张长虹,秦晓岗,袁钟清,赵亚丽,施咏军
(北京军区总医院医学工程科,北京 100700)
摘 要 信息技术是21世纪颇受关注的技术领域之一。信息总是依托信息系统存在。医院信息系统是信息系统在医学领域中的具体应用,其安全性与信息、信息系统的安全性既有共性,又有其特殊性。
关键词 医院;信息;信息系统;安全性
〔中图分类号〕R197.3 〔文献标识码〕B
1 信息的安全性
信息技术和生命科学技术是21世纪颇受关注的两个技术领域。随着信息化的飞速发展,各种信息化系统已成为国家基础设施,支持着电子商务、电子金融、电子政务、能源、通信、交通、科学研究、网络教育、医疗保健等方方面面。信息成为人类个体或群体必需的重要资源。
信息作为一种人类社会的资源,其价值的特性不同于物质、资金和能源等资源。它具有自身的特殊性。信息价值不仅取决于信息的本身或内容,通常还取决于:
* 信息的可靠性,即信息的来源是否可靠或可以信赖,排除混乱或伪造的信息;
* 信息的准确性,即信息内容是否准确无误,排除错误或被篡改的信息;
* 信息的时间性,即信息仍然是有效或有意义的,排除失效或过时;
* 信息的传播性,即知道信息的人员范围,排除泄漏或失盗。
对于信息的拥有者,他必须能够持续地维护所控制的信息,保障信息的可用性、准确性、可靠性、时效性和传播性,防止信息受到无意的或人为的泄漏和破坏。这种对已控制信息的维护就是信息的安全管理。安全通常是相对于受到威胁而言的。信息安全就是受控制的信息仍然是可靠的而非伪造的,准确的而未遭破坏或篡改的,有效的和可用的而非延误的或难以提取的,传播范围是被严格控制的或保密的,而非泄漏或失盗的。
所以概括起来,信息的安全可定义为:持续地维护信息的完整性(Integrity)、可用性(Availability)和机密性(Confidentiality)。完整性包括了信息的可靠性和准确性,可用性包括了信息的可获得性和时间性,而机密性是对信息传播范围的控制。
2 信息系统的安全性
信息总是依托信息系统存在,表现为信息系统所存储、处理和交换的数据单元。
所谓系统是一个将输入变为输出的过程,是指由相互联系、相互作用又相互依存的若干单元组成的、具有一个共同目标的有机整体。广义的信息系统包括的范围很广,各种处理信息的系统都可称为信息系统,包括人体本身和各种人造系统;狭义的信息系统仅指基于计算机的系统,是人、规程、数据库、硬件和软件等各种设备、工具的有机集合,它突出的是计算机、网络通信、信息处理等技术的应用。本文指的是后一种定义的范畴。完整的信息系统包括信息采集系统、信息存储系统、信息交换系统、信息处理系统和信息应用系统。信息采集系统对信息可靠性和准确性负直接的责任,对信息传播性负最初的责任。信息存储系统、信息交换系统、信息处理系统和信息应用系统对信息数据正确性和传播性负有责任。这里的信息数据正确性就是对信息的可靠性和准确性负责。信息的时间性却不是信息系统本身能独立决定的。对信息系统来说,能做的就是及时地提供应用所需的数据,即保障信息的可用性。因而,信息安全问题成为信息系统的“数据”的安全。在信息系统中,信息安全就是保障系统中数据的机密性、完整性和可用性。
从狭义角度讲,信息系统安全可定义为确保以电磁信号为主要形式的、在计算机网络化(开放互连)系统中进行自动通信、处理和利用的信息内容,在各个物理位置、逻辑区域、存储和传输介质中,处于动态和静态过程中的机密性、完整性、可用性、可审计性(Accountability)和抗抵赖性(Non-repudiation),与人、网络、环境有关的技术安全、结构安全和管理安全的总和。这里的人指信息系统的主体,包括各类用户、支持人员,以及技术管理和行政管理人员;网络则指以计算机、网络互连设备、传输介质、信息内容及其操作系统、通信协议和应用程序所构成的物理的与逻辑的完整体系;环境则是系统稳定和可靠运行所需要的保障体系,包括建筑物、机房、动力保障与备份,以及应急与恢复体系。
3 医院信息系统的安全性
