Viettel-CA nhận thấy hệ thống bệnh viện đang trong lộ trình số hóa, thực hiện trên nền tảng Web để tăng hiệu năng công việc cũng như giải quyết các vấn đề đã nêu trên.
GIẢI PHÁP KÝ SỐ TRONG HỆ THỐNG BỆNH VIỆN
BÀI TOÁN
- Hiện nay, với sự bùm nổ mạng Internet toàn cầu và xu hướng điện tử hóa ngày càng rõ rệt. Các giải pháp truyền thống trong việc lưu trữ, quản lý văn bản, tài liệu, hồ sơ, ..v.v xuất hiện những điểm bất cập như: chi phí in ấn, lưu trữ, chi phí và thời gian chuyển phát lớn, dễ thất lạc và khó khăn trong việc bảo quản, tìm kiếm. Từ đó, dẫn đến ảnh hưởng đến tiến độ của công việc và chi phí vận hành.
- Do đó, nhu cầu được số hóa các tài liệu, văn bản, hồ sơ, ..v.v. ngày càng cấp thiết trong bối cảnh các dịch vụ, hệ thống chuyển dịch sang hoạt động, giao dịch 24/7 và ONLINE.
- Viettel-CA nhận thấy hệ thống bệnh viện đang trong lộ trình số hóa, thực hiện trên nền tảng Web để tăng hiệu năng công việc cũng như giải quyết các vấn đề đã nêu trên.
- Tuy nhiên, trong môi trường Internet, vấn đề an ninh mạng ngày càng cấp thiết và giải pháp cần đảm báo tính pháp lý là hết sức cần thiết. Mặt khác đáp ứng yêu cầu của Bệnh viện nhà nước về việc cần cung cấp một hình thức xác thực bằng Chữ ký số tới các khách hàng.
- Theo nghị định 106 của Thủ tướng Chính phủ quy định chi tiết thi hành Luật Giao dịch điện tử về chữ ký số và dịch vụ chứng thực chữ ký số là căn cứ pháp lý quan trọng để áp dụng sử dụng Chữ ký số vào trong các giao dịch điện tử.
- Việc áp dụng Chữ ký số vào bệnh viện để xác thực khớp lệnh giao dịch bệnh viện của Khách hàng sẽ hoàn toàn được đảm bảo:
- Tính pháp lý (tính chống chối bỏ) của văn bản điện tử được pháp luật công nhận và hoàn toàn tương đương với văn bản được ký và đóng dấu đã tồn tại từ trước đến nay.
- Tính bảo toàn dữ liệu: Mọi thay đổi nội dung văn bản điện tử sẽ bị phát hiện ngay lập tức.
- Tính xác thực nguồn gốc: Từ chứng thư số sẽ xác định chính xác danh tính của người hay tổ chức thực hiện ký số.
- Ngoài ra, giải pháp này sẽ giải quyết được mọi bất cập đã nêu ở trên, rút ngắn thời gian, giảm chi phí lưu trữ, dễ dàng trong tìm kiếm, từ đó tăng hiệu năng công việc, .v.v.
1.Giải pháp ký số tập trung
a.Tổng thể
- Xây dựng hệ thống chứng thực người dùng trong hệ thống mạng nội bộ trên domain.
- Tích hợp tính năng ký số vào hệ thống máy chủ quản lý bệnh viện HIS bằng thiết bị HSM PKI.
- Người sử dụng đăng nhập hệ thống qua các thiết bị đã được xác thực trên domain.
- Ký điện tử trên các hồ sơ (đơn thuốc, chỉ định cận lâm sàng, …)
b.Mô tả HSM
- Thiết bị HSM cung cấp các chức năng xử lý thông tin mật mã nhằm đảm bảo an toàn và bảo mật thông tin cho các ứng dụng chữ ký số, và rất nhiều các ứng dụng khác.
- Cách thức HSM thực hiện các tác vụ liên quan đến chữ ký số như sau: ứng dụng sẽ gọi đến thư viện lập trình ứng dụng thông qua các API để yêu cầu thực hiện ký đến HSM. Bên trong HSM, khóa private được sử dụng để thực hiện việc tạo chữ ký. Sau đó kết quả sẽ được trả lại cho ứng dụng
- Và như vậy thì khóa private, khóa chính được sử dụng để thực hiện ký số được bảo vệ chặt chẽ bởi HSM, không ai bên ngoài tổ chức hay một cá nhân đơn lẻ trong một tổ chức có thể biết được khóa này. Để bảo vệ được khóa private này thì ngoài giai đoạn sử dụng khóa được giải mã và thực hiện việc ký bên trong HSM thì không thể không kể đến từ giai đoạn khóa được khởi tạo, sử dụng và lưu trữ.
- Quá trình như sau:
- Khóa được tạo ra bên trong HSM bởi bộ tạo khóa ngẫu nhiên: Sau khi nhận được lệnh tạo cặp khóa private/public (application key) từ ứng dụng thì bên trong HSM, bộ tạo khóa ngẫu nhiên sẽ tạo ra 1 cặp khóa private/public. Khóa private sẽ được mã hóa bởi Control key được lưu trên thẻ smart card (OCS) hoặc Softcard tương ứng.
- Sử dụng khóa: khi cần thực hiện các nhiệm vụ liên quan đến khóa private thì khóa này sẽ được đưa vào HSM. Bên trong HSM khóa private này sẽ được giải mã và xác thực bằng Control key tương ứng trước đó được sử dụng để mã hóa private key và khóa private sẵn sàng được sử dụng.
