数据库中。相关代码示例证书登陆相关代码，参见“jspdemo”目录下index.jsp和login.jsp。集成代码示例： 备注：蓝色为客户端代码、红色为服务器端代码。详细可参考集成demo。数据署名相关代码，参见“jspdemo”目录下signForm.jsp和VerifySignForm.jsp。集成代码示例：PKI应用中间件软件性能PKI应用中间件软件性能指标以下：接口标准PKCS#11、微软CSP等支持密码算法SSF33、RSA（1024）、3DES等性性能1024位RSA非对称算法署名>400次/秒（4*2GCPU软实现）>2450次/秒（单主机加密服务器实现）验证>次/秒（4*2GCPU软实现）>10000次/秒（单主机加密服务器实现）对称加密算法SSF33>72.83Mbps3DES>309Mbps负载均衡支持多应用服务器负载均衡方式支持SJY系列主机加密服务器负载均衡方式图表SEQ图表\*ARABIC11PKI应用中间件软件性能数字署名验证服务器数字署名验证服务器(以下简称DSVS)是由自主研发，为信息系统提供数字署名及验证服务一款多安全功效、高稳定性、高性能，而且具备跨平台、可扩展和快速布署能力软硬件集成化安全设备。数字署名验证服务器实现服务端基于数字证书身份认证、数字署名、数据加密等功效，关键是将提交医疗数据进行数字署名，以确保数据不可抵赖性、完整性需求，并在查询相关数据时，实现用户对于所查询数据有效性验证。经过布署数字署名验证服务器实现电子病历生成等医院内部主要业务步骤中数字署名及验证。系统功效数字署名验证服务器具备数据署名、署名验证、证书验证等功效，详细功效以下：应用功效详细说明数据署名与署名验证提供PKCS1/PKCS7attach/PKCS7detach/XMLSign等多个格式数字署名和数字署名验证功效文件署名与验证对文件提供数字署名和数字署名验证功效证书有效性验证功效提供CRL/OCSP等多个方式证书有效性验证动态黑名单功效能够自动更新黑名单，采取动态更新方式，无需重启服务多证书链功效可同时配置多条证书链，验证不一样CA系统签发数字证书获取证书信息功效提供证书解析功效，获取证书中任意主题信息以及扩展项信息其余功效详细说明系统备份恢复功效系统能够备份当前全部配置，确保系统瘫痪时快速恢复日志统计和发送功效系统能够自行统计日志，也能够将日志以SYSLOG方式发送到指定服务器双机并行、负载均衡功效高可靠性、高可用性应用方式为确保医疗数据具备法律效力，必须按照《电子署名法》要求，基于由国家认可第三方电子认证服务机构签发数字证书对其完成数字署名，才能具备法律效力。经过数字署名验证服务器实现医生工作站数字署名，以及区域医疗信息平台署名验证等功效,详细流程以下列图所表示：图表SEQ图表\*ARABIC12数字署名及验证流程系统集成对于关键业务页面，可依照安全性要求，选择性进行署名和加密处理，包含：应用系统依照业务逻辑要求，调用客户端证书应用相关接口，实现对上传数据数字署名或加密，并打包上传至应用服务器；服务器端接收程序应对应修改，调用数字署名验证系统，进行原文署名验证，并将署名数据入库保留；对于系统后台数据库部分，需要在现有数据库中加入数字署名字段，并建立数字署名和原始明文一一对应关系，为事后责任认定提供符正当律要求电子证据。相关代码示例证书登陆相关代码，参见“jspdemo”目录下index.jsp和login.jsp。集成代码示例： 备注：蓝色为客户端代码、红色为服务器端代码。详细可参考集成demo。数据署名相关代码，参见“jspdemo”目录下signForm.jsp和VerifySignForm.jsp。集成代码示例：电子认证应用系统产品提议经过以上两类产品介绍可知，二者功效相同，两类产品都能够提供基于数字证书身份认证、数据加密等功效，同时，能够实现对电子病历系统电子署名应用功效。