电子病历档案管理中存在的安全风险及防范方法

2017-06-05劳颖琨

中国卫生产业 2017年11期

关键词：病历档案管理信息

劳颖琨

桂林医学院第二附属医院医院办公室，广西桂林 541002

电子病历档案管理中存在的安全风险及防范方法

劳颖琨

桂林医学院第二附属医院医院办公室，广西桂林 541002

近年来信息网络技术在我国飞速发展，已经渗透到各行各业信息管理工作中，包括各级医疗机构，主要体现在电子病历档案管理方面。随着电子网络科技技术的深入改革和使用，信息安全问题不断成为人们关注的焦点，为了探索保障电子病历档案的保密性、安全性的有效办法，该文以电子病历档案管理中存在的安全风险为着眼点，深入研究了常见安全问题及采用的防范措施。

电子病历档案；安全风险；防范措施

病历档案包括了患者基本信息以及接受各项治疗记录的汇总信息，医疗人员通过它可以快速了解患者病情发生、发展、治疗以及治疗效果等全面的医疗信息。随着电子病历档案信息需求的不断提升，相关管理中的安全问题逐步浮出水面，该文围绕电子病历档案管理中存在的安全问题进行了详细分析并针对性提出了相关防范举措。

1 电子病历档案特征

日常就医中患者使用电子病历档案的频率日益增加，大大提高了医护人员办公效率。电子病历档案信息不同于传统纸质病历，它存储在电子存储设备中包括各种内外存储设备例如U盘、硬盘等，同时可以实现快速的数据传输和共享，可实现快速编辑功能。其优越性和特点主要体现在以下几个方面：首先根据电子档案信息同传统纸质档案一样具有真实有效性，不会因为存储形式的改变而影响电子档案的内容；其次电子档案信息完整可靠，不会因为多次使用产生变化，可以保证正常多次读取[1]；最后电子档案信息具有同纸质一样的法律效应，其中包括了数字签名和数字证书的使用，确保信息和存储介质的完整有效。根据电子病历档案的基本特征可以从以下几个方面着手提高对档案信息的保护：首先从电子档案信息的建立、使用和存储进行全面的安全保护；其次通过提高档案信息的存储介质安全性提升对档案信息的保护管理；从档案信息的具体内容为出发点，确保档案信息正常、顺利使用。

2 电子病历档案管理中存在的安全问题

随着电子病历档案的普及，已经成为就医过程中必不可少的工具，那么档案信息的安全使用和存储就成了首要问题，调查显示越来越多的医疗结构开始关注电子病历档案管理中存在的安全问题。

①电子病历档案数据传输安全。电子病历档案数据的共享和传输需要借助网络完成，在享受网络数据传输带来的便利的同时也发现了很多风险因素。当下基于网络的访问用户管理中仍存在较多安全隐患和漏洞，容易为黑客所利用，对数据的安全构成威胁。

②电子病历档案用户访问安全。电子病历档案数据在共享过程中涉及到不同用户的访问权限问题，如果访问权限设置不恰当必然给档案数据安全带来潜在风险，甚至出现数据的越级访问。这样必然降低了电子病历档案数据的安全监控力度，从而引发数据非法访问、非法篡改等安全问题，严重的直接导致数据丢失或者访问失效[2]。

③电子病历档案存储安全。常用的电子档案以办公文档格式被存储，因为它存在的格式具有通用性，很容易在存储过程中被编辑，因此如果不经过加密安全访问处理，势必在存储过程中被恶意删除或者修改，从而威胁档案数据的安全。

3 电子病历档案管理防范方法

3.1 完善电子病历档案安全管理规范

各级医疗机构根据各实际需求，依据相关法规制定操作性较强的档案管理规范，具体包括设备管理规范、信息系统操作指南、数据访问权限设置办法、网络安全控制措施、密钥使用管理制度、计算机安全使用条例等。

3.2 科学整理和存储电子病历档案

依据制订的电子病历档案整理制度对确定归档的档案进行汇总、整理，以数据集合的方式合并归档，并选择存储功能较好的介质作为存储载体，按照一式三份的原则进行存储。存储过程中注意存储介质的区分，根据信息类别和数据重要程度等标准进行归类，以便于日后快速检索和查询，具体电子病历档案安全归档、存储要求可以参照下表1所示。

3.3 强化计算机网络系统保护

一方面对计算机等硬件设备进行全面保护，最大限度减少或者避免人为、不可抗力等因素对设备造成的损坏。在医院日常的信息系统建搭建和维护中加强系统安全工作的建设，确保信息安全举措渗透到信息系统中的每个业务模块，以确保计算机网络能够抵御外界恶意攻击。另一方面对于计算机控制中心安全运行进行有效的监控，非工作人员禁止入内，借助数据备份和其他容错技术对系统主机、电源、通信设备、存储媒介等机房各类设备进行保护。

