1.1 数字化医院建设分析
人类进人21世纪后,传统的医疗模式已经越来越不能适应信息化、智能化时代的飞速发展.数字化医院作为一种全新的医院管理模式与理念,通过信息化与智能化技术的融合,改善医疗环境,提高医院服务水平和效率,促使医疗服务从形式到内容上发生结构性变化,进而达到经济与社会效益的双赢.
数字化医院是由医院建筑智能化、数字化医疗设备、医院信息系统有机结合而成的三位一体的现代医院运营体系。在新一轮的医院变革历程中,数字化已被明确定位为变革的重要环节.而信息化技术与楼宇智能化技术的快速发展,也为数字化医院的建设奠定了坚实的技术基础。越来越多的医院正致力于楼宇智能化与业务数字化的建设,以期改进就医环境、优化流程、提高效率、降低成本、整合资源,提升患者满意度,向“以病人为中心”的现代化服务型“医疗中心”转变。数字化医院建设正越来越成为增强医院竞争力与创新力的关键行为,医院信息化应用与建筑智能化的逐步融合必将成为医院,尤其是大中型医院业务发展前进的有效驱动力。
数字化医院的规划与建设包括了智能技术、信息技术、数字影像、设备集成、电子医疗、临床应用、生物信息化、远程医学、辅助医疗等多个学科体系,其建设基础是适应信息化发展要求的数字化医院整体规划下的楼宇建筑智能化,在智能化的基础上建立医院信息系统,支撑医院的正常运作,以期不断创新优化医疗流程和模式,提升医院服务品牌。
数字化医院的技术核心是智能化与信息化的集成融合,它将改变目前医院智能化楼宇与信息化独立建设、各自为政的局面,信息系统在兼顾医院业务的同时,也将充分整合楼控、安保、电力、暖通、消防等系统,集成优化系统资源,提高医院各系统的协同能力。其特点是“四化\" :建筑智能化、流程数字化、管理规范化、信息集成化。确立了“大力推进信息化建设,着力构建数字化医院”的跨越式发展战略目标,全面推进信息化建设,能医院整体效能的最大化。信息化建设也为医院跨越式发展提供了基础,为现代化管理提供了平台,为改革创新提供了手段,为医院腾飞插上了翅膀。所以,我们也把数字化医院建设称作为信息化医院建设。
- 1 -
1.2 新医改政策对医院信息化的要求
1.医改中关于卫生信息化的总体要求
新医改对卫生信息化的目标是建立实用共享的医药卫生信息系统.提出要统一、高效、互联互通的目标。加快医疗卫生信息系统建设,完善以疾病控制网络为主体的公共卫生信息系统,提高预测预警和分析报告能力;以建立居民健康档案为重点,构建乡村和社区卫生信息网络平台;以医院管理和电子病历为重点,推进医院信息化建设;利用网络信息技术,促进城市医院与社区卫生服务机构的合作. 2.新医改下,医院信息化新需求
医疗卫生服务体系的变革带来区域化和集团化的趋势。医院将不再是传统意义上的单个医院,将成为一个医疗服务体呈现出区域化、集团化的发展趋势。3~5年内,这个趋势将成为现实.既然是区域化和集团化,这里面就有区域医疗资源的整合,就会有城市医院和社区的合作,城市支援农村。要求医院既要考虑自身的信息化,而又不能单独考虑本院,要考虑一个集团,考虑一个区域,眼光要扩大。医院面临很多管理部门,管理部门的变革也会带来外部需求的复杂化和多元化。以医疗保险为例,医保部门提出精细化、标准化管理的口号,带来的审核就日益严格。同时药品管理部门,包括基本药品目录的实施里面有非常重要的一条,要加强药品使用的监测,将对医院药品的使用情况进行更加严格的监管。
卫生部医疗服务监管司成立以后,非常强调要通过信息系统来加强医疗服务质量的监管,要开展绩效考核,开展管理评价,势必对医院信息系统提出更高的要求。医院应对严峻的经济形势带来管理的精细化、标准化。更加注重成本控制,成本核算系统与物资采购系统成为热点;更加注重提高效率,优化流程,客户服务系统,和临床路径应用.
3.医院信息化顺应策略
架构方面,原来医院内部的模块是紧耦合的,从数据库到数据库有很多的接口。现在面临外部这么多复杂的变化,而且同时面临着区域化的前提,基于外部信息,区域信息共享的前提下,基于管理要求日益复杂的情况下,要求我们的架构必须松耦合,并建立一个整合平台。
标准方面更加注重国际标准和行业标准。原来可能是一家医院埋头做自己的系统,可能对标准不是非常重要。现在要考虑区域,要考虑很多外部的管理要求,这种情况下
- 2 -
不得不更加注重标准化,不能只考虑自己医院的建设。
应用方面,从医院来说要加强成本核算系统和物资采购系统,这是经济的命脉。再就是以临床路径为导向的电子病历,这是必然的趋势。
1.3 当前医院信息化建设过程中存在的“痛\"
在医院多年的信息化建设过程中,由于受经验不足、技术更新、医疗政策调整、经营环境变化等因素的影响,暴露出了一些急待解决的问题:
由于医院信息化建设初期的不成熟和历史的原因,许多医院信息化建设缺少总体规划
和统一标准,导致医院的诸多系统由不同厂商的产品和服务构成,进而出现了“信息孤岛”的现象.
医院的决策者、业务科室和患者对医院的管理、业务和服务提出了更新更高的需求,
对在用系统的扩展能力和适应性提出新的挑战,针对系统的更新和改造,带来了原系统的资源保护和再利用等问题。
外部环境的改变,使医院与分院、门诊部、卫生主管部门、医疗保险保管理部门、社
区卫生之间的协同及信息交换需求越来越频繁,而原系统却无法适应变革需要。
1.4 国内医院信息化未来发展趋势
在新医改和市场化的影响下,医院开始专注于改善医疗服务质量、提高业务运营效率、加强内部管理、降低运营成本,以提高医院竞争力。坚持社会效益为第一位;通过提高社会效益来提高经济效益;通过提高经济效益,增进经济实力,扩大再生产和发展医学科学技术,进一步提高社会效益,这已成为医院生存与发展的战略问题。
医院在信息化发展中要关注以下内容:
1. 临床信息化建设仍是重要任务,以病人为中心、临床为核心,更多专注于改善医院的
医疗服务质量、提高医护质量、提高医学治疗的效率和水平,方便病人就诊。 另外,医院信息化的深入将带动医疗管理模式的转变: 静态管理→动态管理; 终末管理→环节管理; 手工管理→自动管理。
2. 为了更好的提升市场的竞争力,应加大医院信息化在医疗管理、人事管理、财务管理、
物流管理等管理层面的深度和广度,为医院管理与决策提供科学的、有效的技术支撑,
- 3 -
同时在医院内部加强管理、提高效率、降低成本,以提高医院竞争力。
3. 医院信息化建设过程中,能够更好适应未来医院信息化发展需要,信息技术最好选择
当前主流技术,同时系统设计应具有开放性、灵活性、可扩展性、安全性、易用性等特性,使其符合医院的业务需求改变、流程优化等需要。
4. 医院信息化向着集成化方向发展,在医院内部实现临床、检查、检验等信息集成,同
时与疫情上报系统、银行、医保等外部系统间的集成,实现病人信息的快速传输和高度共享.
5. 医院信息化开始关注安全问题,医院信息系统的高可靠性、高稳定性和安全性的是头
等大事。
6. 医院信息化发展需要统一的标准规范的支持,国家卫生部2002年4月最新版《医院信
息系统基本功能规范》 ,还应考虑HL7、DICOM3、SNOMED、XML、ICD—10、医院基本数据集等相关标准。
7. 与实力强的供应商寻求全面的合作,为医院信息化可持续发展打下坚实的基础。
- 4 -
2 数字化医院项目理解
2.1 建设目标、原则及内容
2.1.1 全力打造服务型“医疗中心”
医院信息化建设是建立全面的管理信息系统和临床信息系统,用最新的最先进的IT技术对全院的信息资源(人、财、物、医疗信息)进行全面的数字化,优化和整合医院内外相关资源为临床及管理服务,提供先进的,便捷的,人性化的医疗服务;同时建立区域的健康信息服务平台,提高本地区的医疗服务水平,提高医院的整体经营效益与社会效益,实现医院的同质化管理,打造现代化的数字医院。将医院打造成南疆乃至全疆的典型化数字医院和“医疗中心”,具体实现以下目标:
1. 人性化:医院信息化建设应本着以病人为中心的原则,在系统的每个细节设置都应体
现人文关怀,考虑如何设置才能更加的方便患者,方便业务人员,更加人性化. 2. 集成化:医院信息化建设是由众多不同的系统组建而成,但这些系统必须进行统一的
集成,不能出现信息孤岛现象.
3. 智能化:医院信息化建设中,应突出智能的特点,减少人工环节,增强自动化的程度,
增加辅助支持的功能。
4. 无纸化:医院信息化建设中,通过电子处方、电子病历、电子申请单、电子报告、电
子办公、综合统计分析等应用建设使医院各级业务操作逐步走向无纸化。
5. 无胶片化:医院信息化建设中,通过实施医学影像信息系统,建立医院放射科数字阅
片中心和诊断工作站,临床中心数字阅片室,医生影像浏览工作站等实现全院无胶片化临床模式和管理模式。
6. 无线网络化:医院信息化建设中,通过建立无线网络,使用笔记本、平板电脑、PDA、
无线病情跟踪器等无线设备实现医生护士查房,库房管理,病人病情跟踪等等,不受空间限制。
2.1.2 通过信息化建设“同质化”管理医院
1、提高各部门的工作效率和质量.
医院信息化后,可大幅度提高各部门的工作效率和质量,减轻各类事务性工作靠手工操作的劳动强度。同时简化了患者的诊疗过程,优化就诊环境,改变通常“排队长、等候久、秩序
- 5 -
乱\"的局面,减少病人就医时冗长的无效等待时间。目前多数医院就诊必须经过挂号、等病历、划价、收费、取药或治疗等一系列过程。其产生的社会效益和间接经济效益是显而易见的,实现了以病人为中心的服务思想。另外资料精确度的提高使医院在财务、划价、下医嘱等环节人为造成的错误率降为零,使医务工作人员能够腾出更多的精力和时间服务于病人,保证病人经济利益的同时也为医院创造了经济效益。
2、深入挖掘数据,消除信息孤岛.
医院信息化系统的建设能对数据进行有效整合与挖掘,通过建立统一的标准,减少数据的冗余采集与存储,通过标准化与规范化建设,实现数据信息的有效交换与共享,彻底消除信息孤岛的存在。
3、有效地缓解病人“看病难、看病贵”的问题.
无纸化、看病和病历资料的网络传输探索,减少了医院的成本和病人的看病费用,特别是医学图像的网络传输,取消了实物的胶片,可减少约60%的成本,给病人带来较大的优惠和无需携带大型病历资料的方便,带来较好的经济效益和社会效益.
4、有效利用信息,增加管理手段。
医疗卫生管理事业的改革与发展,离不开管理手段的改变与提高。信息技术的高速发展,正在逐步改变医疗卫生事业的管理模式,使管理工作由传统的经验型、粗放式管理,向现代化的知识型、集约式方向转变。医疗卫生事业管理的现代化,正是借助于计算机技术、网络技术、通讯技术等信息技术手段。
通过卫生信息系统的建设,可以大量获取医疗卫生日常业务工作中的重要数据,同时通过对这些海量数据进行有效整合,提取其中有用的信息,挖掘其中新的信息,并对这些信息进行综合分析,为医疗卫生事业的各级管理部门提供科学决策依据。
5、优化流程,提高办事效率。
信息化的建设,可以减少或优化一些业务流程,达到减少工作环节、降低人力成本、提高办事效率的目的.如数字化医院可以减少人工划价的收费环节,病人支付医疗费用可以通过直接刷卡或者网上支付,既方便了病人的就医,又可以减少医院的收费人员,达到减员增效的目的.
又如对药品等消耗材料的管理,如果通过手工的方法,就难以做到日清月结式的及时管理。采用计算机管理,并与医生工作站与收费处等连接起来,就能对每天的药品进销存情况进行动态管理,既可以减少药品的流失,又可以减低药品基础库存量,还可以避免因药品的失效而造成的损失。
- 6 -
6、扩展应用,加强信息服务。
通过对医疗信息应用系统的整合与扩展,可以为医务工作者、为市民、为其他有关部门的人员提供更多的信息服务.