PKI应用中间件软件已由深圳市卫生和人口计划与委员会统一采购、统一实施，各区域医疗信息平台可无偿使用，但其性能相对数字署名验证服务器而言稍弱，用户并发数、处理速度不及数字署名验证服务器，其布署需要与每个医疗信息系统进行集成，布署复杂、实施周期长。另首先，数字署名验证服务器属于硬件级服务器，能够为区域医疗信息平台提供高效率服务，其布署比较简单，可方便供多个信息系统使用，支持双机热备，保障服务连续性,详细比较以下表所表示：PKI应用中间件软件数字署名验证服务器采购成本低高实施周期长短集成复杂度需要与每个应用系统集成布署简单性能软件级产品，性能低硬件级产品，性能高可靠性不支持双机并行双机并行、负载均衡功效图表SEQ图表\*ARABIC13电子认证应用系统产品比较依照各区域医疗信息平台实际需求，其需要为各区多家医疗机构提供服务。所以，提议各区域医疗信息平台采取性能很好、布署简单数字署名验证服务器来为各区域医疗信息平台提供身份认证、数字署名、数据加密等服务，实现主要医疗业务步骤署名和验证，确保数据完整性和隐私保护。时间戳服务器建设模式依照各区域医疗信息平台情况，时间戳服务系统能够采取两种模式获取：采取市统一时间戳服务平台获取时间戳服务经过市医学信息中心所建设全市统一时间戳服务平台，获取区域医疗信息平台所需时间戳服务。统一时间戳服务平台搭建在市医学信息中心，面向全市各医疗机构提供统一时间戳签发服务。各区域医疗信息平台需要集成简单时间戳客户端接口，经过时间戳客户端接口与时间戳服务平台通讯，生成并发送时间戳签发服务请求，接收时间戳服务平台返回时间戳服务结果并进行有效性验证。这种模式各单位建设周期短，实施难度低，经过远程调用方式就能够获取可信时间戳服务。建设当地时间戳服务系统即在各区域医疗信息平台当地建设时间戳服务系统，为本区域信息系统提供时间戳服务。这种模式需要在各区域信息平台当地布署时间戳服务系统软硬件设备，包含时间戳服务器、时间源设备、时间戳软件接口等，为区域医疗信息系统提供时间戳签发与验证等功效，其建设成本较高、集成实施复杂、实施周期长，但其处理效率高。两种模式总体结构示意图以下：图表SEQ图表\*ARABIC14时间戳服务体系总体结构示意图两种模式都能够满足区域医疗信息平台对可信时间需求，各有其优势，各单位依照本身情况自行选择。因为采取市统一时间戳服务平台获取时间戳服务方式，其实现方式简单，只需集成简单时间戳客户端接口，就能够获取时间戳服务，以下将主要介绍怎样建设当地时间戳服务系统。时间戳服务器时间戳服务器(简称TSS)是由自主研发，基于国家标按时间源，采取PKI技术，为应用系统提供精准、安全和可信时间认证服务一款高性能、高稳定性，而且具备跨平台、易扩展和快速布署能力软硬件集成化网络安全设备。系统架构及功效时间戳服务器架构以下列图所表示：图表SEQ图表\*ARABIC15产品架构图如上图所表示，时间戳服务器由时间戳请求子系统、时间戳签发子系统、时间戳管理子系统组成。其中：时间戳请求子系统：生成并发送应用系统时间戳签发服务请求，时间戳服务请求遵照国际通用RFC3161标准；接收时间戳服务结果并进行验证；时间戳签发子系统：验证时间戳请求有效性、依照请求签发时间戳、验证时间戳有效性；时间戳管理子系统：提供时间源管理、时间戳证书管理、系统日志管理以及系统配置管理等功效。