浅谈电子病历的安全控制

【摘要】  信息技术的进步和现代医疗的变革使得电子病历得到越来越广泛的应用。但对于电子病历安全性却没有得到足够的重视。本文从电子病历的数据来源、加密保存、访问控制、网络载体几个方面对电子病历的安全进行探讨，以期对电子病历的发展有所帮助。

【关键词】  电子病历；访问权限控制；加密保存；电子签名

    随着IT信息科技的进步及网络使用的普及，现代医疗环境也随之快速演变。现代医疗环境中最大的变革是将医疗信息电子化，首先开展的是电子病历。电子病历与传统纸质病历相比，明显提高了病历信息使用的实时性，一方面可以降低营运的时间成本及人事费用，一方面节省了病历数据的纸张成本及存放空间，并且电子病历的快速信息处理能力有助于医学研究、交流统计，比传统纸质病历易于辨识，减少出错率。电子病历的使用正成为一种趋势，因为它是医院信息管理的基础，也是患者获取有效医疗资源、寻求及时治疗方案的最可靠工具。作为当前医疗信息化的重点，电子病历的发展和应用具有广阔的前景。目前，电子病历在国内各大医院已经着手应用。

    与此同时，电子病历的安全问题也愈加突出地摆在人们面前。数据安全是近年来一个新的热点话题，与其他行业相比，电子病历的安全既有相通的地方，也有特殊的行业性和使用特点。电子病历对自身安全性提出了更高要求。

    1  电子病历系统的访问权限控制

    1.1  医生访问权限  病人信息来源于医院医疗流程的各个方面，从病人的住院登记、入出科、医生诊断、护士护理、病人的手术记录，既往健康状况，以及在病人看病过程中医院管理信息，都是电子病历系统信息的重要来源。这些信息不仅是医院的医疗信息，还涉及病人的隐私权问题。对于使用这些信息的医生，必须按照等级进行相应的权限设置，用来区分不同的访问和操作权限［1］。

    以笔者所在天津市人民医院为例，所有医生按照权限分为主任医师、上级医师、主治医师三级。各级医师进入系统必须使用自己的密码登录，并同时具有与自己等级相应的操作权限。医生在电子病历系统中所进行的任何操作，包括：登录、退出、下达医嘱、修改医嘱、手术信息等，都会在系统中留下痕迹。这样就保证了病历信息的真实性。对于上级医师和主任医师，除了对于自己的病人具有的主治医师的操作权限之外，对于自己下级医生的病历也具有修改和批阅的权限，但无一例外的是，任何的修改都必须在系统中留下记录。

    1.2  电子签名的使用  电子病历的安全访问控制必然涉及电子签名问题。医生签名是电子病历必不可少的第一个环节，而电子病历也只能与电子签名相匹配，把所有病历打印出来再由医生手签确认，这就失去了电子病历的意义。我国电子签名法第十四条规定：“可靠的电子签名与手写签名具有同等的法律效力。”那么，什么是“可靠的电子签名”呢？电子签名法第十三条规定：“电子签名同时符合以下条件的，视为可靠的电子签名：（1）电子签名制作数据用于电子签名时，属于电子签名人专有；（2）签署时电子签名制作数据仅由电子签名人控制；（3）签署后对电子签名的任何改动能够被发现；（4）签署后对数据电文内容和形式的任何改动能够被发现。”［1］ 可以这样理解：其一，电子签名在发放时应该是经过身份核实的，与特定主体一一对应；其二，电子签名只能被它的所有者使用，他人如果使用，必须有电子签名所有者的明确授权才有效；其三，电子签名本身和它附着的数据电文应该有相应的技术，保障其不能任意改动的。简单地说，如果一个电子签名是现在国家认可的电子认证服务机构（CA 认证机构）所发放的数字签名，而对这个电子签名的操作是完全规范的话（包括电子认证服务机构、电子签名人、电子签名依赖方），那么这个电子签名就是我国法律所认可的电子签名，就与签名盖章具有同等的法律效力［2］。电子签名是电子病历在我国推广的基础，也是电子病历具有法律地位的可靠保障，解决电子病历的合法性问题，是电子病历安全控制不可缺少的一环。

    2  确保电子病历存储的安全

    2.1  安全存储与备份  与一些数据密集型企业一样，医院电子病历系统同样需要一个稳定、可靠、安全的存储架构。自然灾害、网络、硬件、软件，甚至人员的操作失误都会对病历数据带来不可估量的损失。建立一套安全存储策略是至关重要的。

