醫院集成化平臺解決方案及運行效果研究

孫 劍，支朝朋，許 立

醫院集成化平臺解決方案及運行效果研究

孫 劍，支朝朋，許 立

集成化管理；安全控制；單點登錄

近年來，隨著信息化水平的不斷提升，醫院各部門流程的細化，業務系統及模塊越來越多，有的需頻繁升級，大大增加了信息中心及各操作員的工作量，集成化平臺成為醫院信息系統的發展方向。以下以我院自2005年以來運用集成化安全平臺解決方案為例，探討一下集成化平臺給醫院帶來的種種好處。

1 程序的集成化管理

1.1 目前軍衛系統及大多數HIS系統的現狀 部隊醫院的網絡非常復雜，不僅有以軍字一號為主的局域網，還有省、市醫保、新農合網絡，二級網等多個網絡，每個網絡涉及的人員范圍不同，對安全的要求不同，其中以軍衛和二級網的密級最高，這兩個網絡在醫院內的使用范圍也最廣，所以管理起來比較復雜，管理難度大。一套信息系統由數十個或上百個子程序組成，不僅系統管理員要進入所有程序，而且每個不同角色的操作員也要由一臺電腦進入多個不同的子程序，不僅要多次重復錄入用戶名及口令，而且程序升級工作量大[1]。

1.2 集成化管理的方法 “集成化系統”通過自由定制菜單可使一切程序集成到一個主程序中集中管理，實現多系統的單點登錄[2]。所有程序統一上傳到一臺服務器中，同時按上傳時間生成版本號，并將二進制程序文件生成的MD5碼保存至服務器。為確保醫院所運行的程序是信息中心指定的版本，每次由集成化系統打開程序前，不僅要驗證程序的版本號，而且還要驗證程序文件的MD5碼。如不符合，則自動從服務器上下載程序以覆蓋本地文件后再運行，保證所使用的程序是無安全漏洞的最新版本。如新上傳程序為必須安裝后方可運行的，則可同時指定下載后的安裝路徑、需導入的注冊表項、需注冊的 OCX控件，以確保程序能在一臺未安裝過此系統的電腦上運行，不再需要維護人員到全院電腦前安裝。

1.3 集成化管理的優勢 一方面，操作員只需進行一次安全驗證即可操作所有程序，該系統不僅可以管理軍衛系統的所有程序，而且可以管理不同公司開發的不同程序，權限和口令集中管理，實現真正的單點登錄，大大提高了操作員的工作效率。另一方面，所有程序集中管理可使信息管理人員不必再到各工作站上安裝及升級程序，減輕了信息管理人員的負擔。

2 電腦的安全策略管理

2.1 集成了電腦安全管理的遠程同步功能 可遠程對全院電腦安全策略進行設置，設置后按時間生成安全策略版本號，可遠程對全院電腦的USB口進行封閉或打開(封閉后不影響USB鍵盤、打印機，只針對存儲封閉)；可遠程禁用開啟注冊表編輯器；遠程禁用及開啟網絡屬性設置(防止更改IP地址)；遠程禁用及開啟共享、運行(防止從其他電腦私自拷入、拷出文件)；甚至可以遠程更改電腦操作系統的本地系統管理員密碼。

2.2 集成了操作員安全管理的功能 在遠程封閉電腦功能的同時，可由系統管理員單獨針對某一操作員對以上部分權限進行單獨開放，在此操作員退出集成化系統后，相應權限同時關閉，實現了針對操作員的權限管理功能[3]。如對低權限操作員可禁止其使用系統盤(C盤)及光盤、U盤之類的外部存儲設備，避免病毒的侵入，但高權限的的操作員在進入“集成化系統”后可對系統盤、光盤、U盤的內容進行復制、粘貼等操作。