时间戳服务器主要功效以下表所表示：功效列表详细说明签发/验证时间戳签发可信时间戳、验证时间戳有效性权威时间同时基于SNTP协议，从指定时间源设备获取标按时间并同时系统管理时间戳证书管理、时间源管理、日志管理、系统配置、备份与恢复高可用性支持双机并行、负载均衡应用方式时间戳服务器应用流程以下列图所表示：图表SEQ图表\*ARABIC16时间戳应用流程如上图所表示，时间戳服务器应用流程以下：区域医疗信息平台信息系统服务端集成时间戳请求子系统，调用数字摘要接口对待签发时间戳原文计算出摘要；信息系统将数字摘要经过网络发送给时间戳服务器；时间戳服务器读取时间源标按时间，利用第三方CA机构签发时间戳服务器证书对应私钥对数字摘要和可信时间进行署名，产生时间戳；时间戳经过网络传回应用系统，经过时间戳验证接口验证后进行存放，今后，时间戳和原文绑定在一起能够证实某个时间有效证据。系统集成时间戳服务器实现安全应用集成主要工作以下：提供产品和集成所需要演示环境Demo、接口说明、测试证书等；依照业务需求，应用系统开发商对对应页面进行改造，调用对应安全组件接口，实现时间戳签发/验证功效。为应用系统开发人员提供技术支持，帮助完成系统安全整合。应用集成完成后，需要进行应用系统测试，确保系统集成时间戳应用功效可用性和有效性。应用系统改造：图表SEQ图表\*ARABIC18时间戳服务器集成业务系统程序中调用时间戳请求子系统组件接口，完成原文数据Hash、生成时间戳请求，将请求发送到时间戳服务器等操作；时间戳请求子系统接收时间戳服务器返回结果，解析时间戳；对于系统后台数据库部分，在现有数据库中加入时间戳字段，并建立时间戳和原文一一对应关系，为事后时效责任认定提供电子证据。时间戳实现在区域医疗信息平台中，对于有意义诊疗等操作或进行数据和汇报生成保留等，需要加盖时间戳，以确保操作和数据时间有效性。为了验证和取证需要，将时间戳与对应数据和文件存放到系统数据库中。图表SEQ图表\*ARABIC18时间戳应用流程过程说明以下：登录验证经过后用户安全进入系统。操作人员在对病人下诊疗汇报或一些汇报确认等关键性操作时，需要加盖时间戳。电子病历生成时需要加盖时间戳。调用接口将需要加盖时间戳数据传送到时间戳服务器。时间戳服务系统读取标按时间，利用可信时间管理系统证书对应私钥对数字摘要和可信时间进行署名，产生时间戳。时间戳保留到时间戳服务器中（调用接口时会将系统类型、医院、检验唯一标识等信息发送给时间戳服务器），也可经过网络传回电子病历系统（可经过调用参数来设置是否将时间戳保留到当地）。电子病历系统验证经过后进行存放，今后，时间戳和原文绑定在一起能够证实某个时间有效证据。Log统计:调用CA时间戳接口，成功或失败信息写入Log。将时间戳写入对应数据库中是否成功写入Log。相关代码示例集成代码示例：电子签章系统建设模式在电子信息世界，数字署名是隐藏在电子文档中一串字符，不能像现实世界电子署名一样直接展现给用户，经过依靠成熟产品—电子签章系统，在处方开具、汇报单、检验单等医疗过程中实现电子签章功效，实现了电子病历中数字署名可视化、图形化，使可靠电子署名在电子病历中形象展现，并提供方便签章验证辨伪操作界面。依照各区域医疗信息平台情况，电子签章系统也能够采取两种建设模式：建设模式一：统一电子签章服务平台即在各区域医疗信息平台建设全区统一电子签章服务平台，面向区域医疗机构提供统一电子签章服务。各医疗机构信息系统需要集成简单电子签章客户端软件，经过电子签章客户端软件与电子签章服务平台通讯，统一电子签章服务平台提供对电子病历相关医疗数据数字署名和电子签章。建设模式二：当地电子签章服务系统即在各医疗机构当地建设电子签章系统，为本单位信息系统提供电子签章服务。其总体结构示意图以下：以上两种建设模式各有其优势，应该充分发挥各自优势，各单位依照本身情况自行选择。电子签章系统详细介绍以下：电子签章系统系统功效电子签章系统总体框架以下：图表SEQ图表\*ARABIC20电子签章系统总体框架如上图所表示，电子签章系统产品由电子签章管理系统和电子签章软件组成：1、电子签章管理系统：电子印章生成和生命周期管理系统，包含电子印章制作、挂失、停用、重新制作、使用控制等管理。