王曉君，周翔宇

?

醫(yī)院智慧檔案在全生命周期視角下的安全管理

王曉君，周翔宇

邯鄲市中心醫(yī)院，河北 邯鄲 056008

基于醫(yī)院智慧檔案全生命周期安全管理的理念，分析梳理了當前醫(yī)院智慧檔案在產生、傳輸、存儲及共享階段的各種潛在風險，并針對各階段的風險給予安全防護和應對策略，旨在將醫(yī)院智慧檔案的整個生命周期打造為一條安全可信的鏈條，在保護醫(yī)院信息安全的同時，為患者提供安全、私密的就診環(huán)境，為健康中國戰(zhàn)略的實施提供安全、健康的發(fā)展空間。

醫(yī)院：智慧檔案；全生命周期；安全管理

隨著智慧醫(yī)療、智慧檔案的急速發(fā)展，醫(yī)院智慧檔案日益被各醫(yī)院重視。毋庸置疑，醫(yī)院智慧檔案的實現與應用在給檔案管理者、檔案工作者及檔案使用者帶來諸多便利的同時，也衍生出種種安全隱患。目前，關于醫(yī)院智慧檔案安全方面的研究和著作，大多就單個節(jié)點安全問題進行論述，或者就存儲環(huán)節(jié)安全管理進行研究，對醫(yī)院智慧檔案整個生命周期的安全問題缺乏系統性、全景式的剖析、評估和研究。本文擬從全生命周期的視角出發(fā)，分析、梳理醫(yī)院智慧檔案面臨的各種風險，再針對各風險節(jié)點提出安全策略、安全防控，并進行有效的安全銜接，把醫(yī)院智慧檔案的整個生命周期打造為一條安全可信的檔案鏈條。在保證醫(yī)院信息安全的同時，也為患者提供安全私密的診療體驗，繼而為健康中國戰(zhàn)略的實施提供安全、健康的發(fā)展空間。

1 醫(yī)院智慧檔案及其潛在風險的認識

2009年，美國IBM公司（International Business Machines Corporation，國際商業(yè)機器公司或萬國商業(yè)機器公司）提出了智慧地球戰(zhàn)略[1]。緊隨其后，智慧城市、智慧醫(yī)療、智慧交通等在各大領域應運而生。醫(yī)院智慧檔案則是在智慧醫(yī)療和智慧檔案兩大概念基礎上提出的。目前尚沒有明確的定義。結合現有概念，筆者認為醫(yī)院智慧檔案是指醫(yī)院采用云計算、物聯網和大數據等新興技術，對電子病歷、電子健康檔案等醫(yī)院的多元化資源進行感知、挖掘、整合等智能化管理，通過綜合分析和提煉萃取形成智慧信息，進而構建醫(yī)療服務和管理最優(yōu)化的醫(yī)療體系，智能地滿足醫(yī)療衛(wèi)生生態(tài)圈的需求，同時為社會提供多層次、多方位、多渠道的共享利用服務[2-5]。而醫(yī)院智慧檔案面臨的風險主要是指各種因素導致的醫(yī)院文件缺失，及其引發(fā)醫(yī)院其他損失的不確定性，也可以說是產生的預期結果與實際結果的負面差異[6]。

2 醫(yī)院智慧檔案的風險來源分析

2.1 生成階段——終端設備風險分析

醫(yī)院健康數據來源的真實性和準確性是醫(yī)院智慧檔案安全建設的基礎。在“互聯網＋”背景下，醫(yī)院常用信息系統繁多龐雜，且每個終端設備都是醫(yī)院智慧檔案產生的源頭。例如，醫(yī)院信息系統（HIS）、醫(yī)學影像信息存儲系統（PACS）、放射信息系統（RIS)、實驗室信息管理系統（LIMS）、辦公系統（OA）等多頭的信息來源，再加之各信息系統涉及人員多、布置分散、易被忽視、安全手段缺乏的特點，不僅給醫(yī)院智慧檔案的管理增加困難，也使其成為醫(yī)院智慧檔案鏈條上的薄弱環(huán)節(jié)。

