醫療行業網路安全建設
一、 概述
衛生信息安全工作是我國衛生事業發展的重要組成部分。做好信息安全等級保護工作,對於促進衛生信息化健康發展,保障醫藥衛生體制改革,維護公共利益、社會秩序和國家安全具有重要意義。
1.1工作目標
依據國家信息安全等級保護制度,遵循相關標準規範,在衛生行業全面開展信息安全等級保護定級備案、建設整改和等級測評等工作,明確信息安全保障重點,落實信息安全責任,建立信息安全等級保護工作長效機制,切實提高衛生行業信息安全防護能力、隱患發現能力、應急處置能力,為衛生信息化健康發展提供可靠保障,全面維護公共利益、社會秩序和國家安全。
1.2工作原則
(一)遵循標準,重點保護。遵循國家信息安全等級保護相關標準規範,結合衛生行業信息系統特點,優先保護重要衛生信息系統,優先滿足重點信息安全需求。
(二)行業指導,屬地管理。衛生行業信息安全等級保護工作實行行業指導、屬地管理。地方各級衛生行政部門要按照國家信息安全等級保護制度有關要求,做好本地區衛生信息系統安全等級保護的指導和管理工作。衛生行業各單位要按照「誰主管、誰負責,誰運營、誰負責」的要求,落實信息安全責任。
(三)同步建設,動態完善。在信息系統規劃設計與建設過程中,同步開展信息安全等級保護工作。因信息和信息系統的業務類型、應用範圍等條件改變導致安全需求發生變化時,應當重新調整信息系統安全保護等級,及時完善安全保障措施。
1.3工作任務
(一)定級備案。
1.衛生行業各單位應當對本單位建設與運營的衛生信息系統進行自查,對未定級、定級不準的信息系統,應當按照《信息安全技術信息系統安全等級保護定級指南》開展定級工作。
國家信息安全等級保護制度將信息安全保護等級分為五級:第一級為自主保護級,第二級為指導保護級,第三級為監督保護級,第四級為強制保護級,第五級為專控保護級。以下重要衛生信息系統安全保護等級原則上不低於第三級:
(1)衛生統計網路直報系統、傳染性疾病報告系統、衛生監督信息報告系統、突發公共衛生事件應急指揮信息系統等跨省全國聯網運行的信息系統;
(2)國家、省、地市三級衛生信息平台,新農合、衛生監督、婦幼保健等國家級數據中心;
(3)三級甲等醫院的核心業務信息系統;
(4)衛生部網站系統;
(5)其他經過信息安全技術專家委員會評定為第三級以上(含第三級)的信息系統。
2.擬定為第三級以上(含第三級)的衛生信息系統,應當經信息安全技術專家委員會論證、評審。
3.衛生行業各單位在確定信息系統安全保護等級後,對第二級以上(含第二級)信息系統,應當報屬地公安機關及衛生行政部門備案。跨省全國聯網運行並由衛生部定級的信息系統,由衛生部報公安部備案;在各地運行、應用的分支系統,應當報屬地公安機關備案。
(二) 建設與整改。
1.對已確定安全保護等級的第二級以上(含第二級)衛生信息系統,應當按照國家信息安全等級保護工作規範和《信息安全技術信息系統安全等級保護基本要求》等國家標準,開展安全保護現狀分析,查找安全隱患及與國家信息安全等級保護標準之間的差距,確定安全需求。
2.根據信息系統安全保護現狀分析結果,按照《信息安全技術信息系統安全等級保護基本要求》、《信息安全技術信息系統等級保護安全設計技術要求》等國家標準,制訂信息系統安全等級保護建設整改方案。第三級以上(含第三級)衛生信息系統安全建設整改方案應當經信息安全技術專家委員會論證。
3.衛生行業各單位應當按照信息系統安全建設整改方案,完善安全保護設施,建立安全管理制度,落實安全管理措施,形成信息安全技術防護體系和信息安全管理體系,有效保障衛生信息系統安全。
(三)等級測評。
1.系統建設整改工作完成後,應當按照《信息安全等級保護管理辦法》要求,從全國信息安全等級保護測評機構推薦目錄中選擇等級測評機構,對第三級以上(含第三級)衛生信息系統進行等級測評。
2.測評合格後,應當將測評報告報屬地公安機關及衛生行政部門備案。
3.應當每年對第三級以上(含第三級)衛生信息系統進行等級測評。對於重要部門的第二級信息系統,可參照上述要求進行等級測評。
(四)宣傳培訓。
1.各級衛生行政部門信息化工作領導小組應當對本地區各級各類醫療衛生機構開展等級保護政策和標準規範培訓,提高各單位信息安全管理人員的技術能力和管理水平。
2.衛生行業各單位應當開展內部信息安全培訓,提升全員信息安全意識,規範信息安全操作行為,提高信息安全保障能力。
(五)監督檢查。
1.衛生部信息化工作領導小組負責督導檢查各地醫療衛生機構信息安全等級保護工作落實情況,並督促部機關重要信息系統責任單位開展信息安全等級保護工作。