医疗卫生技术是一门应用学科,需要医务人员的不断经验积累。而医务人员往往受时间和经历的限制,经验总是有限的,要提高水平就必须尽量吸收别人的经验.医院信息化和数字化医院的建设通过信息服务,能增加医务人员学习他人的机会,包括提供病人完整的电子健康档案、实时的CT等图像检查信息、远程实时会诊与远程医疗、对某一疾病采用最科学、最有效的诊断、治疗手段等。
而对于居民或病人来说,既可以通过医院信息网查阅他们所关心的一些医疗卫生知识与信息,又能保证其就医信息能在各医疗卫生机构共享,不必在不同的医院重新做相同的检查,还能通过网络就直接查询检查检验结果与费用信息。实现病人的连续性医疗照顾、减少重复性的检验和检查。
2.1.3 建设原则
1. 总体架构科学合理、可持续发展
总体架构是整个系统建设的灵魂和基础,总体规划就好比大楼的地基.在总体规划时,需要同时根据IT技术和医院信息化发展趋势考虑系统可持续发展,考虑系统的开放性、扩展性、业务敏捷性等。系统能够适应未来新技术的变化,能够适应未来不断发展的业务,同时也能够支撑医院规模的扩大.系统框架决定了系统将来的扩展、对业务变化的适应能力、以及系统的可持续发展。 2. 标准规范
通过本系统建设,逐步构建基于HL7(国际通用医疗电子数据交换标准),IHE(医疗信息系统集成标准),ICD10(国际疾病分类编码),SNOMED(医学系统术语标准)等医疗行业的标准以及卫生部相关标准规范的规范化信息系统。标准规范包括术语规范、业务规范、技术规范、数据规范、接口规范、运维管理规范等。根据近几年国家相关政策和法规的版本,需要在医院信息化建设中,整合各种标准规范,同时完善升级目前已有系统的规范化建设。 3. 全面数字化
数字化医院是指医院所有业务、管理、决策过程的电子化。包括医疗收费、治疗过程、检查/检验、人事、财务、采购、内部办公、领导决策等。
- 7 -
由于前期系统的建设多为分散式,多点平行建设,在未来的五年建设中需要通过各种信息平台的整合,以实现全面的数字化医院信息系统。 4. 信息共享、互联互通
构建统一的、基于HL7标准的数据交换标准和数据共享平台,具有快速扩展能力和与第三方软件的插件式接口.在医院内部系统之间、内部与外部之间互联互通、信息共享。全面的数字化医院信息系统中各个医护人员均能够通过平台实现信息互享与互联互通,是未来五年信息化建设的最重要的一个建设内容. 5. 组件化、模块化、平台化
系统设计要采用基于SOA(面向对象)的分析设计方法,从原子业务单位开始,逐步提取分析形成业务组件。并且根据系统的开放性、扩展性、安全性、敏捷性等非功能需求,构建所有系统需要的基础组件。将基础组件、业务组件放在一个统一的运行容器中,也就是应用框架中,最后就形成了统一的开发平台。在进行不同模块组合时,需要按照业务特性将组件按需进行组合,模块之间的松藕合。统一平台的建设不仅要实现信息高度共享,同时也是一个开发的平台,信息科和医院可以根据自身的管理需要进行不断的扩展,而不是封闭是平台。 6. 安全可靠
实施统一的身份认证和权限管理.实现单点登陆,多向访问;有限操作,保存痕迹;应用层与基础数据层有访问限制,保密信息与公开信息有严密隔离等安全管理体系;采用数字签名技术确保数据安全.系统能够提供7*24的在线支持能力,满足医院不间断运行,同时在出现紧急情况时,能够很快启动应急方案,确保关键业务运行。未来医院的各种工作将越来越依赖信息化,所以要全面提高医院信息系统的安全性,引入电子签名、数据安全等软硬件,为实现全面无纸化、无胶片化管理提供安全基础。 7. 多语言、跨平台
通过医院信息化建设,最终目标是打造现代大医院,因此必须具备多语言支持能力。并且应用软件应具有跨平台能力,能运行在不同的硬件平台上,支持不同的数据库类型,如Oracle、DB2、MS SQL Server。特别是针对目前已经实现运行的多语言,跨平台系统,如何更好的集成,更好的维护和运营,是信息科未来的工作重点之一。
- 8 -
2.2 信息化需求分析 2.2.1 建设核心问题分析
2.2.2 体现“以病人为中心”的服务理念
在病人健康保健、医疗过程中,病人希望得到得到医疗机构对自身健康的全程关注、希望享受良好、便捷的医疗服务、维持可接受的费用和医疗保障。以病人为中心是医疗改革的目标,也是我们系统设计的目标。医疗机构(医院)、医生、政策制定部门(卫生行政部门),都围绕病人为中心进行考虑,为病人提供健康管理、医疗服务、医疗保险服务。
从广义的角度看,信息化建设是通过信息的处理过程,协调医疗政策制定部门、医疗机构、医生与病人的服务关系。下图展示了四者之间的关系。
从狭义的角度,与病人医疗服务接触最直接的部门是医疗机构。本次系统设计也就是从医疗机构的角度来为患者提供快捷、安全、公开的医疗服务。以病人为中心的设计思想在本系统中主要考虑医疗价格公开、提高医疗质量、增加医疗服务满意度三个方面来体现。医疗价格公开是为了增加收费透明度,减少不必要的纠纷。
2.2.3 实现全院标准化的、共享的全程电子记录
根据国家卫生部办公厅于2009年7月份发布的《电子病历基本架构与数据标准(征求意见稿)》,电子病历被定义为医疗机构对门诊、住院患者(或保健对象)临床诊疗和指导干预的、数字化的医疗服务工作记录。是居民个人在医疗机构历次就诊过程中产生和被记录的完整、详细的临床信息资源。
《电子病历基本架构与数据标准(征求意见稿)》的制订为临床信息系统的发展指明了方向,基于电子病历的临床信息系统与传统局限于某个特定职能科室或特定专业领域的临床信息系统不同,它是以患者为中心,以电子病历为基础,以促进临床质量的持续改进为目标,是贯穿完整诊疗过程的一系列支持诊疗的系统的有机整体或综合性系统。
基于电子病历的临床信息系统需要实现以下目标:
1. 以电子病历为基础进行临床信息系统的统一规划,使之覆盖患者整个诊疗过程中的所
有医疗业务;
2. 实现医疗信息共享的充分、及时和正确,基于标准化的电子病历,确保合适的信息在
合适的时机到达合适的地方;
- 9 -
3. 通过对电子病历信息的综合利用,结合循证医学、诊疗规范、临床路径等知识,辅助
医生选择最适宜的技术达到最好的医疗效果,使服务对象获得最佳的治疗品质,从而提高医疗服务质量。
2.2.4 优化病人在医院的就诊流程
在医院门诊信息化的发展过程中,所采用的措施有些是与系统相关的,如挂号、收费一体化、增加新功能等,有些是与系统无关的,如分层挂号收费等,提高医疗服务质量的一个重要步骤就是分析医疗服务过程的现状,得出统计学上的规律,发现瓶颈所在,有针对性地采取管理措施,对医护人员作相应安排,对医疗资源作合理调度,在有限的时间空间内制定优化的服务方案。另外,能实时发现异常情况,及时作出响应。
2.2.5 就诊病人身份标识唯一性考虑
目前国内到多数医院的医院信息化建设中存在多个软件系统并存的现象,每个软件系统都有一个患者基本信息库,这就造成系统间患者基本信息不一致,或者重复录入,而且患者基本信息不能永久保存。将病人整个诊疗过程为主线,病人诊疗信息需要在时间、空间上保持连续。
同时病患是整个业务系统的核心,每一个病患都可以通过一个唯一的病患号和集中管理的病患主数据记录来识别。这个唯一的病患主数据记录集中了所有与该识别号有关的信息,为医院的个性化管理提供了数据基础。
2.2.6 关键技术问题阐述
2.2.6.1 系统能力与效率的需求
窗口业务系统必须尽量利用工作站的计算机资源,减少不必要的按键操作,提高系统反应速度,优化和简化操作程序,最大限度减少病人等候时间。要求每次按键后等待系统反应的时间最多不得超过5 秒。在非窗口业务软件中,如果用户需要长时间等待系统的处理或运算,应用软件必须提示程序运行的状态和进度,以免用户误以为死机或死锁.
系统对海量业务明细数据的操作(存储、处理、传输、备份、迁移、利用等),要求有可靠、高效、安全的设计,以最大限度地避免对业务系统性能的影响,不容许因为对业务明细数据的任何操作而影响业务系统,特别是窗口业务的正常运行。 系统对业务数据访问的方式和
- 10 -
效率不得受业务数据的存储机制的影响,或者说业务数据的存储对于用户访问业务数据的操作是完全透明的,用户访问数据时,不需要了解业务数据实际存放的地点,更不需要了解业务数据是否存放在不同的数据库中。
系统需要具有联机在线分析、数据仓库、决策分析等工具,以妥善解决联机事务处理与联机在线分析之间的矛盾,确保在不影响联机事务处理的效率下,提供高效、便捷、准确、细腻的综合信息服务能力,能够深层次地充分挖掘和利用各类业务数据。
2.2.6.2 系统维护性与扩展性的需求
考虑到医院信息系统建设是一个循序渐进、不断扩充的过程,系统采用积木式结构,整体构架可以与目前的成熟系统进行无缝连接,为今后系统扩展和集成留有扩充余量;同时应确保系统对用户的友好性、可操作性,使系统便于用户理解、学习、掌握和使用;要求人机界面友好,具有强大的在线帮助功能,方便操作和维护;为适应将来的发展,应为医院提供定制和改造的客户化工具,系统应具有良好的可裁剪性、可扩充性和可移植性;软件设计模块化、组件化,并提供配置模块和客户化工具,系统能提供简单方便的维护、升级方式,可实现系统框架不变情况下子系统模块或流程环节的更换、再造。
2.2.6.3 多系统间接口与集成的需求
1. 与LIS、PACS/RIS系统无缝集成,可向LIS、PACS/RIS发电子申请,并临床医生接收
化验、检查报告.
2. 与医保中心及各类医疗保险的接口与集成。 3. 与国家、部委、省、市卫生信息中心系统的接口. 4. 与财务系统接口与集成. 5. 与第三方知识库的接口与集成。
6. 与多媒体、LED显示屏等各类外部设备的接口与连接,应按照院方要求,无条件承担
医院弱电系统中电子公告与门诊分诊系统集成工作,建立和完善患者候诊队列,实现声音及视频提示患者有序就诊,实时发布通知及导医信息。 7. 满足与医院与其他系统进行接口的需求。
- 11 -
2.2.6.4 对系统安全性和可靠性的需求
系统应该可实现7×24h连续安全运行,性能可靠,易于维护。内部网络设置层级授权机制,设定系统内部终端和访问者的权限操作痕迹保留,保证有关过程的安全性。多重数据加密,保证数据安全可靠,支持电子签名.要有完备的备份与恢复系统。要有切实可行的故障应急系统。
2.2.6.5 标准与规范体系建立要求
按照国家卫生部2002年发布的《医院信息管理系统规范》的要求以及国家信息管理的标准、HL7数据交换标准、ICD-10、SNOMED、结构化电子病历XML设计; LIS(检验信息系统)按ASTM协议等国际信息交换标准等.
3 数字化医院总体设计方案
3.1 标准与规范体系设计
3.1.1 标准、规范及制度建设的目标定位
标准规范体系建设旨在有目的、有目标、有计划、有步骤地建立起联系紧密、相互协调、层次分明、构成合理、相互支持、满足需求的标准、规范及制度,并贯彻实施,以支持医院信息化建设中各应用系统合理建设。遵循国家和本地区相关标准,并根据实际需要制定或补充与医院信息化建设相关的标准、规范及制度,形成一套完整、统一的标准规范体系,是实现信息高度共享、系统运行高度协调的保障。
按照统筹规划、分步实施的建设原则,组织进行项目的总体设计和统筹规划工作.因此,在本项目设计和建设过程中,必须加强标准规范建设,尤其是技术标准规范的研究和制定,发挥技术标准规范的指导、协调和优化作用,确保医院信息化建设过程中系统运行安全,发挥预期效能。
3.1.2 标准、规范及制度建设的基本思路
1. 符合卫生行业相关政策法规
项目相关标准、规范及制度的制定,必须在卫生行业相关政策法规的指导下,根据《中
- 12 -
华人民共和国标准化法》,从项目建设的实际需要出发,统筹考虑当地卫生局、各区卫生局、各医疗与科研教学单位等等各方利益,进行制定。 2. 遵循国家、当地相关标准规范和管理规章
医院信息化建设中各应用系统的相关标准、规范及制度的制定,必须遵循我国卫生行业的相关标准规范,以及标准制定相关规章制度,进行起草、送审和发布. 3. 从国家医药行业信息系统发展的大局出发
项目相关标准、规范及制度的制定,要符合《国家电子总体框架》(国信〔2006〕2号),参考卫生行业信息化技术标准和管理规范,支持医院信息资源共享和业务协同为目的,进行深入研究、探讨、制定。 4. 充分满足本项目建设和发展要求 5. 必须有相关的保障机制确保落实
项目相关标准、规范及制度的制定,必须有配套的规章制度加以约束,以保障项目相关标准、规范及制度的落实,确保其生命力和活力。
3.1.3 标准、规范及制度建设原则
1. 明确工作目标
根据本项目的目标和建设内容,以本项目对标准规范的需求为导向,以卫生行业电子政务标准规范体系为指导,以国内外成功的标准化工作经验为参考,规划和编制本项目标准、规范及制度,指导和推动本项目建设;建立本项目标准规范贯彻实施机制,为标准规范的实施提供有效服务。 2. 落实工作任务
本项目是本地区医疗卫生行业信息化建设的重要组成部分,标准化是保障工程建设和系统正常运行的科学管理手段。为有效支撑项目的建设,将成立专门的标准规范工作小组,从现实需求出发,按照急用先行的原则,制定本系统的标准规范,为实现项目的建设目标打下良好的基础。 3. 采标为主,制定为辅
在满足系统建设需求的基础上,首先考虑采用国家和本地已有的标准规范(如国家电子政务标准化总体组制定和推荐的一系列标准),其次是修订或制定适合本项目特点的、本项目专用的、不与国家或行业标准冲突的标准规范。 4. 充分利用国家医疗卫生行业现有的资源
- 13 -
项目建设时要充分利用现有的资源。
3.1.4 标准、规范及制度建设内容
按照前述标准规范框架分类,系统工程标准规范建设的内容分为两部分: 1. 明确可以遵循执行的国家、国际和行业标准规范; 2. 制定或完善仅在本项目中应用的标准规范。
图 标准规范体系结构示意图
按照GB/T13016-1991《标准体系表编制原则和要求》中的有关规定,从总体、技术、业务、数据代码、管理、运营等纬度制定适合本系统建设的技术标准和管理规范。
3.1.4.1 总体标准规范
1. 建设运行标准规范体系(或参考模型)
针对建设与应用的需求,根据国家已制订的标准体系或信息系统建设标准规范参考模型的基础上,制订符合国家标准要求的项目建设和运行标准规范体系或参考模型。首先提出支持医院信息化建设任务的标准规范体系. 2. 建设术语规范
针对医院信息化建设内容,根据国家相关标准,制订覆盖项目的业务术语规范,统一规范医院信息化建设和运行的信息及其管理术语.先提出覆盖本项目内容的术语规范。
3. 项目建设管理办法
本办法为医院信息化建设实施规范化管理提供指导,通过明确项目管理的基本流程、项目建设和维护阶段基本流程,制订在立项及可行性研究阶段、招标投标阶段、设计阶段、实施阶段、测试验收阶段和运行及维护阶段的相关管理办法,明确有关方责任,确保项目建设有序推进和质量的提高。
3.1.4.2 技术标准规范
1. 数据标准
本部分为医院信息化建设涉及的基础数据的有关标准与规范。 2. 网络标准
- 14 -
为了保证系统建设和管理的规范化,需要制订系统建设规范、系统管理规范.本部分重点考虑与本系统关系密切的业务数据标准与规范. 3. 安全标准
本部分根据系统安全保障的要求,提供所需的信息安全管理、信息安全技术和信息安全评估等层面的标准与规范。
3.1.4.3 数据代码标准
建设一个连通各种应用软件系统,实现数据共享和交换的平台,标准起着举足轻重的作用.一个好的标准体系和编码规范,不仅可以规范系统间的通讯协议,规范各种应用系统的建设,还可以简化业务流程,减少整个系统实现的难度,提高数据的共享度。在数据交换领域中,没有标准的部落式交换的代价是高昂的,相同的数据分析处理模块在很多应用中被重复地撰写,可能只是为了将某一数据源的数据转换到各个不同的目标数据源中去。由于没有中间标准,各个系统的实现人员也几乎没有可能将代码重用,昂贵的数据交换代价使得数据源只能散乱孤立地存在。其实交换的精髓就在于集中和标准,集中的星状交换模式带来了线性的交换代价,而交换标准的确立又使得集中的星状交换真正成为可能.