医院信息系统(Hospital Information System,HIS),按照该领域权威专家Morris F.Collen教授所给的定义是:利用电子计算机和通信设备,为医院所属各部门提供病人诊疗信息和行政管理信息的采集、存储、处理、提取和数据交换的能力,并满足所有授权用户的功能需求。医院信息系统是是信息系统在医学领域中的具体应用。医院信息系统对安全性的要求一般比其它信息系统对安全性要求要高。记载病人敏感数据和个人隐私的医疗记录如果遭到破坏,不像金融欺诈或者信用卡信息丢失那样,钱丢了还可能找回来,敏感数据一旦被篡改或个人隐私一旦被泄漏,所造成的伤害往往是无法弥补的,可能是致命的。医院信息系统所管理的病人医疗记录是一种拥有法律效力的文件,它不仅在医疗纠纷案件中,而且在许多其它法律程序中均会发挥重要作用。随着人们对个人隐私越来越重视,以及相关法律的强制要求,所有能够用以标识病人信息的数据都应当受到严格的保护。例如,为规范医疗信息安全性和满足保护个人隐私需求,美国联邦政府于1996 年通过 HIPAA法案(Health Insurance Portability and Accountability Act,健康保险携带和责任法案)。该法案要求所有涉及医疗保健的机构中,包括医院、健康计划部门、保健服务商、相关票据交换所、医疗信息系统提供商、医科大学、甚至只有一个内科医生的办公室等,对任何形式的个人健康保健信息的存储、维护和传输都必须遵循HIPAA的安全条例规定。对于违反HIPAA安全条例的行为,可以处以最高为25万美元的罚款和最长为10年的监禁。
4 医院信息系统安全性的实现原则
医院信息系统的安全性可包括:
* 证实参与诊疗活动各方的身份,即“鉴别”(Authentication)他们是否确实与所声明的身份一致
* 在个人的身份(或所处的位置)的基础上限制对特定信息的访问,也就是,“访问控制”(Access Control)
* 记录谁、什么时间、采取恰当方式或不恰当方式、访问了什么内容,也就是,维护“审计跟踪”(Audit Trail)
* 保护信息传输过程中不被拦截或窃听,也就是,保护信息的“机密性”
* 记录文档或对象由特定的个人或实体创建,也就是,对它“数字签名”
* 核实文档或对象自创建以来未曾被更改过,也就是,保证其“完整性”
* 记录文档创建(可能会记录时间)的事实,而且不能在以后否认其真实性,也就是,使得它“抗抵赖”
* 与患者有关的所有信息不被随意泄露,即保护患者的“隐私”(Privacy)
严格意义上说,医院信息系统主要包括医院管理信息系统(Hospital Management Information System,HMIS)、临床信息系统(Clinical Information System,CIS)、图像存档与通信系统(Picture Archiving and Communication Systems,PACS)和办公自动化系统(Office Automation,OA)等。因此,医院信息系统安全性的实现必须依赖于这些分系统安全性的实现。由于每个分系统所管理的信息各有不同,安全性的实现也有所不同。各个分系统安全性的实现具有相对独立性,但是又是相互依赖和制约的。
为了实现医院信息系统的安全性,人们从不同的角度给出不同的论述,并提出了不同的解决方案,比如从信息系统安全性整体的角度,从实现信息系统安全性的软件架构的角度,从实现信息系统安全性使用的国际标准的角度,从信息系统通信安全性的角度,从实现信息系统安全性使用的安全技术的角度,从信息系统安全性意识的培养以及培训教育的角度,从信息系统实施的安全策略的角度,从法律法规对信息系统安全性要求的角度等。
为了方便医院信息系统之间的互操作性(Interoperability),医院信息系统总是尽可能地使用国际标准或行业标准。这些标准又可以分为专业词汇与编码标准(如SNOMED、ICD9、LIONC等)、数据模型建模工具标准(如UML、RIM等)、数据交换标准(如DICOM、HL7、XML、CORBAmed等)、通信标准(TCP/IP、FTP等)几个类别。就数据交换标准而言,在目前的具体实施中,医院管理信息系统和临床信息系统典型地使用的是HL7(Health Level 7)标准,图像存档与通信系统典型地使用的是DICOM(Digital Imaging and Communications in Medicine,医学数字成像与通信)标准。因此,为了使得医院信息系统安全性以比较一致的方式实现,最好在信息系统所依赖的各种标准中对安全性的实现进行严格地规定。