2.省級衛生行政部門信息化工作領導小組負責督導檢查本地區衛生行業各單位信息安全等級保護工作落實情況,並督促本單位開展信息安全等級保護工作。
3.省級衛生行政部門信息化工作領導小組應當於每年年底,向衛生部信息化工作領導小組報送本地區信息系統定級備案、建設整改、等級測評和自查等工作開展情況。
1.4工作要求
(一)高度重視,加強領導。衛生行業各單位要高度重視,充分認識信息安全等級保護工作對保護居民健康信息安全、醫療衛生機構正常運轉和社會穩定的重要意義。各單位主要負責同志要負總責,分管負責同志要具體抓,明確職責與任務,突出重點,將信息安全等級保護工作列入重要議事日程和工作績效考核指標,一級抓一級,層層抓落實。
(二)保障經費,加強監管。衛生行業各單位要建立經費投入機制,將信息安全等級保護建設整改、等級測評、信息安全服務、技術培訓等費用納入信息化建設預算,並加強對資金使用的監管。
(三)加強溝通,密切合作。各級衛生行政部門應當加強與本地信息安全等級保護管理部門的溝通交流,建立協作機制,在信息安全等級保護工作中的定級備案、建設整改、等級測評、監督檢查等環節密切合作,共同推進信息安全等級保護工作。
1.5參考標準
《中醫醫院信息化建設基本規範》
《衛生行業信息安全等級保護工作的指導意見》
《醫療機構信息系統安全等級保護基本要求》
《醫療行業信息系統安全等級保護定級工作指導意見》
《計算機信息系統安全保護等級劃分準則》
《信息安全技術 信息系統安全等級保護基本要求》
《信息安全技術 信息系統安全保護等級定級指南》
《信息安全技術 信息系統安全等級保護實施指南》
《信息安全技術 信息系統安全等級保護測評要求》
《信息安全技術 信息系統安全等級保護測評過程指南》
醫院信息化基礎建設評分標準與方法
IATF 3.1信息保障技術框架
GB/T 21052-2007 信息安全等級保護 信息系統物理安全技術要求
GB/T 20271-2006 信息安全技術 信息系統通用安全技術要求
GB/T 20270-2006 信息安全技術 網路基礎安全技術要求
GB/T 20269-2006 信息安全技術 信息系統安全管理要求
二、 醫院信息系統安全建設
2.1醫院管理信息系統概述
Hospital Information System:利用電子計算機和通訊設備,為醫院所屬各部門提供病人診療信息和行政管理信息的收集、存儲、處理、提取和數據交換的能力,並滿足所有授權用戶的功能需求。
一個完整的HIS包括HMIS(Hospital Management Information System)和CIS(Clinical Information System)。
2.1.1醫院管理信息系統(HMIS)
HMIS的主要目標是支持醫院的行政管理與事務處理能力,減輕事務處理人員的勞動強度,輔助醫院管理、高層領導決策,提高醫院的工作效率,從而使醫院能夠以較少的投入獲得更好的社會效益與經濟效益,像門診收費系統、住院收費系統、財務管理系統、葯庫管理系統、門急診藥房管理、住院藥房管理、出入院管理及結算、病案管理系統、供應室管理系統、「一卡通" 系統、物資管理系統等就屬於HMIS的範圍。
2.1.2臨床信息系統(CIS)
CIS的主要目標是支持醫院醫護人員的臨床活動,收集和處理病人的臨床醫療信息,豐富和積累臨床醫學知識,並提供臨床諮詢,輔助診療、輔助臨床決策,提高醫護人員的工作效率,為病人提供更多、更快、更好的服務、像門急診挂號系統、門急診醫生工作站、住院病人出院管理、住院醫生工作站、病區護士工作站、電子病歷系統、臨床檢驗系統、醫學影像系統、抗菌藥物管理系統、體檢管理系統等就屬於CIS範圍。
2.2HIS對信息處理的三個層次
完整的醫院信息系統對信息的處理大體上可分為三個不同的層次:數據的收集過程;數據的集中加工、處理與分析過程和決策諮詢與決策支持過程。一般來說,數據的收集過程與基層科室的事務處理活動相聯繫;數據的集中處理與分析過程與中層科室的工作任務相聯繫;決策、支持過程則與高層領導相聯繫。
2.2.1支持聯機事務處理
通常,信息流是伴隨著各式各樣窗口業務處理過程發生的,這些窗口業務處理可能是醫院人、財、物的行政管理業務,也可能是有關部門、急診病人、住院病人的醫療事務。例如:人事處要辦理醫院職工工資的調整與變化;總務處要負責全院各部門的物資、材料、辦公用品、低值易耗品的供應、採購與發放;病房的醫生要不斷地為住院病人開出醫囑;護士要不斷地整理醫囑或各種擺藥單、領藥單、注射單、治療單、化驗檢查單,並執行和記錄這些執行的過程;而門診的藥房藥劑士要為處方劃價,要為病人配藥和發葯;門診收費處則要完成劃價收費業務,在各種處方、化驗、檢查單上加蓋已收費標記和付給病人帳單(報銷單)。在所有這些繁雜、瑣碎的業務活動過程中,大量的信息產生了。我們開發的HIS要支持這些日常的、大量的前台事務處理。事務處理級的計算機系統(例如門診收費系統、病房醫囑處理系統等)應該同時擔負雙重的任務。