1. 数据分类与编码规范
由于医疗卫生行业的数据信息非常繁杂,各业务体系、体系之间的数据分类不同,编码不一致,因此,不同系统甚至同一系统之间的相同数据难免存在冗余,既增加数据的采集与存储工作,又不可避免地存在数据的不一致问题。要解决好这个问题,首先就必须先对卫生数据分类与编码进行规范,重点是医院基本数据集标准(HIBDSS)、公共卫生基本数据集标准(PHBDSS)、等几个方面数据集标准建设,以保证医疗数据中心中的数据都能按一定的规范进行定义,信息都能按一定的标准进行编码。
2. 数据采集与交换规范
要实现卫生信息资源的有效交换与共享,就必须对卫生数据的采集与交换进行整体设计,确定各业务信息系统需要采集哪些数据,这些数据存储在什么地方,这些数据与其它信息之间是什么样的逻辑关系,各系统之间怎样利用和交换有关信息。只有对这些内容都进行严格规范,各业务系统设计和开发时遵守这些规范与标准,各应用部门严格按这些规范执行,才能做到卫生数据的有效交换,实现信息的真正共享。
- 15 -
3.1.4.4 业务标准规范
为保障医院信息化建设的宏观管理与业务,需要制定业务标准规范体系,主要包括业务管理组织体系保障医院信息化建设、业务操作规程、信息管理操作规范、业务流程规范等方面的标准规范。
1. 业务管理组织体系
根据相关用户单位的实际组织情况,从最佳配置、最优服务角度出发,制定业务管理组织体系规范。 2. 业务流程规范
制定业务流程规范,为项目提供支撑。 3. 业务操作规程
制定业务操作规程,为项目提供支撑. 4. 信息管理操作规范
制定信息管理操作规范,确保项目信息安全、一致。
3.1.4.5 管理标准规范
为了保证系统建成后医院信息化建设的规范化管理和运行,需要制定项目管理标准规范体系,主要包括以下内容:
1. 安全管理员岗位职责 2. 网络安全组织管理规范 3. 网络运行安全管理及技术规范 4. 计算机用户使用规则 5. 信息安全人员管理制度 6. 技术文档安全管理 7. 帐号管理制度
8. 场地设施安全管理制度 9. 机房日常管理制度 10. 运行维护制度 11. 备份恢复制度
- 16 -
12. 应急响应制度
3.1.4.6 运营标准规范
主要包括对系统的软硬件环境、系统设备、数据库、中间件、应用软件等的日常运行、管理和维护等方面的标准规范和规章制度。
1. 信息资源评价标准
主要包括信息资源开发利用评定质量的指标及评定优劣的标准规范与规章制度。 2. 安全管理标准
信息安全标准主要包括系统安全运行和管理等方面的标准规范与规章制度。
3.1.4.7 须遵循国内外相关标准
如前所述,标准与规范在医疗卫生信息化建设中具有举足轻重的作用.但标准化与规范化建设工作却又相对滞后,直接制约了卫生信息化的建设。国内外研究机构和政府机关已充分认识到这一问题,都正抓紧制定并颁发一些标准与规范。如国际上的HL7、ICD10,国内的《社会保险管理信息系统指标体系(业务部分)》、《医院信息系统基本功能规范》等,这些都为新医院信息化建设的标准与规范建设提供了权威依据。
为此,我们要针对新医院信息化建设的特点,根据卫生系统不同业务需求,制定规范的业务标准、统一的数据分类与编码方法、详细的数据采集与交换格式,明确各业务应用系统的接口标准体系,保证所有接入新医院信息中心的软件,都能遵循这一标准。新医院信息化建设标准体系的建设原则将依据国家、行业、省内、国际有关正式标准进行,如果没有现成的正式标准,则参照有关权威标准与规范进行本地化.所制定的标准体系根据接入方的对象不同可以细分为医院接口标准体系,社区接口标准体系,卫生行政接口标准体系,公共卫生接口标准体系等等.由于医卫行业的有关业务中已有比较通用的国际标准,如HL7,DICOM,HIPPA 等,故在建立接口标准体系时,可以很好地利用这些已有的标准,以提高标准的通用性。
3.1.4.8 国内标准
卫生信息化的标准与规范化建设已引起国内各方重视,政府、行业和一些研究机构正在研究制定有关标准,如卫生部颁发的《医院信息系统基本功能规范》等,这些标准与规范的研
- 17 -
究、制定与颁发促进了医疗卫生信息化的建设与发展。下面就卫生信息化建设中涉及到的一些国内标准进行简单介绍。
基础信息标准
基础信息是指在那些并非医疗卫生行业所独有的信息数据,这些信息在其它
非医疗卫生行业的信息系统中也要经常被采用.如国家、民族、籍贯等数据,国家有正式颁布的定义规范与编码标准,现将有关主要标准的名称和国家颁布的标准编号与时间汇总如下:
1。 世界各国和地区名称代码 GB/T2659—2000
2。中国各民族名称的罗马字母拼写法和代码 GB/T3304—1991 3。 中华人民共和国行政区划代码 GB/T2260-1999 4。 中国语种代码 GB/T4881-1985 5. 语种名称代码 GB/T4880-1991 6。 语种熟练程度代码 GB/T6865—1986 7. 专业技术职务代码 GB/T8561-1988 8。 职业分类与代码 GB/T6565-1999 9. 干部职务名称代码 GB/T12403-1990 10. 干部职务级别代码 GB/T12407-1990 11. 中华人民共和国学位代码 GB/T6864-1986 12. 出国目的代码 GB/T10301-1988 13. 政治面貌代码 GB/T4762—1984 14。 人的性别代码 GB/T2261-1980 15. 婚姻状况代码 GB/T4766-1984 16。 健康状况代码 GB/T4767-1984 17. 文化程度代码 GB/T4658—1984 18. 家庭出身代码 GB/T4765-1984 19. 本人成分代码 GB/T4764—1984 20。 家庭关系代码 GB/T4761-1984 21。 公民身份号码 GB 11643—1999
22。 劳动合同制用人形式分类与代码 GB/T16502-1996 23。 党、派代码 GB/T4763-1984
- 18 -
24. 社会兼职代码 GB/T12408-1990
25. 全国组织机构代码编制规则 GB 11714-1997
26. 中央党政机关、人民团体及其他机构名称代码 GB/T4657-1995 27. 单位隶属关系代码 GB/T12404-1997 28。 单位增员减员种类代码 GB/T12405—1990
29。 全国干部、人事管理信息系统指标体系分类与代码 GB/T14946-1994 30。个人身份代码 GB/T14946—1994 A1 31。 港澳台侨属标识 GB/T14946-1994 A2 32。 学习形式代码 GB/T14946—1994 A3 33. 任职方式代码 GB/T14946—1994 A4 34. 任职原因代码 GB/T14946-1994 A5 35. 职位分类代码 GB/T14946—1994 A6 36. 职务变动类别代码 GB/T14946—1994 A7 37. 当前任职状态代码 GB/T14946-1994 A8 38. 免职方式代码 GB/T14946-1994 A9 39。 免 职原因 GB/T14946—1994 A10 40. 取得资格途径代码 GB/T14946-1994 A11 41。 聘任情况代码 GB/T14946—1994 A12
42. 工人技术等级、职务代码 GB/T14946—1994 A13 43。 进出状态 GB/T14946—1994 A14 44. 流动类别代码 GB/T14946—1994 A15 45. 流动原因代码 GB/T14946—1994 A16 46. 政治面貌异常类别代码 GB/T14946-1994 A17 47。 考察(考核)类别 GB/T14946—1994 A18 48. 考核结果 GB/T14946-1994 A19 49. 奖惩类别代码 GB/T14946—1994 A20 50。 国家公务员奖励代码 GB/T14946-1994 A21 51。 国家公务员纪律处分代码 GB/T14946—1994 A22 52。 奖惩原因 GB/T14946—1994 A23 53。 教育培训性质 GB/T14946—1994 A24
- 19 -
54。 学习方式代码 GB/T14946—1994 A25 55。 在学单位类别代码 GB/T14946—1994 A26 56。 教育培训结果 GB/T14946—1994 A27 57. 经费来源代码 GB/T14946—1994 A28 58. 科技项目类别代码 GB/T14946-1994 A29 59. 项目中担任角色代码 GB/T14946-1994 A30 60. 成果水平代码 GB/T14946—1994 A31 61。 工资变动原因代码 GB/T14946—1994 A32 62。 工资细目代码 GB/T14946-1994 A33 63. 保险福利费用细目代码 GB/T14946-1994 A34 64. 军衔代码 GB/T14946-1994 A35
65. 人事档案版本类型代码 GB/T14946—1994 A36 66。 企业类型 GB/T14946-1994 A37
67. 银行行别和保险公司标识代码 GB/T13496-1992 68. 荣誉称号和荣誉奖章代码 GB/T8560—1988 69. 奖励代码 GB/T8563—1988 70。 纪律处分代码 GB/T8562-1988 71。 学校代码 人事部推荐标准 72。 专业代码 人事部推荐标准
73。 市党、政机关和人民团体代码 DB11/T 003—1991
74. 社会保障信息系统指标体系代码与数据库结构 DB11/T 124-2000 75. 其它代码 卫生信息标准
医疗卫生信息是指在那些为医疗卫生行业所独有的信息数据.如疾病分类、
药品分类等,国家对这些内容也有正式颁布的定义规范与编码标准,现将有关标准的名称和国家颁布的标准编号与时间汇总如下:
1。 疾病分类与代码 GB/T14396—1993
2. 化学药品(原料、制剂)分类与代码 YY0252-1997 3。 临床检验项目分类与代码及其正常参考值 WS/T102—1998 4。 中医病证分类与代码 GB/T15657-1995
- 20 -
5. 中医临床诊疗术语 疾病部分 GB/T16751。1-1997 6. 中医临床诊疗术语 证候部分 GB/T16751.2—1997 7. 中医临床诊疗术语 治法部分 GB/T16751.3-1997 8。 病案首页的填写要求 部颁标准
9。 医院住院病人疾病分类统计类目与ICD 10 类目对照表部颁标准 10。 假肢和矫形器术语 GB/T14191—1993
11。 医用放射学术语( 放射治疗、核医学和辐射剂量学设备) GB/T17857-1999
12. 齿科材料名词术语 GB/T6387—1986
13. 齿科材料、器械、设备测试和操作中的名词术语 GB/T9937-1988 14。 医用X 射线设备术语和符号 GB/T10149-1988 15. 血液净化术语 血液透析和血液滤过 GB/T13074—1991 16。 轮椅车 术语 GB/T14729—1993 17。 助行器术语 GB/T14730—1993
18。 尿吸收器具 第一部分:尿失禁类型的术语 GB/T16932。1—1997 19. 尿吸收器具 第二部分:产品的术语 GB/T16932.2—1997 20。 麻醉呼吸设备名词术语 GB/T4999—1985
21。 《我国医院信息系统》标准代码(电子版)第一集
22。 全国卫生系统医疗器械仪器设备分类与代码 该编码系统是卫生部批 准颁布的第一个行业信息代码标准。它是国家标准商品物资分类与代码 (GB7635—8768)类的延拓与细化.
23. 全国医疗服务价格项目规范(试行) 由卫生部、国家中医药管理局、 国家发展计划委员会于2000 年9 月公布。 24。 卫生机构(组织)分类与代码(WS218-2002) 25。 医疗机构诊疗科目及代码 26。 其它卫生信息标准 医院信息系统基本功能规范
《医院信息系统基本功能规范》(《规范》)是卫生部为加快卫生信息化基础设施建设,规范管理,提高医院信息系统软件质量,保护用户利益,推动医院计算机应用的健康发展,组织卫生信息化主管人员、医院信息化主管人员、工程技术人员以及临床医生等专家制定的.
