信息中心
衛生醫療信息系統安全解決方案
隨著醫療信息系統HMIS應用范圍不斷推廣擴大,我國許多醫院建立了以院長為中心的醫院信息網絡化管理決策機制,并將門診管理、住院管理、醫技管理、職能科室管理等各部門通過計算機網絡有機集成在一起,醫院信息化管理系統通過網絡覆蓋醫院的每個部門,涵蓋病人來院就診的各個環節。 然而,與發達國家相比,我國的醫院信息化建設尚處于初級階段,國內醫院IT投入少,IT部門地位不高,在信息安全的認識、投入上更是淡漠,重投入輕防護,信息系統安全問題頻頻告急,嚴重影響到醫院正常運行。
就我國目前各大醫院來看,整個信息管理應用系統包括有臨床、pacs、檢驗科、輔助臨床接口、外聯接口、財務管理、人事管理、經濟核算、行政辦公等系統。這些系統支撐著醫院每天的運營生產以及對外服務管理任務的需求,其重要性直接影響著醫院的經濟效益。
作為醫療行業信息化的重要推動力,醫院信息系統(HIS)已經初具規模。醫院信息管理系統為醫院的正常運營和科學化管理提供保障,在提高工作效率、獲取和保存醫療信息、改進醫療服務質量諸方面起到了重要作用。醫院信息系統的安全防護措施的制定和實施是保證醫院信息系統的穩定性、可靠性、安全性、可用性的利器。然而,醫院信息管理系統在信息安全方面依然是醫療信息化建設的短板,嚴重影響或制約了信息化進程。
醫院網絡系統主要可分為兩個部分用于日常醫療信息交換的業務網以及實時獲取Internet信息資源的辦公網。其中的醫院業務網是醫院業務開展的平臺,HIS 系統主體是財務結算,涉及患者密切相關信息的CIS以及PACS等系統的安全性、可靠性、穩定性有更高的要求。現在院內的一些系統管理相對簡單,有些系統沒有相應的用戶名口,網絡可達即可訪問。還有些系統雖然有用戶名、口令,但是這些帳戶幾個人共用一套,或者使用極其簡單的帳號以至于醫院內的一些業務辦理后,無法找到經辦人。同時還有些系統帳號被別人冒用登錄,修改患者的信息和病歷信息。
隨著業務網應用的深入,例如人員的非法接登錄、因員工濫用他人權限訪問信息系統進行的信息泄漏,醫院迫切需要一套有效的內部辦公的安全管理系統。
衛生部《2009年醫政工作要點》
《全國衛生信息化發展綱要(2003-2010年)》
《醫院信息系統軟件基本功能規范》
《衛生系統計算機軟件評審辦法》
《關于深化醫藥衛生體制改革的意見》
《2009-2011年深化醫藥衛生體制改革實施方案》
《上海市電子病歷管理辦法》
醫院信息管理系統是目前各大醫院極力推進的整合了門診掛號管理、醫療診治、住院管理、醫療科研以及OA等功能的醫療信息基礎設施。結合醫院內部辦公網目前存在的安全隱患進行分析,互聯網技術的應用在降低醫院經營成本、提升了各醫院的工作效率的同時,也帶來了一系列的安全風險,總結分析有如下安全隱患:
系統權限控制較弱,院內網絡可達即可登錄辦公系統,存在無法界定責任人情況
辦公系統采用“賬號+密碼”的方式認證,安全級別不高,存在著安全隱患,極容易被破解和竊取;
基于互聯網的社保、醫保業務網路傳輸的數據處于明文狀態,沒有進行加密處理,容易被非法人員截取和篡改;
對于在MIS系統醫護人員操作過程缺乏數據完整性和操作抗抵賴的校驗。
為了保障安全,避免醫院內業務內網存在的一些不安全因素成為影響其正常運行的重大隱患,吉大正元公司建議在醫院院內必須要建立一套高度可靠的安全機制PKI體系,系統可根據目前院內存在的安全隱患提供數字證書,實現強身份認證,鑒別用戶身份的安全設計解決方案,來確保HIS系統以及其他業務系統在醫院安全運行。
通過相應的PKI體系的建設,來解決醫院院內以下存在的問題:
信息保護
如何防止隱私信息泄露?
如何防止重要數據被篡改?
身份管理
如何強化身份認證?
如何強化用戶安全登錄?
為了保證醫院內業務的安全性,HIS業務系統以及其他業務生產系統應以PKI體系為基本框架,通過與證書注冊中心CA的連接使HIS等在內的業務系統能夠實現:
身份認證:通過對雙方進行認證,以保證交易雙方身份的正確性。
數據傳輸、存儲的完整性:保證醫院內與外界社保業務所傳輸的交易信息不被中途篡改及通過重復發送進行虛假交易。
文章作者:吉大正元
集成系統網絡情報信息數據庫
CIO頻道人物視窗
CIO頻道方案案例庫
大數據建設方案案例庫
電子政務建設方案案例庫
互聯集成系統構建方案案例庫
商務智能建設方案案例庫
系統集成類軟件信息研發企業名錄