    存储安全指在数据保存上确保完整、可靠和有效调用，通常包括两层含义：一是存储设备自身的可靠性和可用性（设备安全）；二是保存在存储设备上数据的逻辑安全（应用安全）。不少医院为了引进电子病历系统，多数采购了大型服务器和存储设备，同时也相应配备了管理人员，存储设备自身的安全得到了保障。数据备份是应用安全的唯一保障。数据备份的目的是周期性保存在线数据的历史，以便在线数据发生损坏时，使用备份数据恢复到错误发生之前的状态，以确保数据的正常访问。备份以保障数据存储安全为首要目的，通过严格的备份策略、流程等一系列手段确保数据应用不会对备份数据的安全产生影响。较为常见的备份方式是完全备份、增量备份和差异备份。增量备份是备份上次备份以来修改的部分，差异备份与增量备份类似，只是备份两次备份之间改变的部分。通过对这三种备份方式进行组合，可以在成本和数据可用性之间得到良好的折中。

    2.2  底层数据库安全  除了电子病历软件本身的安全之外，软件底层的数据库安全更是电子病历安全的基础。在一个漏洞百出的数据库系统之上构筑的电子病历系统根本毫无安全可言。

    目前一般的数据库文件安全多数通过操作系统访问控制、用户身份验证、对数据库加密这三个方面进行实现。这对于数据库系统的安全来说是远远不够的。一些大型数据库软件厂商所开发的数据库软件都针对大型应用系统提供了更高级别的安全策略。

    在一般情况下，数据库软件会保证数据库的安全稳定，为用户提供正确的数据，保证数据的安全。当遇到计算机系统故障，如硬件故障、软件故障、网络故障等，影响到数据库系统的正常操作，影响到数据库中数据的正确性，甚至导致数据库中部分或全部数据丢失，从而导致电子病历系统瘫痪。这个时候数据库系统的安全恢复策略就显得尤为重要了。大型应用软件一般采用的数据库软件有Oracle、SQL Server 2003、DB2等。下面以大型应用软件常用的Oracle数据库系统为例对数据库的安全恢复策略作一介绍，其他主流数据库系统与之类似。

    Oracle数据库的安全策略包括数据库的备份和恢复、用户角色管理。Oracle数据库备份采用了数据库备份、日志、回滚段、控制文件等结构。每一个运行的Oracle数据库实例都提供一个在线日志，它与后台进程LGWR一起，立即记录该实例所做的所有修改。在线日志文件填满后可形成在线归档日志，数据库备份和在线、归档日志文件在操作系统故障时可以保障已经提交的全部事务。回滚段用于撤销任何未提交的事务。控制文件用于存储数据库的物理结构的状态。控制文件中的某些信息在实例恢复和介质恢复期间用于引导Oracle。

    同时Oracle数据库还提供了角色管理策略，对于不同的客户可以授予不同的角色，对于每个角色根据其使用的数据源不同，分别授予不同的数据库对象存取权限，从源头对电子病历系统的安全提供了保障。

    2.3  数据加密手段的使用  病历属于公民的个人隐私，因此在传输、保存的时候应该注意保密问题，采用适当的加密技术，让电子病历在保存时是以高安全的加密状态保存于计算机中，在传输时也采用通道加密的方法保障传递的过程是高安全的。

    3  网络安全是电子病历安全控制的基础

    现阶段多数医院对网络安全采取的办法主要有以下几种。

    3.1  内外网隔离  理论上这种方法是最安全的。如果内部网络与外界完全隔离，就断开了来自外界的一切攻击。可是当前医疗信息化的发展趋势是信息共享和信息的再利用，纯粹的“物理隔离”不可能实现。至少医院需要与医保中心进行联网，更不要说远程医疗了。同时这种方法也无法控制内部网络的信息共享。当然，尽量减少不必要的外部网络连接时很有必要。

    3.2  网络版杀毒软件  目前所有的防病毒软件都采用特征码识别的方法查杀病毒，所以，这种方法决定了只对已知病毒具有识别能力。一旦病毒定义码更新不及时，还有可能中病毒。另外，防病毒软件仅仅针对计算机病毒，对于混合式攻击没有有效的防护手段。

    3.3  安装防火墙  很多医院都有到外部网络的线路，并且都在网络出口处安装了防火墙，封闭了不必要的端口。这是阻挡外部网络攻击的一个不错的办法。

    可以看出，单独一种方法都不足以打造安全的网络环境，必须把几种方法结合起来，才能有效保障网络的安全。

    随着电子病历系统在我国医院的日益普及，电子病历的安全性也会越来越受到重视。电子病历安全性提高了，才能真正实现医院医疗电子化和诊疗信息共享，才能更好地为病人和卫生事业服务，电子病历才能得到更为广阔的发展前景。

【参考文献】
  1 中华人民共和国电子签名法.新华网.www.xinhuanet.com.2004-8-24.

2 阿拉木斯.电子签名法与电子病历.上海：中国电子病历与数字化医院应用技术发展研讨会暨展览会，2006：192.

作者单位：天津市人民医院网络管理处，天津 300121