医院信息安全应急管理系统设计及应用研究
2022-08-31刘宇枝孙波
刘宇枝 孙波
摘要:为了提高医院信息服务管理水平,加强信息安全管理的同时,对于一些紧急事件能够采取及时处理,本文提出一种信息安全应急管理系统。该系统利用J2EE架构和XML技术,构建由用户层、业务层、数据层组成的框架结构,通过调用数据库识别安全威胁行为和系统故障状况。测试结果显示,本系统可以在不同情境下准确识别安全和故障问题,支持自动应急处理,系统运行状况良好,可以作为医院信息管理工具。
关键词:应急管理;信息安全;J2EE;XML
中图分类号:TP311 文献标识码:A
文章编号:1009-3044(2022)17-0030-03
近年来,我国医疗领域发展速度较快,借助先进的医疗设备,大幅度提升了医疗水平[1]。其中,医院信息作为病理分析和治疗策略拟定参考依据,需要加强信息安全管理,才能够为避免医疗成果篡改、泄露等问题产生提供安全保障[2]。目前,大部分医疗机构为了保护院内医疗信息,开始着手探究信息内容安全管理,按照员工岗位级别不同,结合工作需求,为其赋予不同操作权限[3]。这种管理方式虽然在一定程度上提高了医院信息系统访问安全性,但是缺少信息安全突发事件处理,导致医院信息系统遭受安全威胁[4]。为了弥补这些不足,本文提出针对医院信息的安全应急管理系统设计研究。
1 系统架构设计
本系统选取J2EE作为系统框架设计工具,打造多层次业务体系,引入XML技术,严格按照业务知识管理标准,交换各个层次中业务信息,确保信息安全性,为医院信息安全应急操作提供便利条件[5]。该系统中信息安全管理建立在隐知识和显知识的相互转化,采用组建方式进行信息保存,通过XML解析和执行,为用户提供各种操作逻辑下的信息安全应急服务。系统架构体系如图1所示。
该系统主要由三个层次构成,分别是用户层、系统功能层、系统数据支撑层。其中,用户层作为系统操作终端,用户根据操作需求,从该层次输入医院信息访问请求。该层次支持多用户同时操作,按照访问先后顺序,分别对各个用户的访问需求进行识别与服务。系统功能层是为用户提供服务的层次,按照医院信息服务业务不同,从系统数据库中匹配到相应数据信息,为用户提供信息服务。系统数据支撑层位于系统最底层,由业务知识经验数据库和系统运行数据库组成,通过XML建立系统功能服务引擎,开启信息服务模式,针对信息安全问题,快速开启应急作业模式,从业务知识经验数据库中调用应急预案,采用预案中的方法加以处理[6]。如果系统数据库中不包含此情况,系统自动找到与之相似的预案作为处理参考依据,同时暂停该用户访问系统。
2 系统功能模块设计
本系统根据医院信息安全应急管理需求,开发6项功能,分别为医院信息应急预案规划管理、信息预案编制管理、信息发布管理、信息维护管理、信息安全访问事件分析管理、信息应急资源管理。
2.1 医院信息应急预案规划管理
该功能模块采用信息访问安全评估方式,对不同信息访问行为风险进行评估,并生成风险分析报告,按照风险评估结果,判断当前访问行为导致医院信息陷入安全威胁的大小。按照安全风险大小和风险类型,归纳预案编制需求,包括安全事件场景、信息安全威胁、应急处理策略。为了尽可能提高系统应急管理功效,本系統增加了预案规划管理环节,通过收集大量信息资料,对当前比较常见的一些信息应急预案进行总结,生成不同的预案类型,同时规划处理这些预案的工作人员、处理时间、任务下达顺序等[7]。只有规划明确,才能够保证系统得以有序运行。
2.2 医院信息预案编制管理
信息预案的编制是安全应急管理系统运行的关键,针对不同安全事件拟定相应解决策略。本系统根据医院信息特点,将所有信息拆分为多个模块,各个模块中分布的信息来自不同科室,以科室为单位进行应急管理,赋予科室高层管理人员修复信息权利和预案编制权利。其中,信息修复是针对系统运行发生故障的处理方法,预案编制是医护人员根据多年工作经验,归纳信息系统运行问题、信息访问安全威胁,同时给出问题处理方法[8]。由于信息系统运行期间遇到的问题和安全威胁存在不可控特性,如果遇到新的信息安全问题,尝试多种方法加以处理后,将该事件编写为预案存入系统数据库。为了提高系统作业效率,本设计方案采用动态更新方式,每间隔1小时自动更新数据库,从而提高信息预案的实效性。
2.3 医院信息发布管理
为了给予用户更好的系统操作体验,本系统增加了信息发布管理功能模块,每当系统数据库结构更新或者医院信息结构发生调整后,都会通过信息发布平台告知用户。用户登录系统后便可以从消息盒子中查看此部分消息,如果对消息中内容有疑问,可以通过发送邮件的方式进行询问。
2.4 医院信息维护管理
系统维护管理是保证系统得以正常运行的功能模块,本系统添加此功能模块,定期对系统运行状况进行检查,对于存在安全隐患或者运行异常的部分,立即采取相应措施加以处理。实际上,本系统的维护管理就是遍历系统功能,观察系统的各项功能运行情况,根据系统作业反馈结果,拟定维护处理方案。本系统设定维护周期为7天,维护时间为6个小时,即每周日24点至次日6点作为系统维护时间段,此时间段内禁止访问系统。
2.5 医院信息安全访问事件与系统运行状态分析
