云计算平台下的电子病历系统安全管理
2017-03-06黄兵
随着信息科技的进步和发展,云计算技术取得很大的突破,应用的范围不断扩展。而在大型公立医院现代化、信息化的建设过程中,电子病历系统的应用与管理是非常重要的一部分,特别是其管理的安全方面还存在一些问题,对整个医院业务安全的运行都有很大影响。本文主要对云计算环境下,医院电子病历系统的安全管理进行详细的研究,使用云计算技术提升电子病历的安全管理水平,并介绍一些具体的对策,以便为医院电子病历建设提供借鉴。
【关键词】云计算 电子病历 安全管理 对策
电子病历又被称作计算机病案系统,是使用各种电子化设备(计算机、网络存储等)保存、传输以及管理与重现的病患者在医院治疗全过程记录,取代了以前手工书写与纸张形式保存的病历。长时间以来,因为电子病历的原始凭证无法得到有效的保障,所以国内很多医院还坚持电子病历与纸质病历共存的管理方式,导致工作重复,造成资源浪费。因为电子病历在医院的信息系统中占有核心地位作用,随着信息科技的不断发展,借助云计算技术对电子病历进行改造和升级也是必然的选择,双轨制管理方式必然遭到淘汰,以云计算为基础的电子病历管理是医院建设的发展趋势。
云计算是最近信息技术产业发展的一个热点。云计算的核心思想是向客户提供方便、快捷、按需使用的网络资源服务(资源包括网络、服务器、存储、应用软件等计算服务等)。由于云计算具有可高度虚拟化、集中管理、高速运算、安全性高与海量存储等特点,在各个行业得到很快推广应用,发达国家的许多大型医院都已经开始使用云服务,构建自身私有云,将电子病历系统改造运行在云平台上。
1 当前电子病历系统安全管理存在的问题
1.1 电子病历数据长期保存的安全问题
根据国家《医疗机构病历管理规定》规定:门(急)诊病历案的保存时间不少于15年,住院病历的保存时间不得少于30年。可见医院电子病历数据必须要保证得到长期安全的保存,而电子病历的载体计算机光盘、磁盘等比较脆弱,容易受到保管设施环境的影响,如温湿度、电磁辐射、强电流、建筑强度、漏水等条件如果不达到容易引起设备损坏数据丢失;现代医院电子病历系统基于内部网络上运行、共享和传输数据,免不了会遇到计算机操作系统、应用软件引起的安全问题风险,如误操作、黑客与病毒攻击等行为容易导致数据库系统的崩溃和电子病历数据的丢失与泄密。
1.2 电子病历数据整合具有较大难度
(1)因为患者到医院诊治过程中,其就诊信息可能涉及医院内多个不同的业务信息系统,先后被多位医生进行诊治,这就造成相关信息十分分散,信息和数据的收集与整合就有一定困难。
(2)如果患者是从其他地方转诊过来的,因为当前电子病历国内还没有实现跨地区、跨省市联网,对患者转诊之前的病历数据进行整合则具有更大难度,这也是当前信息的盲区。
(3)随着医院的信息化水平不断提高,医院中各种信息化系统都产生大量的数据,有文本、图像、声音、视频等格式,很大一部分都需要成为电子病历进行归档和保存,这些信息和数据具有很快的增长速度,格式也多种多样,这就对存储系统提出更高要求。为了使这些信息数据得到有效的集中存储,以前的存储系统虽然也在不断扩充,但还是面临存储空间的不足问题,而且存储系统升级和信息迁移、备份等更是需要大量的资金。
1.3 电子病历数据隐私和安全受到很大挑战
因为电子病历信息与载体是分离的,所以对这些数据的安全进行维护时不仅需要考虑到不受病毒的攻击以及不泄露患者隐私等,还需要对数据载体的物理安全进行考虑,和纸质化的病历相比,电子病历安全管理更加繁琐复杂,还受到操作人员的素质以及技术等因素的影响。因为在云计算环境下,虽然其安全性有一定提高,但也不是绝对安全,也存在一些隐患。电子病历的數据与应用不断被转移到云计算中心或者服务商,这就可能带来下面后果:第一,数据的优先访问权不是医院,而是服务商,这就可能使相关数据得到泄露。第二,用户不知道病历中的数据放在了哪里,失去了数据控制权,如果数据丢失,有没有进行备份,就可能带来很大危害。
2 云计算环境下电子病历安全管理措施
2.1 搭建高性能、高安全性网络云计算平台
由于电子病历安全管理对于现代化医院来说是十分重要的,而云计算平台正好具有高性能、高安全性的特性,又具有海量的信息存储空间和相对较低的使用费用特点,可以满足电子病历对网络的稳定性和安全性较高要求。大型医院可以采用小机型与服务器群集、系统异构技术、中央集中存储技术、虚拟存储技术以及负载均衡技术等相结合的方式来搭建一个高性能、低风险、运行稳定的私有云平台,以确保电子病历的安全性。
2.2 加强电子病历系统安全管理工作
医院从电子病历系统建设开始,针对全院医务人员进行电子病历、云平台基本知识的安全意识、安全技术教育和技能培训,增强医护人员使用安全意识;在原有计算机网络安全管理制度基础上,出台和落实相关电子病历安全管理制度,明确奖罚机制;医院网络分为连接互联网的办公外网和不连接互联网的医疗业务内网,外网和内网之间物理隔离,云计算平台、电子病历等医疗业务系统运行在内网,安装内网安全管理系统,限制更改网络地址、使用U盘、移动硬盘及上外网等。
2.3 树立起电子病历一体化理念
