詹 庆

(无锡市精神卫生中心，江苏 无锡 214151)

随着信息化进程的不断推进和深入，信息系统被广泛应用于各个领域，尤其是在医疗领域中的广泛应用，凸显了信息系统的重要性[1]。医疗信息系统的使用者、管理者均提高了对医疗信息安全的重视程度。由于无意或恶意的不当操作造成的破坏以及信息系统的重要性、信息系统的脆弱性、计算机网络的开放性，增加了医疗信息系统的风险，对医疗信息安全产生威胁[2-3]。救护车车载计算机医疗信息是指在120救护车或其他急救设备中安装的医疗救护型计算机系统中保存的医疗信息，其包括病人的生命体征、医疗数据等。在户外使用医疗急救设备时，一般只能连接到公共网络，救护车车载计算机易遭到入侵，导致其中的信息不准确或被篡改，因此需要对医疗信息的安全等级进行评价。由于当前医疗信息安全等级可靠性评价方法存在指标合理度低和评价准确率低的问题，因此需要对医疗信息安全等级可靠性评价方法进行研究[4]。

王华昕等[5]提出基于改进灰色聚类的医疗信息安全等级可靠性评价方法，该方法通过层次分析法在医疗信息特征的基础上构建可靠性评价指标体系，结合信息熵理论和去量纲理论确定评价指标对应的权重，改进常规化权函数；结合灰色聚类评价方法构建医疗信息安全等级可靠性评价模型，实现医疗信息安全等级的可靠性评价。但是该方法选取的指标临界比率值较低，指标存在异常。王姣等[6]提出基于DS(dempster-shafer)证据理论和模糊集的医疗信息安全等级可靠性评价方法，该方法在信息安全等级评估要素和流程的基础上构建评价指标体系，确定医疗信息安全风险影响因素，专家对各影响因素的评价意见可以通过高斯隶属度函数计算，在基于权值分配和矩阵分析的融合算法中引入DS理论，通过贝叶斯网络模型实现医疗信息安全等级可靠性的评价。但是该方法得到的评价结果与实际不符，存在评价准确率低的问题。魏明桦等[7]提出基于模糊校正的医疗信息安全等级可靠性评价方法，该方法在三角模糊函数的基础上建立专家模糊评价指标，通过加权DS证据推理对评价指标进行校正，建立可能性特征矩阵和损失特征矩阵，利用深度时序网络实现医疗信息安全等级的可靠性评价。但是该方法选取评价指标时考虑的因素较少，存在指标合理度低的问题。

为了解决上述方法中存在的问题，本文提出了新的救护车车载计算机医疗信息安全等级可靠性评价方法。

1 资源分布模型

从安全保障的角度医疗信息系统包括系统运行环境、客体和主体三要素。客体包括医疗数据、软硬件设备和计算机网络等；主体通常是指使用医疗系统资源的操作者；系统运行环境是客体和主体共存的空间。系统运行环境、客体和主体通过相互作用和联系构成统一的医疗信息系统整体。

根据医疗信息系统的控制程度以及医疗信息的输入、传输、处理和存储等不同操作，来划分医疗信息流经过的区域[8]。医疗信息系统中的信息传输过程如图1所示。

图1 医疗信息系统中信息传输示意图

医疗信息在资源分布模型中的风险域主要是接收方处理终端B、信宿F、信源Y、接收方局域网、发送方处理终端A、接收方网络边界、发送方局域网、公共网区域和发送方网络边界，将上述风险域设为ω1,ω2,…,ω9，设Ω为风险域构成的集合，其表达式如下：

Ω={ω1,ω2,…,ω9}

(1)

(2)

9个风险域在医疗信息资源间的差异如下：

1)医疗信息资源。

医疗信息资源是其使用者实施医疗信息管理和实现医疗功能的出发点，包括医疗信息体、医疗信息存储设备。

客体包括医疗信息系统的使用者、管理人员、维护人员以及系统专业人员，其表达式如下：

s={S1,S2}

(3)

式中：s为医疗信息源客体集合；S1为可控信息源；S2为不可控信息源。

运行环境通常为救护车、紧急救援场所、应急处置场所等可控环境，其表达式如下：

E={Ei}

(4)

式中：E为可控运行环境的集合；Ei为所有可控环境。

2)医疗信息处理终端。

用户进入医疗信息系统的区域或连接点即可作为医疗信息的一个处理终端，主要包括以下元素：医疗信息体、医疗信息输入输出设备、医疗信息服务软件、医疗信息处理设备、医疗信息传输中间件、医疗信息存储设备、Web浏览软件、计算机操作系统、Web服务发布软件、医疗信息传输媒体、电子邮件管理软件和医疗信息数据库管理软件等。