- 21 -
《规范》于1997 年首先颁布,后于2002 年4 月重新修订。
新修订的《规范》有如下特点:
《规范》不仅是对开发厂商的评审标准和依据,同时也是各级医院进行信息化建设的指导性文件,以及用于评估医院信息化建设程度的基本标准.
标准化是信息化的基础.《规范》突出了标准化在医院信息化建设中的重要地位,对数据、数据库、数据字典编码的标准化着重进行了介绍。
《规范》增加了医生工作站、护士工作站等临床信息系统部分的内容,体现了以病人为中心的服务宗旨.增加了外部接口部分,以使医院信息系统适应各项新技术的发展及改革的需要。如医院信息系统与医保系统、社区医疗系统、远程医疗系统及各级卫生行政主管部门的接口,为医院信息系统融入整个社会信息系统的发展奠定了基础。
加强了法制意识。为使医院信息系统建设按国家法律法规有序发展,《规范》的每一部分都提供了必须遵照的国家法律法规。
《规范》既从定义、组织与实施、需要提供的技术文档、数据标准化、安全保密措施等方面对医院信息系统进行了要求,又从系统的设计目标、必须遵照的国家法律法规和政策依据、详细功能概述、系统运行要求等方面对各子系统进行了详细的规范。
3.1.4.9 国外标准
国外欧美等发达国家的卫生信息化建设工作开展得比较早,应用的面也比较广,他们在卫生标准化建设上投入了大量的人力、物力,制定并实施了不少标准,其中不少被国际上广泛采用。这些标准涉及的范围较广,也比较系统,包括术语、内容、交换与安全等方面。下表就卫生信息化建设中主要用到的几个国际标准汇总如下:
国际标准汇总表
3.2 总体架构设计 3.2.1 设计思路
结合医院近期的核心要求与重点任务,坚持以需求为主导,参考国内外行业信息化最佳实践,充分发挥现有业务体系和信息技术体系的基础成果,探索成本低、实效好、亮点突出的信息化发展模式;逐步推进医院在临床诊疗、医疗质量控制、运营管理、决策分析等有关方面IT规划与建设,引进科学化、专业化和精细化的管理方法和手段,带动医院的管理创新
- 22 -
和服务创新,实现管理流程规范化、工作交流网络化、文档文献资料电子化、知识经验共享化、公益信息公开化,实现医院“管理有序、沟通无障,服务完善”的工作新格局。
3.2.2 技术路线
1. 以服务为核心的系统架构(SOA)
针对医院信息化建设项目的特点和政策决策的业务目标,采用面向服务技术架构(SOA, Service—Oriented Architecture)分析与设计方法、遵循统一性、抽象性、符合性及业务驱动、可迭代的设计原则完成项目的分析、设计和开发. 2. 采用多层次的应用体系架构
在医院信息化建设项目中,主要业务系统的实现中将采用典型的多层应用体系架构,划分为基础组件层、业务组件层、表示组件层三(N层)个层次。 3. 面向对象的设计
医院信息化建设中,系统架构的合理与否是软件开发、系统实施能否成功的关键,决定了系统的质量优劣和健壮与否,是一个重要,且又困难、复杂的工作。设计模式的运用使我们可以更加简单、方便地复用成功的设计和体系结构,将已证实成功的技术加入到系统架构中去,简而言之,“架构设计是骨架,设计模式就是肉”。 4. 基于构件技术的系统搭建模式
医院信息系统使用合理设计模式,有效提高工作效率,增强程序的可维护型和可扩展性。在系统技术实现上,我们在保证技术成熟性的同时,充分考虑到当今信息技术的最新趋势,对系统的体系结构及系统内核进行设计,最大限度的实现重用。我们在解决问题的总方向是将复杂问题简单化,在这个总方向的指引下,广泛采用设计模式来达到最大限度的重用,在设计时尽可能的简单明了. 5. 基于组件模型的系统内核结构
医院信息系统采用的组件模型是系统架构的一种形式,软件开发过程从过程功能模型、面向对象模型、到组件模型。广义上讲,组件就是实现一类业务功能的、可重用的、可独立部署和设计的程序集合,这些程序有明确和完善的接口定义,通过接口完成功能请求,具体实现则通过封装机制屏蔽,而内部通过多种设计模式,保证组件的合理性。 6. 数据交换与共享
医院信息化建设项目中大量用到信息和数据的交换,建立一种统一的接口标准是非
- 23 -
常必要的。这种接口标准必须满足通用、规范、安全、可扩展的要求;系统内部、系统与外部资源之间有信息的交互和传递,要以应用支撑平台为支撑共享信息、协同工作。
3.2.3 总体架构
医院信息化建设是基于医院的现状,本着先进、实用的原则,利用先进的计算机、网络技术和医学信息处理技术,结合现代化的医院管理模式,将医院建设为国内先进的大规模集成化的数字化医院。
图 3-错误!未定义书签。系统总体架构示意图
如上图所示,根据医院信息化可持续发展需要,结合**多年来在数字化医院建设方面的经验,提供全面的、高效的、安全的、可持续扩展的医院信息系统。
以标准与规范为指导,在符合国内外医疗卫生行业的相关法律法规要求。按照国家卫生部2002年发布的《医院信息管理系统规范》的要求以及国家信息管理的标准、HIS(医院信息管理系统)按HL7数据交换标准;其中CIS(临床信息系统)按ICD—10、SNOMED、结构化电子病历XML设计; LIS(检验信息系统)按ASTM协议等国际信息交换标准等。
在医院信息技术基础框架的规划与建设中,涉及到业务应用、数据中心、应用支撑、接入渠道、基础环境与安全策略等方面的内容。其中业务应用将依据**公司在医疗卫生行业信息化实施经验,对本项目建设内容进行梳理和规划,整理出了包括临床诊疗部分、药品管理部分、经济核算部分、综合查询与决策分析部分和公共支持及接口部分共计5大部分;数据中心是医院信息化可持续发展的重心,包括医院基础数据、临床医疗数据、检查检验数据等;应用支撑是医院信息系统可持续发展的技术支撑,包括应用基础平台、系统集成平台、门户系统,满足医院日常业务运行要求;接入渠道包括PC终端、MCA、PDA、短信等不同信息交互方式,满足医疗服务多元化发展需要;基础环境是医院信息系统运行的硬件配置要求;安全策略包括从物理安全、网络安全、服务器安全、数据安全、应用安全等,以形成符合医院信息系统合理、完善的信息安全体系;医院信息化的可持续发展需要先进的技术及长久技术支撑,以应对医院自身发展需要以及外部环境的变化,我们将充分发挥本公司在医疗卫生领域里多年的技术经验累积,采用业界先进、成熟的软件开发技术和设计方法,可视化的、面向对象的开发工具,支持Internet/Intranet网络环境下的分布式应用,采用先进的体系结构运行模式,为医院信息系统得可持续发展打下坚持基础。
项目管理与质量控制是项目得以成功和可持发展的重要保障,涉及到组织机构、工作时
- 24 -
间进度表、工作程序和步骤、管理和协调方法、关键步骤的思路和要点、软件开发、安装调试、系统集成、试运行、压力测试、应用开发培训、系统管理培训、系统运行维护培训等方面内容。良好的项目管理是软件企业长期成功的根本保证,**公司实施正式的质量管理与规范的项目管理制度已经有多年的历史.医院信息化建设工程规模庞大,涉及很多部门和业务内容,影响项目成功的因素来自各个方面,是一项复杂的系统工程.它的项目管理工作尤为重要,我们将充分发挥本公司在医疗卫生领域里多年的质量管理经验累积,复用一套卓有成效的项目管理体系和方法,从各个方面进行控制,系统地进行管理,监督各个环节的实施过程。
3.2.4 业务架构
医院的信息系统业务架构设计包含“服务型医疗中心”、“运营管理”、“临床诊疗\"、“行政后勤”、“以客户为中心”和“区域医疗协作”六大业务范畴,这些业务范畴之间不是孤立的,它们是相互联系的。临床诊疗为医院业务的核心,是各项业务数据的起点,为运营管理提供数据支持;运营管理将管理者的思想反过来应用与临床诊疗;行政后勤统一管理全院的行政办公,并为临床诊疗提供后勤服务;集团化医院统一管理和监管各个医院的医疗和运营业务,并将统一的管理思想灌输与基层业务实践之中。
1. 服务型医疗中心:医院的战略目标是“服务型医疗中心\"的医疗、服务、运营和管理,
因此各类业务范畴、各层业务操作都需要支持医院集团化发展的要求,信息系统建设也应该遵循集团化医院发展的需求。因此我院在医疗方面可以推进优势专科的专科横向整合,推进集团化的人力资源管理、财务管理、采购供应中心、消毒供应中心、审计中心、办公管理、集团监管来进行管理支撑。
2. 运营管理:包含基础运营管理和综合运营管理,基础运营管理是指以收费为核心的门
诊运营和住院运营,支撑医院日常业务的正常运作;综合运营管理是指对医院人、财、物的统一规划和管理。
3. 临床诊疗:支撑临床科室和医技科室日常诊疗业务,包含临床科室、手术室、治疗科
室、检查检验科科室等,以提高医护技人员工作效率、提高医疗质量为基本目标。 4. 行政后勤:支撑医院办公管理和后勤服务管理,促进医院日常办公的电子化、及时化,
为医疗相关科室提供高质量的后勤保障服务。
5. 以客户为中心:客户包含内部客户和外部客户,内部是指医院的员工,通过信息化建设
的推进,辅助提高内部员工的满意度。外部客户是指患者、保健对象等,推动“以客户中心\"需要医院开展“业务流程改善\"、“客户服务规范改进”、“扩大诊疗保健信
- 25 -
息服务面和及时性”等措施,以提高客户满意度,保持和扩大我院医疗市场的客户源.
6. 区域医疗协作:医疗协作辐射集团内医院、协作医院、社区服务中心等基层医疗卫生
服务机构,推动专科整合、医疗联盟、远程会诊、影像中心、临检中心、病理中心、心电中心等业务的开展,辅助扩大我院医疗健康服务半径,扩大我院医疗健康服务的可及性,辅助加强我院区域医学中心的优势地位.
3.3 集成方案
3.3.1 业务与数据分离的基础技术框架
如果将数据、业务逻辑直接跟绑定在一起,软件的设计结构不清晰,增大了维护及扩展的难,直接增加了移植成本。好的系统架构应该是在满足需求的基础上,设计出来的元素、类、接口、协议等层次是清晰的,各元素功能应尽可能单一,达到可接收范围的内聚与耦合。
目前国内大型的数字化典型医院(如中山医院、华山医院、瑞金医院)信息化建设都采用了业务与数据分离的基础技术架构,能满足医院多元化发展的需求。
**医疗信息集成平台主张业务和数据分离的模式,以主数据管理、医院管理信息系统集成引擎、消息中间件MOM为支撑,形成统一的应用集成框架,包括代理服务、适配器、目录服务、共享交换服务、流程服务、安全服务、信息服务、协作服务等,支持不同地域的应用系统的集成,提供方便易用的配置工具,为数据采集和交换提供的基础服务。
**医疗信息集成平台总体技术实现策略如下图所示:
图 3-错误!未定义书签。:医疗信息集成平台的基础技术框架示意图
3.3.2 医疗信息集成平台的核心功能设计
3.3.2.1 主数据管理
主数据管理(Master Data Management ,MDM)是指一组约束和方法用来保证医院内主题域和系统内相关数据和跨主题域和系统的相关数据的实时性、含义和质量。这是从深层次来说来说明主动主数据管理(MDM)的深度和复杂性,简单的说,主数据管理(MDM)保证你的系统协调和重用通用、正确的业务数据(主数据)。通常,我们会把主数据管理作为应用流程的补充,通过从各个操作/事务型应用以及分析型应用中分离出主要的信息,使其成为一个集中的、独立于医院中各种其他应用核心资源,从而使得医院的核心信息得以重用并确保各个操
- 26 -
作/事务型应用以及分析型应用间的核心数据的一致性.通过主数据管理,改变医院数据利用的现状,从而更好地为医院信息集成做好铺垫。
主数据管理功能主要包括MPI、主数据存储、主数据质量管理、主数据共享和主数据生命周期管理等。
主数据管理(MDM)可以帮助我们创建并维护整个医院内主数据的单一视图(Single View),保证单一视图的准确性、一致性以及完整性,从而提供数据质量,统一商业实体的定义,简化改进商业流程并提供业务的响应速度。从变化的频率来看,主数据和日常交易数据不一样,变化相对缓慢,另外,主数据由于跨各个系统,所以对数据的一致性、实时性以及版本控制要求很高。
3.3.2.2 配置管理
配置管理是用来管理和维护平台的所有组件功能,用户可以根据业务需求,随时添加新的功能组件,还可以删除不用的功能组件,当组件功能有所变动时,用户只需要修改一些配置就可以方便地对组件功能进行更新。同时,配置管理还负责对平台所集成的各类组件进行服务监管,保障组件的正常运行.配置管理包括服务注册中心、服务迁移、服务版本、服务生命周期管理、服务监视等功能。
通过配置文件实现对平台的调整,能够适应平台的局部修改.
