信息安全助醫(yī)療衛(wèi)生信息化建設(shè)加速推進

　廠商稿 8 月 13 日，由內(nèi)蒙古醫(yī)藥信息學(xué)會、內(nèi)蒙古醫(yī)學(xué)院附屬醫(yī)院主辦的“2010 首屆內(nèi)蒙古自治區(qū)醫(yī)藥信息網(wǎng)絡(luò)大會”在呼和浩特成功召開。自治區(qū)內(nèi)外的醫(yī)院信息專家、學(xué)者及相關(guān)領(lǐng)域的專業(yè)人士、IT 公司代表等出席了此次會議，商務(wù)部中國國際電子商務(wù)中心下屬的國富安電子商務(wù)安全認(rèn)證有限公司作為北京地區(qū)唯一一家受邀信息安全廠商參加了此次會議。會上共同探討了應(yīng)該如何有效利用先進的信息網(wǎng)絡(luò)技術(shù)來加快建設(shè)和發(fā)展現(xiàn)代化醫(yī)院，如何為群眾提供更好的醫(yī)療保健服務(wù)。

　 自治區(qū)衛(wèi)生廳副廳長許宏智在會上提到：醫(yī)療信息化在深化醫(yī)療服務(wù)體制改革，解決人們看病難、看病貴、看病亂問題等方面具有非常重要的作用。衷心的希望各位專家能傳經(jīng)送寶、傾其所能、共同研究為加快醫(yī)療衛(wèi)生領(lǐng)域的信息化共同努力。

　 隨著醫(yī)療信息系統(tǒng) HMIS 應(yīng)用范圍不斷推廣擴大，我國許多醫(yī)院建立了以院長為中心的醫(yī)院信息網(wǎng)絡(luò)化管理決策機制，并將門診管理、住院管理、醫(yī)技管理、職能科室管理等各部門通過計算機網(wǎng)絡(luò)有機集成在一起，醫(yī)院信息化管理系統(tǒng)通過網(wǎng)絡(luò)覆蓋醫(yī)院的每個部門，涵蓋病人來院就診的各個環(huán)節(jié)。

　然而，與發(fā)達國家相比，我國的醫(yī)院信息化建設(shè)尚處于初級階段，國內(nèi)醫(yī)院 IT 投入少，IT 部門地位不高，在信息安全的認(rèn)識、投入上更是淡漠，重投入輕防護，信息系統(tǒng)安全問題頻頻告急，嚴(yán)重影響到醫(yī)院正常運行。

　 針對這些問題，國富安信息安全專家提出，信息系統(tǒng)的安全問題不應(yīng)該成為醫(yī)療衛(wèi)生行業(yè)信息化發(fā)展過程中的絆腳石。醫(yī)院網(wǎng)絡(luò)系統(tǒng)主要可分為兩個部分用于日常醫(yī)療信息交換的業(yè)務(wù)網(wǎng)以及實時獲取 Internet 信息資源的辦公網(wǎng)。其中的醫(yī)院業(yè)務(wù)網(wǎng)是醫(yī)院業(yè)務(wù)開展的平臺，HIS 系統(tǒng)主體是財務(wù)結(jié)算，涉及患者密切相關(guān)信息的 CIS 以及 PACS 等系統(tǒng)的安全性、可靠性、穩(wěn)定性有更高的要求。

　 現(xiàn)在醫(yī)院內(nèi)的一些系統(tǒng)管理相對簡單，有些系統(tǒng)沒有相應(yīng)的用戶名口令，網(wǎng)絡(luò)可達即可訪問。還有些系統(tǒng)雖然有用戶名、口令，但是這些賬戶幾個人共用一套，或者使用極其簡單的賬號以至于醫(yī)院內(nèi)的一些業(yè)務(wù)辦理后，無法找到經(jīng)辦人。同時還有些系統(tǒng)賬號被別人冒用登錄，修改患者的信息和病歷信息。隨著業(yè)務(wù)網(wǎng)應(yīng)用的深入，例如人員的非法登錄、因員工濫用他人權(quán)限訪問信息系統(tǒng)進行的信息泄漏等隱患也逐漸浮現(xiàn)，總結(jié)起來有如下幾類：

　 1、系統(tǒng)權(quán)限控制較弱，院內(nèi)網(wǎng)絡(luò)可達即可登錄辦公系統(tǒng)，存在無法界定責(zé)任人情況

　 2、辦公系統(tǒng)采用“賬號+密碼”的方式認(rèn)證，安全級別不高，存在著安全隱患，極容易被破解和竊取;

　 3、基于互聯(lián)網(wǎng)的社保、醫(yī)保業(yè)務(wù)網(wǎng)路傳輸?shù)臄?shù)據(jù)處于明文狀態(tài)，沒有進行加密處理，容易被非法人員截取和篡改;

　 4、對于在 MIS 系統(tǒng)醫(yī)護人員操作過程缺乏數(shù)據(jù)完整性和操作抗抵賴的校驗。

　 為了解決上述安全隱患，避免醫(yī)院內(nèi)業(yè)務(wù)內(nèi)網(wǎng)存在的一些不安全因素成為影響其正常運行的重大隱患，國富安信息安全專家建議在醫(yī)院院內(nèi)必須要建立一套高度可靠的安全機制PKI 體系，系統(tǒng)可根據(jù)目前院內(nèi)存在的安全隱患提供數(shù)字證書，實現(xiàn)強身份認(rèn)證，鑒別用戶身份的安全設(shè)計解決方案，來確保 HIS 系統(tǒng)以及其他業(yè)務(wù)系統(tǒng)在醫(yī)院安全運行。

　 通過相應(yīng)的 PKI 體系的建設(shè)，來解決醫(yī)院院內(nèi)以下存在的問題：

　 1、信息保護：防止隱私信息泄露、防止重要數(shù)據(jù)被篡改

　 2、身份管理：強化身份認(rèn)證、強化用戶安全登錄

　 3、身份認(rèn)證：通過對雙方進行認(rèn)證，以保證交易雙方身份的正確性。

　 4、數(shù)據(jù)傳輸、存儲的完整性：保證醫(yī)院內(nèi)與外界社保業(yè)務(wù)所傳輸?shù)慕灰仔畔⒉槐恢型敬鄹募巴ㄟ^重復(fù)發(fā)送進行虛假交易。

　 國富安專家的建議在會上得到了與會專家的支持與肯定，認(rèn)為信息安全在醫(yī)療衛(wèi)生信息

　化建設(shè)中起著舉足輕重的作用，希望信息安全專家對內(nèi)蒙古自治區(qū)的醫(yī)院信息化建設(shè)給予更多的關(guān)注，提供更多的支持和幫助。此次“2010 首屆內(nèi)蒙古自治區(qū)醫(yī)藥信息網(wǎng)絡(luò)大會”的召開，對推進內(nèi)蒙古自治區(qū)醫(yī)療衛(wèi)生信息化建設(shè)起到了重要的作用，加速了醫(yī)療衛(wèi)生行業(yè)信息安全建設(shè)的推進，內(nèi)蒙古自治區(qū)力爭在醫(yī)療衛(wèi)生信息化方面走在全國的前列。

推薦訪問： 醫(yī)療衛(wèi)生 信息化建設(shè) 信息安全