3 軍衛維護系統的整合

3.1 改進前存在的問題 “軍衛一號”系統對于信息中心的管理人員，則沒有專門的維護軟件，系統維護人員必須熟悉powerbuilder和oracle的操作才可以對日常工作進行維護和管理。這樣做會產生兩個問題：一是增加了信息中心管理人員的工作量，每次的維護都需要從后臺直接打開表來操作，使得操作界面很不直觀，工作效率很低；二是增加了系統的不安全因素，由于維護人員需要從后臺維護，該操作員必須擁有數據庫管理員的權限方可進行，修改記錄的日志缺失或不易查詢。

3.2 改進后的優點 針對軍衛的幾十個子系統，“集成化系統”開發了工作表維護系統，對軍衛的所有流程進行了可視化的維護及管理[4]。如入院登記或身份登記時操作員錄入患者姓名、出生日期錯誤后，由微機中心進行糾正，以前的模式是由系統管理員直接使用Oracle用戶登錄結構化查詢語言工具或powerbuilder進行修改，但使用集成化系統的工作表維護系統，使用的是可視化界面修改，無需SQL語句，其顯著的優點是不僅操作方便，而且可記錄一切操作日志，并可通過這些日志對修改操作進行一鍵恢復，以防止維護人員的再次誤操作。

4 oracle的安全控制

4.1 改進前oracle的安全漏洞 “軍字一號”系統是基于powerbuilder開發的后臺采用oracle 數據庫的醫院管理信息系統。它的數據庫按應用程序的功能劃分為十幾個oracle 用戶,所有用戶table 及trigger、procedure 等均包含在其中。除這十幾個系統用戶外,所有的應用程序均直接采用oracle 用戶登錄,即操作員的用戶即為oracle 數據庫的用戶。這種安全設計思路忽略了數據庫安全的一個重要方面,即普通用戶可以通過SQLPLUS 之類的工具繞過應用程序直接進入數據庫系統,對數據進行改動或資料的竊取。由于沒有應用程序的限制,這種改動的權力非常大,甚至可以導致整個系統的崩潰。雖然每個用戶被相應的角色限制住了,但針對該用戶所能操作的后臺來說,這種限制形同虛設[5]。

4.2 集成化系統對安全漏洞的堵塞 集成化控制系統對軍衛的用戶口令數據進行了加密，即由集成化控制系統授權或同步過的軍衛用戶的口令經過加密后再傳遞給獨立的軍衛子系統的窗口，這樣做的結果是操作員的口令已不再是oracle數據庫的口令，操作員不僅不能再繼續使用原獨立的軍衛程序登錄，而且也不能通過SQLPLUS、powerbuilder直接登錄oracle進行非法的數據修改。

5 對辦公自動化的集成優勢

該“集成化系統”不僅可以集成所有的軍衛程序，還集成了辦公自動化系統。在登錄系統時，自動進入類似QQ的遠程會話系統，可接收其他操作員的單獨呼叫，系統管理員的群發通知等，并自動檢查新郵件。雖然市場上有很多辦公自動化系統，但集成化控制獨一無二的優勢是，所有程序一個入口，操作員無需單獨打開OA系統即可自動查收所有重要通知、郵件等，大大提升了辦公自動化系統在醫院的使用效率。

[1] 李則河,彭晨輝.建設集成化ERP平臺及其在醫院管理中的應用[J]. 中國醫院, 2011, 15 (9):43-45.

[2] 李 穎. 基于校園網的單點登錄系統研究[J].電腦開發與應用, 2013,26(3)：14-16.

[3] 孫 劍,史長生,韓 冰. 醫院局域網防范非法入侵管理對策[J]. 武警醫學, 2008，19(1)：90-91.

[4] 王曉虹,王志文,肖永平,等.“軍衛一號”HIS軟件維護平臺研制[J].醫療衛生裝備, 2011,32 (9):46-47.

[5] 孫 劍,韓 冰,張 兵.“軍字一號”系統安全漏洞及解決方案[J]. 武警醫學, 2006，17(7)：539-540.

(2014-03-25收稿 2014-07-10修回)

(責任編輯 武建虎)

孫 劍，本科學歷，副主任技師，E-mail:78659916@qq.com

050081石家莊，武警河北總隊醫院信息科

R197.324