段文舟 連萬民

摘要：本文旨在研究電子病歷無紙化歸檔中數(shù)據(jù)的真實性和安全性問題。通過分析影響病歷電子信息在保存過程中的安全因素和傳統(tǒng)電子簽名在電子病歷防篡改中的不足，引入時間戳，對電子數(shù)據(jù)進行安全加固，綜合考慮安全性和成本，提出了大量電子病歷檔案長期保存批量合并處理時間戳的方案，推進醫(yī)院無紙化進程。

關(guān)鍵詞：電子病歷；無紙化；電子簽名；時間戳

隨著醫(yī)院信息化進程，電子病歷檔案無紙化建設(shè)是大勢所趨。[1]但是，電子病歷作為電子數(shù)據(jù)，有無形性、多樣性和易篡改等特性，是電子病歷的真實性、完整性受到質(zhì)疑，在法律效力上也無法與紙質(zhì)病歷相比，醫(yī)院對于電子化的檔案管理也并不成熟。[2]本文主要分析一下電子病歷的安全性影像因素和傳統(tǒng)解決方案，并探討電子時間戳在電子病例檔案的安全保護中的作用和實現(xiàn)。

1 電子檔案的安全性問題及通常的措施

電子信息存儲依賴于的存儲介質(zhì)的可讀性，為防止由于存儲介質(zhì)硬件故障導(dǎo)致數(shù)據(jù)丟失，通常我們會進行多個備份和異地存儲；電子信息只有轉(zhuǎn)換為可視化的內(nèi)容才能供用戶閱讀理解。電子病歷記錄必須遵循有記錄可查或標準可循的格式，同時備份相應(yīng)標準文件，以備查驗。

為保證電子病歷信息的真實性，證明當(dāng)前信息未被修改，通常通過設(shè)定的某種可驗證的方法來證明，比如審計或數(shù)字簽名驗證。為保證將來信息也不會被篡改，通常采用數(shù)字簽名的方法來保證。[3]但傳統(tǒng)數(shù)字簽名隨著時間推進和技術(shù)進步，有被破解的風(fēng)險，下面針對電子病歷真實性保護進行探討。

2 電子檔案的真實性保護

一般我們在討論真實性問題時，通常有以下兩種情況：

一是在電子信息不加任何技術(shù)保護電子信息，為保證其安全，需要從制度上保證電子信息在接收、歸檔、查閱等過程必須全程記錄、全程可控、可追溯，并且實現(xiàn)多人控制，互相牽制，而且是可審計的。也就是說，首先保管場所必須是安全的，具有防入侵、防破壞的措施。其次人員也必須是可靠的，且主觀沒有篡改電子信息的動機。但對于醫(yī)院保存的醫(yī)案來說，從研究的角度看，應(yīng)該沒有篡改檔案的動機，但從醫(yī)患糾紛，也就是從證據(jù)上講，對于保管在醫(yī)院的電子病歷就缺乏可信度，即在對醫(yī)院不利的情況下有篡改電子病歷的動機。

另一種是對電子信息進行加工處理，從技術(shù)上給予保護。大家知道，現(xiàn)在不少醫(yī)院都在推廣數(shù)字簽名，那么已經(jīng)進行過數(shù)字簽名的的各種醫(yī)療記錄是可以防篡改，進入電子檔案系統(tǒng)后只要文件原樣保存就可以在將來通過技術(shù)驗證判斷是否在檔案存儲過程被修改過。[4]但問題來了，既然是檔案，其保存其可不是一時半會，一般都是幾十年或長期性的。但數(shù)字簽名采用的是密碼技術(shù)，而現(xiàn)時的密碼技術(shù)總會在將來的某個時候被破解，也許很短也許很長，反正遲早不安全，況且還有很多醫(yī)療檔案的形成過程并沒有使用過數(shù)字簽名。如何解決這個問題，這里提出一種電子時間戳的應(yīng)用來實現(xiàn)。

3 電子時間戳在電子檔案長期保存中的應(yīng)用方案

這里講的時間戳是指符合RFC3161協(xié)議標準的時間戳，它基于X.509的PKI。因為是在互聯(lián)網(wǎng)上的公開服務(wù)，它被認為是可信的時間戳。時間戳其實也是一種數(shù)字簽名，重要的是它具有兩種應(yīng)用特性：一是證明該電子數(shù)據(jù)在該時間是存在的，另一個特性就是對電子數(shù)據(jù)進行安全加固，即保護該電子數(shù)據(jù)在該時間后不被篡改。[5]