2、电子签章软件：在不一样应用系统环境下对文档实现电子签章工具软件，依照产品形态能够分为：文字处理软件文档电子签章软件（如支持微软Office、国产Office等各类文档）和网页电子签章软件等。1、电子签章管理系统电子签章管理系统作为电子签章系统后台管理系统，是整个电子签章系统关键，完成对每一个电子印章进行整个生命周期管理，包含电子印章制作、挂失、停用、重新制作、使用控制等全过程管理，电子签章管理系统功效结构以下列图所表示：电子签章系统功效列表：功效名称详细说明系统管理对组织机构、用户和管理员维护和管理印章管理包含印章制作、挂失、停用、重新制作等功效暂时授权经过对用户暂时签章授权，允许用户离线签章使用控制对电子印章使用进行控制，提供在线验证功效，确保电子印章使用安全性和严密性日志审计对系统管理和维护进行日志统计和审计，并对电子印章使用进行详细日志统计和审计电子签章软件常见字处理软件包含MicrosoftOffice（Word、Excel等）、WPS、RedOffice等软件，其生成文档格式具备一定广泛性，如.doc、.xlt等文件,电子签章软件支持对以上主流字处理软件文档格式进行电子签章。基于IE内核浏览器B/S架构应用系统支持与各种Web服务器集成，实现网页签章功效支持对各类页面中一个或多个表单域数据完整性保护，实现可视化签章效果、验证信息是否有效应用流程电子签章应用流程以下列图所表示：图表SEQ图表\*ARABIC21电子签章应用流程1、印章管理员使用电子签章管理系统为用户生成电子签章，并将电子印章灌入证书介质并和数字证书进行有效绑定，将包含数字证书和电子签章图片证书介质按照发放流程分配给最终用户；2、医疗信息系统集成电子签章中间件，提供对电子病历相关医疗数据数字署名和电子签章；3、将带数字署名和电子署名医疗数据提交到电子病历系统等应用系统。系统集成电子签章中间件须与医院信息系统进行简单集成，在页面中嵌入电子签章接口（控件/组件），实现对网页上敏感数据域保护。服务器端需要建立一个数据库表，以保留签章数据。在集成过程中，只需要指定印章需要保护表单域名称，客户端会自动进行内容提取和保护。印章信息提交前会进行被保护信息校验，被保护信息假如未经过校验则不能提交。印章信息使用XML格式存放，应用系统不需关心其内容，只需提供存放空间即可。在电子签章系统所提供组件接口基础上，经过调用电子签章接口，实现页面签章功效，并将原文和电子签章保留在数据库中。详细整合工作以下：(1)在web页面中添加电子签章控件域；(2)对签章数据源对象进行组包：把每个元素值放进数组中。客户端对数组整合封装，然后把封装后数据传给签章控件。然后调用控件接口函数实现电子签章功效。电子署名实现方案卫生部关于电子病历署名要求依照现在卫生部正在制订《电子病历系统应用水平分级评价方法及标准》，将电子病历系统应用水平划分为8个等级，将电子病历数据标准分为四项内容，每一等级标准包含电子病历系统局部要求和整体信息系统要求，同时也对电子认证和署名进行了等级规划，以下表：应用水平等级应用水平要求电子认证和署名要求0级未形成电子病历系统无。1级部门内初步数据采集各个系统有独立身份认证。2级部门内数据交换重点电子病历系统（住院医生站、门诊医生站、护士站）有统一登录与身份认证。3级部门间数据交换重点电子病历系统（住院医生站、门诊医生站、护士站）有统一登录与身份认证，并实现电子署名。4级全院信息共享，中级医疗决议支持检验、检验科室产生医疗统计具备电子署名功效。5级统一数据管理，各部门系统数据集成全院有统一电子署名体系，全部医疗统计处理系统产生最终医疗档案都有电子署名。6级全流程医疗数据闭环管理，高级医疗决议支持实现全部医疗过程统计电子署名，如每个医嘱、每段病程统计、每个阶段检验汇报等。7级完整电子病历系统，区域医疗信息共享全部电子病历系统有统一身份认证、实现电子署名，电子署名得到法律认可。