服務熱(rè)線:400-086-9769
鄂東醫療集團電子票(piào)據簽名服務器應用(yòng)案例
鄂東醫療集團電子票(piào)據簽名服務器應用(yòng)案例
一、 鄂東醫療集團簡介
鄂東醫療集團,于2015年3月(yuè)30日正式挂牌運行。該集團的(de)成立,是黃(huáng)石市委、市政府全面深化(huà)推進醫療衛生事業改革的(de)重大(dà)舉措。集團是市政府直屬社會公益類法人(rén)事業單位,以黃(huáng)石市中心醫院爲核心組建,黃(huáng)石市中醫醫院、黃(huáng)石市婦幼保健院成建制劃入該集團。在管理(lǐ)體制上屬緊密型, 該集團下(xià)轄三家甲等醫院,七個(gè)院區(qū),編制床位總數達3200張。集團内部人(rén)、财、物(wù)和(hé)業務由集團統一管理(lǐ)。集團黨委隸屬黃(huáng)石市委市直機關工委,紀委隸屬黃(huáng)石市紀工委。實行總院長(cháng)負責制,總院長(cháng)爲集團法人(rén)代表。
二、 建設目标
鄂東醫療集團下(xià)屬黃(huáng)石市中心醫院、黃(huáng)石市中醫醫院和(hé)黃(huáng)石市婦幼保健院的(de)财政電子票(piào)據系統簽名服務器部署安裝,本次項目建設将對(duì)接電子票(piào)據業務,保障開票(piào)單位身份确認,電子票(piào)據數據完整、抗抵賴和(hé)機密性,并增強醫療收費電子票(piào)據防僞功能。
三、 建設需求
據财綜[2017]32号要求,需要嚴格遵循财政電子票(piào)據的(de)安全标準和(hé)規範,以财政PKI/CA爲基礎,通(tōng)過數字簽名、數字信封技術保障财政電子票(piào)據開具、獲取過程中所涉及到的(de)身份确認、數據完整性、抗抵賴性和(hé)機密性要求,增強财政電子票(piào)據防僞功能。
遵循财政部《财政信息系統安全應用(yòng)接口标準》,财政與醫院電子票(piào)據傳輸的(de)安全性主要表現在以下(xià)幾個(gè)流程階段:
醫院在電子票(piào)據開具時(shí)需要調用(yòng)數字簽名接口對(duì)電子票(piào)據内容進行簽名,保障電子票(piào)據的(de)完整性和(hé)抗抵賴性;
醫院調用(yòng)數字信封接口對(duì)帶簽名的(de)電子票(piào)據進行加密處理(lǐ)後上傳給财政監制,保障電子票(piào)據傳輸過程中的(de)機密性;
财政端調用(yòng)解密信封接口對(duì)接收到的(de)密文數據進行解密;
财政端調用(yòng)簽名驗證接口對(duì)醫院數字簽名進行驗證;
驗證無誤後,财政端調用(yòng)數字簽名接口加蓋财政端簽名,該電子票(piào)據真正生效;
财政端調用(yòng)數字信封接口對(duì)帶簽名的(de)電子票(piào)據進行加密處理(lǐ)後回傳給醫院;
醫院調用(yòng)解密信封接口對(duì)接收到密文數據進行解密,自此電子票(piào)據生成。
四、 解決方案
總體架構
财政電子票(piào)據系統涉及範圍廣、複雜(zá)性高(gāo),根據醫院的(de)實際業務情況,方案設計如下(xià):
部署方式:
1、 财政端
在财政端部署身份認證網關和(hé)數字簽名服務器,并與财政端财政電子票(piào)據系統進行安全集成。身份認證網關主要提供财政内部人(rén)員(yuán)登錄财政電子票(piào)據系統時(shí)的(de)強身份鑒别,數字簽名服務器爲财政端提供解密醫院數據、驗證醫院數字簽名、追加财政端數字簽名、加密财政數據等安全服務。
