随着计算机信息化、网络技术的日益成熟，HIS、LIS、PACS、EMR等医院信息系统已日趋成熟。医院正在向信息化、数字化方向不断迈进，信息化高效的工作效率为患者带来了方便，也减轻了医务人员的手工工作压力。但是信息系统带来便捷和经济效益的同时，也为医院信息数据的安全带来了新的挑战。

1.客户需求分析

广西河池市天峨县医院信息系统平台是医院内部使用的一套信息管理系统平台。平台下的相关工作人员通过登录该系统实现信息化办公，使用分配好的用户名和密码登录，进行相应的业务操作。例如医生登录系统填写对病人的医嘱、护士登录系统执行医生的医嘱、资料管理人员上传病历档案材料等操作。医疗信息平台针对医院中人、财、物管理的各种元素，组织病人的就诊管理流程，改进和规范医院内部相关的管理流程。这无疑给病人和医生提供最大的方便。进一步通过管理信息系统的不断升级， 逐步向以病人为中心的管理过渡，使医院的管理做到真正意义上的规范化和科学化。

但是，由于医院业务的特殊性以及医院与病人之间的特殊关系，在医院信息系统中，涉及很多敏感数据的安全性，也是一个潜在的隐患。还有医务人员需要承担法律责任的各种行为，均需要得到某种确认，作为以后法律公证的重要证据。例如病人的病历、医生开的处方、医生的医嘱都是病人和医院非常关注的问题。

另外，由于医生中能够熟练使用电脑的人相对较少，特别对于年龄较大的医生更是如此，所以，经常有医生下班后忘记退出管理系统，另外的医生过来直接操作管理系统，这样就造成了系统录入信息的混乱。也给系统管理人员带来了极大的麻烦。这种情况在地方级以下的医院确实是屡见不鲜。

由于以上的原因，广西河池市天峨县医院信息系统综合平台安全登陆项目，计划将在医院所有信息系统中全面引入UKey安全认证技术，以增加系统身份认证的安全强度。

2 方案设计

针对应用系统存在的安全隐患，以及医院对当前的系统不便进行二次开发的实际情况，灵购科技推荐其采用了Passbay身份认证系统帐号管理解决方案。

2.1此方案最大的好处就是无需开发，直接采购，直接使用。

2.2医务人员在计算机上插入UKey，医院信息系统就会自动打开，自动登录，登录过程由UKey帮您自动完成。以后再也无需记忆复杂繁琐的帐号密码。

2.3医务人员下班时，只需直接拔掉UKey即可，管理系统会自动退出。防止其他人直接冒名使用。

2.4因为每位医生都持有一个实物UKey，也就不太容易忘记。

2.5UKey丢失，可以在后台挂失，无需担心被别人冒用。

2.6可以给每一个UKey设置一个PIN码，以增加安全性。从而实现双因素认证。

3.相关方案一

如果医院的系统可以做一定的二次开发，建议采用Passbay身份认证系统WebAC解决方案*。

3.1此方案无需有帐号/密码的登陆窗口，可以做到两个系统的无缝接入。

3.2此方案针对UKey的开发工作，以及安全登陆的验证工作，完全封装在UKey中，开发者无需关心。这里的二次开发工作，初级的网站开发人员即可胜任。

3.3此方案针对Web的访问控制，提出了一整套安全的，易开发的针对HTML的规范，并就此规范已提交了专利申请，专利申请号为：200810216364.8。

4.相关方案二

如果是比较大的市一级以上的医院，建议采用Passbay身份认证系统CA解决方案*。

4.1此方案需到CA中心（一般省一级都有）为每一个系统用户分别申请一个数字证书，颁发的数字证书作为系统用户的唯一身份认证标识，在进行医院信息系统登录时使用。

4.2为了保证用户的数字证书及其私钥的安全，将证书及其私钥保存在UKey中，私钥不能被导出，并且可设置PIN码保护。

4.3针对数字证书在应用系统中的安全应用，灵购科技设计了合理的安全集成方案，能够使用数字证书进行应用系统安全登录，解决应用系统面临的安全问题。

4.4系统用户进行应用系统登录时，使用保存在UKey中的数字证书进行登录，系统验证用户的数字证书，来验证用户的真实身份，为用户提供安全保证，并保证用户方便的使用。

4.5此方案不仅可以实现安全登陆，也可以实现操作过程中的数字签名，数字印章，时间戳等功能。这样，操作者就需要对其操作负责了。

4.6此方案需要医院信息系统作相应的改造，以便与Passbay身份认证系统CA解决方案对接。

4.7此方案支持MS CSP 和 PKCS#11 两种规范，几乎可以涵盖对所有数字证书需求的支持。

备注：

WebAC——Web访问控制

CA——数字证书认证