同时，依照现阶段电子病历标准化目标和标准化标准，卫生部正在制订《电子病历基本架构与数据标准》，要求电子病历数据标准包含四项内容:（1）电子病历数据结构，（2）电子病历临床文档信息模型，（3）电子病历临床文档数据组与数据元标准，（4）电子病历临床文档基础模版与数据集标准，其中电子病历数据结构分为四层：（1）临床文档：位于电子病历数据结构最顶层，是由特定医疗服务活动（卫生事件）产生和统计患者（或保健对象）临床诊疗和指导干预信息数据集合。如：门（急）诊病历、住院病案首页、会诊统计等。（2）文档段：结构化临床文档通常可拆分为若干逻辑上段，即文档段。文档段为组成该文档段数据提供临床语境，即为其中数据元通用定义增加特定约束。结构化文档段通常由数据组组成，并经过数据组取得特定定义。本标准中未明确定义文档段，但隐含了文档段概念。（3）数据组：由若干数据元组成，作为一个数据元集合体组成临床文档基本单元，具备临床语义完整性和可重用性特点。数据组能够存在嵌套结构，即较大数据组中可包含较小子数据组。如：文档标识、主诉、用药等。（4）数据元：位于电子病历数据结构最底层，是能够经过定义、标识、表示和允许值等一系列属性进行赋值最小、不可再细分数据单元。数据元允许值由值域定义。图表SEQ图表\*ARABIC22电子病历数据结构从上述卫生部对电子病历系统应用水平划分以及电子病历数据标准内容要求能够看出，伴随电子病历系统应用水平等级越高，其对身份认证与电子署名应用需求越高，电子署名应用步骤也越多。电子认证应用系统(PKI应用中间件软件或数字署名验证服务器)，均能提供符合我国《电子署名法》要求可靠电子署名，能提供基于数字证书身份认证、数据加密等功效,都能够完全满足我国医疗机构电子病历系统从1级到7级对电子认证以及电子病历数据标准格式规范应用需求，为各医疗机构不停提升电子病历系统应用水平等级提供安全应用支撑保障，其详细实现以下：医生客户端中电子署名为配合电子病历使用电子署名,电子病历系统、门诊HIS系统、PEIS、LIS、PACS等需进行电子署名功效调整。如在医生开具医嘱过程中，需调整医生开医嘱前插入密钥，开完医嘱提交后系统就对所开医嘱进行署名，署名数据依照P1格式制订。署名结果需要进行验证，验证就在署名文件数据传送到电子认证应用系统进行验证，经对比后反馈数据是否被修改。这些对医护人员使用都是透明，操作流程跟以往一样。在电子病历系统中，还存在病历或护理统计部分要主要包含有多个署名问题。当下级病程统计被上级医生修改过，依照病历书写规范和电子署名特点，只保留上级有效电子署名。主要实现以下所表示：图表SEQ图表\*ARABIC23医生工作站客户端电子署名申请单中电子署名为实现住院病历无纸化，同时将纸质申请取消。如检验申请单，系统人员经过系统对医生电子申请单进行预约处理，处理后申请单，医生护士经过工作站能够看到预约后信息。如检验时间，检验间等。取消医技纸质申请单，那医生或护士极难知道什么时间安排患者去做检验。这么需要在信息系统中使用电子署名完成相关申请和署名。引入电子署名后流程以下：图表SEQ图表\*ARABIC24申请单无纸化电子署名实现流程会诊单处理相差不多。医生使用电子署名开医嘱提交后，会诊单就发送到会诊科室。对方医生或护士看到后确认，到最终完成会诊统计进行电子署名就能够。护士在系统中看到对方医生写完会诊统计后，就能够在申请单上进行收费。为监控会诊制度落实情况，需在会诊无纸化过程中加入四个时间监控点，包含会诊单发出时间、对方医生接收时间、会诊医生抵达请会诊科时间和会诊统计完成时间。经过这一监控有效保障医疗质量，同时降低误送或迟送会诊单情况。