2、 醫院端
在醫院端部署數字簽名服務器,并與醫院端财政電子票(piào)據系統進行安全集成,醫院用(yòng)戶登錄本地财務系統沿用(yòng)原有模式,後續業務流轉過程中可(kě)醫院端提供醫院數據簽名、加密醫院數據、解密财政數據、驗證财政簽名等安全服務。
業務流程:
1、電子票(piào)據下(xià)發
1) 财政部門對(duì)電子票(piào)據進行制樣、賦碼及下(xià)發
2)醫院接收财政下(xià)發電子模闆、票(piào)号
1)醫院登錄本地财務系統(本地财務系統已與部署在醫院的(de)電子票(piào)據系統集成);
2)醫院将本地财務系統數據信息通(tōng)過所集成的(de)電子票(piào)據系統上報财政端電子票(piào)據系統,醫院電子票(piào)據系統調用(yòng)數字簽名服務器接口V-STK對(duì)該操作進行單位簽名和(hé)加密;
3)财政端電子票(piào)據系統接收醫院數據,通(tōng)過财政端數字簽名服務器接口V-STK對(duì)該數據進行解密,并對(duì)醫院單位簽名信息進行校驗;
4)醫院單位簽名信息校驗成功後,調用(yòng)财政端數字簽名服務器接口V-STK對(duì)數據進行财政簽名和(hé)加密,返還(hái)給醫院;
5)醫院電子票(piào)據系統通(tōng)過調用(yòng)數字簽名服務器接口V-STK對(duì)财政數據進行解密,獲得(de)生效的(de)電子票(piào)據。
2、數字簽名
吉大(dà)正元數字簽名服務器的(de)設計、開發嚴格遵循《GM/T 0029-2014簽名驗簽服務器技術規範》。數字簽名服務器支持對(duì)數據、文件制作數字簽名,簽名結構符合《GB/T 25064-2010信息安全技術公鑰基礎設施 電子簽名格式規範》;支持驗證符合《GB/T 25064-2010信息安全技術公鑰基礎設施電子簽名格式規範》的(de)簽名結果。
數字簽名服務器支持對(duì)數據制作數字簽名,簽名結構符合PKCS#1标準;支持通(tōng)過證書(shū)導入、證書(shū)配置方式驗證符合PKCS#1标準的(de)簽名結果。
數簽名服務器對(duì)算(suàn)法的(de)使用(yòng)嚴格遵循《GM/T 0003-2012SM2橢圓曲線公鑰密碼算(suàn)法》、《GM/T 0009-2012SM2密碼算(suàn)法使用(yòng)規範》、《GM/T 0010-2012SM2密碼算(suàn)法加密簽名消息語法規範》、《GM/T 0002-2012SM4分(fēn)組密碼算(suàn)法》和(hé)《GM/T 0004-2012SM3密碼雜(zá)湊算(suàn)法》相關要求。
♦ 身份驗證
使用(yòng)證書(shū)進行數字簽名,接收者可(kě)驗證簽名,而其他(tā)任何人(rén)都不能僞造簽名。
♦ 事後驗證
使用(yòng)證書(shū)進行完整數字簽名,簽名結果中包含簽名時(shí)的(de)全部證書(shū)狀态信息,接收者可(kě)在生成後的(de)任意時(shí)間驗證,而其他(tā)任何人(rén)都不能僞造。
♦ 數據完整性
對(duì)重要數據、文件制作數字簽名,如果驗證簽名失敗,說明(míng)數據的(de)完整性遭到破壞。
♦ 行爲抗抵賴
對(duì)操作行爲(數據形式)制作數字簽名,簽名者事後不能否認自己的(de)簽名。
3、數字信封
數字簽名服務器支持對(duì)數據、文件制作數字信封,信封結構符合PKCS#7标準;支持解密符合PKCS#7标準的(de)信封結果。