在传统病历的管理过程中,病历与病案把归档作为分界线,归档之前是病历,之后就是病案,这种做法也沿袭至今。具有价值的电子病历在归档之后就成为电子病案,两者本质相同,信息的记载没有任何变化,根据这一现象,一些学者和专家就提出病案一体化管理,实质就是把病案管理的一些功能提前,实现档案前端的控制以及整个过程的管理。电子病历一体化就是把原来纸质化病案内的一些终末管理提到前端,主张关注文件的形成以及过程的可靠性,进而确保归档的质量。云计算则有助于电子病历一体化的实现,因为云计算环境下,电子病历的生成、标引、归档和保存等环节都在云端进行操作,还可以在相同的时间内完成,将病历转化为病案。这里还需要制定出统一标准与规定,保证数据之间的交互,完全取代电子病历与纸质病历共存的双轨制管理方式
2.4 电子病历数据的集中整合
2.4.1 内部的整合
电子病历包含以患者信息为核心的医生诊断信息和各种检验、检查数据集合的数据库,涉及医院内的很多检查系统,比如超声波、脑电图以及心电图等检查设备的检查,这些设备仪器數据的格式不同,有声音、文本以及图像等类型,占用的空间也很大,这种数据不管是存储归档还是利用检索都有很大困难。而云计算环境下,为医院采集与整合数据提供极大优势,使住院部和门诊部都能够适应无线或者有线网络,对各种数据进行采集,并在医院信息平台中进行汇总。还可以借助平台对患者数据信息进行共享与交换。
2.4.2 外部的整合
因为不同的医院具有标准不同的电子账号,这就为数据的采集与整合带来困难,这就需要为患者建立起唯一的标识,并将其和患者的身份证明相结合,借助两者都可以检索患者的病历。所以,需要充分的考虑到不同医院中数据的管理和兼容问题,进而节省成本,提升诊断的效率。
2.5 在电子病历系统应用数字签名与时间戳技术
我院于 2010年开始在上线实施电子病历系统,同时实施基于第三方认证(北京CA)的数字证书与可信时间戳技术,使用数字证书技术和归档后的电子病历加盖时间戳,具有法律认可效力。
(1)在云计算平台设置严格、有效的控制访问权限、操作权限和身份认证制度,控制知情权和使用权范围,避免非法用户进行访问和读取相关信息,防止电子病案数据被修改,确保原始凭证的价值,保护患者隐私。
(2)对云平台系统数据需要加密技术传输和存储。这一手段主要确保电子病历数据的真实、有效与完整,避免信息泄露和数据被伪造、复制和篡改。医生护士在医疗活动中记录病程、开立医嘱、审核执行、护理记录操作,使用数字证书进行签名确认,通过对目标数据加上可信时间源提供的时间戳标记,以确认系统所处理的数据在某一时间(之前)的存在性,并用数字签名来保证时间标记的完整性与真实性。通过数字证书与时间戳技术在电子病历中的应用,保证了电子病历内容的机密性、真实性及完整性,实现了数据的防篡改,防抵赖功能。通过这样一种形式实现对整个医疗过程和医疗质量的监控,同时保障患者电子病历数据隐私和安全。
2.6 基于云平台的相关安全管理技术措施
云平台下电子病历系统可采用信息安全防护技术包括:
(1)运用隔离、检测、杀毒技术,在运行电子病历系统的客户端电脑系统上安装防火墙、病毒扫描软件和杀毒软件,拦截木马、病毒等恶意程序,及时发现和查杀病毒、漏洞、木马等,避免数据遭到破坏和丢失。与加密技术一起形成多层技术保护体系,加强防护等级。
(2)运用操作日志记录技术,系统自动记录调阅、修改、删除电子病历系统数据等行为的时间、人员及相关操作痕迹,方便责任追究,也利于电子病历系统数据的恢复和还原。
(3)运用软件系统漏洞修补技术。无论是新旧操作系统、信息系统,都会不断出现系统漏洞,要及时进行升级、纠错和安装修补软件。
(4)最后,还要对存储在本地和云计算平台上的电子病历系统数据库数据进行安全备份与容灾管理,包括本地备份和异地备份,可有效保障数字信息安全。本地备份利于发生意外时的数据及时恢复,异地备份利于发生自然灾害或者火灾等灾后数据恢复。本地和异地备份相互协作,组成数据保存双保险。使用这一方法,数据万一遭到破坏,还可以启动备份恢复机制,确保云平台服务的持续性。
3 结语
综上所述,在电子病历安全管理中,云计算具有重要的作用,需要发挥技术人员的有效管理与安全控制技能,不断对云计算进行改进与完善,切实发挥出电子病历的作用,进而为医院建设作出应有的贡献,促进整个行业的发展。
参考文献
[1]石峻峰,李广都.云计算环境下电子病历管理探究[J].医学信息学杂志,2015, 36(01):19-22.
[2]石峻峰,李茜倩,毕建新.云计算环境下电子病历一体化管理初探[J].中国医院管理,2015,35(02):44-46.
[3]王琳.电子病历的安全管理策略分析[J].当代医学,2013,19(07):17-18.
[4]周耀林,黄灵波.电子病历档案安全管理探析[J].档案与建设,2013(03):20-22,32.
作者简介
黄兵(1977-),男,大学本科学历。现为右江民族医学院附属医院工程师,主要从事医院信息系统管理与研发方面工作。
作者单位
右江民族医学院附属医院 广西壮族自治区百色市 533000