對於窗口業務人員來說,這些系統是幫助他們完成日常繁重窗口業務的工具。藉助計算機系統,使他們凌亂的工作變的有條理,解脫他們需要記憶大量信息(藥品的規格、價錢,疾病的名稱與編碼等)的困難。保證他們遵守某些規範,減輕他們匯總、統計、報告、傳遞這些信息的負擔。因此,盡量符合這些事務處理級工作人員的工作秩序與工作習慣、功能完整、操作簡單、響應迅速、界面友善、易學易用成為這類軟體必須滿足的功能要求。應該讓使用者感到該系統是專門為幫助他們完成窗口業務而設計的。系統所擁有的任何其他功能(指支持窗口業務處理之外的功能)應該盡量的是後台的、隱藏的、不被終端用戶所感知的、不增加或盡量少增加窗口業務處理人員的負擔。
對於整個醫院信息系統來說,窗口事務處理的計算機系統同時又是完整的HIS數據收集埠。它們是HIS伸向信息發源地的觸角、感受器。例如:辦理病人入出轉(ADT)業務的系統必然向住院處實時提供病人入出轉的信息,同時也是住院病人動態統計的主要信息來源。門診收費系統在完成病人交費過程的同時也收集到了相應的為門診提供醫療服務的各門診科室及輔助科室的門診收入與工作量信息。所有這些數據都是上一層直至最高一層信息系統用以進行統計、分析等數據加工的原料。從數據採集的角度,HIS要求窗口業務系統收集的信息完整、準確、及時和安全。
2.2.2支持科室級信息的匯總與分析
醫院的中層科室擔負著繁重的管理任務,例如,醫務處負責全院醫療工作的計劃、組織與實施,醫療動態的監督控制,醫療質量的檢查管理;人事處負責全院機構設置與調整,考勤考核,各級各類專業技術職務的評審;護理部負責全院護理工作的組織實施,全院護理質量的管理,護理人員的管理……等等。隨著這些管理級工作的日趨科學化,中層科室會越來越多地依賴於它們從基層收集來的基本數據進行匯總、統計與分析,用來評價他們所管理的基層部門與個人的工作情況,據以做出計劃,督促執行,產生報告和做出決定。
計算機化的信息系統要支持中層科室的數據收集,綜合、匯總、分析報告與存儲的工作。科室級的信息系統要能夠定期自動地從基層科室收集數據,按照需要,對數據進行各種加工處理,產生出能夠支持中層科室管理工作的分類統計報表和報告。例如,統計室應該能收集來自住院處的病人ADT數據,來自收費處的病人收費數據,來自病案室的有關住院病人的診斷,手術等臨床數據,定期的產生住院病人的動態報告,床位使用情況報告和單病種分析報告。醫務處則應該從住院處、統計室、病房、手術室等等不同部門收集到有關信息,產生有關醫療動態、醫療質量控制的各種報表。
科室級的信息系統的特點是:
通常不與窗口事務處理工作相聯繫。
較少有實時的數據錄入任務。
定期地對收集到的信息進行加工處理。
加工處理的演算法通常是固定的。
目的是為了本科室管理業務的需要或者定期上報的報告與報表需要。
2.2.3支持醫院最高領導層對管理信息的需求
醫院的最高領導層要實現對全院的科學化管理,必須得到計算機信息系統的全面支持。經過中層科室加工分析的數據不僅要產出上交高層領導的報表和報告,用以直接輔助醫院最高領導層的決策,而且要通過計算機的信息系統把加工後的數據直接傳遞給最高領導層。HIS的最高一層模塊:醫療和財務信息的綜合查詢與輔助決策模塊接收並重新組織這些數據,把全院各職能部門,包括臨床的、行政的、醫療的、財務的各方面,各部門的信息沿二條主線-醫療、財務組合起來,提供一些非常方便、靈活的檢索與查詢的手段,滿足醫院最高領導層不斷變化著的對信息的各種需求。這一層信息系統的特點是:
它不同任何具體的事務處理相聯繫,即除了接收下層的數據和提出各種查詢、統計請求外,沒有數據錄入。
它的主要功能是提供靈活的檢索、查詢、統計、分析能力。
該系統產出的報表、報告是隨需求而變化的,是不定期、不固定內容的。
該系統往往同一些財務管理、經濟核算、質量控制、動態分析等專門化的與醫院管理有關的模型和演算法相聯繫。例如醫療質量的監督與評價、醫院財務執行情況的監督與評價、各部門醫療工作量負擔的監督與評價等等。
該系統強調產生報告的形式,例如圖形、圖表……等,要靈活、通俗、易懂。
2.3HIS系統的體系結構
目前,可供一個HIS選擇的體系結構有三種,主機加終端的分時系統,微機網路加文件伺服器系統和客戶機/伺服器系統。