2.2 流轉階段——數據傳輸風險分析

醫(yī)院因其機構的特殊性，囊括了多個既獨立又交互的業(yè)務系統，例如，臨床、醫(yī)技、管理、后勤等，并且各業(yè)務系統都會產生或獨立、或交互的檔案信息流。這些數據信息傳輸的過程中不可避免地會面臨數據偷閱、篡改、丟失和竊取等傳輸風險。尤其是臨床科室與醫(yī)技部門之間對信息交互與共享的需求，如何在協調不同人群（醫(yī)院內部人員和院外病患群體、臨床醫(yī)護與醫(yī)技人員）不同信息需求的同時，又能有效保護病患的隱私，成為解決醫(yī)院數據傳輸安全的關鍵所在。

2.3 存儲階段——儲存層面風險分析

醫(yī)院智慧檔案不僅涵蓋健康信息、醫(yī)療數據、臨床實驗，還有醫(yī)院日常事務和發(fā)展進程的記錄，因此醫(yī)院智慧檔案的存儲涉及方面極廣，內容頗為繁雜。尤其是隨著醫(yī)院智慧檔案的逐步推進，在電子檔案存儲量大幅增加和重要性日漸凸顯的背景下，如何長期、安全、有效地存儲健康數據成為醫(yī)院亟待解決的問題。目前，智慧檔案僅存儲環(huán)節(jié)就面臨著諸多安全問題。比如：存儲格式不一，非結構化數據比重較大，技術標準和管理規(guī)范不完善，已有技術未得到及時應用，核心技術被國外廠商控制等等[7]。

2.4 共享階段——網絡安全風險分析

醫(yī)院智慧檔案發(fā)展的高級形態(tài)是將龐雜的信息系統集成一體，實現對健康信息數據的共享。這就要求醫(yī)院各類業(yè)務信息系統必須從各自為政的現狀逐漸過渡到系統互聯、部門互聯，甚至整個醫(yī)院互聯的狀態(tài)，健康信息數據也將由一個封閉的環(huán)境曝露到一個開放的環(huán)境中。而醫(yī)院健康數據來源和范圍的多樣性（包括病歷信息、健康日志、基因遺傳、醫(yī)學實驗等），使其區(qū)別于一般行業(yè)，而有其獨特的敏感性和重要性，并且這些敏感的數據要在開放的環(huán)境中面臨著復雜的服務群體。與此同時在健康數據集成與共享的過程中還可能面臨著標準不一、格式沖突等問題。上述種種情況使醫(yī)院數據安全共享成為一個極具挑戰(zhàn)性和迫切解決的難題。

3 醫(yī)院智慧檔案安全體系的構建

基于上述對醫(yī)院智慧檔案各階段安全風險的分析，醫(yī)院智慧檔案安全體系的構建，就是以線性和系統性的思維，把醫(yī)院智慧檔案的整個生命周期納入全方位的可信鏈條之中。

3.1 全程管理的理念

醫(yī)院智慧檔案全程管理的總體思路是：將健康數據從產生伊始到歸檔保存（或至智慧檔案信息的二次使用）作為一個完整的生命過程。這一理念植根于醫(yī)院智慧檔案全生命周期視角下的安全管理，它從健康數據形成的作業(yè)流程出發(fā)，一開始就對智慧檔案的整個生命周期進行控制，不但對信息數據產生、傳輸、存儲、共享等每個動態(tài)變化節(jié)點進行安全防控和狀態(tài)記錄，而且將安全狀態(tài)通過傳遞的方式進行保持和維護，最終建立起涵蓋醫(yī)院智慧檔案所有管理活動的目標管理體系，把信息安全的防護延伸至醫(yī)院智慧檔案的整個生命周期。

3.2 薄弱環(huán)節(jié)重點防控

3.2.1 生成階段 對健康數據生成階段的安全防控主要是將醫(yī)院分散的各信息系統及終端設備進行統一管理，然后將信息數據整合在主控機群上進行統一調度。同時制定出完善的終端設備使用管理規(guī)范，對終端設備進行技術支持和必要的物理隔離。例如，對于病歷信息的書寫記錄使用U-key身份認證，只有U-key的持有者通過合法身份認證機制的驗證后，才有權對病歷信息進行查看和補充。與此同時，醫(yī)院網絡中心配發(fā)給具有處方權醫(yī)生的U-key都是與其身份信息進行綁定的，以保證U-key的唯一性和可追溯，進而確保初始信息的安全、真實和可控。

