醫(yī)院智慧檔案在全生命周期視角下的安全管理

王曉君 周翔宇

摘要：基于醫(yī)院智慧檔案全生命周期安全管理的理念，分析梳理了當(dāng)前醫(yī)院智慧檔案在產(chǎn)生、傳輸、存儲(chǔ)及共享階段的各種潛在風(fēng)險(xiǎn)，并針對(duì)各階段的風(fēng)險(xiǎn)給予安全防護(hù)和應(yīng)對(duì)策略，旨在將醫(yī)院智慧檔案的整個(gè)生命周期打造為一條安全可信的鏈條，在保護(hù)醫(yī)院信息安全的同時(shí)，為患者提供安全、私密的就診環(huán)境，為健康中國(guó)戰(zhàn)略的實(shí)施提供安全、健康的發(fā)展空間。

關(guān)鍵詞：醫(yī)院：智慧檔案;全生命周期;安全管理

中圖分類號(hào)：G270.7 ???文獻(xiàn)標(biāo)識(shí)碼：A ???文章編號(hào)：2095-5707（2019）02-0008-03

Abstract： Based on the concept of whole life-cycle security management of hospital smart files， this article analyzed and sorted out various potential risks in the production， transmission， storage and sharing stages of hospital smart files， and provided security protection and countermeasures against the risks in each stage， aiming to make the whole life cycle of hospital smart files into a safe and credible chain， provide a safe and private medical environment while protecting hospital information security， and offer a safe and healthy development space for the implementation of healthy China strategy.

Key words： hospital; smart files; whole life cycle; security management

隨著智慧醫(yī)療、智慧檔案的急速發(fā)展，醫(yī)院智慧檔案日益被各醫(yī)院重視。毋庸置疑，醫(yī)院智慧檔案的實(shí)現(xiàn)與應(yīng)用在給檔案管理者、檔案工作者及檔案使用者帶來(lái)諸多便利的同時(shí)，也衍生出種種安全隱患。目前，關(guān)于醫(yī)院智慧檔案安全方面的研究和著作，大多就單個(gè)節(jié)點(diǎn)安全問(wèn)題進(jìn)行論述，或者就存儲(chǔ)環(huán)節(jié)安全管理進(jìn)行研究，對(duì)醫(yī)院智慧檔案整個(gè)生命周期的安全問(wèn)題缺乏系統(tǒng)性、全景式的剖析、評(píng)估和研究。本文擬從全生命周期的視角出發(fā)，分析、梳理醫(yī)院智慧檔案面臨的各種風(fēng)險(xiǎn)，再針對(duì)各風(fēng)險(xiǎn)節(jié)點(diǎn)提出安全策略、安全防控，并進(jìn)行有效的安全銜接，把醫(yī)院智慧檔案的整個(gè)生命周期打造為一條安全可信的檔案鏈條。在保證醫(yī)院信息安全的同時(shí)，也為患者提供安全私密的診療體驗(yàn)，繼而為健康中國(guó)戰(zhàn)略的實(shí)施提供安全、健康的發(fā)展空間。

1 ?醫(yī)院智慧檔案及其潛在風(fēng)險(xiǎn)的認(rèn)識(shí)

2009年，美國(guó)IBM公司（International Business Machines Corporation，國(guó)際商業(yè)機(jī)器公司或萬(wàn)國(guó)商業(yè)機(jī)器公司）提出了智慧地球戰(zhàn)略[1]。緊隨其后，智慧城市、智慧醫(yī)療、智慧交通等在各大領(lǐng)域應(yīng)運(yùn)而生。醫(yī)院智慧檔案則是在智慧醫(yī)療和智慧檔案兩大概念基礎(chǔ)上提出的。目前尚沒(méi)有明確的定義。結(jié)合現(xiàn)有概念，筆者認(rèn)為醫(yī)院智慧檔案是指醫(yī)院采用云計(jì)算、物聯(lián)網(wǎng)和大數(shù)據(jù)等新興技術(shù)，對(duì)電子病歷、電子健康檔案等醫(yī)院的多元化資源進(jìn)行感知、挖掘、整合等智能化管理，通過(guò)綜合分析和提煉萃取形成智慧信息，進(jìn)而構(gòu)建醫(yī)療服務(wù)和管理最優(yōu)化的醫(yī)療體系，智能地滿足醫(yī)療衛(wèi)生生態(tài)圈的需求，同時(shí)為社會(huì)提供多層次、多方位、多渠道的共享利用服務(wù)[2-5]。而醫(yī)院智慧檔案面臨的風(fēng)險(xiǎn)主要是指各種因素導(dǎo)致的醫(yī)院文件缺失，及其引發(fā)醫(yī)院其他損失的不確定性，也可以說(shuō)是產(chǎn)生的預(yù)期結(jié)果與實(shí)際結(jié)果的負(fù)面差異[6]。