2.3.1主機加終端的分時系統
主機加終端分時系統是美國、西歐與日本自七十年代到八十年代末在開發綜合醫院信息系統時的基本選擇。許多成功的著名的HIS都是基於這樣的體系結構開發出來的。這就是所謂傳統集中式信息管理基於主機的模型。儘管這樣的系統可處理的數據量,其運行效率,對完整的關係資料庫的支持以及數據的整體可用性等方面可以滿足HIS的需要,但近年來理論上受到越來越多的批評,實踐上受到Downsizing浪潮的強烈衝擊。
普遍認為這樣的集中式系統一次性投入太大,應用系統被過多地束縛在廠家的軟、硬體產品之上,失去了系統的開放性,靈活性,可伸縮性,笨拙的軟體開發工具影響應用軟體的開發速度,無法與PC相比的API及GUI技術影響應用軟體開發的質量與成功率。越來越多的信息系統主管相信他們的基於Mainframe的集中式的HIS的壽命不會很長了。
日本許多大醫院八十年代建立的集中式系統,棄之可惜,留之不好用,成了沉重的包袱。因此,雖然集中式的HIS有過它昔日的輝煌,但我們在九十年代中葉設計中國醫院信息系統時,是不應該,也不會再走西方國家十年、二十年前的老路了。
2.3.2微機網路加文件伺服器系統
微機網路加文件伺服器系統可以說是當今中國醫院信息系統體系結構的主流選擇。中國醫院計算機應用經歷了單微機單任務,多微機多任務進入到微機網路的文件伺服器階段,應該承認是有了很大的進步。微機網路支持分散式處理,而且直接繼承了PC系統的全部優點,用戶可以充分使用自己的CPU的同時又可以共享昂貴的外部設備,海量外存器,激光印表機及繪圖儀,亦能實現多用戶的數據共享。實際上,已有一些中、小型的醫院在這樣體系結構基礎上成功地部分實現了HMIS。但是這樣的系統也許可以承擔大型醫院部門一級(例如財務處、人事處或病人入、出院管理等)的信息管理任務,但此類結構的先天不足會使其難以擔負起建立整個醫院完整的信息系統的重任。這是因為:
通常此類系統均不是建立在真正RDBMS Server之上,x base一類的"大眾"資料庫系統無法為開發者和用戶提供完整的關係資料庫管理服務,像資料庫管理員(DBA)、數據字典(DDL)、資料庫結構化查詢語言(SQL)、數據的完整一致性與保密性保證,支持多任務、多線索(Multithreaded),聯機事務處理控制(OLTP),查詢優化,Stored Procedure及Trigger的能力。
文件伺服器(Server)負責應答用戶端計算機(工作站)有關數據存取的需求,但它往往是以簡單的文件方式:用對單一文件加鎖、解鎖方式實現共享,用傳輸整個文件的方式提供服務。這不但給LAN增加了不必要的流通負擔,同時也沒能充分發揮後台伺服器CPU的能力,工作站仍然承擔全部所需處理,和單個微機情況相同。這就是為什麼人們亦把文件Server叫做Client-based計算機的原因。
在這樣的體系結構下,如果設計者為減輕網路的通訊負擔和加強數據的安全性,採用數據物理上分布於不同Client端的方法,那將為系統的設計與實現,數據完整一致性的保證,滿足高層用戶對各類數據的綜合查詢與輔助決策,多個用戶對彼此間數據的共享與同步更新帶來無窮的麻煩。
2.3.3客戶機/伺服器系統
客戶機/伺服器(Client/Server)是在網路基礎上,以資料庫管理系統為後緩,以微機為工作站的一種系統結構。其關鍵點在於"一分為二",即把數據存取與應用程序分離開,分別由資料庫(Server端)及工作站(Client端)來執行,從而明顯地既保證整個系統的運行性能,又增加了系統的易開發性、可擴充性和可維護性。它的優越性在於:
極高的性能(Performance),Server端一定有一個完整的高效能的關係資料庫管理系統(RDBMS,Relational DataBase Management System)。CPU只管DBMS的使用,不管任何客戶端應用功能,支持並發控制,確保多個用戶同一時間內處理相同的表、行、列數據,這就顯著地改善了運行性能,特別是醫院中以高頻率更新數據的應用環境。
集中式數據管理。這是該結構的關鍵環節,是醫院環境之高層管理和病人醫療數據管理的至關重要的需求。所有數據均用集中式DBMS加以管理和存取。Server所負責的DBMS功能完全等同於大、中型計算機中的DBMS。
擴充升級方便靈活(Scalability)。前後台任務的分離使得前端的應用程序不依賴於後台的軟、硬體平台。無論用戶升級更換後台的操作系統、Server硬體,應用程序都無須變動。這一方面保護了用戶對應用程序及使用培訓方面的投資,同時也為用戶提供了一種低消耗地逐步更新設備的途徑。
