院前急救电子病历档案信息安全管理探析

院前急救电子病历档案信息安全管理探析中图分类号TP3文献标识码A文章编号1674-6708〔2016〕161-0082-02随着信息科技的飞速发展，对于院前急救医疗机构和患者来说，电子病历的则有势不可挡之势，而信息安全是电子病历发展的基石。院前急救电子病历系统是院前急救信息系统的重要组成部分，通过逐步建立一系列针对电子病历信息系统信息安全的保障措施，更好地发挥电子病历在院前急救医疗工作中的积极作用，以期有效促进以电子病历为核心的院前急救信息化进程。1院前急救电子病历档案信息的安全需求具体表现1.1数据的机密性院前急救电子病历信息不泄露给非授权用户、实体或过程，或供其利用的特性。病历数据机密性是患者个人健康状况隐私保护的要求。1.2数据的完整性院前急救电子病历数据未经授权不能进行改变的特性。即病历信息在存储或传输过程中保持不被修改、不被破坏和丢失的特性，入侵者不能用篡改数据来替代。1.3数据的有效性院前急救电子病历信息系统能自动记录进入电子病历系统的任何操作〔如录入、修改、查阅、复制、维护和监控等〕，记录操作人员相关信息并随病历一起保存。1.4数据的可用性可被授权访问者访问并按需求使用的特性。即当需要使用时可否被存取的信息。例如，在下拒绝访问或者和相关系统的正常运行遭到破坏都归属于对可用性的攻击。1.5数据的不可否认性验证数据和信息的;，保证合法用户给出数据信息，防止发送方否认数据的发出，同时防止接收方否认数据接收。1.6数据的访问可控制性对信息的传播及内容具有控制能力。当医务人员登陆系统后，访问控制即应根据医务人员和人员的权限区别划分。根据电子病历使用过程中的不同阶段，对病历调阅者按照不同权限区别对待。总之，对每一位前来访问的用户，在访问时根据访问者的权限和需要满足其最小需求，对其他部分进行严格控制。2院前急救电子病历档案信息安全机制问题分析2.1身份认证机制连云港市院前急救现在采用用户名/密码的方式进行身份认证，这种认证方式安全级别较低，不足以保证系统安全，存在易被攻破的安全隐患。譬如，用户为了方便记忆常常使用安全级别不高的纯数字组合，或生日、电话号码等特殊数字作为密码，由于密码在数据传输过程中容易被驻留在内存中的木马程序或网络中的监听设备截获，造成密码泄漏，电子病历信息也就容易被访问或篡改，对院前急救电子病历信息系统数据安全造成很大的威胁。2.2数据传输机制电子病历的其中一个优点是可以进行空间上的病历信息交换，为此，需要将病历信息转换为标准的交换格式在网络上传输。当前急救中心采用的传统传输协议，传输通道未被加密，电子病历系统主要是在中心局域网上进行，信息内容的安全取决于传输过程是否能保障信息安全，一旦安全不能保障，病历信息就有可能被破坏。2.3数据存储机制当前，电子病历信息要求保存的期限较长，使得病历信息数据非常庞大，就实际情况来看，所有患者信息不可能存储在一个服务器中。作为院前急救电子病历系统，不但要长期保留患者信息，还要在发生各种突发情况时，要保证病人信息的完整性，随时能做到快速取用，因而建立分级存储结构，实现海量存储和实时存取的统一。对以往的电子病历信息要做到归档存储备份，对需要调用的电子病历信息能够采用恢复联机状态工具。在系统发生突发状况断联后，能够可以将信息数据恢复至故障前状态，将故障的破环性降低到最小。相比较传统纸质病历，电子病历在后台数据库服务器上的保存方式具有可复制性、传播速度快等特点，使得电子病历更容易泄密，而且难以发觉。这样的一系列特点要求我们对当前的院前急救电子病历信息和数据的安全存储措施提出了与之相应的保密要求，应该逐步完善现行院前急救电子病历的存储体系及备份方案。3院前急救电子病历档案信息安全保障建议措施3.1强化信息安全首先，要加强院前急救相关人员信息安全工作专项培训，设立专门的信息管理部门，明确分工，培养工作人员的责任心，认真履职；其次，要着力于建立院前急救电子病历系统的技术安全保障体系，根据院前急救工作实际情况，结合各项法律法规条例，强化信息安全管理措施，制订出相应的一系列安全管理制度。3.2采用加密技术加强病历系统及相关数据自身的安全性和保密性，防止从外部将数据进行破析。例如加强身份验证：保证只有合法的用户才能登录并使用数据库，从而保证机密性。具体来说，在监管层面，对医师等级权限进行设置，强化监管制度，对查阅、输入和修改电子病历要有严格的等级授权，为了保证相关文件在存储与传输过程中不被恶意的第三方截获与篡改，可以使用特定将病历文件加密保存。同时，将每位医师修改病历的过程痕迹也以加密形式保存在服务器上，同时建立安全日志保存在数据库中。3.3使用第三方数字证书认证技术数字证书认证技术是保证网络传输安全的一种重要技术手段，正在逐步被推广和使用，也正被广大使用者所接受。它是有效预防信息被删改的一种常规保障手段，它通过发送验证消息的方法使接受方具有鉴别真伪的能力。当前，认证方式的形式多样，以数字认证中的数字签名举例来说，数字签名技术需要建立相关的一整套公钥基础设施〔PKI〕，从技术层面保证网络身份认证、信息安全和过程监控等问题，可以作为安全基础平台服务于电子病历系统。PKI是一个集合一系列相关内容，实现基于公钥密码体制的公钥身份证书产生、应用、验证等功能，作为安全设施的最基本内容，PKI通过提供各项安全服务，以确保电子病历数字签名的安全需求。3.4引入第三方监管、存储机构应当逐步引入独立于医疗机构和患者之外的第三方监管、存储机构，对院前电子病历系统的服务器进行更加合法有效的监督管理，强化院前电子病历的后台服务器的安全，保障电子病历的有效法律证据性。同时，采用定期异地备份保存院前急救电子病历数据信息，可以在医疗纠纷中作为第三方参考数据，从而降低发生医疗信息违规操作的可能性，保障院前急救电子病历信息的完整性和安全性。电子病历档案管理体系是院前急救档案管理