3.2.2 傳輸階段 為了保證醫(yī)院智慧檔案傳輸階段的安全，重要的信息一律采用加密傳輸的方式。而對于涉及多級訪問的信息則需要進行以密級劃分的多級安全加密方式，即保密的信息會被設定一個密級，每個用戶也會被授予相應的安全級別，只有用戶的安全級別大于或等于文件的安全級別時才允許訪問和查看[8]。這樣既可以防止重要信息的泄露，又確保不同級別權限的合法用戶能夠獲取自己所需的信息文件。

3.2.3 存儲階段 鑒于當前醫(yī)院智慧檔案存儲層面面臨的風險及問題，應從標準規(guī)范入手，實行制度化和規(guī)范化的管理。對健康數據的保存環(huán)境、數據遷移，及存儲設備、存儲介質、存儲格式等制定詳盡的技術標準和使用規(guī)范，以支持和實現健康數據在不同子信息系統中的遷移和轉換。并確定維護周期和檢測方法，定期進行數據的讀取和校驗，同時將存儲、備份和容災技術充分結合，構建一體化的數據容災備份存儲系統，確保數據的安全性和完整性。

3.2.4 共享階段 開放的網絡環(huán)境中風險無處不在，要保證醫(yī)院智慧檔案全生命周期的安全必須做到前端介入、全程管理，堅持應用防火墻技術實現網絡邏輯隔離；部署安全審計系統對信息全部活動的過程軌跡進行記錄；設置入侵防御系統等傳統安全防御措施的同時，實行動態(tài)的風險監(jiān)管，將醫(yī)院智慧檔案的風險管理延伸至更寬廣的網絡環(huán)境中，實現醫(yī)院智慧檔案基于身份、行為的真實合法性保護的動態(tài)可信防御體系，以靜態(tài)防護和動態(tài)管理相結合的策略維護醫(yī)院智慧檔案的安全。

4 小結

醫(yī)院智慧檔案的安全建設不是一勞永逸的事情，隨著互聯網信息技術在醫(yī)院智慧檔案建設中的深度應用，未來安全體系面臨的威脅將變得常態(tài)化，這對醫(yī)院智慧檔案的安全建設也提出了新的挑戰(zhàn)。只有及時轉變思維觀念，在全生命周期視角下，合理應用云計算、物聯網和大數據等先進的技術手段積極應對，才是醫(yī)院智慧檔案安全發(fā)展的正解。

[1] 曹劍峰,范啟勇.漫談“智慧醫(yī)療”[J].上海信息化,2011(3):26-28.

[2] 崔文彬,唐燕,劉永斌,等.智慧醫(yī)院建設理論與實踐探索[J].中國醫(yī)院,2017,21(8):1-4,8.

[3] 李亞子,田丙磊,李艷玲,等.醫(yī)療健康信息二次利用中安全隱私保護研究[J].醫(yī)學信息學雜志,2014,35(9):2-6.

[4] 劉遷.智慧時代檔案信息安全的提升路徑——以張家港市檔案館為例[J].檔案與建設,2015(5):21-24.

[5] 郭鑫杰.基于“互聯網＋”思維的智慧檔案建設策略研究[J].浙江檔案,2015(11):10-12.

[6] 劉亞娟.論“三個體系”下高校電子文件的風險管理[J].山東檔案,2017(4):46-47.

[7] 史金.國內綜合檔案館電子檔案存儲情況分析[J].中國檔案,2017(9):26-27.

[8] 余彩霞,姚曄.基于多級安全加密的電子文件流轉中的訪問控制研究[J].檔案學通訊,2017(2):58-63.

Security Management of Hospital Smart Files under the Perspective of Whole Life Cycle

WANG Xiao-jun, ZHOU Xiang-yu

(Handan City Central Hospital, Handan 056008, China)

Based on the concept of whole life-cycle security management of hospital smart files, this article analyzed and sorted out various potential risks in the production, transmission, storage and sharing stages of hospital smart files, and provided security protection and countermeasures against the risks in each stage, aiming to make the whole life cycle of hospital smart files into a safe and credible chain, provide a safe and private medical environment while protecting hospital information security, and offer a safe and healthy development space for the implementation of healthy China strategy.

hospital; smart files; whole life cycle; security management

10.3969/j.issn.2095-5707.2019.02.003

G270.7

A

2095-5707(2019)02-0008-03

王曉君，E-mail: gracewang2007@163.com

王曉君,周翔宇.醫(yī)院智慧檔案在全生命周期視角下的安全管理[J].中國中醫(yī)藥圖書情報雜志,2019,43(2):8-10.

2018-10-15

2018-09-26

編輯：魏民