3.3.2.3 核心服务
作为平台的核心功能,**的医院信息系统集成平台的核心服务包括用户管理、授权与认证、SSO、元数据管理、代理服务、流程服务、协作服务、信息服务、数据模型、数字签名和日志管理等。
基中代理服务是平台中的一个重要核心服务,典型的代理服务就是系统统一集成引擎(Enterprise Service Bus,ESB)。代理服务主要解决服务之间高效通信的问题,是服务之间互相通信和交互的骨干。
随着医院信息化建设的逐渐的推进,新的服务将通过服务注册中心不断地被加入进来.所有服务面向SOA进行服务封装,从而实现服务的可重用性。
- 27 -
3.3.2.4 集成服务
应用集成是以系统集成引擎和HL7引擎为支撑,形成统一的应用集成框架,包括代理服务、流程服务、协作服务、信息服务等,支持不同地域的应用系统的集成,提供方便易用的配置工具,为数据采集和交换提供的基础服务。
系基于SOA的应用集成机制。系统提供应用、服务注册功能,以及这些应用集成服务的统一运行管理功能。可以将医院各种其他应用、服务通过注册的方式,集成到门户平台进行统一管理,提供服务的认证、授权、访问、监控等功能。
3.3.2.5 接入服务
**的医院信息系统集成平台支持多种接入方式,包括Adapter、FTP、Web Service 、MQ、JMS等,集成平台将应用层交换和数据层交换全部按照WSDL描述封装成服务,服务独立于实现服务的操作系统和编程语言之外, 接口采用中立的方式进行定义。服务注册至服务目录中,通过不同交换服务的组合灵活支持不同的服务模式,从而为资源共享提供全面的交换服务,解决资源的获取问题。
3.3.3 全院病人唯一信息标识(EMPI)设计
3.3.3.1 EMPI的引入
目前国内到多数三甲医院的医院信息化建设中存在多个软件系统并存的现象,每个软件系统都有一个患者基本信息库,这就造成系统间患者基本信息不一致,或者重复录入,而且患者基本信息不能永久保存。将病人整个诊疗过程为主线,病人诊疗信息需要在时间、空间上保持连续,具体分析如下所述:
1. 在不同时段,病人在院就诊的身份类别可能会发生变化,如由自费转变为医保、有单
位转变为自费/医保等等类型情况,病人信息可能在此期间发生了变化,相对医院信息化管理角度则出现了病人信息不一致的情况。
2. 在院内存在不同厂商的业务系统,应用于不同部门,各个系统中的病人信息也不尽相
同,从医院信息化管理角度出现了病人信息在各个系统间不能统一。
3. 在未来分级协同医疗模式中,医院和与其协同的医疗机构间都存在相同病人的就诊资
料,但这些资料的属地不同,有些资料(影像资料、病例资料)需要分属地存储。
- 28 -
病患是整个业务系统的核心,每一个病患都可以通过一个唯一的病患号和集中管理的病患主数据记录来识别。这个唯一的病患主数据记录集中了所有与该识别号有关的信息,为医院的个性化管理提供了数据基础。
3.3.3.2 EMPI共享模式
EMPI(病人主索引)的概念引出,将有效地解决病人信息在时间、空间上的连续性问题,为医院信息系统提供一个独立、长久存在的患者信息库,保证患者信息一致性、准确性。通过病人主索引可以检索到所有关于该病患的信息所以在医院信息化建设中的系统应用软件开发与实施项目建设中推行唯一标识的机制,如下图所示:
图 3-1基于EMPI的信息共享模式
如何保证数据来源的畅通、鲜活、准确、标准是系统中数据共享、传输的关键点.由业务操作在为新患者做业务处理时,需要在数据中根据EMPI的管理方式进行ID的识别与整合,创建主索引和映射信息,建立信息共享的基础连接的需求;数据中心通过安全管理、数据管理和数据服务为信息共享提供可靠的保障;当数据中心接收查询请求信息时,通过映射关系查询病人的主ID;根据病人的主ID及其规则权限,查找需要调阅系统的ID信息;根据此ID信息在数据中心获取需要的相关数据。
3.3.3.3 EMPI共享数据
共享信息包括主ID及其映射关系、资源信息,其中资源信息包括HIS信息资源、LIS信息资源、PACS信息资源、电子病历信息资源等与病人检索相关的资源信息.通过主ID、资源信息、规则来定位并获取需要查询的数据.
共享资源信息包括如下: 1. 系统ID映射表
2. 病人管理信息资源包括患者ID、门急诊/住院费用记录等。 3. 临床信息管理资源包括患者ID、医嘱、电子病历、病案等。 4. LIS信息资源包括患者ID、检验结果报告等。
5. 检查信息资源(病理、内窥镜/超声)包括患者ID、检查结果报告和影像文件等.
- 29 -
3.3.3.4 EMPI功能描述
1. 创建主索引:当患者在医院首次就诊时,EMPI自动创建一个患者基本信息记录; 2. 修改主索引:当修改EMPI内的患者基本信息时,EMPI形成修改日志信息,同时发送
数据同步消息给各个软件系统;
3. 查询EMPI:EMPI通过基于SOA的服务提供各种查询方法和结果数据;
4. 合并EMPI:当发生一个患者有多条EMPI主记录时,可以通过合并操作将多条记录合
并成一条记录;
5. 权限管理:通过权限管理,可以维护哪些操作员可以操作哪些患者基本信息; 6. 日志管理:EMPI提供数据修改日志管理,可以查看一个患者主索引做了哪些数据修
改,EMPI同时提供日志清理功能,可以手工、自动清理无用的日志数据。
3.3.4 多系统间接口与集成设计
图 3-错误!未定义书签。多系统集成平台接口示意图
如上图所示,各个系统通过Adapter与集成平台进行对接,实现系统间的互联互通,Adapter在技术方面采用WebService、MQ、JMS、FTP、Socket、File向结合的方式,因为普通基于MQ消息的集成平台是无法适应医院的复杂业务流程的,而且从整个医院信息化的系统架构规划来看,应该将可单个对外提供的、可重用接口功能点以WebService的形式封装到WebService。
3.3.4.1 与PACS/RIS系统的接口与集成设计
HIS基础数据接口
患者身份:姓名,年龄,性别,身份证,电话号码,家庭地址等
接收患者编号:注册编号,外来/住院患者位置信息
提供完整的RIS与HIS集成方案,实现RIS与HIS 软件的信息共享
RIS与HIS之间的文字信息交换必须具有符合HL7标准的接口.在此基础上也可以采用专用接口(通过中间表或直接共享对方数据库的形式)实现与HIS的集成。 HIS申请单接口
对医生开立的电子申请能够方便地安排检查时间、录入检查注意事项;对纸张申请能够
实现电子化并安排检查时间。
能够接收并方便地调阅尚未安排的电子申请列表并对其进行操作。
- 30 -
能够提供方便的手段了解各个预约队列的时间占用情况以便安排新检查。 确定电子申请单ID,反馈外部系统检查状态及信息。 能够提供注意事项录入模板功能方便用户录入反馈注意事项。
对纸张申请单提供直接录入功能,可以通过病人ID从HIS方提取病人的一般信息,直接录入检查项目等信息;可以增加患者的申请单扫描或拍照等方式,数字化后的申请单可保存在系统中,供诊断医院参考.系统支持多种图像输入设备、包括扫描仪、拍照仪等. HIS费用接口
接收检查的收费明细
提供补收费用功能 提供对已收费用进行确认
提供特殊情况下的取消费用的确认状态 提供费用统计功能 临床阅片接口
提供临床浏览阅片。
允许通过DICOM的方式直接共享PACS中的图像数据,支持进行3D后处理功能。 提供图像显示控件,能够直接嵌入到医生工作站等应用软件中,方便调阅当前病人的相关图像及历史图像与诊断。
提供按人、按病区、按检查类别、按申请医生、按日期等检索能力,能够显示病人所有的检查申请及处理状态
能够显示静态图像,能够支持动态图像回放 支持灰度和彩色图像显示
提供与影像科室诊断影像工作站相同的图像显示和处理能力
经特殊授权的用户可以把图像以JPEG、TIF、AVI格式另存到本地介质 显示病人的文字报告快照
3.3.4.2 与LIS的接口与集成设计
与lIS接口与集成设计中包括与仪器的接口、与HIS的接口、与CIS的接口、与体检系统的接口,以及其他系统的接口,完成病人信息登记、病人收费、报告发布(回传)等功能。
1. LIS与HIS系统联接
检验申请: 快速的化验单生成模块,只需要输入唯一标志病
人的信息,然后输入大夫的检验医嘱,确认后系统自动将该电子化检验申请单通知检
- 31 -
验科相关科室。
2. 护士标签打印: 护士站对与已经申请但尚未采样的申请单打印成标签,用来贴在标本
的容器外面.系统可以根据日期,标本号,病历号,打印标志,紧急程度等各项条件来打印不干胶标签。
3. 仪器数据接收:实时数据接收,安全可靠,先进的处理方式和成熟的经验,保证原始
数据的完整性和可靠性。
4. 科室结果审核:系统对检验结果的自动核对.结果严重超界报警,避免人为的失误给
医院带来的损失.
5. 科室结果查询:可以按病历号或病人其他信息,查询病人结果和历史记录。协助医师
可以对病人的病情做出准确的诊断。
3.3.4.3 与医保中心及各类医疗保险的接口与集成。
1. 提供医院信息系统与医保保险系统无缝数据连接,适应省及市医保政策变动要求.利
用省/市两套医保的动态连接库,在医院中完成医保相关业务。住院医保患者的日常管理功能:入院前医保资格审核,住院中的费用监控,医保身份变更,特殊治疗、药品、材料审批、结算前的诊断复核等功能。设计中尽量使医院业务流程少受医保政策变动的影响.
2. 提供急诊医保的管理,包括医保急诊业务流程支持、医保行政管理支持和医保财务管
理支持。
3. 实现住院医保病人统筹自费等费用的查询。 4. 与医院现使用的医保管理系统实现实时联网。
5. 医保病人的入院和出院必须以医保科审核后,在系统完成如下工作:入院病人的信息
从医保中心下载后登入系统,出院病人的费用核对在定义出院后上传到医保中心 6. 医保相关的药品、非药品、诊断等字典表的维护. 7. 统计查询:财务对帐表,医保患者盈亏表。
3.3.4.4 与其他系统的接口与集成设计
支持与医院内其他系统无缝集成,保证数据不重复维护,业务功能数据不重复输入,并保持数据同步以及界面完善整合。
- 32 -
3.4 医院应用软件功能设计 3.4.1 总体软件功能框图 3.4.2 系统业务流程设计
图 3-2系统总体流程
如上图所示,病人在院就诊过程描述如下:
病人A到门诊处,挂号,然后就真,如果无需住院,则凭处方(有门诊医生站则用电子处
方)划价缴费,然后到门诊药房取药或者做检查检验预约.如果需要住院治疗,则从门诊转到住院科室登记并缴纳预交金,再由护士工作站判断进行入科,医生诊疗后下达医院,并由护士通知摆药或进行处方取药、手术检查检验申请、预约,同时计算机进行后台自动计价.预交金不够时,通知缴费。然后由药师进行摆药治疗。病人治愈/死亡/需转科、院时,由医生通知出院,病人凭此到收费处结账,获得同意后到护士站办理出院手续,然后出院。
为了能更好的适应医院业务发展需要,可根据实际需求进行分析和梳理,为了更好的参与
应用软件功能设计,先将医院几个主要流程简要阐述,包括门诊业务流程、住院业务流程、检验业务流程和检查业务流程这四大核心医疗业务流程。
3.5 信息安全体系设计 3.5.1 概述
在医院信息化建设过程中,计算机系统安全建设是一个必不可少的环节。系统安全设计,首先是针对系统所面临的来自网络内部和外部的各种安全风险进行分析,特别是对需要保护的各类信息及可承受的最大风险程度的分析,制定与各类信息(系统)安全需求相应的安全目标和安全策略,建立起包括“风险分析、安全需求分析、安全策略制定和实施、风险评估、事件监测和及时响应\"的可适应安全模型,并作为系统配置、管理和应用的基本安全框架,以形成符合医院信息系统合理、完善的信息安全体系。并在形成的安全体系结构的基础上,将信息安全机制(访问控制技术、密码技术和鉴别技术等)支撑的各种安全服务(机密性、完整性、可用性、可审计性和抗抵赖性等)功能,合理地作用在医院信息系统的各个安全需求分布点上,最终达到使风险值稳定、收敛且实现安全与风险的适度平衡。
- 33 -
3.5.2 系统安全的设计原则
3.5.2.1 体系化设计
医院信息系统设计必须从整体上全面把握系统的安全要求和风险,综合考虑信息网络的各种实体和各个环节,综合使用各层次的各种安全手段,面向全局建立安全体系,统一规划和设计系统的安全机制和安全措施,为信息网络和业务系统提供全方位的安全服务。
3.5.2.2 可行性、可靠性、安全性
可行性是安全体系设计的根本,我们要保证整个安全体系设计在可行的基础上,按照可靠性、安全性的设计原则,提供适合系统需要的安全体系设计方案.
3.5.2.3 开发性、扩展性
必须保证安全系统的开发性以保证不同厂家的不同产品能够集成到安全系统中来,使整个系统的安全不依赖于某个厂家的产品,保证系统安全产品选择具有更大的灵活度.
随着系统的使用,安全需求会不断变化,安全技术也在不断提高,安全体系设计必须具有扩展性,确保根据变化的需要,实现系统安全功能的不断扩展和系统安全性的不断提高,而在机构上不作大的改动.