该项功能模块主要起到信息安全识别作用,分别对当前信息访问安全性和系统作业故障状况进行识别,根据识别结果,采取相应管理措施。该项功能模块的运行建立在“医院信息预案编制管理”功能模块基础上,按照该功能模块中编写的预案内容,判断当前安全访问事件类型及安全性,生成判断结果,为应急资源管理提供参考依据。另外,本功能模块还支持系统运行状态诊断,采用同样的方法,根据“医院信息预案编制管理”模块作业结果进行诊断。
2.6 医院信息应急资源管理
为了提高医院信息安全管理,本系统针对安全威胁事件,拟定应急资源管理方案。该方案依靠通信平台和互联网平台,向信息安全管理负责人发送安全应急消息。其中,应急消息发送方式有两种,分别是短消息发送、线上操作提示。系统将应急管理需求消息发送方式进行了优化,为医院信息资源管理提供了便利条件。该管理功能模块针对系统访问安全威胁、系统故障两种状况进行管理,采用如图2所示的应急管理流程对两种状况采取有效管理措施。
输入事件信息后,系统将自动识别应急事件类型,包括安全威胁事件和系统故障事件,根据事件类型不同,分别采取相应处理方法。其中,两种事件处理思路相同,都是通过调用系统数据库,识别事件的类别,然后采取相应处理方法。
(1)安全威胁应急管理:通过调用系统数据库中的安全威胁预案数据信息,将输入事件信息与之比对,识别该事件属于哪一种预案类型,同时判断符合该类型中的哪种事件场景等条件要求。经过一番遍历后,得到识别结果。按照此结果采取威胁处理方法,而后重新提交应急事件存在与否判断功能模块。
(2)系统故障应急管理:采用同样的方法,调用系统数据库,找到与当前事故相匹配的故障类型,根据数据库提示的处理方法,开启自动修复模式,等待系统功能恢复即可。
经过威胁处理和系统自动修复处理后,判断当前不存在应急事件,则重新开启系统访问窗口,为该用户提供医院信息服务,反之,继续寻找事件,根据事件归属情况,采取一定措施加以处理。
3 系统数据库设计
本系统选取SQL Server数据库作为数据库开发工具,在此环境下创建5类实体,存储在不同文件夹中,每一个文件夹用来存储相应实体信息,根据事件分析及处理操作需求,打造如图2所示的数据库实体关系。
该设计方案根据各个实体之间的关系,用“1”“M”“N”来建立关联关系,在不同条件下匹配实体关系,从而打造完整的实体体系。
4 系统测试分析
本次系统测试在Web环境下,输入事件信息,用来模拟不同访问和系统操作行为,通过观察系统预案识别情况与应急管理结果,判断本系统设计方案可靠性。以下为本次测试输入的4种事件信息:
(1)访问行为疑似盗用医院机密文件,当前系统运行正常。
(2)系统信息查询功能发生故障,无法根据关键词,调用数据库信息。另外,当前访问行为无安全威胁。
(3)访问行为疑似盗用医院机密文件,系统当前用户权限管理能力发生故障,存在较大安全隐患。
(4)无安全威胁访问行为,同时系统作业正常。
将上述4种事件信息分别输入系统中,统计测试结果如表1所示。
4组测试中包含了不同情景,从统计结果来看,本系统支持不同情景下的预案识别与系统故障识别,能够准确得出识别结果,通过调用系统数据库,自动生成应对策略,并开启自动处理模式,使系统得以恢复到正常作业状态,符合医院信息安全应急管理需求。
5 总结
本文围绕医院信息管理问题展开探究,以信息安全管理事件和系统作业故障为例,探究应急管理系统设计及方法。该系统采用J2EE工具开发系统框架结构,引入XML技术,打造层次化的服务体系,以此提高医院信息服务质量。为了提高系统访问安全性和稳定性,本文设计了6个功能模块,用来解决安全访问和作业故障问题。测试结果显示,本系统能够准确识别信息安全威胁行为和故障状况,支持自动恢复。
参考文献:
[1] 林剑峰,吴孚辉.基于“互联网+智慧应急”的电力安全应急管理信息化研究[J].企业管理,2019(S2):162-163.
[2] 秦智超,岳兆娟,田辉.应急管理网络信息体系中的内生安全機制设计[J].中国电子科学研究院学报,2019,14(12):1233-1241.
[3] 彭玉敬,刘传安,郜彤,等.煤矿企业安全风险防控与预警系统研究[J].煤炭技术,2019,38(3):184-187.
[4] 彭妮娜.拥挤踩踏事故防范与应急管理系统框架设计[J].消防科学与技术,2019,38(9):1326-1328.
[5] 裴欢,赵伟.南京地铁“安全管理一体化”信息系统建设探讨[J].中国安全生产科学技术,2019,15(S1):26-33.
[6] 王景春,林佳秀,张法.基于ISM二维云模型的应急管理协同度研究[J].中国安全生产科学技术,2019,15(1):38-44.
[7] 张新伟,禹傲然,张培红.城镇油气管道事故应急疏散决策优化[J].中国安全生产科学技术,2019,15(12):143-149.
[8] 王志英,邓航宇,王念新,等.问答社区信息安全突发事件应急知识传播模型研究[J].情报杂志,2019,38(10):136-145.
收稿日期:2022-02-10
作者简介:刘宇枝(1982—),工程师,本科,研究方向为信息安全设计与实施;孙波(1984—),男,陕西渭南人,工程师中级,本科,研究方向为网络及网络安全。