- Lưu trữ khóa: lưu trữ khóa là quá trình đảm bảo rằng khóa luôn luôn sẵn sàng để sử dụng đồng thời cũng đảm bảo rằng khóa private được an toàn tuyệt đối. Không một cá nhân nào có thể biết được dạng đọc được (clear text) của khóa này. Để làm được điều đó thì ngay giai đoạn khởi tạo thì trước khi khóa private xuất ra khỏi HSM thì nó sẽ được mã hóa bởi khóa Infrastructure key hoặc Control key, Infrastructure key được tạo và bảo vệ bởi HSM đạt chuẩn FIPS 140-2 level 3 hoặc Control key sẽ được bảo vệ bởi Infrastructure key để cũng đảm bảo rằng không một cá nhân nào có thể truy cập và biết được các khóa này.
- HSM có các TPS khác nhau tùy theo nhu cầu ký số từ vài chục đến vài nghìn TPS.
- Đạt chuẩn FIPS 140-2 level 3
- HSM cho phép phân quyền quản trị chặt chẽ thông qua nguyên tắc k of n.
c.Qui trình thực hiện ký số
- Bác sĩ đăng nhập hệ thống HIS.
- Ký vào các form hồ sơ bệnh án, đơn thuốc... gọi là các văn bản điện tử (dưới dạng các định dạng .pdf, .xml tùy thuộc vào từng nghiệp vụ cụ thể) bằng chứng thư số đã đăng ký với hệ thống (sử dụng thiết bị HSM) như Sơ đồ mô hình ký số tập trung.
- Dữ liệu đã ký không thể chỉnh sửa, thay đổi.
- Khi có tranh chấp với bệnh nhân, chỉ cần lấy dữ liệu đã ký ra xác thực, so sánh với đơn thuốc hoặc hồ sơ bệnh án mà bệnh nhân giữ, chúng ta sẽ biết được trách nhiệm thuộc về ai.
Sơ đồ mô hình ký số tập trung
d.Điều kiện triển khai
Điều kiện cần:
- Hệ thống ký số và xác thực tập trung.
- Thiết bị HSM để lữu trữ khóa và chứng thư số.
- Chứng thư số của các bác sĩ.
- Hệ thống HIS tích hợp API để tương tác với hệ thống ký số và xác thực tập trung.
2.Giải pháp ký số bằng USB Token, SIM CA
Trong giải pháp này, khách hàng sử dụng thiết bị bảo mật USB Token CA, SIM CA để thực hiện ký số form hồ sơ bệnh án, đơn thuốc... gọi là các văn bản điện tử (dưới dạng các định dạng .pdf, .xml tùy thuộc vào từng nghiệp vụ cụ thể) bằng chứng thư số khi truy cập ứng dụng HIS của Bệnh viện như mô hình dữ đây:
a.Luồng nghiệp vụ
- B1.Hệ thống tiếp nhận yêu cầu ký xác nhận tổng hợp tạo ra văn bản điện tử.
- B2.Trường hợp với ứng dụng HIS là website, mobile application:
- Máy chủ (Server) HIS của hệ thống thực hiện băm văn bản điện tử thu được mã Hash và trả về cho HIS. Client
- Ứng dụng Plugin kết nối USB Token hay SIM CA thực hiện ký số mã Hash thu được chữ ký và trả về Máy chủ (Server).
- Máy chủ (Server) thực hiện tích hợp chữ ký số vào văn bản điện tử để hoàn thành ký số.
- B1.Trường hợp với ứng dụng HIS là phần mềm Desktop Application:
- Ứng dụng HIS Client kết nối trực tiếp vào USB Token, gửi yêu cầu ký thu được văn bản điện tử đã ký và gửi lên Máy chủ HIS.
- B1.Máy chủ (Server) xác thực tính hợp lệ của văn bản điện tử (gồm tính toàn vẹn và tính hợp lệ của Chứng thư số). Nếu hợp lệ thì thực hiện chuyển lệnh sang hệ thống tiếp theo xử lý.
- B2.Thông báo kết quả tới người sử dụng.
b.Điều kiện triển khai
Để triển khai thì cần:
- Với ứng dụng dạng website: Tích hợp Bộ thư viện ký số của Viettel-CA tại phía máy chủ (Server) của hệ thống. Cài đặt một phần mềm Plugin ký số duy nhất tại máy tính Khách hàng với KH sử dụng USB Token.
- Với ứng dụng ký SIM CA: Tích hợp API kết nối hệ thống ký số SIM CA.
- Với ứng dụng dạng Desktop Application: Tích hợp Bộ thư viện ký số của Viettel-CA tại phía ứng dụng HIS Client.
- Tích hợp thư viện hoặc hệ thống xác thực văn bản điện tử của Viettel-CA tại phía máy chủ (Server) của hệ thống.
- Thiết bị USB Token, SIM CA chứa khóa và Chứng thư số các bác sĩ.
Mọi thông tin chi tiết liên hệ:
Mr. Nguyễn Đắc Hưởng (TỔNG CÔNG TY GIẢI PHÁP DOANH NGHIỆP VIETTEL)
Điện thoại: 0975.176.376 (zalo) - 0975.73.75.77
Email: huongnd2@viettel.com.vn - nguyendachuong@gmail.com
Website: http://giaiphapviettel.vn/