3.5.2.4 符合标准
国家对信息安全管理及密码管理都有明确的规定,在安全体系设计中严格遵守国家的法律法规、规章制度。
3.5.2.5 合理平衡
在安全体系设计中,要在坚持系统建设“安全第一”的原则下,确保实现系统安全目标得以实现的前提下,注重系统安全子系统总体造价的合理性、可实施性、可用性.客观上绝大多数信息系统不可能单纯考虑安全而不惜一切代价。因为远远超出造价预期的安全最大的不安全。因此在安全体系设计中应综合考虑各方面因素,寻找最佳的平衡点,在正确的系统安全策略与安全目标的基础上,以合理的投资换取最大的安全性能,同时不因性能开销和使用、管
- 34 -
理的复杂而影响整个系统的高效运行.
3.5.2.6 完备性
医院信息系统安全子系统的建设是一个系统工程项目,涉及多种安全技术和产品,必须成为系统安全体系的一个组成部分,而不能支离破碎,各行其是。与此同时,技术是安全体系的实现手段,如何正确、合理、有效的使用安全技术和产品,需要通过安全管理来保证,系统安全体系必须双管齐下,使技术与管理紧密结合.在安全管理的基础上,采用各种技术手段,构建系统的安全体系。
3.5.3 安全风险分析
通过引用TCP/IP分层结构,逐层分析各层次所面临的风险,基于网络的信息安全风险可划分为五个安全层,即物理层、网络层、系统层、应用层和安全管理层。
3.5.3.1 物理层安全风险
物理安全风险主要指网络周边环境和物理特性引起的网络设备和线路的不可用,而造成网络系统的不可用。例如:设备被盗、被毁坏;设备老化、意外故障;计算机系统通过无线电辐射泄露秘密信息等。
3.5.3.2 网络层安全风险
网络层的安全风险主要包括数据的泄露与篡改、中间业务网络的安全威胁、互联网出口的安全威胁.
数据泄露与篡改的安全威胁:同级局域网和上下级网络数据传输线路之间存在被窃听的威胁,同时局域网内部也存在着内部攻击,敏感信息可能被侵袭者搭线窃取和篡改。
关键业务网络的安全威胁:一般来讲,关键的业务网络由于提供服务,网络的一端可能处于一个较为开放的网络环境中,或者很可能与INTERNET网络进行互连,所以业务网络环境的复杂性和开放性成为关键业务网络系统潜在威胁的最大来源。
互联网出口的安全威胁:机构或企业的内部办公、业务网络与互联网Internet不可避免地相互联通,这种边界的安全威胁是最大最不可靠的。随着互联网技术的发展,基于网络的
- 35 -
黑客攻击技术,入侵技术也在飞快的发展,这些攻击具有方式多种多样,破坏性较大,入侵工具简单易用等特点,这些都使机构或企业网络系统面临巨大的安全风险,严重影响业务的进行。
3.5.3.3 系统层安全风险
系统级的安全风险分析主要针对网络中采用的操作系统、数据库及相关商用产品的安全漏洞和病毒威胁。
目前主流的操作系统包括各种商用Unix、Windows、Linux以及各种网络设备或网络安全设备中的专用操作系统。这些操作系统自身也存在许多安全漏洞。随着黑客的技术手段日益高超,新的攻击手段也不断出现。有的是协议自身的问题,有的是系统自身设计不完善造成的,因此,主机系统本身的各种安全隐患,注定将带来各种攻击的可能性.基于这些主机系统之上的业务也将不同程度的受到威胁。
3.5.3.4 应用层安全风险
应用层的安全风险主要表现为身份认证漏洞。 主要包括:
1. 服务系统登录和主机登录使用的静态口令问题,这样非法用户通过网络窃听、非法数
据库访问、穷举攻击、重放攻击等手段很容易得到这种静态口令.
2. 对关键业务服务器的非授权访问:业务服务器是网络系统中提供信息数据服务的关
键,许多信息只有相应级别用户才能查阅.
3. 信息泄漏:如果没有完善的安全措施,可能会有非法用户没有经过允许直接访问网络
资源,造成机密信息外泄。
3.5.3.5 管理层安全风险
责权不明、管理混乱、安全管理制度不健全及缺乏可操作性等都可能引起管理安全风险。 建立全新网络安全机制,必须深刻理解网络并能提供直接的解决方案。因此,最可行的做法是管理制度和网络安全解决方案相结合。
- 36 -
3.5.4 系统安全体系
3.5.4.1 系统安全体系
医院信息系统的安全体系设计属于系统工程的设计,不是某种单元安全技术能够解决的.安全体系的设计必须以科学的安全体系结构模型为依据,才能保证系统安全体系的完备性、合理性。为了系统、科学地分析安全方案涉及的各种安全问题,通过分析和综合,提出了三维安全体系结构,其结构图如下:
图 3-3三维安全体系结构图
3.5.4.2 安全体系的组成
安全体系是一个三维结构,他由安全服务维、系统单元维和协议层次维组成。 1、安全服务维
安全服务维从安全服务的角度,表示了系统安全的具体内容,包括: 1) 数据保密性:数据存储和传输时加密,防止数据窃取、窃听。 2) 数据完整性:防止数据篡改。
3) 访问控制性:防止非授权使用资源或以非授权的方式使用资源。 4) 身份认证性:用于确认所声明的身份的有效性。 5) 安全审计:设置审计记录措施,分析审计记录。
6) 可用性、可靠性:在系统降级和受到破坏时能使系统继续完成其功能,使得在不
利条件下尽可能少地受到侵害者的破坏。
2、协议层次维
协议层次维由ISO/OSI参考模型的七层构成,与TCP/IP层次对应,可以把会话层、表示、应用层统一为“应用层\".从协议层次的角度来表示系统安全体系的分布。总结为物理层、链路层、网络层、传输层、应用层。 3、系统单元层
系统单元层从系统安全的角度表示了系统安全体系各个方面的内容,包括应用系统安全、数据系统安全、网络平台安全、物理安全.
贯穿于上述四个方面是安全管理。通过技术手段和行政管理手段,安全管理将涉及到各系统单元在各个协议层次提供的各种安全服务,构成整个系统的安全体系结构.
- 37 -
3.5.5 物理安全
物理安全设计主要涉及环境安全、设备安全,是对信息系统所在环境、所用设备,所载媒体进行安全保护。对于环境安全,机房设计要求符合GB9361-88的A类安全标准,实行分区管理.对于设备安全,主要是设置安全防盗报警装置和监视系统,采用电源保护、防线路截获、防辐射泄漏、防雷电击、利用噪声干扰等措施来保护设备的物理安全和媒体安全.
3.5.6 主机系统安全设计
3.5.6.1 主机系统安全
主机采用开放平台,关键业务系统使用容错容灾及负载均衡技术,来提高系统的可靠性与安全性。下面就主机系统的安全性各方面进行分别论述。
操作系统安全
操作系统中最根本的安全措施是存取控制,它是对程序执行期间使用资源合法性进行检查。加强操作系统的超级用户的密码管理,防止任意对数据的程序读、写、执行权限的修改;同时,防止对系统文件任意删除来保护操作系统安全。
审计与留痕技术
系统日志机制,用来记录系统运行的全过程。系统日志文件是自动生成的,且对用户是透明的,其内容包括:操作日期、时间、操作工作站名、用户名、操作的文件名、操作方式、操作内容等等,它对系统的运行监督、维护分析、故障恢复,都可以起到非常重要的作用。为了避免非法用户从系统外取得系统数据或是合法用户为逃避系统日志的运行监督而从系统外取得数据,对系统中重要数据采取加密的格式存放。例如在系统中,为了防止案件发生或在发生案件后为侦破提供监督数据,在计算机系统里启用系统记账功能,即在系统中设置“黑匣子”,并建立“黑匣子”备份和管理制度。所谓的“黑匣子”是一个记载系统运行的文件,它可将每个用户进入系统的用户注册时间及登录次数,准确地记录,并自动记录操作员号、终端号、开关机时间及次数。
系统状态检查
每个工作日结束和关机前,除将当日数据、文件进行备份外,还需要将系统中主要的数据文件和程序文件的状态记录下来。这些数据主要包括:文件名、文件长度、最后修改日期、时间等,在每次开机时,对照检查。
- 38 -
网络计算机病毒防范技术的实现
计算机网络同样面临如何防护系统能够对付不断出现的新病毒问题,典型的做法是建立计算机病毒防范措施,加强管理,并不断地升级防病毒软件的版本。
用户信息
在UNIX系统中,文件/etc/group包含了关于计算小组成员的信息。一个工作组即那些共享文件或其他系统资源的用户的集合。用户组是提高系统安全性的一个重要工具。文件/etc/passwd中表项的第4个字段就包含了用户所属组的编号。
另外,用户特别需要注意的时不应该有两个用户拥有相同的用户标识,这是至关重要的。 考虑到局部安全性,你应该检查的项目主要包括文件/etc/passwd.应检查以下项目: 每个用户拥有一个口令 每个用户拥有唯一的用户标识号 用户都被分配给适当的组 主机等价性
在UNIX系统中,TCP/IP协议使你能在每个主机系统上都建立一个文件 /etc/hosts.equiv,它定义了一列特殊的主机,它可以成为节省时间的设备驱动程序,但它同时产生了一些安全性风险。这个文件的目的在于,当一个用户从一个系统登录到另一个系统中时,则目的系统就不再要求他提供口令。这个文件表明对于原来系统上使用相同名字的用户来说,他在目的系统上是等价的.在这里安全性风险显而易见,如果入侵者侵入其中一个系统,那么你就正在授予他全权委托,来访问其他的机器。文件 /etc/hosts。equiv表明了在其他主机上的每个用户都是一个值得信赖的用户,并且可以不用考虑地被允许登录到这个主机。
因为主机系统的安全性很重要,所以最好不要使用文件/etc/hosts.equiv。
3.5.6.2 主机系统的安全维护
针对服务器系统中存在的诸多风险,应该采取相应的安全维护措施:
及时安装操作系统和服务器软件的最新版本和修补程序.不断会有一些系统的漏洞被
发现,通常软件厂商会发布新的版本或补丁程序,以修补安全漏洞,保持使用的版本是最新的可以使安全的威胁最小;
进行必要的安全配置,在系统配置中关闭存在安全隐患的、不需要的服务,比如:FTP,
Telnet,finger,login,shell,BOOTP,TFTP等等,这些协议都存在安全隐患.禁止
- 39 -
某些r命令,比如:rlogin,rsh等;
加强登录过程的身份认证,设置复杂、不易猜测的登录口令,严密保护帐号口令并经
常变更,防止非法用户轻易猜出口令,确保用户使用的合法性,限制未授权的用户对主机的访问;
严格限制系统中关键文件(如UNIX下的/。rhost、etc/host、passwd、shadow、group
等)的使用许可权限;
严格控制登录访问者的操作权限,将其完成的操作限制在最小的范围内;
充分利用系统本身的日志功能,对用户的所有访问作记录,定期检查系统安全日志和
系统状态,以便及早发现系统中可能出现的非法入侵行为,为管理员的安全决策提供依据,为事后审查提供依据。
3.5.7 数据安全设计
3.5.7.1 数据库安全
数据库安全和日志服务是两个相互关联的过程.数据库中数据的保护一方面通过应用程程序的完整全面来避免系统维护人员和业务科室人员不直接操作数据库中的表,还有一个是就通过日志来保护,通过日志一方面保证操作的可追踪性,另一方面保证操作的可逆性。
1. 数据库权限控制
通过数据库提供的系统权限、对象权限(查询、修改、删除、插入等)来进行控制,并且利用权限角色将相应的权限分类,使得权限管理更加灵活。 2. 数据库加密
对一些敏感的表进行加密,只有校验通过后,才能对这些表进行读写的操作,以免对这些表进行去操作或恶意的修改。 3. 数据库日志
通过利用Oracle提供的归档日志分析工具,可以分析数据库数据操作的全部过程,从中发现安全隐患,及时解决。 4. 数据一致性维护
对数据进行严格的合理性校验,提高原始数据的可靠性;通过数据库本身的机制以及程序中的控制来保证数据的完整性和一致性。 5. 数据库审计
- 40 -
通过安全审计记录和跟踪用户对数据库的操作,防止否认对数据库的安全责任。
3.5.7.2 数据传输安全
总的来说,数据网络传输安全的五个基本的安全要求: 1. 机密性(Confidentiality):
保证没有经过授权的用户,实体或进程无法窃取信息。在 一个开放的网络环境里,维护信息机密是全面推广应用的重要保障.因此,要预防非法的信息存取和信息在传输过程中被非法窃取。
2. 授权:(Authorization.):
授权是确定允许用户做什么的过程。可将不同的特权给予不同类型的用户。取决于认证机制的复杂程度,系统可能根据所持的卡来限制用户的特权. 3. 数据完整性(Data integrity):
保证没有经过授权的用户不能改变或者删除信息,从而信息在传送的过程中不会被偶然或故意破坏,保持信息的完整、统一。因此,要预防对信息的随意生成、修改和删除,同时要防止数据传送过程中信息的丢失和重复。 4. 原始性证明(Proof of Origin。):
对信息或数据的发送者的进行标示。保证信息被经过标示的发送者所传送,从而避免以前的数据包被重复发送。 5. 防止抵赖(Nonrepudiation):
保证信息的发送者不能抵赖或否认对信息的发送,当然信息发送前需要对发送者进行安全认证.要在信息的传输过程中为参与交易的个人、企业或国家提供可靠的标识.