我們就用其第二種特性來保護醫(yī)院的存檔電子檔案，這種應(yīng)用的時間戳通常也稱歸檔時間戳。下面是這種方案的描述。歸檔時間戳的應(yīng)用機制如圖1：

時間戳工作過程是時間戳請求者將原文進行哈希，然后將哈希值發(fā)送給時間戳服務(wù)請求時間戳，時間戳服務(wù)將接受到的哈希值附上時間標識后進行電子簽名，即用時間戳服務(wù)的數(shù)字證書完成該數(shù)字簽名后返回給請求者。其安全性取決于哈希算法和簽名算法的安全。所以歸檔時間戳的密碼算法要有足夠的安全強度。

電子病案資料在歸檔時進行時間戳處理后進行歸檔，特別是哪些未經(jīng)數(shù)字簽名的電子病歷信息更是一種保護，保證歸檔之后信息的真實性。隨著時間的推移，原有歸檔時間戳使用的哈希算法和簽名算法都有可能變得不安全，在預(yù)計不安全到來之前，需使用更安全的新的時間戳服務(wù)對電子檔案進行再處理。比如說，當(dāng)時（T1）使用SHA1和RSA1024，現(xiàn)在（T2）就要使SHA256和RSA2048，在以后（T3）就需要使用SHA512和RSA4096，以此類推。這樣每次進行加蓋時間戳處理后，就又變得安全了，如圖2：

這里有另外一個問題。隨著電子檔案的越來越多，要對原來的每個信息進行時間戳處理將是非常大的工作量，除了讀取所有檔案信息，還要處理時間戳。如果時間戳訪問效率不高的話，處理時間也會非常耗時。以下方案可以作為折衷考慮。

（1）每次都使用盡可能安全的算法，目的就是增加使用算法的安全期，從而減少處理次數(shù)。

（2）合并多個舊時間戳信息為一個進行時間戳的再處理，從而減少處理量。這可以對信息進行分類，分類方法可以采取按時間段或相關(guān)性或者不同介質(zhì)，如圖3：

這里重點分析一下第二種方案的優(yōu)劣，如果合并的內(nèi)容越多，則減少的時間戳數(shù)量越多，處理效率的越高。但驗證時間戳的時候，效率就低了。不管你想驗證合并塊中那部分信息，都必須讀取整個塊進行先行驗證，才能再驗證內(nèi)嵌的塊。所以應(yīng)合理分類合并進行時間戳，大小亦要折衷處理。另外，一個更有效的辦法是采用哈希樹的方法來進一步提高這種方法的處理效率，可以進一步減少時間戳的處理量，而且哈希算法足夠強的話，可以減少中心哈希的次數(shù)，從而可以較長時間內(nèi)保證處理效率。

4 總結(jié)

歸檔時間戳在醫(yī)院電子病歷檔案中的應(yīng)用具有很好的作用：第一時間保護電子病歷檔案的真實性；電子檔案信息的再處理，可以定期檢驗信息的各項安全性；為醫(yī)院提供更好的醫(yī)療證據(jù)保全；促進醫(yī)院電子檔案的有效管理。

參考文獻：

[1]王曉盈，姜國成，白曉忠.醫(yī)院開展病案無紙化歸檔系統(tǒng)建設(shè)的思考[J].中國病案，2016，17（10）：4042.

[2]孫慧子，董曉明，張淑英，等.《電子病歷應(yīng)用管理規(guī)范（試行）》對電子病歷法律效力影響[J].中國醫(yī)院管理，2018，38（04）：6465.

[3]湯欽華，袁駿毅，馬群圣.基于電子簽名的病案無紙化歸檔系統(tǒng)的實現(xiàn)與應(yīng)用[J].中國醫(yī)療設(shè)備，2018，33（09）：129131.

[4]崔志斌，崔宇璇，王騰飛.基于CA認證的可信電子病案系統(tǒng)設(shè)計[J].中國數(shù)字醫(yī)學(xué)，2017，12（01）：8385.

[5]邵淼，張妍.基于數(shù)字簽名和時間戳的電子病歷電子證據(jù)固化方法[J].信息安全與技術(shù)，2016，7（01）：5456.