3)局域网系统。

局域网系统是网络用户进行信息共享与处理的平台，主要包括医疗信息体、医疗信息传输媒体、TCP/IP协议、网络互联设备、网络操作系统等。运行环境包括有线、无线连接等可控网络。

4)网络边界。

网络边界是指外部网络与内部网络之间的区域或连接点，其客体主要包括医疗信息体、医疗信息传输媒体、TCP/IP协议、网络互联设备、网络操作系统等[9]。

不可控环境也存在于医疗信息系统的运行环境中，主要包括公共网络区域和医疗信息户外传输媒体等。

5)公共网络。

公共网络包括无线接入网、公用电话网和互联网三类，也被称为外部网络，是各类医疗信息流在系统中的传输载体，医疗信息在公共网络传输过程中会形成虚拟信道或通道[10]，公共网络中存在的资源如下：医疗信息体、网络互联设备和医疗信息传输媒体。运行环境包括公共网络区域、户外传输媒体等不可控环境。

2 医疗信息安全等级可靠性评价方法

2.1 可靠性评价指标体系

根据医疗信息安全等级保护的需求，从管理、保障建设、战略三方面构建医疗信息安全等级可靠性评价指标体系，如图2所示。

图2 医疗信息安全等级可靠性评价指标体系

2.2 可靠性评价模型

采用数学模糊理论构建医疗信息安全等级可靠性评价模型，完成评价方法研究，通过下述步骤实现医疗信息安全等级的可靠性评价。

1)对评价对象的数学模糊因素论域进行确定，并划分论域，获得S个子集，其表达式如下：

(5)

式中：U为评价对象的数学模糊因素论域；ui为单因素模糊综合评价因子，i为因子数量。

2)设V为评语等级论域，可以通过V确定单因素模糊综合评价因子ui，V的表达式为：

V={v1,v2,…,vm},m∈i

(6)

式中：m为评价级别数量。

3)设Ri为对ui评价时获得的评价结果，构建医疗信息安全等级可靠性单级模糊综合评价模型：

Ai·Ri=(bi1,bi2,…,bim)·Bi

(7)

式中：Ai为单级模糊向量；Bi为综合模糊向量；bim为综合模糊因子。

4)通过单级综合评价模型确定隶属度关系矩阵R：

(8)

5)确定ui对应的模糊向量A，其表达式如下：

A={a1,a2,…,ai}

(9)

式中：ai为模糊向量因子。

6)根据确定的模糊向量，在单级综合评价模型的基础上确定二级综合评价模型：

A·R=(b1,b2,…,bm)·B

(10)

式中：B为二级综合模糊向量；bm为二级综合模糊因子。

利用二级综合评价模型完成医疗信息安全等级可靠性评价。

3 实验与分析

为了验证本文所提方法的有效性，对其进行测试，本次测试在Mulan平台中完成。通过临界比率值验证本文方法、文献[5]方法和文献[6]方法的指标合理性，临界比率值小于2表明指标合理，临界比率值大于等于2表明指标存在异常，3种不同方法的测试结果如图3所示。

图3 3种方法的临界比率值

由图3可知，本文方法在多次迭代中获得的临界比率值均小于2，文献[5]方法和文献[6]方法在多次迭代中的临界比率值均高于2，由此可见，本文方法选取的评价指标合理度较高，这是因为本文方法是在资源分布模型的基础上选取医疗信息安全等级可靠性评价指标，大大提高了评价指标的合理性。

为了进一步验证本文方法的有效性，对本文方法、文献[5]方法和文献[6]方法进行评价准确率对比测试，结果如图4所示。

图4 3种不同方法的评价准确率

由图4可知，在多次迭代中，本文方法的评价准确率均高于文献[5]方法和文献[6]方法，这是因为本文方法通过模糊综合评价法，在信息安全等级保护的基础上实现医疗信息安全等级的可靠性评价，从而提高了本文方法的评价准确率。

4 结束语

在各医疗单位中，信息安全等级保护是一项较为重要的日常工作，在信息安全等级保护工作中医疗信息安全等级可靠性评价是重要的环节。本文提出的救护车车载计算机医疗信息安全等级可靠性评价方法推动了医疗信息安全等级保护工作的开展，解决了当前方法中存在指标合理度低、评价准确率低的问题，提高了计算机医疗信息的安全性。