2 ?醫(yī)院智慧檔案的風(fēng)險(xiǎn)來(lái)源分析

2.1 ?生成階段——終端設(shè)備風(fēng)險(xiǎn)分析

醫(yī)院健康數(shù)據(jù)來(lái)源的真實(shí)性和準(zhǔn)確性是醫(yī)院智慧檔案安全建設(shè)的基礎(chǔ)。在“互聯(lián)網(wǎng)+”背景下，醫(yī)院常用信息系統(tǒng)繁多龐雜，且每個(gè)終端設(shè)備都是醫(yī)院智慧檔案產(chǎn)生的源頭。例如，醫(yī)院信息系統(tǒng)（HIS）、醫(yī)學(xué)影像信息存儲(chǔ)系統(tǒng)（PACS）、放射信息系統(tǒng)（RIS）、實(shí)驗(yàn)室信息管理系統(tǒng)（LIMS）、辦公系統(tǒng)（OA）等多頭的信息來(lái)源，再加之各信息系統(tǒng)涉及人員多、布置分散、易被忽視、安全手段缺乏的特點(diǎn)，不僅給醫(yī)院智慧檔案的管理增加困難，也使其成為醫(yī)院智慧檔案鏈條上的薄弱環(huán)節(jié)。

2.2 ?流轉(zhuǎn)階段——數(shù)據(jù)傳輸風(fēng)險(xiǎn)分析

醫(yī)院因其機(jī)構(gòu)的特殊性，囊括了多個(gè)既獨(dú)立又交互的業(yè)務(wù)系統(tǒng)，例如，臨床、醫(yī)技、管理、后勤等，并且各業(yè)務(wù)系統(tǒng)都會(huì)產(chǎn)生或獨(dú)立、或交互的檔案信息流。這些數(shù)據(jù)信息傳輸?shù)倪^(guò)程中不可避免地會(huì)面臨數(shù)據(jù)偷閱、篡改、丟失和竊取等傳輸風(fēng)險(xiǎn)。尤其是臨床科室與醫(yī)技部門之間對(duì)信息交互與共享的需求，如何在協(xié)調(diào)不同人群（醫(yī)院內(nèi)部人員和院外病患群體、臨床醫(yī)護(hù)與醫(yī)技人員）不同信息需求的同時(shí)，又能有效保護(hù)病患的隱私，成為解決醫(yī)院數(shù)據(jù)傳輸安全的關(guān)鍵所在。

2.3 ?存儲(chǔ)階段——儲(chǔ)存層面風(fēng)險(xiǎn)分析

醫(yī)院智慧檔案不僅涵蓋健康信息、醫(yī)療數(shù)據(jù)、臨床實(shí)驗(yàn)，還有醫(yī)院日常事務(wù)和發(fā)展進(jìn)程的記錄，因此醫(yī)院智慧檔案的存儲(chǔ)涉及方面極廣，內(nèi)容頗為繁雜。尤其是隨著醫(yī)院智慧檔案的逐步推進(jìn)，在電子檔案存儲(chǔ)量大幅增加和重要性日漸凸顯的背景下，如何長(zhǎng)期、安全、有效地存儲(chǔ)健康數(shù)據(jù)成為醫(yī)院亟待解決的問(wèn)題。目前，智慧檔案僅存儲(chǔ)環(huán)節(jié)就面臨著諸多安全問(wèn)題。比如：存儲(chǔ)格式不一，非結(jié)構(gòu)化數(shù)據(jù)比重較大，技術(shù)標(biāo)準(zhǔn)和管理規(guī)范不完善，已有技術(shù)未得到及時(shí)應(yīng)用，核心技術(shù)被國(guó)外廠商控制等等[7]。