病历归档中电子署名为配合无纸化归档，原有归档流程将要进行调整，主要是原有对经过终末质控病历进行集中打印，现在调整为先搜集病区纸质文档（主要是需要患者或家眷署名同意书类或一些独立仪器因没接口暂只能使用纸质汇报如：脑电图和眼科特殊汇报），然后在系统填写病历清点单，最终进行电子署名校验验证整份病历全部环署名是否都有效。没有问题病历就会先产生归档日志，同时产生一份独立XML格式电子病历文件。若有没有效电子署名，系统经过归档日志信息会反馈到相关工作站。由相关人员再进行补签。图表SEQ图表\*ARABIC25病历归档电子署名对于经过归档产生文件，经过调用电子认证应用系统实现加密存放。电子病历系统（EMR）电子署名实现电子病历系统面向临床医生，实现了医生日常书写病历需求，它将病人在院期间全部医疗信息经过计算机管理，并给医生临床工作提供许多有益帮助，经过电子病历系统，能够将传统病案中大部分内容电子化，是临床信息系统关键组成部分。电子病历中电子署名节点电子病历是医院各个医疗信息系统关键内容，按照《电子病历基本规范》，完整电子病历信息不但包含了原纸张病历全部静态信息，还包含影像资料、手术录像视频、知识库等，所以理想地说，署名数据应包含：HIS系统中统计，包含病案首页、医嘱单、病程统计、护理统计、手术资料、产科统计等；LIS检测单数据；PACS等系统影像数据；病人知情通知书等。就署名目标而言，电子病历中署名主要在两个步骤，一是用于诊疗步骤责任认定，由诊疗责任人署名；二是归档病历责任认定，完成病历后在质检归档时署名。在诊疗步骤，医生在客户端署名，在服务端加入可信时间戳；在归档步骤，由医院进行批量文档署名。但依照当前医疗信息化发展情况，本方案对住院病历中定义署名流程及署名节点以下：医生处理方护士处理医嘱开医嘱、停医嘱、取消医嘱，医生都需要进行署名转抄护士、执行护士都需要署名病历部分每段病记都需要进行CA电子署名护理统计每段病记都需要进行CA电子署名术中医嘱麻醉师开术中医嘱需要进行CA电子署名执行护士使用CA署名检验/输血每个汇报都需要进行CA电子署名功效科室护士做试敏时需要对医嘱进行CA电子署名同时反馈试敏结果检验每个汇报都需要进行CA电子署名以门诊业务流程为例，署名节点以下：图表SEQ图表\*ARABIC26门诊业务署名节点以住院业务流程为例，署名节点以下：图表SEQ图表\*ARABIC27住院业务署名节点电子署名功效主要利用在电子病历系统【住院医生工作站】、【住院护士工作站】、【电子病案管理系统】等步骤中。下面分别进行介绍：住院医生工作站电子署名实现住院医生工作站主要用于临床医生完成电子病历，其中包含住院病历、病程统计、手术统计、会诊统计、知情同意书、随访统计等。并能与院方HIS接口，来完成医嘱和检验检验申请查看汇报工作等。下列图为主要医生工作站业务流程。图表SEQ图表\*ARABIC28医生工作站业务处理示意图包括到署名步骤有：病历书写电子署名图表SEQ图表\*ARABIC29病历书写电子署名示意图上级审签电子署名上级医生只有对已署名病历进行审签，三级医生权限次序：住院医生<主治医生<主任医生。上一级医生修改过病历下一级别医生将无权再修改。终止审签电子署名确认病历书写并电子署名，终止审签后本人及本级医生均不能修改。图表SEQ图表\*ARABIC30最终审签后效果显示包括到署名内容有：病案首页、住院病历、病程统计、手术统计、会诊统计、其余统计（出院统计、术前讨论统计、死亡统计、死亡病例讨论统计、疑难病例讨论统计、医院感汇报卡……）等。住院护士工作站电子署名实现住院护士工作站主要用于临床护士完成护理统计、护理病程、体温单、健康教育等单据。下列图为主要护士工作站业务流程。图表SEQ图表\*ARABIC31护士工作站业务处理示意图包括到署名步骤有：三测表录入和病历书写电子署名图表SEQ图表\*ARABIC32护士工作站电子署名示意图病历完成署名处于完成状态病历，不可修改，在院患者不能进行“病历完成”，病历完成需进行署名处理。