對(duì)重要數據、文件制作數字信封,通(tōng)過雙層加密技術來(lái)保障數據的(de)私密性。
4、證書(shū)驗證
數字簽名服務器支持對(duì)簽名、加密證書(shū)進行全面驗證。可(kě)根據配置不同CA簽發的(de)根證書(shū),驗證證書(shū)的(de)信任域;根據系統時(shí)間,驗證證書(shū)的(de)有效期; 根據CRL或OCSP驗證證書(shū)狀态。證書(shū)狀态驗證方式包括,标準OCSP協議(yì)驗證證書(shū),連接LDAP服務器更新CRL驗證,連接WEB服務器更新CRL 驗證。
5、交叉驗證
通(tōng)過數字簽名服務器制作的(de)數字簽名、數字信封,結構嚴格遵循PKCS#7标準,可(kě)供其他(tā)CA機構驗證。
數字簽名服務器支持配置多(duō)信任CA簽發的(de)根證書(shū),可(kě)驗證不同CA機構簽發的(de)符合PKCS#7标準的(de)簽名、信封結果。
6、雙機熱(rè)備
數字簽名服務器内置雙機熱(rè)備系統,采用(yòng)主備機模式,主機(處于工作狀态的(de)機器)與備機之間通(tōng)過網口連接心跳線,用(yòng)于監聽(tīng)對(duì)方機器是否處于正常工作狀态,當備機發現工作機停止工作時(shí),通(tōng)過自己的(de)雙機功能将主機的(de)服務切換到備機,由備機繼續提供服務。當主機恢複正常後,服務自動切回到主機。
雙機熱(rè)備功能用(yòng)于解決數字簽名服務器的(de)單點故障問題,爲應用(yòng)系統提供更可(kě)靠的(de)簽名、信封等服務。支持聯合當今市場(chǎng)主流負載均衡設備, 滿 足大(dà)壓力、大(dà)并發下(xià)确保産品穩定性的(de)需求。
7、配置管理(lǐ)
數字簽名服務器支持WEB管理(lǐ)。WEB管理(lǐ)是指管理(lǐ)員(yuán)通(tōng)過浏覽器登錄到數字簽名服務器,通(tōng)過管理(lǐ)界面進行相關配置工作。通(tōng)過WEB方式管理(lǐ)項目主要包括以下(xià)方面:
1.數字簽名管理(lǐ)
安全管理(lǐ)員(yuán)可(kě)通(tōng)過數字簽名管理(lǐ)模塊對(duì)與數字簽名業務有關的(de)信息進行配置,如簽名證書(shū)配置、驗簽名證書(shū)配置、證書(shū)狀态驗證等;實時(shí)查看業務運行情況;設置、查看業務日志狀态。
2.數字信封管理(lǐ)
安全管理(lǐ)員(yuán)可(kě)通(tōng)過數字信封管理(lǐ)模塊對(duì)與數字信封業務有關的(de)信息進行配置,如加密證書(shū)配置、解密證書(shū)配置、證書(shū)狀态驗證等;并可(kě)實時(shí)查看業務運行情況。
3.系統管理(lǐ)
系統管理(lǐ)員(yuán)通(tōng)過系統管理(lǐ)可(kě)以修改數字簽名服務器通(tōng)訊端口,更新服務器站點證書(shū)和(hé)更新服務許可(kě)證等操作。
4.設備管理(lǐ)
系統管理(lǐ)員(yuán)通(tōng)過設備管理(lǐ)可(kě)以修改數字簽名服務器的(de)IP地址,重啓或關閉設備,查看系統信息或系統時(shí)間。
5.時(shí)間同步
系統管理(lǐ)員(yuán)通(tōng)過配置NTP時(shí)間同步服務,保證系統時(shí)間的(de)準确性。
6.系統維護
系統管理(lǐ)員(yuán)通(tōng)過系統維護可(kě)以備份或恢複系統數據,升級系統版本,恢複出廠設置。
7.審計管理(lǐ)