2.4 ?共享階段——網(wǎng)絡(luò)安全風(fēng)險(xiǎn)分析

醫(yī)院智慧檔案發(fā)展的高級(jí)形態(tài)是將龐雜的信息系統(tǒng)集成一體，實(shí)現(xiàn)對(duì)健康信息數(shù)據(jù)的共享。這就要求醫(yī)院各類業(yè)務(wù)信息系統(tǒng)必須從各自為政的現(xiàn)狀逐漸過(guò)渡到系統(tǒng)互聯(lián)、部門互聯(lián)，甚至整個(gè)醫(yī)院互聯(lián)的狀態(tài)，健康信息數(shù)據(jù)也將由一個(gè)封閉的環(huán)境曝露到一個(gè)開放的環(huán)境中。而醫(yī)院健康數(shù)據(jù)來(lái)源和范圍的多樣性（包括病歷信息、健康日志、基因遺傳、醫(yī)學(xué)實(shí)驗(yàn)等），使其區(qū)別于一般行業(yè)，而有其獨(dú)特的敏感性和重要性，并且這些敏感的數(shù)據(jù)要在開放的環(huán)境中面臨著復(fù)雜的服務(wù)群體。與此同時(shí)在健康數(shù)據(jù)集成與共享的過(guò)程中還可能面臨著標(biāo)準(zhǔn)不一、格式?jīng)_突等問(wèn)題。上述種種情況使醫(yī)院數(shù)據(jù)安全共享成為一個(gè)極具挑戰(zhàn)性和迫切解決的難題。

3 ?醫(yī)院智慧檔案安全體系的構(gòu)建

基于上述對(duì)醫(yī)院智慧檔案各階段安全風(fēng)險(xiǎn)的分析，醫(yī)院智慧檔案安全體系的構(gòu)建，就是以線性和系統(tǒng)性的思維，把醫(yī)院智慧檔案的整個(gè)生命周期納入全方位的可信鏈條之中。

3.1 ?全程管理的理念

醫(yī)院智慧檔案全程管理的總體思路是：將健康數(shù)據(jù)從產(chǎn)生伊始到歸檔保存（或至智慧檔案信息的二次使用）作為一個(gè)完整的生命過(guò)程。這一理念植根于醫(yī)院智慧檔案全生命周期視角下的安全管理，它從健康數(shù)據(jù)形成的作業(yè)流程出發(fā)，一開始就對(duì)智慧檔案的整個(gè)生命周期進(jìn)行控制，不但對(duì)信息數(shù)據(jù)產(chǎn)生、傳輸、存儲(chǔ)、共享等每個(gè)動(dòng)態(tài)變化節(jié)點(diǎn)進(jìn)行安全防控和狀態(tài)記錄，而且將安全狀態(tài)通過(guò)傳遞的方式進(jìn)行保持和維護(hù)，最終建立起涵蓋醫(yī)院智慧檔案所有管理活動(dòng)的目標(biāo)管理體系，把信息安全的防護(hù)延伸至醫(yī)院智慧檔案的整個(gè)生命周期。

3.2 ?薄弱環(huán)節(jié)重點(diǎn)防控

3.2.1 ?生成階段 ?對(duì)健康數(shù)據(jù)生成階段的安全防控主要是將醫(yī)院分散的各信息系統(tǒng)及終端設(shè)備進(jìn)行統(tǒng)一管理，然后將信息數(shù)據(jù)整合在主控機(jī)群上進(jìn)行統(tǒng)一調(diào)度。同時(shí)制定出完善的終端設(shè)備使用管理規(guī)范，對(duì)終端設(shè)備進(jìn)行技術(shù)支持和必要的物理隔離。例如，對(duì)于病歷信息的書寫記錄使用U-key身份認(rèn)證，只有U-key的持有者通過(guò)合法身份認(rèn)證機(jī)制的驗(yàn)證后，才有權(quán)對(duì)病歷信息進(jìn)行查看和補(bǔ)充。與此同時(shí)，醫(yī)院網(wǎng)絡(luò)中心配發(fā)給具有處方權(quán)醫(yī)生的U-key都是與其身份信息進(jìn)行綁定的，以保證U-key的唯一性和可追溯，進(jìn)而確保初始信息的安全、真實(shí)和可控。

3.2.2 ?傳輸階段 ?為了保證醫(yī)院智慧檔案?jìng)鬏旊A段的安全，重要的信息一律采用加密傳輸?shù)姆绞?。而?duì)于涉及多級(jí)訪問(wèn)的信息則需要進(jìn)行以密級(jí)劃分的多級(jí)安全加密方式，即保密的信息會(huì)被設(shè)定一個(gè)密級(jí)，每個(gè)用戶也會(huì)被授予相應(yīng)的安全級(jí)別，只有用戶的安全級(jí)別大于或等于文件的安全級(jí)別時(shí)才允許訪問(wèn)和查看[8]。這樣既可以防止重要信息的泄露，又確保不同級(jí)別權(quán)限的合法用戶能夠獲取自己所需的信息文件。