開放式平台有利於加速系統的開發。一方面,開放式後台資料庫擁有強大的數據管理功能。另一方面,開發者又可以在前端用各式各樣所熟悉的微機環境下的開發工具進行應用程序的開發工作,當然也可以使用資料庫所提供的API方式來開發前端應用。
2.4醫院信息安全威脅
「信息是數據,也是財富,但是只有安全的數據信息才是有價值的信息。醫院信息系統要求每天24小時不間斷運行,安全問題就成了系統能否持續正常運行的關鍵,安全是醫院信息系統的生命線。醫院信息系統包含各類功能模塊承載著眾多的業務應用,隨著醫院業務量的增加,支撐應用業務系統的硬體設備也會隨之增加,所受到的信息安全威脅也複雜多變,主要來源於外部和內部兩個方面。
2.4.1外部信息安全威脅
由於醫院專用網路需要與市醫保、縣區農村合作醫療等網路相連,以保證信息的及時傳輸和更新,但也會給醫院信息系統造成較大安全隱患。
外部威脅種類繁多,大體有以下幾種:
竊聽:有些黑客或者攻擊者會利用竊聽技術竊聽敏感數據,等這些數據到手後,可能去威脅當時熱,藉此達到自己的利益目的。
木馬:一種遠程控制的工具,它不具有傳染性,所以嚴格意義上講不是一種病毒,只有具備了傳染性的木馬才可以稱為病毒。
DDOS攻擊:專門針對伺服器的一種攻擊,可以通過TCP協議中的3次握手原理,不斷向伺服器發送大量的垃圾無用的數據導致伺服器癱瘓,對醫院信息系統來說,伺服器癱瘓了,醫院可能就無法了解患者以前的就診信息,無法準確對患者信息做出判斷,也有可能無法開藥。耽誤患者就診。
篡改:攻擊者可能通過進入醫院信息系統,非法篡改患者的就診記錄,影響醫生的判斷,造成誤診,延誤病情。
2.4.2內部信息安全威脅
內部信息安全威脅主要包括:
(1) 人為威脅
如醫院工作人員將帶有病毒的個人U盤等與醫院計算機連接時,由於病毒感染導致醫院專用網路受到攻擊,造成網路癱瘓或者中斷髮生;醫院工作人員利用許可權非法訪問資料庫系統,竊取數據信息,或者對病人的就醫記錄進行篡改,最終造成醫療糾紛事件發生。
(2) 設備故障
如伺服器故障、網路交換機故障、存儲設備故障造成醫院醫療處理速度緩慢甚至中斷。
2.5HIS系統建設目標
2.5.1以病人為中心
以病人為中心,以電子病歷為核心,以全面集成為手段,提高醫院管理水平和經營效益為目標,打造先進的、全面的現代化的數字醫院。數字化醫院建設是建立全面的管理信息系統和臨床信息系統,用最新的最先進的IT技術對全院的信息資源(人,財,物,醫療信息)進行全面的數字化,全面的優化和整合醫院內部的資源以及醫院外部全社會的信息資源為醫院臨床、管理服務,運用所有的信息資源為患者提供先進的、便捷的、人性化的醫療服務。
2.5.2人性化
以人為本,以病人為中心的原則,在系統的每個細節都應該體現人文關懷主義,考慮如何更加的方便患者,更加方便業務人員,更加的人性化。
2.5.3集成化
民康醫院信息系統建設將有眾多不同的系統組建而成,並形成有機的統一整體,規避醫療信息孤島。
2.5.4智能化
系統通過系統的智能處理,減少人工環節,增強自動化的程度,增加輔助支持的功能。
2.5.5無紙化
系統通過電子處方,電子病歷,電子申請單,電子報告等的應用逐步走向無紙化。
2.5.6無膠片化
通過實施醫學影像系統,建立放射科數字閱片中心和診斷工作站,臨床中心數字閱片室,醫生影像瀏覽工作站,全院的數字閱片中心,會診中心,教學中心等實現全院無膠片化臨床模式和管理模式。
2.5.7無線網路化
通過建立無線網路,使用筆記本,平板電腦,PDA,無線病情跟蹤器等無線設備實現醫生護士查房,庫房管理,病人病情跟蹤等等,使一些業務不受空間的限制,無處不在。
2.6網路方案的選擇
完整的醫院信息系統依賴於覆蓋全院的計算機網路系統的支撐。當前選擇網路系統時應該著重考慮的因素有:
2.6.110M乙太網(Ethernet)-Novell網
目前國內運行的10MB/秒區域網(Local Area Network,LAN)絕大多數是Novell網。市面上出售各種各樣廉價的支持IPX通訊協議的乙太網卡,它們可以用於ISA或EISA匯流排,可以支持匯流排型,或者星型拓撲布線,可以使用粗/細同軸電纜,3號/1號無屏敝雙絞線作為傳輸介質。Novell網設備價格低廉,無論布線、安裝、運行支持均簡單易行,軟、硬體產品的成熟度與可靠性均很高。缺點是網路輸出速率低,如果考慮的是幾十個網段,幾百台微機,多台伺服器的完整醫院信息系統環境,10MBNovell網則難以勝任。