最后的三个安全要求是彼此相关的,数据完整性与原始性证明的区别在于数据是完整的,并不能保证信息不被重复发送.换句话说,数据完整性不能防止反复攻击。哈希散列算法如 HMAC,认证时使用一个经过加密的密钥对于原始性证明来说是合适的,但并不适用于”防止抵赖\"。
相应的,目前网络存在的威胁主要表现在以下几个方面:
1. 非授权访问:没有预先经过同意,就使用网络或计算机资源被看作非授权访问。它主
要有以下几种形式:假冒、身份攻击、非法用户进入网络系统进行违法操作、合法用户以未授权方式进行操作等。
- 41 -
2. 信息遗漏丢失:指敏感数据在有意或无意中被泄漏出去或丢失。
3. 破坏数据完整性:以非法手段窃得对数据的使用权,删除、修改、插入或重发某些重
要信息,以取得有益于攻击者的响应;恶意添加,修改数据,以干扰用户的正常使用. 4. 拒绝服务攻击:是一种比较简单,但又日益流行的攻击和禁用企业信息资源的方法。
在拒绝服务攻击中,作恶者发送大量的信息流量,使 Web 服务器、主机、路由器和其它网络设备负担过重.通过这种方式发送的信息流量非常之大,致使企业的用户、客户和合作伙伴都在好长一段时间内无法访问网络。
目前最常应用于XML over HTTP的传输机制的安全控制手段是SSL或TLS,这需要对XML文本作全文加密,其优点是对应用透明,缺点是会引起传输效率降低。而对于社保应用系统来说,需要传输的XML数据量往往相当大。用上述手段,可能不是非常合适.同时,基于以上的安全威胁以及网络安全的迫切要求,仅仅依靠SSL的安全机制不能解决所有的问题。针对数据传输的安全要求,我们将采用以下手段:
3.5.7.2.1 数据加密传输-SSL
这个解决方案是针对传输数据的机密性需求,和部分满足数据完整性需要。
SSL效率问题主要是由于它需要全文加密引起的,HTTPS和单纯的HTTP效率要相差好几倍,而实际上,在本系统中,我们传输的大部分数据并非关键信息,关键信息的量还是比较小.因此我们采用了一种“按需服务”的机制,类似于XML加密规范,在数据传输之前,我们对需要加密数据首先进行加密处理(XML加密规范比我们所用的方法多了一整套标准的XML标记,对加密类型,加密算法等,都作了规定,更通用,更标准).我们甚至于可以对于一批数据的不同部分用不同的密钥进行加密,这样就可以把同一个XML数据发给不同的接受者,而接受者只能看见和他相关的部分(这个设计可以部分解决数据授权使用的需要,但在本期项目中,这个需求不强,可以在后续的项目框架升级时考虑使用)。
非对称加密算法的主要缺点是比对称密钥加密算法的速度要慢(慢上百倍到一千倍),在通常情况下,非对称密钥是用来对对称密钥(这种情况下也称为会话密钥),例如SSL对加密算法的使用方法如下:
SSL握手协议用来交换版本号、加密算法、(相互)身份认证并交换密钥。SSL v3提供了多种非对称加密算法(RSA, DH等)来交互加密密钥:
对称加密算法用于数据加密。这就保证了连接的私密性。
- 42 -
用非对称加密算法作为层与层之间的认证工具。 消息传输包括用散列函数进行消息完整性检验。
为了降低加密的复杂度,我们将稍稍简化这个过程,非对称密钥对将在用户注册前交换(服务端—>客户端;客户端-〉服务端),每个用户保存自己产生的私有密钥,以及服务端数字证书(或公钥).服务端用KeyStore保存自己产生的私有密钥,以及所有相关用户的数字证书。以后每隔一定的时间进行更新.
用户的密钥对在用户端生成,用户将自己的公开密钥用某种方式(email、软盘、USB盘等,打印出来等)送达服务端。
服务端的密钥对也由服务端自己产生。
在没有第三方认证机构的情况下,我们以社保中心本身作为可信赖的认证签发中心,完成在社保系统范畴内的证书签发工作.
服务端公开密钥制作成证书后与服务端私有密钥一起保存在服务端密钥库中。 用户端公开密钥由服务端制作证书后以用户名为别名也保存在服务端密钥库中。 服务端的证书也需要用某种方式(email、软盘、USB盘等,打印出来等)送达客户端。客户端保存服务端证书,并由每个用户自行保护自己的私有密钥。
会话密钥的交互在第一次用户登陆的时候完成.由服务端产生一个会话密钥,保存在session对象中,然后用相应用户的证书对这个密钥加密,加密后的数据(会话密钥)放在消息体中.用户端用自己的私有密钥对密文会话密钥进行解密,并保存在内存对象中,在后续的数据交互过程中,双方可以用保存在内存中的会话密钥对敏感数据进行加密。
为了简化,我们事先约定双方所使用的密钥算法(BouncyCastle支持)。 非对称密钥算法,选择RSA。
对称密钥算法,我们选择Blowfish。 Blowfish 是Bruce Schneier设计的。Bruce Schneier是加密学领域的领头人。这个算法没有申请专利,是免费提供的,不需要提供许可证。Blowfish是64位块密码,作为DES的插入提换,其加密速度比DES快,加密性能也较好,其密钥长度在32位到448位之间。
3.5.7.2.2 消息摘要
消息摘要和数字签名是数据完整性、原始性证明和防止抵赖的通用解决办法。 正如前面在用户口令入口一节讲述的,消息摘要是个特殊函数,称为单向(散列),可用
- 43 -
来计算作为消息的指纹的值,称为消息摘要或散列值。Message Digest 5 (MD5)和Secure Hash Algorithm 1 (SHA-1)都是消息摘要算法.
产生消息摘要的主要过程是:
1.用MessageDigest 类的getInstance()方法生成MessageDigest对象。 2.生成DigestImputStream对象以读取输入流,并对其计算消息摘要。
3.读取流之后,调用DigestInputStream 的getMessageDigest()方法计算消息摘要的最后值。
消息摘要可以解决数据完整性的问题,但确无法防止抵赖。这需求要由数字签名来完成: 其步骤为: 1.计算消息摘要
2.用公用/私有密钥对中的私有密钥加密消息摘要,生成消息的数字签名。 验证签名的过程为: 1.用SHA—1计算消息摘要 2.用对方公钥对数字签名解密
3.比较1、2的结果,如果一致则验证成功
3.5.7.3 数字签名
随着《数字签名法》在2005年4月1日的公布,确认了数字签名与手写签名具有同等的法律效应。由此,数字签名可在医院信息系统的应用,使电子处方、电子病历具有了法律确认的合法性.
3.5.7.3.1 数字证书
1.数字证书简介
数字证书就是标志网络用户身份信息的一系列数据,用来在网络通讯中识别通讯各方的身份,即要在Internet上解决\"我是谁\"的问题,就如同现实中我们每一个人都要拥有一张证明个人身份的身份证或驾驶执照一样,以表明我们的身份或某种资格。
数字证书是一段包含用户身份信息、用户公钥信息以及身份验证机构数字签名的数据。第三方认证机构CA中心的数字签名可以确保证书信息的真实性.证书格式及证书内容遵循X.509标准,数字证书中一般包括以下信息:
- 44 -
版本号; 序列号;
签名算法标识符; 认证机构; 有效期限; 主题信息;
认证机构的数字签名; 公钥信息; 数字证书的特点:
真实性:接收方能够通过数字证书来确认发送方的身份; 保密性:信息除发送方和接受方外不被其他人窃取; 完整性:信息在传输过程中不被篡改;
不可抵赖性:发送方对于自己发送的信息不能抵赖 2。数字证书功能
数字证书是由权威公正的第三方机构即CA中心签发的,以数字证书为核心的加密技术可以对网络上传输的信息进行加密和解密、数字签名和签名验证,确保网上传递信息的机密性、完整性,以及交易实体身份的真实性,签名信息的不可否认性,从而保障网络应用的安全性。
数字证书采用公钥密码体制,即利用一对互相匹配的密钥进行加密、解密。每个申请数字证书的用户都将从CA中心获得一对(即2个)密钥,其中一个为公开密钥(公钥),包含在数字证书中,用户可以将其对外公开;另一个为私有密钥(私钥),用户必须将其置于秘密的地方并妥善保管,且任何时候不得泄漏给他人,私钥通常保存在数字证书的存储介质USB-KEY中,用户只需保管好“存储介质USB-KEY”即可。用户的私钥和公钥是一一对应的,而公钥又与用户持有的数字证书一一对应,因此,只有持有与数字证书相对应的私钥的人才可以证明他是该数字证书的合法持有者。
数字证书用户可以使用其拥有的公钥和相应私钥对数据作加密、解密、签名及验证签名操作。当一个用户(发送方)需要发送一份机密文件给另一个用户(接收方)时,发送方使用接收方的公钥对数据加密,信息就可以安全无误地到达目的地,即使在传输中被第三方截获,由于其没有相应的私钥,无法解密文件获取相关信息,而合法的接收方由于拥有私钥,则可以正确解密文件获取相应信息。
用户也可以采用自己的私钥对文件加以处理,比如用自己的私钥对文件加密,由于私钥
- 45 -
仅为本人所有,这样就产生了别人无法生成的文件,也就形成了数字签名。接收方可以使用发送方公开的密钥(公钥)对接收到的数据解密,即可验证数据的数字签名,从而能够确认以下两点:
数据是由签名者自己签名发送的,签名者不能否认;
数据自签发至接收到为止未被篡改,接收方收到的文件即是发送方发送的原始文件 3.数字证书类型
由本地区的CA所签发的数字证书类型主要有个人身份证书、单位身份证书、个人代码签名证书、企业代码签名证书、设备证书、WAP证书、电子商务证书等。我们主要是以个人身份证书进行应用.
3.5.7.3.2
1。
在医院的实际应用案例
确认操作人员的身份
在HIS系统的登录界面,除正常登录操作外,还需将USBKEY(个人身份证书)通过计算机USB口接入,并提示输入个人身份证书的口令(校验码,可通过判断该操作员是否需要校验密钥,来提示输入校验码)。上述操作完成后,即可确认个人身份。由于是结合USBKEY来使用,因此,此登录的个人信息在计算机系统中,具有不可抵赖性,且在操作的过程中,个人身份证信息可对产生的数据进行签名和认证.
具体实施时,可对医生、收费人员每个人发放一个个人身份证书,且在程序中设定:使用电子证书时,会产生数据签名;不使用电子证书时,不会产生数字签名.这样做的好处是有利于初期使用时,确保程序在正确的使用情况下,来使用数字签名.等程序运行稳定后,在程序中对于不使用个人身份证书的人员,拒绝其使用. 2. 在电子处方的应用。
在门诊处方中的使用.在操作人员结合个人身份证书登录到操作系统之后,可对数据表ORD_RECIPEDETAIL、ORD_SEEDOCTRECORD,UNDRUG_DETAIL, DRUG_DETAIL中以记录为单位,用个人身份信息,对产生的记录进行签名,签名后,的信息写在本记录中的最后一个字段中。因签名信息包含着个人身份及整个记录的信息,且是以加密形式存在。因此,本记录的任何一个字段是不可改动的,如有改动,签名验证定会失效.从而就保证了本记录的不可更改性,及具有合法效应。
在门诊挂号退号时,可对挂号信息表R_REGISTER进行签名处理。
- 46 -
在门诊收费处的使用。当诊间的处方传送到收费窗口时,收费人员进行收费操作,且对收费记录,进行签名处理后,打出收费单据。处理的数据表为:FEE_BASE,UNDRUG_DETAIL, DRUG_DETAIL,CLINIC_INVOICE_INFO, CLINIC_INVOICE_DETAI.
在药局调剂窗口,调剂员也按同样的方式登录,并打出调剂单位,且在调剂单的记录加一个数字签名记录.调剂单中显示的医生、收费员、及调剂员的姓名,一律提取数字签名的人员信息,这样,就可替代医生的手写签名。所涉及的数据表为:FEE_BASE、DRUG_DETAIL
在划价系统中的使用。为保证价人员所划信息的正确,在划价的窗口,对划价人员操作所产生的处方信息同样进行数字签名,其中主要是对FEE_BASE,UNDRUG_DETAIL, DRUG_DETAIL表进行签名。过程同上。
在病房医嘱中使用
在病房的医嘱中,也使用同样的方法,对数据表IPMOMDOD,IPMOMDEX, MDPDQUMT,IF_NRSUNDRUG,II_DIAGNOSE,中以记录为单位,进行数字签名.在护士执行医嘱的过程中,再次加入签名信息.且对于护士的收费操作,进行签名处理。以保证收费的准确.
对涉及到IF_FEEITEMLIST,IF_MEDICINEINFO, IF_FEEINFO操作,都应该进行数字签名。
在LIS系统中应用。
对L_CHECKREGISTER,L_RESULT,LIS_TEST_REG,UNDRUG_DETAIL进行数字签名. 在PACS系统中应用.
PATIENTINFO , PATIENTDIAGRPTINFO, FAVORITE 3. 在电子病历的应用。 对记录进行签名。
对产生的文件进行签名。在签名的同时,进行信息的加密。 使用的方式与以上同. 4. 个人应用
可应用于电子邮件中进行身份确认及对电子邮件进行加密处理,从而确定邮件的真实性及保密性。可对重要电子文件如WORD,EXECL,ACCESS等进行签名保护,使文件的合法性和具有不可更改性. 5. 说明
需做数字签名的记录,应该增加数字签名的字段,以存放签名信息。
- 47 -
可先行解决门诊及病房药处方所涉及到的签名。
3.5.7.4 数据备份与恢复
为保证数据系统的安全,确保在应急情况下的紧急处理,必须对系统的数据采用备份和恢复机制。各个业务单位的局域网中的数据由本业务单位自己备份;再选择一个合适的个地方对数据中心的数据作异地备份。在系统数据出现问题的时候,通过数据恢复系统,对损坏的数据进行恢复。
3.5.7.5 错误日志及运行日志
日志管理有两个含义:其一,被动调用的日志接口;其二,主动记录的日志行为.就日志内容而言,有架构日志和业务日志两种。基础服务中的日志提供调用的日志接口及架构日志记录功能,但业务日志需由业务系统调用日志接口完成。即基础服务中的日志服务在运行期会自动记录下用户进入子系统之前的行为——主要是访问日志,而用户进入子系统之后的业务行为需由业务系统组织日志内容并调用日志接口完成。
为了促进Log格式及处理机制的统一,规定如下基本原则: Log格式统一、清晰,可阅读性强;
Log级别可在开发期及运行期调整,以防止运行期大量无谓的日志信息充斥宝贵的存储介质;
Log的输出设备可灵活配置,常见的有:文件、数据库等。在Cluster环境下,数据库是一种很好的选择;
Log在记录过程中,要尽可能避免过多地与业务系统争夺I/O资源; Application Framework与Business Service中的Log分别处理。
图 Service Logging的实现
Service Logging的实现如上图所示,其设计要点是:
Application Framework与Business Service使用不同的Loger;
不同的Loger主要是输出设备不同,比如有的应用可能会选择这样的输出方案:Application Framework的Log输出到。xml文件中;Business Service输出到Message Quene中,再由另一个线程转储到DB中。
- 48 -
3.5.8 应用系统安全设计
3.5.8.1 应用系统安全层次
1. 身份认证
用户在前台界面必须键入其用户名以及口令来证明其是否是合法的用户,只有合法的用户才能登录到应用系统.