包括到署名内容有：三测表、三测表曲线、评定单、护理单统计、引流统计单、综合观察统计单、血尿糖观察统计单、血压脉搏观察统计单、重症监护统计单等。电子病案管理系统电子署名实现电子病案管理系统主要用于病案室对归档病历进行评分和编目等工作。经过电子病案管理系统，确保最终病历形态为电子化。所以，在病案管理步骤，电子署名非常主要。图表SEQ图表\*ARABIC33电子病历管理系统业务处理流程示意图包括到电子署名步骤以下：病历签收署名定位患者后，选择患者电子病历，由病案室人员完成病历接收确认工作。图表SEQ图表\*ARABIC34病历签收署名病案室工作人员需要对患者ID、送到时间、提交人等信息一并确认并进行署名。编码员签收署名病案编码人员检验查对病案首页，确定首页各项信息填写无误后，对编码信息和病案首页进行署名。病案归档署名病案归档由病案室工作人员完成，在完成病案归档过程中，需要调用医院数字证书进行院级数字署名，并加盖时间戳。医嘱系统电子署名实现医嘱是医生下达给护士医疗指令，医嘱系统是采取信息化伎俩，实现医生对护士药处方、护理要求和各种检验检验申请等行为要求，并取得护士执行结果反馈信息平台。从执行内容上，医嘱分为药疗医嘱、检验医嘱、检验医嘱和处置医嘱，从执行时间上，分为长久医嘱和暂时医嘱，下列图显示是医嘱系统基本处理业务流程。图表SEQ图表\*ARABIC35医嘱系统处理流程示意图依照医嘱生命周期是：医嘱录入->医嘱确认->医嘱生成执行->医嘱撤消或停顿，包括到署名实现步骤包含：医生站录入（医嘱录入）署名护士站审核（医嘱确认）署名护士站执行（医嘱生成执行）署名医生站停顿或撤消署名图表SEQ图表\*ARABIC36医嘱系统电子署名实现示意图医嘱系统中实现署名难点：长久医嘱是医嘱系统中实施署名难点，主要是对长久医嘱拆分后，医生是否对自动拆分医嘱进行数字署名，假如医生还需要手动干预系统自动拆分医嘱，会给医生护士带来无须要麻烦，所以在项目集成过程中，需要分析医嘱系统开发商业务处理机制，设计与之匹配署名处理机制。门急诊HIS系统电子署名实现门急诊信息管理系统服务于门急诊医疗业务，对门急诊病人数据进行较为完整采集和管理，采集和管理数据包含有病人基础信息、挂号信息、门急诊病历信息、检验/检验结果(包含图形、图像)信息、门急诊处置和手术信息等。在整个医院信息系统中，门急诊管理系统作为一个主要组成部分，负责向其余系统提供必需病人信息和准确详实临床信息，为医院管理部门服务，并辅助管理部门进行管理，如规范医疗行为、辅助调整门诊业务流程等。门急诊包括了病人从入院初(复)诊、诊室看诊、到医技科室检验检验、窗口交费和取药等业务步骤。门诊信息管理系统数字署名应用主要包含：步骤一：门诊开具医嘱、患者付款、药房发药数字署名应用。开具医嘱审核署名时，医生数字署名；收费结算时，结算员数字署名（可选）；发药刷卡时,，当前患者医嘱信息进行数字署名验证；部分退药申请时，医生追加数字署名认证。图表SEQ图表\*ARABIC37门诊开具医嘱、患者付款、药房发药数字署名应用流程步骤二：医生开具申请单数字署名应用。开具申请单是，医生数字署名；检验检验系统接收申请单数据和医生署名数据，数字署名验证。图表SEQ图表\*ARABIC38医生开具申请单数字署名应用流程试验室系统（LIS）电子署名实现试验室系统（简称LIS系统）是专为医院检验科设计，能将试验仪器与计算机组成网络，使病人样品登录、试验数据存取、汇报审核、打印分发，试验数据统计分析等繁杂操作过程实现了智能化、自动化和规范化管理。有利于提升试验室整体管理水平，降低漏洞，提升检验质量。LIS系统业务处理流程为：1）、经过门诊医生和住院医生工作站提出检验申请，生成对应患者化验条码标签，在生成化验单同时将患者基本信息与检验仪器相对应；2）、当检验仪器生成检验结果后，系统