2.6.2快速乙太網(Fast Ethernet)
快速乙太網技術是近幾年在原乙太網的技術上發展起來的,它仍然採用原來乙太網廣播/衝突檢測的基本協議,但在無屏敝雙絞線(UTP)介質上的傳輸速率可高達100MB/秒。如果採用光纖連接不同的建築物,距離一般要小於410米,雙絞線的連接距離則不能大於100米。網卡的價格通常是10MB網卡的2-3倍,目前只能用於PCI匯流排。快速乙太網通常選用星型布線,採用交換技術(即選用適合的交換式集線器)可以將伺服器以及主要的交換HUB之間用快速乙太網連接構成100MB主幹網,而工作站與集線器的連接採用10MB乙太網。這是一種經濟、實用的組網技術,由於是星型聯接,將來過渡到ATM/快速乙太網混合網路十分容易。
快速乙太網的缺點來自它的基本傳輸協議,由於是廣播/衝突檢測方式,因此首先100M帶寬的使用效率不及FDDI的令牌環網方式。另外,它也不適合於動態連續圖象數據的發送。當一個站點發送了一個圖形包以後,下一個包什麼時候能夠繼續發送取決於網線的忙閑程度。理論上說,該站點有可能無限期等待下一個網線空閑的狀態。這與ATM傳輸協議是有著根本不同的。
2.6.3FDDI(Fiber Distributed Data Interface)
FDDI常被稱為光纖環網。它是一個令牌環網(Token-Ring)的體系結構。由雙環構成,從而實現雙向通行及線路故障時的容錯。環的帶寬為100Mb/S,從而可以同時攜帶來自多個結點的高速度和大容量的信息包。FDDI環網通常能滿足高速度、大容量的主機、超級小型機、伺服器互聯的需要,也能滿足靜態圖象工作站高速數據傳輸的需要。這種技術在八十年代被廣泛地用於校園網的互聯技術,即在校園範圍內構造起一個理想的分散式資料庫的網路環境。
FDDI技術的優點是技術穩定、成熟、可靠。與最新的網路交換技術相結合,目前仍有許多網路方案採用FDDI為主幹環網,通過交換集線器同10MB乙太網互連構成覆蓋全院的區域網。這樣的網路方案在當前支持幾百個微機工作站,以文字數字及靜態圖象為主要信息傳輸/交換內容的系統需求是沒有問題的。而且具有雙環容錯,抗電磁干擾,系統穩定性好的優點。
FDDI技術的缺點是:價格相對較高,因為一定要處理光纖雙環網,因此連接施工難度大。它是雙環結構,拓撲與快速乙太網及ATM的星型布線不同,將來轉換比較麻煩;令牌環雖然較廣播/衝突檢測的乙太網效率更高,但仍然不適合於動態多媒體數據的傳輸。由於以上缺點,學術界普遍認為,FDDI最終會讓位於新興的ATM技術。
2.6.4ATM(Asynchronous Transfer Mode)
ATM是九十年代才發展起來的新一代網路傳輸協議。非同步傳輸模式(ATM)是一種以細胞(Cell)為基礎的高速分封多工交換(Multiplexing and Switching)標準,現今已被CCITT及ANSI認可,與同步光纖網路(SONET)共同成為寬頻廣域服務數字網路(Broad ISDN,B-ISDN)的基礎。它主要是面對大範圍網路互連中如何處理動態圖象,多媒體數據傳輸而設計的。它與乙太網及令牌網均不相同的地方在於它採用的是予聯接技術(Pre-Connection),在目前實現的111MB帶寬範圍內(帶寬很快還會增加),當網路上的兩個結點要相互交換信息時,ATM協議要求首先把一定的帶寬分配給這二個結點,先實現它們之間的連接,然後開始它們之間的通訊,直至通訊完畢讓出帶寬。這樣的協議就保證了一旦兩點連通,就不會有第三者干擾兩點間的數據傳遞。顯然,這樣的協議特別適合於語音、動態圖象等連續動態多媒體數據的傳遞。例如遠程會診,遠地學術會議,遠地手術,現場動態教學等應用。
ATM的標準尚不完善、統一,ATM論壇(ATM Forum)正在制定各種界面規格與廣域ATM網路傳輸標準,目前各廠家的產品還缺乏互連性,ATM產品價格較貴。但可以認定,若干年內ATM將成為最流行的網路互連標準。
以ATM為網路主幹,某些特殊用途的多媒體工作站直接按ATM方式連接在網上,同時輔之以快速乙太網的網段或工作站。這可能就是三、五年後醫院信息系統的主要網路結構模型。
2.7HIS子系統
醫院信息系統所包含的內容紛繁複雜,依其在一個醫院的實現先後,大體可以分為以下三個階段:
2.7.1管理信息系統
管理信息系統一般包括:
門、急診挂號子系統
門、急診病人管理及計價收費子系統
住院病人管理子系統
葯庫、藥房管理子系統
病案管理子系統
醫療統計子系統
人事、工資管理子系統
財務管理與醫院經濟核運算元系統
醫院後勤物資供應子系統
固定資產、醫療設備管理子系統
