吉大正元卫生医疗信息系统安全解决方案

随着医疗信息系统HMIS应用范围不断推广扩大,我国许多医院建立了以院长为中心的医院信息网络化管理决策机制,并将门诊管理、住院管理、医技管理、职能科室管理等各部门通过计算机网络有机集成在一起,医院信息化管理系统通过网络覆盖医院的每个部门,涵盖病人来院就诊的各个环节。 然而,与发达国家相比,我国的医院信息化建设尚处于初级阶段,国内医院IT投入少,IT部门地位不高,在信息安全的认识、投入上更是淡漠,重投入轻防护,信息系统安全问题频频告急,严重影响到医院正常运行。

就我国目前各大医院来看,整个信息管理应用系统包括有临床、pacs、检验科、辅助临床接口、外联接口、财务管理、人事管理、经济核算、行政办公等系统。这些系统支撑着医院每天的运营生产以及对外服务管理任务的需求,其重要性直接影响着医院的经济效益。

作为医疗行业信息化的重要推动力,医院信息系统(HIS)已经初具规模。医院信息管理系统为医院的正常运营和科学化管理提供保障,在提高工作效率、获取和保存医疗信息、改进医疗服务质量诸方面起到了重要作用。医院信息系统的安全防护措施的制定和实施是保证医院信息系统的稳定性、可靠性、安全性、可用性的利器。然而,医院信息管理系统在信息安全方面依然是医疗信息化建设的短板,严重影响或制约了信息化进程。

医院网络系统主要可分为两个部分用于日常医疗信息交换的业务网以及实时获取Internet信息资源的办公网。其中的医院业务网是医院业务开展的平台,HIS 系统主体是财务结算,涉及患者密切相关信息的CIS以及PACS等系统的安全性、可靠性、稳定性有更高的要求。现在院内的一些系统管理相对简单,有些系统没有相应的用户名口,网络可达即可访问。还有些系统虽然有用户名、口令,但是这些帐户几个人共用一套,或者使用极其简单的帐号以至于医院内的一些业务办理后,无法找到经办人。同时还有些系统帐号被别人冒用登录,修改患者的信息和病历信息。

随着业务网应用的深入,例如人员的非法接登录、因员工滥用他人权限访问信息系统进行的信息泄漏,医院迫切需要一套有效的内部办公的安全管理系统。

卫生部《2009年医政工作要点》

《全国卫生信息化发展纲要(2003-2010年)》

《医院信息系统软件基本功能规范》

《卫生系统计算机软件评审办法》

《关于深化医药卫生体制改革的意见》

《2009-2011年深化医药卫生体制改革实施方案》

《上海市电子病历管理办法》

医院信息管理系统是目前各大医院极力推进的整合了门诊挂号管理、医疗诊治、住院管理、医疗科研以及OA等功能的医疗信息基础设施。结合医院内部办公网目前存在的安全隐患进行分析,互联网技术的应用在降低医院经营成本、提升了各医院的工作效率的同时,也带来了一系列的安全风险,总结分析有如下安全隐患:

系统权限控制较弱,院内网络可达即可登录办公系统,存在无法界定责任人情况

办公系统采用"账号+密码"的方式认证,安全级别不高,存在着安全隐患,极容易被破解和窃取;

基于互联网的社保、医保业务网路传输的数据处于明文状态,没有进行加密处理,容易被非法人员截取和篡改;

对于在MIS系统医护人员操作过程缺乏数据完整性和操作抗抵赖的校验。

为了保障安全,避免医院内业务内网存在的一些不安全因素成为影响其正常运行的重大隐患,吉大正元公司建议在医院院内必须要建立一套高度可靠的安全机制PKI体系,系统可根据目前院内存在的安全隐患提供数字证书,实现强身份认证,鉴别用户身份的安全设计解决方案,来确保HIS系统以及其他业务系统在医院安全运行。

通过相应的PKI体系的建设,来解决医院院内以下存在的问题:

信息保护

如何防止隐私信息泄露?

如何防止重要数据被篡改?

身份管理

如何强化身份认证?

如何强化用户安全登录?

为了保证医院内业务的安全性,HIS业务系统以及其他业务生产系统应以PKI体系为基本框架,通过与证书注册中心CA的连接使HIS等在内的业务系统能够实现:

身份认证:通过对双方进行认证,以保证交易双方身份的正确性。

数据传输、存储的完整性:保证医院内与外界社保业务所传输的交易信息不被中途篡改及通过重复发送进行虚假交易。