电子病历基础与网络安全”解读

物理和环境安全建设要点：
机房建设标准：《电子信息系统机房设计规
范》B级（冗余型）以上（基础设施与安全管
控7级要求）
设备及链路冗余：消除单点故障、链路聚合
（基础设施与安全管控6级要求）
集中监控系统（灾难恢复体系6级要求）
网络和通信安全—主要威胁
网络层安全主要威胁：
边界不清晰，边界缺少保护措施 访问控制策略混乱（any to any） 非法接入
4
1 2 1 2 3
5
病历数据存储
等级
1 2
要求 已将历史病历扫描存储，并具有与其他病历整合的索引 病历的存储控制具有智能化分配存储空间、监控存储与备份操作，具有动态智能高效调 度机制
1 2 3
6
7
可记录和存储就诊患者医疗机构内外的医疗信息 可实现与全国、省、市卫生数据平台进行信息交换 具有市级以上医联体（或医疗联盟、医疗集团）核心医院医疗数据存储管理能力
4
基础设施与安全管控
等级
1 2 3 4 5 6
要求 楼层机房、网络设备和配线架要有清晰且正确的标识 根据不同业务划分独立的网络区域 全院重点区域应覆盖无线局域网、部分医疗设备接入院内局域网 有配套的安全运维管理制度 具有保障信息系统服务器时间一致的机制 建立数据使用的审查机制，确需向境外传输数据应经过安全评估。
设备和计算安全—主要威胁
身份鉴别—你是谁
访问控制—你的权限是什么 行为审计—你干了什么 入侵防范—远程管理工具安全吗？ 恶意代码—勒索病毒泛滥
2017年5月12日 全球范围内爆发的基于Windows网络共享协议 进行攻击传播的“WannaCry”恶意代码
多次报道非正规站点下载的 TeamViewer被植入木马
1 2 3 4 5
7
8
实现院内局域网与区域健康网络的连接并有安全防护 不同楼宇的机房可集中监控、报警 与互联网环境的系统传输数据时有安全传输通道 涉及互联网业务的信息系统，数据库服务器不可直接暴露在互联网环境中 具有独立的信息安全管理制度体系，设有独立的信息安全岗位，有专人负责信息安全工作
基础设施与安全管控常见问题
抽血样
检验完 成后生成 检验报告
检验科 对血样 进行检验
检验科接 受血样 、分类
血样送 检验科
在护士站 上确认申 请单发送
检验科对 检验报告 进行复审
检验科 发送检 验报告
医生工 作站接受 检验报告
电子病历数据存储常见问题
数据没有实现集中存储。用图片（PDF）形式实现流转不行。如下图：
电子病历数据存储常见问题
《电子病历系统功能应用水平分级评价方法及标 准》之“电子病历基础与网络安全”解读
01
病历数据存储 电子认证与签名
基础设施与安全管控 系统灾难恢复体系
目 录
CONTENTS
02
03
04
病历数据存储
等级 0 未在计算机系统中存储病历数据 要求
1
2
重点病历数据（病案首页、住院医嘱、检查报告、检验报告、门诊处方）可分别存储一个就 诊周期（门诊存储当天，住院存储一次住院）
网络安全
技术要求 主机安全 应用安全 数据安全及备份恢复 安全管理制度 安全管理机构 管理要求 人员安全管理 系统建设管理 系统运维管理
安全运维管理
完成信息安全等级保护定级备案与测评、医院重要信息安全等级保护不低于第三级 （电子病历分级评价新标准六级要求）
物理和环境安全
主要安全威胁：
非法入侵 电力中断 火灾 漏水 温湿度异常 设备故障 链路损坏
8
1 可记录和存储就诊患者医疗机构内外的医疗及健康信息 2可记录和存储全国专病的注册登记信息及电子病历数据，数据内容具备代表性，可支持 权
威知识库的研发
重点病历数据、主要医疗记录和图像可供全 院使用并可集中统一长期存储（4级要求）
重点病历数据：病案首页、住院医嘱、检查报告、检验报告、门诊
处方。
集中统一长期存储：不是按科室存储，是全院统一的系统；长期：
可靠电子签名、时间戳
电子病历应用管理规范【国卫办医发〔2017〕8号】
第十条 有条件的医疗机构电子病历系统可以使用电子签名进行身份认证，
可靠的电子签名与手写签名或盖章具有同等的法律效力。
