信息安全助医疗卫生信息化建设加速推进
来源:中国电子政务网 更新时间:2010-09-07

厂商稿

8月13日,由内蒙古医药信息学会、内蒙古医学院附属医院主办的“2010首届内蒙古自治区医药信息网络大会”在呼和浩特成功召开。自治区内外的医院信息专家、学者及相关领域的专业人士、IT公司代表等出席了此次会议,商务部中国国际电子商务中心下属的国富安电子商务安全认证有限公司作为北京地区唯一一家受邀信息安全厂商参加了此次会议。会上共同探讨了应该如何有效利用先进的信息网络技术来加快建设和发展现代化医院,如何为群众提供更好的医疗保健服务。

  自治区卫生厅副厅长许宏智在会上提到:医疗信息化在深化医疗服务体制改革,解决人们看病难、看病贵、看病乱问题等方面具有非常重要的作用。衷心的希望各位专家能传经送宝、倾其所能、共同研究为加快医疗卫生领域的信息化共同努力。

  随着医疗信息系统HMIS应用范围不断推广扩大,我国许多医院建立了以院长为中心的医院信息网络化管理决策机制,并将门诊管理、住院管理、医技管理、职能科室管理等各部门通过计算机网络有机集成在一起,医院信息化管理系统通过网络覆盖医院的每个部门,涵盖病人来院就诊的各个环节。 然而,与发达国家相比,我国的医院信息化建设尚处于初级阶段,国内医院IT投入少,IT部门地位不高,在信息安全的认识、投入上更是淡漠,重投入轻防护,信息系统安全问题频频告急,严重影响到医院正常运行。

  针对这些问题,国富安信息安全专家提出,信息系统的安全问题不应该成为医疗卫生行业信息化发展过程中的绊脚石。医院网络系统主要可分为两个部分用于日常医疗信息交换的业务网以及实时获取Internet信息资源的办公网。其中的医院业务网是医院业务开展的平台,HIS 系统主体是财务结算,涉及患者密切相关信息的CIS以及PACS等系统的安全性、可靠性、稳定性有更高的要求。

  现在医院内的一些系统管理相对简单,有些系统没有相应的用户名口令,网络可达即可访问。还有些系统虽然有用户名、口令,但是这些账户几个人共用一套,或者使用极其简单的账号以至于医院内的一些业务办理后,无法找到经办人。同时还有些系统账号被别人冒用登录,修改患者的信息和病历信息。随着业务网应用的深入,例如人员的非法登录、因员工滥用他人权限访问信息系统进行的信息泄漏等隐患也逐渐浮现,总结起来有如下几类:

  1、系统权限控制较弱,院内网络可达即可登录办公系统,存在无法界定责任人情况

  2、办公系统采用“账号+密码”的方式认证,安全级别不高,存在着安全隐患,极容易被破解和窃取;

  3、基于互联网的社保、医保业务网路传输的数据处于明文状态,没有进行加密处理,容易被非法人员截取和篡改;

  4、对于在MIS系统医护人员操作过程缺乏数据完整性和操作抗抵赖的校验。

  为了解决上述安全隐患,避免医院内业务内网存在的一些不安全因素成为影响其正常运行的重大隐患,国富安信息安全专家建议在医院院内必须要建立一套高度可靠的安全机制PKI体系,系统可根据目前院内存在的安全隐患提供数字证书,实现强身份认证,鉴别用户身份的安全设计解决方案,来确保HIS系统以及其他业务系统在医院安全运行。

  通过相应的PKI体系的建设,来解决医院院内以下存在的问题:

  1、信息保护:防止隐私信息泄露、防止重要数据被篡改

  2、身份管理:强化身份认证、强化用户安全登录

  3、身份认证:通过对双方进行认证,以保证交易双方身份的正确性。

  4、数据传输、存储的完整性:保证医院内与外界社保业务所传输的交易信息不被中途篡改及通过重复发送进行虚假交易。

  国富安专家的建议在会上得到了与会专家的支持与肯定,认为信息安全在医疗卫生信息化建设中起着举足轻重的作用,希望信息安全专家对内蒙古自治区的医院信息化建设给予更多的关注,提供更多的支持和帮助。此次“2010首届内蒙古自治区医药信息网络大会”的召开,对推进内蒙古自治区医疗卫生信息化建设起到了重要的作用,加速了医疗卫生行业信息安全建设的推进,内蒙古自治区力争在医疗卫生信息化方面走在全国的前列。