身份认证可以采取数据库认证、应用系统认证、CA认证等方式。 2. 多级权限控制
应用系统有很多的功能模块组成,即使对合法用户,也不能操作所有的模块,而是根据用户的工作部门、工作性质授予相应的功能模块。对同样的数据可以设置不同的操作权限:查询权限、录入权限、审核权限、审批权限。 3. 应用系统日志
日志管理跟踪记录用户登录系统的信息,操作的业务模块以及操作的重要库表的信息,包括用户名称、操作的模块,对重要库表的操作类型(增、删、改)、字段操作前和操作后的数值等。通过日志管理,在发生误操作时可以方便的进行回退处理,而且也可以跟踪一些业务操作员的违规操作。
3.5.8.2 应用系统权限分类
应用软件权限管理包括模块级权限、数据级权限和操作级权限。 1. 模块级权限
模块级权限可以通过角色实现上级权限控制,下级权限需要从上级权限获取权限.当调整上级权限时,自动实现对下级权限的调整,换句话就是说当从上级权限中取消一个权限时,下级权限中也同样被取消相同的权限。 2. 数据级权限
数据级权限通过对域的控制来实现.这里讲的“域”实际上是数据域的概念。首先通过对数据域的定义将数据按照域的不同划分成不同的范围,当某操作员被分配属于该域时,该操作人员就获得了该数据域的数据操作权限,该操作员不能对其他数据域中的数据进行操作。 3. 操作级权限
- 49 -
通过操作级权限的控制,系统中所有数据都可以通过权限进行控制,实现所有数据都可以查询、修改、删除,减少后台人员在数据库中手工修改数据。
3.5.8.3 基于角色的应用系统权限管理设计 3.5.8.3.1
组织机构及用户管理
组织机构管理包含人的管理和权限的管理。我们这里将把人的管理简单化,利用人员管理模块完成。权限的管理是我们这里的组织机构的重点。
对于一个业务系统中,纵向可以划分为从“上层组织机构”到“下层组织机构”的多层次的组织机构.组织机构之间可以存在管理和被管理的关系,也可以不存在管理和被管理的关系。存在管理和被管理的关系时,被管理的组织机构的权限是从管理的组织机构那里获取的(如下图)。
在某一级别的组织机构中,人(也就是业务员)是一个最小单位。人作为一个权利的最终执行者,往往需要通过岗位来体现。这里的岗位和现实生活中的岗位相似:可以看成是一种权利的集合(比如:商场中的收银员有收纳现金的权利而售货员往往就没有),也可以看成是一种人的集合(比如:商场中的收银员往往是有很多个人组成)。
角色是一种功能级权限的集合.在我们的系统当中角色是所有菜单的集合。如果组织机构之间存在存在管理和被管理,下级角色的权限范围不能大于上级赋予该级管理员的角色的权限范围。
域是一种数据级权限的集合。只是一个全新的概念,在数据级权限在系统级别上实现的一种大胆的尝试!为了提高性能,数据的过滤是在数据库执行之前完成的。
人员管理
人员是构成组织机构的基础。人员是全局对象,被整个组织机构共享.人员管理包括对用户的基本属性的管理和对扩展属性的管理。
角色(岗位)管理
本节所说的角色(岗位)管理只是指角色(岗位)的基本定义,其实完整的角色管理还包括:角色与资源的映射,以及角色与人员的映射,这些内容将在权限管理中完成,组织机构及人员管理中的角色管理并不包括这些内容。根据上下级关系,组织单元可以抽象成一棵岗位树,整个组织单元是按照岗位的上下级关系建立起来的.
- 50 -
组织单元管理
组织单元在定义时代表一个公司、一个部门或一个分支机构。组织单元是一棵表示上下级关系的岗位树,一个组织机构至少要有一个组织单元,如果组织机构比较大,也可以把它的一些子树作为子组织单元。通常对于一个组织机构来说,组织单元之间是包含关系,有一个组织单元位于最外层。从操作方便和化简复杂性考虑建议尽量在构建不是很复杂的组织机构时,不使用子组织单元。
3.5.8.3.2 基于角色的权限管理
在管理信息系统中,资源和人员是两种客观存在的实体,授权其实就是在人员和资源之间建立起映射关系,以指定什么样的人可以拥有哪些资源。这里的资源是一个广义的抽象化的概念,一般说来管理信息系统中的资源包括以下三大类:
1. 功能模块 2. 数据资源 3. 操作
相对于这三大资源,权限管理也由浅入深地分成功能级、数据级、操作级三层权限管理. 上图是一个管理信息系统中完整的用户及权限管理示意图。其中红色虚线框内的内容是可以由跨越多系统的基础服务统一提供的部分,线框以外的内容则需要各业务系统根据自身实现策略来实现.
组织机构及用户是不以信息系统的意志所转移的客观存在的实体,即不管有没有信息系统,不管有多少个信息系统,组织机构及用户都实实在在地存在着,并且是唯一存在的.所以组织单元(部门)、角色(岗位)、用户可以纳入统一管理范畴。
对于权限管理而言,概述中已经提到,权限的本质就是将资源的使用权分配给人员。因此有了模块级权限管理、数据级权限管理、操作级权限管理三个由浅入深的管理层次。
模块级权限是指某个人能操作哪些模块; 但操作同一模块的用户管理的数据却不一定一样;
但既便是两个用户操作同一模块和同样的数据,操作权限却不尽相同.
3.5.8.4 统一用户管理及单点登录的设计
各部门在一同时期建设了大量的应用系统,分别建立在不同的系统平台之上,或由不同
- 51 -
的开发商开发完成的,这些系统普遍缺少统一的规划,造成各个系统之间相互孤立,每个系统都有自己的一套用户名/口令,这样每个人都要记住自己在每个系统中的用户名/口令,造成很大麻烦,经常发生忘记口令,请系统维护人员解决的情况发生;有的管理人员干脆把各自系统的用户名及口令完全设成一样,这样又给系统的安全性带来了很大的隐患,一旦用户的口令被别人知道了,非法用户将轻易进入所有系统。
为解决该问题,SSO服务将需要多次登录不同应用系统改为单点登录。用户只需登录SSO服务,就可以进入其它有权访问的应用系统,而不需要重新登录,系统会自动按用户自己的设置,以其身份登录进入相应的应用系统。
1、SSO特点:
SSO服务提供完整的单点登录解决方案,能即插即用,并独立于应用系统,能将现有应用系统的认证管理平滑的集成到SSO服务中。同其它单点登录产品相比,SSO服务特点:
(1)安全性:系统登录参数均以加密方式保存在服务器,用户登录信息不易被窃取; (2)即插即用:SSO服务以完全独立于应用系统的方式工作,应用系统完全感觉不到SSO服务的存在;
(3)管理方便:除了管理员外,一般用户也能管理自己的单点登录;
(4)高可扩展性:企业新部署应用系统通过简单的配置即可纳入SSO服务系统; (5)应用无关性:同应用系统的平台、开发环境、结构、编程语言以及脚本无关,支持所有的TCP/IP协议的应用环境,能够满足各种Web应用开发环境;
(6)满足企业级应用的需求:通过后置代理、双机热备、集群、分布式安装等功能解决一般基于网关的单点登录产品面临的性能障碍问题;
(7)用户认证信息多样化:支持Web的BA和Form认证方式,Web应用系统的用户名口令可各不相同,支持数字证书认证、支持用户已有的用户数据库等等。
2、SSO服务架构:
SSO服务的架构如下图所示,包括脚本生成器、单点登录引擎和单点登录管理系统。 (1)脚本生成器
脚本生成器是一个图形化的登录脚本生成工具,生成用于单点登录的运行脚本,用户可以用鼠标通过“拖”、“放\"操作轻松生成单点登录脚本.生成的脚本在单点登录时使用。
(2)单点登录引擎
单点登录引擎负责利用维护的单点登录数据,解释执行各种单点登录脚本,实现单点登录。
- 52 -
(3)单点登录管理
主要负责管理和维护登录应用系统的信息。
图 单点登录服务架构
3.5.9 系统安全管理
安全管理贯穿信息系统的所有环节,是安全系统设计的重要内容。通过建立安全管理机构,建立安全管理制度,实施安全管理培训教育,是安全管理的科学化、系统化、法制化和规范化,实现社会保障性能吸系统的安全管理目标.
3.5.9.1 安全管理的策略与原则
除了采用相应的技术方案和产品来保证系统安全外,安全管理也是系统安全的重要方面,它主要通过如下几个方面来实现:
制订安全管理策略和原则
(1) 多人负责原则
每一项与安全有关的活动,都必须有两人或多人在场。这些人应是系统主管领导指派的,他们忠诚可靠,能胜任此项工作;他们应该签署工作情况记录以证明安全工作已得到保障。
以下各项是与安全有关的活动: ① 访问控制使用证件的发放与回收; ② 信息处理系统使用的媒介发放与回收; ③ 处理保密信息; ④ 硬件和软件的维护;
⑤ 系统软件的设计、实现和修改; ⑥ 重要程序和数据的删除和销毁等;
(2) 任期有限原则
一般地讲,任何人最好不要长期担任与安全有关的职务,以免使他认为这个职务是专有的或永久性的。为遵循任期有限原则,工作人员应不定期地循环任职,强制实行休假制度,并规定对工作人员进行轮流培训,以使任期有限制度切实可行。
(3) 职责分离原则
在信息处理系统工作的人员不要打听、了解或参与职责以外的任何与安全有关的事情,除非系统主管领导批准。
- 53 -
出于对安全的考虑,下面每组内的两项信息处理工作应当分开. ① 计算机操作与计算机编程; ② 机密资料的接收和传送; ③ 安全管理和系统管理; ④ 应用程序和系统程序的编制; ⑤ 访问证件的管理与其它工作;
⑥ 计算机操作与信息处理系统使用媒介的保管等. 管理制度
除了前面谈到的管理策略和制度外,须制定的管理制度还有: 信息安全领导小组职责和工作制度 信息安全领导小组办公室职责和工作制度 信息安全管理员岗位设置和岗位责任 系统安全员岗位设置及岗位责任 安全事故处理程序规定 操作系统、数据库安全管理规范 应急计划
防火墙的安全管理规范
系统风险评估与安全需求分析要求 专用安全设备管理制度 安全事故处罚规定
3.5.9.2 系统的安全管理制度
1.采取严密的安全措施,防止无关用户进入系统;
2. 数据库管理系统的口令必须由专人掌管,并定期更换.禁止同一人掌管操作系统口令和数据库管理系统口令;
3. 操作人员应有互不相同的用户名操作权限,定期更换操作口令.操作人员认真做好操作记录,严禁泄露自己的操作口令;
4. 必须启用系统软件提供的安全审计功能;
5. 各岗位操作权限要严格按岗位职责设置,定期检查操作员的权限;
- 54 -
6. 重要岗位的登录过程应增加必要的限制措施;
7. 建立和完善技术监管系统,定期进行系统的安全性、稳定性、可靠性和异常操作等方面的监管
8. 业务部门的计算机应定人管理,禁止非本部门人员操作或从事与本部门业务工作无关的工作。
3.5.9.3 安全事件的防范与处理
安全事件是指由于外部或内部攻击、入侵或破坏等原因引起系统无法运行,经启动备用系统仍未恢复正常,导致业务中断并造成经济损失的事件,防范和处理原则是:预防为主,处理及时,力争把事故的损失降低到最小程度.主要措施是:
建立健全安全事件的防范对策,严格按本规范要求建设、管理信息技术系统的硬件设施和软件环境,定期进行事故防范演习,针对薄弱环节不断改进完善.
制定安全事件发生时的应急计划。应急计划必须形成文字,针对可能发生的故障制定紧急处理程序;紧急处理程序应张贴在规定的地方;对执行应急计划的全体人员进行专项培训,定期进行演习;根据演习结果不断完善应急计划。
系统恢复后,IT技术部门应立即进行事故调查,提出书面调查报告,确定事故的原因和责任; 对调查中发现的技术薄弱环节,应在一定期限内整改。
通过以上各种措施(包括人员管理措施和制度、安全技术与产品),就可以很好地解决安全问题,但是安全永远是一个动态的过程,随着安全攻击技术和工具的不断发展,必须不断更新和调整系统中采用的安全产品,并且网络管理员也要不断接受培训,学习新的知识和技能,这样,才能将系统和网络安全的钥匙掌握在自己手里。
- 55 -
- 56 -
因篇幅问题不能全部显示,请点此查看更多更全内容