第十一条 电子病历系统应当采用权威可靠时间源。 第二十六条 本规范所称的电子签名，是指《电子签名法》第二条规定的数
网络通信面临的主要威胁：
截获——从网络上窃听他人的通信内容。 中断——有意中断他人在网络上的通信。
篡改——故意篡改网络上传送的报文。
伪造——伪造信息在网络上传送。
安全的本质-信任
信任域-低 从高到低 无需验证
信任边界 信任域-高
从低到高 需要验证
网络和通信安全—建设要点
划分安全域：由在同一工作环境 中、具有相同或相似的安全保护 需求和保护策略、相互信任、相 互关联或相互作用的IT要素的集 合访问控制策略（4级要求服务器 部署在独立的安全保护区域） 网络准入：802.1x、引流、Arp干 扰、SNMP（6级要求） 传输加密：SSH、HTTPS、VPN
有相关的网络管理制度（4级要求） 制度的表现是有执行制度的记录和符合制度要求的操作 。
下面照片中用办公笔记本连系统是不允许的。 要管好移动设备（笔记本、移动硬盘、闪存）。
基础设施与安全管控常见问题
网络交换机配置、备份策略无文档，只能从设备上调取。 例：VLAN表直接从交换机上调取。问题：一是缺少文档，二是没有 关闭交换机的TELNET命令及23端口。
5
6
1 信息机房有高可靠的不间断电源、空调，具备专门的消防设施 2 关键网络设备、网络链路采用冗余设计，电子病历系统核心设备不存在单点故障 3 支持智能医疗仪器等物联网设备安全地接入院内局域网 4 具备防止非授权客户端随意接入网络的能力，并且可有效控制内网客户端非法外联 5 完成信息安全等级保护定级备案与测评、医院重要信息安全等级保护不低于第三级 6有不受医院管控的服务机构提供和管理的时间戳及守时系统。时间源应取自权威的时间 源
对于门诊，不能只指保存当天数据，对于住院，不能只指保存住院
期间的数据。
系统不能是科室级的系统，例如：放射科的PACS不行 系统数据可供全院使用，例如：
病历保存时间符合《电子病历应用管理规范》 的存储要求（4级要求）
按照2017年国卫办医发〔2017〕8号《电子病历应用管理规范》（试
行）第三章 电子病历的书写与存储第十九条规定：
基础设施与安全管控
等级
0 1 2 3
要求 无要求
处理电子病历的计算机具备防病毒措施
1 2 1 2 3 1 2 3 4
具有部门级的局域网 服务器具备防病毒措施 有放置服务器的专用房间 医院内部有局域网，部门间网络互相联通 有相关的计算机、硬件管理制度 具备独立的信息机房 局域网全院联通 服务器部署在独立的安全保护区域 有相关的网络管理制度
重点病历数据（病案首页、住院医嘱、检查报告、检验报告、门诊处方）在各部门可集中存 储一个就诊周期（门诊存储当天，住院存储一次住院）
1重点病历数据（病案首页、住院医嘱、检查报告、检验报告、门诊处方）可集中统一长 期
3
存储
2
既往就诊记录可被访问 重点病历数据、主要医疗记录和图像可供全院使用并可集中统一长期存储 病历保存时间符合《电子病历应用管理规范》的存储要求 全部医疗记录和图像能够长期存储，并形成统一管理体系 具有针对离线病历数据的智能化调用与传输机制 对于预约或已住院患者的全部离线医疗记录能够提前提供调取和快速访问功能
，如国家授时网络、北斗/GPS导航系统、手机系统等 7 电子病历系统数据库要有详细的访问操作记录，操作行为记录保存六个月以上
基础设施与安全管控
等级
1
要求 医院核心机房符合《数据中心设计规范》GB50174-2017中B级机房要求，院内局域网布线 符合《综合布线系统工程设计规范》GB50311的有关规定 2电子病历系统核心软硬件设备等可集中监控、报警，并可集中管理日志，日志保留时间不 低 于六个月 3 可以审计网络设备及服务器的操作行为，操作行为记录保存六个月以上 4 设有信息安全岗位，定期组织安全培训及考核，定期组织安全测评
2017年8月16日 Xshell被植入后门代码，可导致敏感信息泄露
设备和计算安全—建设要点
双因素验证 堡垒主机
技术 物理
管理
物理：限制可以登录堡垒主机的物理位置 技术：设备仅可通过堡垒机登录、双因素认证、权限控制、