院長辦公綜合查詢與輔助決策支持系統
2.7.2臨床醫療信息系統
臨床醫療信息系統可能包括的內容很多,甚至可能是專科、專病、專課題的信息處理系統,下面給出一些常見系統的例子:
住院病人醫囑處理子系統
護理信息系統
門診醫生工作站系統
臨床實驗室檢查報告子系統
醫學影像診斷報告處理系統
放射科信息管理系統
手術室管理子系統
功能檢查科室信息管理子系統
病理卡片管理及病理科信息系統
血庫管理子系統
營養與膳食計劃管理子系統
臨床用藥諮詢與控制子系統
2.7.3醫院信息系統的高級應用
醫學圖象實時傳輸與查詢、歸檔系統
病人床邊信息系統
計算機化的病人病案系統(CPR)
科研支持系統
教學支持系統
Internet醫學情報系統
遠程診斷與教學
2.8醫院信息安全策略與建設
醫院信息本質上也是信息,或者說是數據。既然是數據,就繞不開CIA三元組,即Confidentiality(機密性)、Integrity(完整性)、Availablity(可用性)
CIA三元相互依存,並形成一個不可分割的整體,三者中的任何一個受到損害都會影響到整個安全系統。
(1)機密性(確保機密狀態的能力)
機密性是防止未授權的用戶訪問數據,簡單來說就是「不能看」。
為了維護機密性,通常會在數據的處理、傳輸、儲存過程中進行一些諸如加密或者許可權類的保護措施來進行安全控制。
針對機密性的破壞主要包括竊取密碼文件、社會工程學、嗅探、肩窺等。
這裡著重要提一下肩窺(shoulder surfing)。肩窺就是越過肩膀探看別人操作獲取信息的做法,看到別人輸入密碼,或者看到一些辦公信息導致的機密性損失。
(2)完整性(確保有價值的信息/數據不被篡改的能力)
完整性是防止未授權的修改數據,也就是:「不能改」
針對完整性的破壞主要有病毒、應用程序錯誤、邏輯炸彈,以及被授權用戶的非授權操作。
所以,為了保護完整性,要進行嚴格的訪問控制,嚴格的身份認證以及嚴密的人員培訓。
完整性依賴於機密性,如果沒有機密性,也就無法維護完整性。
(3)可用性(業務和數據的可用性)
可用性是保證經過授權的客戶能及時準確的不間斷的訪問數據,也就是「一直用」
針對破壞可用性的威脅主要有設備故障、軟體錯誤、包括一些不可抗力如洪水、火災等。再企業中,造成可用性破壞的最主要原因是人為錯誤,疏忽或失職造成的如意外刪除文件、私自分配資源、安全策略配置錯誤等。
可用性依賴於完整性和機密性。
所有的信息安全控制與防禦,以及所有的信息安全威脅、漏洞與安全流程都隸屬於CIA 基準範疇。
與CIA三元組與之相反的則是DAD三元組,即Disclosure(泄露)、Alteration(篡改)、Destruction(破壞)。
醫院信息安全與其他信息系統的安全目標並無二致,只是具體內容和重點略有不同。醫院信息安全的三個主要目標仍然是:機密性、完整性和可用性。機密性是要確保只有被授權的人可以存取;完整性是要確保信息及處理方法正確,保證信息完整;可用性是確保信息在被授權人需要時能獲取到。
醫院信息安全的機密性要求是對患者信息隱私和醫院業務敏感信息的保護。我國一些醫院為了防正不法分子的商業賄賂行為,安裝「反統方"軟體,以避免醫生藥品處方統計信息泄漏。在患者隱私保護方面,如果某個患者有吸毒歷史,病歷中可以記錄這些信息並為醫生所使用,但是必須防正無關人員獲知。
醫院信息安全完整性是對電子病歷製作與管理的安全性要求,病歷作為醫療活動的客觀記錄,具有法律效用,不能隨意地修改。台灣地區政府要求醫生使用統一℃卡對電子病歷進行簽章,使用患者℃卡密鑰對病歷做加密和封裝處理,以實現病歷信息完整性和不可抵賴性的要求。我國電子簽名法已經實施多年,尚未對電子病歷完整性提出具體規範性技術要求。一些醫院嘗試採用數字認證、時間戳技術,以及訪問控制和安全審計手段實現電子病歷信息完整性要求。
醫院信息的可用性包括兩個方面內容:
一是要求避免因故障及其他原因導致系統運行中斷;
二是即使發生了故障,系統的災備或數據備份功能要能及時恢復,避免業務中斷,降低故障導致的損失。
2.8.1醫院信息安全管理要求
實現醫院信息安全不僅是技術成分,還包括組織、制度、人員等方面管理要求。信息安全保障體系是信息安全制度、組織管理和技術層面的有機結合。醫院信息管理系統首先需要明確的是管什麼
我國政府在信息系統安全等級保護基本要求中提出,信息安全包括技術要求和管理要求兩大類。技術類安全要求是通過在信息系統中部署軟硬體,並正確的配置其安全功能來實現技術安全保護要求;管理類安全要求是對信息系統各種利益相關者,以及其角色和參與活動的管理。通過規範和控制各種角色的活動和行為,從政策、制度規範、流程方面規範人員行為,實現安全管理要求。
