格尔：基于PKI的电子病历解决方案

格尔：基于PKI的电子病历解决方案
作者：
来源：《中国计算机报》2013年第20期
2013年度中国信息安全
行业领军企业奖
格尔软件“基于PKI的电子病历解决方案”采用基于公钥基础设施PKI的密码技术，通过数字证书，实现医生、护士及患者对电子病历的电子签名，确保电子病历的完整性和不可否认性，实现完备的司法取证机制。

电子病历在医院信息系统的应用逐步深入。

病历不仅仅是病程记录，在医患纠纷中又是重要的、具有法律效力的文件。

因此，在电子病历建设过程中，需要考虑的不仅是病历的电子化，更需要考虑电子病历的法律效力，这对电子病历提出了新的安全需求。

合规性要求：电子病历应符合我国《电子签名法》对于数据电文进行可靠电子签名的要求；易用性要求：电子病历应保留和扩展传统纸质病历简单易用的优点；电子签名要求：对电子病历进行电子签名，为医生、护士、患者等提供真实性、完整性、不可抵赖性的签名服务；司法取证要求：在出现医患纠纷时，电子病历能够作为法律依据，具有完备的司法取证机制。

格尔软件“基于PKI的电子病历解决方案”采用基于公钥基础设施PKI（Public Key Infrastructure）的密码技术，通过数字证书，实现医生、护士及患者对电子病历的电子签名，确保电子病历的完整性和不可否认性，实现完备的司法取证机制。

对于医护人员，方案推荐采用第三方CA机构颁发的数字证书，患者或代理人可以通过手写签名、指纹识别、身份证、时间戳签名和数字证书签名等多种方式进行签名。

患者通过身份证、医保卡等方式挂号产生患者业务身份信息；医生提出诊断医嘱信息，并通过自己的数字证书私钥对诊断信息进行签名，归档后台数据库；通过业务应用流转形成《医诊确认书》，提交相关患者或者代签人进行确认；患者或代签人在确认《确认书》后，通过手写板进行手写签名录入，通过指纹识别终端进行指纹采集，对患者身份证信息扫描采集信息并加盖时间戳，最后调用服务器证书（第三方CA数字证书认证中心发放，确保法律效力）对《确认单》进行签名；对所有签名信息加盖时间戳签名，保证《确认书》的时间可信；所有签名信息数据后台匹配存档。

本方案支持多种身份识别和签名方式。

数字证书：基于PKI的密码技术，通过数字证书提供电子签名；手写签名：采用手写板录入患者的签名信息，作为图片保存；指纹识别：通过指纹采集器采集患者的指纹信息；身份证：扫描患者身份证信息，并对身份证图片进行时间戳签名；时间戳：采用时间戳服务，对相关文件进行时间的可信加盖。

方案严格遵循《电子签名法》和卫生医疗行业规范，电子数据采用证书签名，保证签名数据的唯一性、完整性和不可否认性。

电子签名可靠、可信、安全保证。

方案采用数字证书、手写签名、指纹识别、身份证以及时间戳等多种方式，保障了“电子病历”中信息的可靠、可信、安全。