6
所有医疗记录处理系统产生的最终医疗档案具有可靠电子签名 最终医疗档案的电子签名记录中有符合电子病历应用管理规范要求的时间戳
7
全部电子病历系统在数据产生过程可实现可靠电子签名，如每个医嘱、每段病程记录、 每个阶段的检查报告等 2 全部医疗记录的电子签名记录中有符合电子病历应用管理规范要求的时间戳
8
有医疗信息交换与共享相关的医疗机构之间的电子病历中的电子签名可互认
据电文中以电子形式所含、所附用于识别签名人身份并表明签名人认可其中 内容的数据。“可靠的电子签名”是指符合《电子签名法》第十三条有关条
件的电子签名。
电子认证与签名的原理
非对称加密 密码散列算法
公钥存储在CA，也叫“证书授权中心”
电子认证与签名
门诊处方电子签名示例
原文
签名值
时间戳
签名证书
电子签名报告主体内容包括： 1、签名原文：处方主体内容； 2、签名证书：标识签名行为人身份； 3、签名值：标识电子签名信息； 4、时间戳值：标记签名行为发生时间。
4
医疗相关的所有系统对同一用户可采用相同的用户与密码进行身份认证
电子认证与签名
等级 要求
1重点电子病历相关记录（门诊、病房、检查、检验科室产生的医疗记录）有统一的身份 认
5
证功能 2 重点电子病历相关记录（门诊、病房、检查、检验科室产生的医疗记录）的最终医疗档 案至少有一类可实现可靠电子签名功能
1 2 1
内网区域 ห้องสมุดไป่ตู้策
HIS 电子病历 LIS
外网区域
互联网 应用服务器
核心业务瘫痪 大量数据泄露
中策
HIS 电子病历 LIS
HIS 电子病历 LIS
互联网 应用服务器
大量数据泄露
降低资产价值
上策
HIS 电子病历 LIS
三日内挂号信息 三日内出诊信息
互联网
三日内检验信息
应用服务器
少量数据泄露
风险评估
资产 识别 资产价值 安全事件 造成的损失
风险的要素
威胁
防范 导致 降低 利用
脆弱性
导致 暴露
安全措施
采取
风险
提出 增加 具有
资产
安全需求
资产价值
苍蝇 不叮 无缝 的 蛋
风险管理的目标
资产 资产
威胁
风险
威胁
风险
脆弱性 脆弱性
基本的风险
采取措施后的剩余风险
通过降低威胁、减少脆弱性、降低资产价值使风险降低到可以承受的范围 内
通过降低资产价值减少风险示例
脆弱性 识别
资产弱点的严重程度
风险
安全事件 的可能性
威胁 识别
威胁出现的频率
安全评估的方法
资产等级划分
威胁分析
威胁分析模型--STRIDE模型
潜在破坏：如果威胁成真， 可 能造成的损失有多严重? 再现性：攻击者重现这一漏洞
风险分析
有多复杂?
可利用性：实施攻击有多难? 受影响用户：有多少用户可能 受到攻击的影响？(按百分比) 可发现性：攻击者发现弱点会
风险分析模型--DREAD模型
确认安全方案
有多难?
控制措施
控制的类型： 事前：威慑、预防
事中：检测、补偿、纠正
事后：恢复、指引 控制的实施机制： 管理 技术 物理 安全机制应以纵深防御的方式实现
物理 技术
管理
网络安全等级保护
旧版 物理安全 新版 物理和环境安全 网络和通信安全 设备和计算安全 应用和数据安全 安全策略和管理制度 安全管理机构和人员 安全建设管理 管理要求 技术要求
门（急）诊电子病历由医疗机构保管的，保存时间自患者最后一次
就诊之日起不少于15年；住院电子病历保存时间自患者最后一次出
院之日起不少于30年。
电子病历数据存储示例
一次临床医疗活动产生的数据应该能在几个系统中流转。
以生化检验（未考虑危急值、质控等）为例：
医生站 开申请单 申请单 送护士站 在护士站 打印条码 在试管 上贴条码
没有实现集中存储。不同系统中数据要传递。下图不对
电子认证与签名
等级 0 无电子身份认证 专用的医疗信息处理系统有身份认证
1 各个系统均有身份认证功能 2临床应用的电子病历系统（住院医师站、门诊医师站、护士站）可用相同用户与密码进 行
要求
1
2
身份认证 3 重点电子病历相关系统（门诊、病房、检查与检验系统）对同一用户可用相同用户与密码进 行身份认证