從90年代開始,國外就開展了有關信息安全系統(Information security Management System)的規範研究工作。到2008年,形成較為完善的標準體系,包括ISO 27001,ISO 27002不日ISO 27799等。ISO 27001是指導用戶根據本單位業務活動和風險評估情況對信息安全管理系統的建設、實施、運行、監督、測評提出需求,明確「管什麼"。ISO 27002則是根據需求框架,進一步說明實現信息安全的規則,明確「怎麼管」。ISO 27799是在上述兩個標準基礎上,針對衛生領域安全管理標準提出的補充要求,包括11個方面的安全控制措施:
(1) 信息安全政策:醫院必須制定信息安全規劃文件,內容包括醫院信息安全的目標、策略、控制和程序。例如某某年要實現跨機構電子病歷共享所需要的信息安全目標。
(2) 信息安全組織:醫院要建立一個職責清晰又富有活力的信息安全管理組織,這個機構不僅僅是信息技術人員,還包括管理和業務人員。這個組織不是一個擺設,要經常性地開展活動,執行信息共享和使用的協調,管理信息訪問授權。
(3) 信息資產管理: 醫院的任何一個信息資源都必須有責任人和資產監管者。例如,要明確誰作為資產的所有者對醫院葯 口資料庫進行掌控和處置。信息資產管理要像固定資產管理一樣,有登記制度,有資產標識,有相應管理和處置規定。
(4) 人力資源管理:醫院要對醫護人員、實習人員、志願者等人員使用許可權做出規範性制度。要求對人員在上崗前,上崗中,下崗後的職能和許可權做出明確的規定,明確人員的身份、角色和責任。組織開展培訓工作,提高人員信息安全敏感性。在人員職責和職務調整後,要及時修改授權或取消其訪問許可權。
(5) 實體與環境安全管理:醫院要從制度上確定信息系統的安全區域防護邊界,界定設各位置,並提出相關的安全管理要求。
(6) 網路通訊和業務運行:醫院要制定有關軟體升級和變更,以及系統測試與驗收管理、數據備份管理等方面的規定。醫院要制訂信息安全傳輸、認證和加密措施規定。醫院要對移動設備和移動存儲介質提出規範管理要求。
(7) 訪問控制管理::通過對醫院的用戶註冊,特權管理,口令管理,存取許可權審計做出管理規定,防正對未授權的訪問控制。
(8) 信息系統開發和維護管理:醫院要對信息系統建設開發和維護工作中可能出現的安全問題做出相應管理規定。
(9) 安全事件管理:醫院要制訂應急預案,在系統發生安全事件時,應能按規定採取應對措施。日常要做好應急預案的演練。
(10) 業務連續性管理:醫院要制訂保證系統連續性的策略,保護醫院重要業務應用免受系統故障影響,並能在故障出現後及時恢復業務運行。
(11) 法律遵從性管理:醫院信息安全制度要遵守國家相關法律規章,包括對知識產權的保護,以及患者個人信息隱私保護要求。
2.8.2醫院信息安全技術要求
醫院信息安全的技術內容十分廣泛。根據我國信息安全等級保護要求,信息安全等級保護技術包括物理安全、網路安全、主機安全、應用安全和數據安全五個層面。衛生部依據國家信息安全等級保護制度有關標準和規範要求,明確規定,要求三級甲等醫院的核心業務信息系統原則上不低於第三級。國家信息安全等級保護制度對第三級安全保護能力提出的要求是,應能在統一安全策略下防護系統免受來自外部有組織的團體、擁有較為豐富資源的威脅源發起的惡意攻擊、較為嚴重的自然災難、以及其他相當危害程度的威脅所造成的主要資源損害,能夠發現安全漏洞和安全事件,在系統遭到損害後,能夠較快恢復絕大部分功能。為此,我國「信息安全技術信息系統安全等級保護基本要求"中對第三級系統的技術要求包括五個方面的要求:
(1) 物理安全
設備物理位置、訪問控制、防盜竊和破壞、防自然災害等。
(2) 網路安全
網路結構安全、訪問控制、安全審計、網路邊界完整性檢查、入侵防範、惡意代碼防範、設備防護(防止網路設備非法登陸)。
(3) 主機安全
身份鑒別、主機訪問控制、主機安全審計、主機剩餘信息保護、主機入侵防範、主機惡意代碼防範、主機資源監控和控制。
(4) 應用安全
應用身份鑒別、應用訪問控制、應用安全審計、剩餘信息保護、通訊完整性和保密性、應用操作抗抵賴、應用軟體容錯、應用系統資源控制。
(5) 數據安全
數據完整性、數據保密、備份和恢復等。
推薦閱讀:
※法律法規、採購中的風險和安全教育(Day007)
※信息安全的商業模式
※0002 安全問題的根源
※信息分類(Day012)
※農民鬥地主——Binder fuzz安全研究