3.2.3 ?存儲(chǔ)階段 ?鑒于當(dāng)前醫(yī)院智慧檔案存儲(chǔ)層面面臨的風(fēng)險(xiǎn)及問(wèn)題，應(yīng)從標(biāo)準(zhǔn)規(guī)范入手，實(shí)行制度化和規(guī)范化的管理。對(duì)健康數(shù)據(jù)的保存環(huán)境、數(shù)據(jù)遷移，及存儲(chǔ)設(shè)備、存儲(chǔ)介質(zhì)、存儲(chǔ)格式等制定詳盡的技術(shù)標(biāo)準(zhǔn)和使用規(guī)范，以支持和實(shí)現(xiàn)健康數(shù)據(jù)在不同子信息系統(tǒng)中的遷移和轉(zhuǎn)換。并確定維護(hù)周期和檢測(cè)方法，定期進(jìn)行數(shù)據(jù)的讀取和校驗(yàn)，同時(shí)將存儲(chǔ)、備份和容災(zāi)技術(shù)充分結(jié)合，構(gòu)建一體化的數(shù)據(jù)容災(zāi)備份存儲(chǔ)系統(tǒng)，確保數(shù)據(jù)的安全性和完整性。

3.2.4 ?共享階段 ?開放的網(wǎng)絡(luò)環(huán)境中風(fēng)險(xiǎn)無(wú)處不在，要保證醫(yī)院智慧檔案全生命周期的安全必須做到前端介入、全程管理，堅(jiān)持應(yīng)用防火墻技術(shù)實(shí)現(xiàn)網(wǎng)絡(luò)邏輯隔離;部署安全審計(jì)系統(tǒng)對(duì)信息全部活動(dòng)的過(guò)程軌跡進(jìn)行記錄;設(shè)置入侵防御系統(tǒng)等傳統(tǒng)安全防御措施的同時(shí)，實(shí)行動(dòng)態(tài)的風(fēng)險(xiǎn)監(jiān)管，將醫(yī)院智慧檔案的風(fēng)險(xiǎn)管理延伸至更寬廣的網(wǎng)絡(luò)環(huán)境中，實(shí)現(xiàn)醫(yī)院智慧檔案基于身份、行為的真實(shí)合法性保護(hù)的動(dòng)態(tài)可信防御體系，以靜態(tài)防護(hù)和動(dòng)態(tài)管理相結(jié)合的策略維護(hù)醫(yī)院智慧檔案的安全。

4 ?小結(jié)

醫(yī)院智慧檔案的安全建設(shè)不是一勞永逸的事情，隨著互聯(lián)網(wǎng)信息技術(shù)在醫(yī)院智慧檔案建設(shè)中的深度應(yīng)用，未來(lái)安全體系面臨的威脅將變得常態(tài)化，這對(duì)醫(yī)院智慧檔案的安全建設(shè)也提出了新的挑戰(zhàn)。只有及時(shí)轉(zhuǎn)變思維觀念，在全生命周期視角下，合理應(yīng)用云計(jì)算、物聯(lián)網(wǎng)和大數(shù)據(jù)等先進(jìn)的技術(shù)手段積極應(yīng)對(duì)，才是醫(yī)院智慧檔案安全發(fā)展的正解。

參考文獻(xiàn)

[1] 曹劍峰，范啟勇.漫談“智慧醫(yī)療”[J].上海信息化，2011（3）：26-28.

[2] 崔文彬，唐燕，劉永斌，等.智慧醫(yī)院建設(shè)理論與實(shí)踐探索[J].中國(guó)醫(yī)院，2017，21（8）：1-4，8.

[3] 李亞子，田丙磊，李艷玲，等.醫(yī)療健康信息二次利用中安全隱私保護(hù)研究[J].醫(yī)學(xué)信息學(xué)雜志，2014，35（9）：2-6.

[4] 劉遷.智慧時(shí)代檔案信息安全的提升路徑——以張家港市檔案館為例[J].檔案與建設(shè)，2015（5）：21-24.

[5] 郭鑫杰.基于“互聯(lián)網(wǎng)+”思維的智慧檔案建設(shè)策略研究[J].浙江檔案，2015（11）：10-12.

[6] 劉亞娟.論“三個(gè)體系”下高校電子文件的風(fēng)險(xiǎn)管理[J].山東檔案， 2017（4）：46-47.

[7] 史金.國(guó)內(nèi)綜合檔案館電子檔案存儲(chǔ)情況分析[J].中國(guó)檔案， 2017（9）：26-27.

[8] 余彩霞，姚曄.基于多級(jí)安全加密的電子文件流轉(zhuǎn)中的訪問(wèn)控制研究[J].檔案學(xué)通訊，2017（2）：58-63.

（收稿日期：2018-09-26）

（修回日期：2018-10-15;編輯：魏民）