審計管理(lǐ)員(yuán)通(tōng)過審計管理(lǐ)模塊可(kě)以對(duì)安全、系統管理(lǐ)員(yuán)的(de)行爲數據進查詢、審計。
8.日志發送
系統支持發送日志信息到審計服務器。
♦吉大(dà)正元JIT AQS服務器
JIT AQS是吉大(dà)正元綜合審計查詢系統,系統支持将日志發送到AQS服務器
♦ SYSLOG服務器
系統支持将日志以SYSLOG形式發送到指定服務器
♦FTP服務器
可(kě)配置根據一定頻(pín)率将過期日志自動備份至外部FTP服務器
8、安全性設計
♦ 吉大(dà)正元數字簽名服務器的(de)證書(shū)私鑰存儲在硬件設備中,不可(kě)導出,保證了(le)密鑰的(de)安全性。
♦ 基于高(gāo)強度的(de)雙向身份認證,确保了(le)管理(lǐ)者的(de)合法身份。
♦ 專爲數字簽名服務器剪裁的(de)操作系統,封閉了(le)管理(lǐ)端口和(hé)業務端口以外的(de)所有端口,加強了(le)産品的(de)抗攻擊性。
五、 應用(yòng)價值
通(tōng)過對(duì)鄂東醫療集團旗下(xià)的(de)黃(huáng)石市中心醫院、黃(huáng)石市中醫醫院、黃(huáng)石市婦幼保健醫院财政電子票(piào)據數字簽名服務器的(de)部署,設備運行高(gāo)效穩定,得(de)到客戶的(de)高(gāo)度認可(kě),實現如下(xià)應用(yòng)價值:
構建财政電子票(piào)據系統安全支撐體系
按照(zhào)财政部《财政信息系統安全應用(yòng)接口标準》和(hé)《财政國庫電子支付安全管理(lǐ)規範》的(de)要求,梳理(lǐ)财政電子票(piào)據系統的(de)格式及内容,部署标準、規範的(de)财政電子票(piào)據系統,與數字簽名等技術充分(fēn)融合,構建電子票(piào)據管理(lǐ)安全支撐體系。
确保平台數據的(de)完整性
基于财政電子票(piào)據系統安全支撐體系,完成财政電子票(piào)據管理(lǐ)系統改造,實現财政電子票(piào)據業務處理(lǐ)标準化(huà)、審批簽名電子化(huà)、審批簽章(zhāng)電子化(huà),确保平台業務數據完整和(hé)安全。
确保傳輸數據的(de)安全性
财政與醫院電子票(piào)據傳輸的(de)安全性主要表現在以下(xià)兩個(gè)方面:
A. 一是電子票(piào)據信息的(de)完整性。因采用(yòng)了(le)電子票(piào)據系統及簽名服務器部署,保證電子票(piào)據信息在傳輸的(de)過程中被篡改後可(kě)以及時(shí)感知,避免嚴重後果産生。
B. 二是電子票(piào)據信息的(de)機密性。财政與醫院之間傳遞的(de)電子票(piào)據中包含很多(duō)機構、賬号、及額度等敏感信息,吉大(dà)正元數字簽名服務器内置機構簽名證書(shū)進行加密設置,确保信息在網絡傳輸過程中不洩露。
六、 總結
通(tōng)過鄂東醫療集團下(xià)屬醫院财政電子票(piào)據系統與簽名服務器的(de)實施部署,從湖北(běi)醫療電子票(piào)據應用(yòng)實際情況出發,使用(yòng)醫療收費電子票(piào)據系統取代傳統紙質票(piào)據,解決紙質票(piào)據開具不方便、傳輸不便捷、保管要求高(gāo)、報銷入賬程序複雜(zá)的(de)問題。通(tōng)過科技賦能,貫通(tōng)業務全流程,使患者實時(shí)獲取電子票(piào)據,優化(huà)就醫流程,提升就醫體驗。
與我們一起
同捷信息—您身邊的(de)信息化(huà)專家!
微信公衆号
企業微信