3.4 提升电子病历档案存储管理

各级医疗机构都有各自的档案室，并配有专职人员对档案进行定期检查和管理。一方面要创造良好的外界存储环境，严格控制档案室的温度、湿度等指标，最大限度延长数据存储介质的使用年限，一般而言我国标准档案室温度控制在14～24℃为最佳范围，室内的相对湿度介于45%～60%，只有这个区间的温、湿值最有利于电子存储介质的存放[3]。考虑到我国各地区四季气候交替带来的温度、湿度的变化，通常需要借助恒温装置和通风设备人为控制档案室的存储环境使得其各项环境指标处于最佳状态。此外归档后的档案数据后期查阅和使用时，要由专业人员取放，使用人员严格按照相关使用规范对数据进行读取和访问，避免各种人为使用给存储媒介造成二次损伤。比如在取数据光盘时不得碰触光盘数据区，使用完毕后第一时间将光盘放回原有存储位置，最大程度减少灰尘、汗渍、指纹对光盘数据区造成的污染。

3.5 健全网络传输环境

调查显示，大多数医疗机构的电子病历档案信息仅限于内部网络的传输和共享，即使如此档案数据仍不可避免的受到外部网络的威胁。随着信息化程度的不断加深，电子病历档案中的一些信息需要接受外部网络访问，以便于更好地服务于患者和大众，在这种环境下如何有效保障数据安全主要借助以下两个常用的网络技术解决：①网络入侵检测技术。入侵检测技术就是收集网络系统中多个关键点信息，并按照一定逻辑进行分析，及时地探索与安全办法相冲突的操作行为，对错误或者越权访问等异常现象进行报警处理。该网络技术相比其他技术较突出的特征即为主动发现问题，通过对网络系统的各项行为进行实时监测，对异常数据和行为日志进行分析和上报，有效发现恶意访问，防范恶意入侵行为，最终确保电子病历档案信息在网络中的安全传输和使用。②虚拟专用网技术。简称VPN技术，它相对于公共网而言是一条稳定、可靠的网络传输通道，具有临时性，在传输过程中对数据进行加密处理，达到相对安全的传输目的。电子病历档案信息区别与其他公开的个人信息，具有一定的私密性，为了确保档案信息传输和共享过程中真实、有效、安全，VPN技术是首选。借助虚拟专用网服务器，将病历档案信息隔离，通过访问权限的设置和CA认证技术使得数据被合法用户安全的访问，而不受外网用户的恶意攻击。同时VPN技术相关费用经济，安全性高，是提升电子病历档案安全管理的有效手段[4]。

3.6 有效保障电子病历档案信息安全

电子病历档案数据的安全直接关系其法律效用，数据安全性一方面是保证数据没有被恶意篡改，另一方面是从加密处理提升病历档案信息的保密性。当前常用的数据安全技术主要包括以下4个方面：①指纹识别。是指以人体手指指纹等细微差异来识别用户身份的技术，由于不同人的手指纹路各不相同具有排他性特征，依据这一特征可有效地提升身份鉴别效率。利用指纹技术进行权限管理操作简单、成本低廉，是提高电子病历档案信息安全性的有效手段。②数字签名。又称公钥数字签名或者电子签章，它借助公钥加密技术得以实现，是网络鉴别技术中常用的身份认证方法。可以及时发现数据伪造、变动、假冒等问题，因此数字签名技术对电子病历档案信息建立、传输和使用过程中恶意篡改行为起到有效的预防作用。③第三方存储技术。是指医疗机构和访问用户以外的第三方机构对电子病历档案信息进行存储的行为，该存储模式下，各级医疗机构定期上报需要存储的电子病历档案信息，同时第三方不可对数据做任何修改。由于法律对病历档案信息的认可范围停留在医护人员亲笔签字的纸质档案阶段，因此依靠第三方存储可以确保电子病历档案信息的真实、可靠性。因为第三方数据存储机构是在医疗机构和用户之间的中立方，因此具有相对公平、中立的特点，可以有效保障电子病历档案数据的安全性。④数据备份技术。数据备份技术是常见的网络数据安全保障技术，当操作系统出现各种故障出现数据丢失或者损坏时，利用备份技术将所有或者部分数据由主机存储介质中拷贝到其他存储媒介的操作。为了切实提高电子病历档案信息的安全，建立数据备份是必要的措施。数据备份主要包括动态和静态两种形式，其中动态备份是指通过对系统设定，实现数据实时存储；静态备份是指在原数据不变的情况下人为控制完成备份操作的备份方法。各级医疗机构根据自身需求合理选择数据备份方法，以确保档案数据信息的安全。