医院信息中心业务和数据库安全管理系统设计与应用
来源:用户上传
作者:
[摘 要] 目的:医院信息中心面临的事务处理和管理日益复杂,传统的管理模式已经不能满足需求。文章分析了医院信息中心工作现状以及信息中心工作人员面临的困难以及存在的问题,设计了医院信息中心业务和数据库安全管理系统,运用后取得了良好的效果。
[关键词] 医院信息中心;业务和数据库;安全管理
doi : 10 . 3969 / j . issn . 1673 - 0194 . 2016. 19. 103
[中图分类号] TP311 [文献标识码] A [文章编号] 1673 - 0194(2016)19- 0181- 02
随着国家对于医院信息化改革,医院的数字化过程已经逐渐从以财务为主线的信息化向临床信息化转变,建立HIS、EMR、LIS、PACS等各类信息系统。但是作为医院信息系统运行的核心部门信息中心,却没有一套符合自身运行的管理系统,使之的运转制度化、信息化。
数据库越来越大,服务器负担逐渐增加;访问数据库的人员和接口越来越多,权限和访问管理变得杂乱无章,对数据库的误操作也会时有发生,对关键数据的误删除使部分、甚至全部业务的停顿;对敏感数据的越权访问也迅速增加。
因此,推动数据库环境安全管理是摆在医院数据和安全管理的一个切实问题。
1 医院信息中心工作现状
医院信息中心作为医院信息化运行的核心部门,承担着建设数字医院的主要规划和实施职能,承担软件系统的培训、上线、系统集成、日常运维、故障处理等多项工作。
从机房环境来看,要负责从中心机房选址、规划、建设、验收和维护的整个过程,这里面包含了UPS、制冷系统、维修室、供电系统、灭火系统、防雷系统等多项系统;从核心设备来看,主要有网络布线系统、服务器系统、存储系统、安全系统组成;从系统集成和软件角度来看,主要有操作系统、数据库系统、双机系统、负载匀衡系统、容灾系统、各业务系统(HIS、EMR、LIS、PACS、医保系统等等)组成。
从技术层面来看,信息中心面临着技术跨度大、专业技能要求高、技术更新快、医疗业务与计算机业务深结合的压力。从供应商管理来看,各应用系统的供应商为不同公司,沟通成本高、业务接口多;医院软件业务需求多,系统调研、上线、问题反馈、BUG修改等业务维护量大;桌面终端硬件设备多,维护量大的情况。从管理和上级沟通层面,院领导无法清晰地了解到信息中心工作内容;信息中心本身也很难清楚定位日常工作问题所在;信息中心领导不清楚自己员工都在做什么,如何更好的安排工作,如何考核绩效。
因此,当前医院信息中心面临着供应商多、硬件和设备繁杂多、维护力量不到位、服务不到位、时间过长,所有的这些问题的解决,当前只有某些有管理思路的信息中心有纸质记录,还有很多信息中心甚至连书面记录不完整;事后查询不方便,无法快速定位到具体的问题和事件;事后没有事件跟踪和改进,无法后期总结归纳,为提升业务运行提供依据。
2 医院信息中心面临的困难
医院的信息化从管理信息化阶段,向着以病人为中心的临床信息化阶段迈进。一个现代化的医院一般都有几十个业务系统来保障医院整个业务顺利的运行。一方面享受着信息化给医护和管理带来的效果,另一方面医院的信息中心还要面对信息化越来越复杂的挑战。
故障定位困难:医院信息化发展是在原有基础的平台之上,不断累加,不断升级,从而导致医院信息化的IT环境复杂度与日俱增。当问题发生时,特别是数据库故障跟信息靠得最近,信息管理员能否在第一时间判断问题所在,是保障医院业务顺利运行,防止重大事故出现的前提。
信息工作难以评估:工作从医院领导的角度看,投入这么多钱搞信息化,医院所依赖的这些业务系统都运行的怎么样?怎么量化服务质量的改进程度呢?
故障处理效率低:在医院,信息中心在处理IT的故障,缺乏系统运维管理流程,很多时候不知道故障已经处理的状态,谁在处理,以及处理的经验。这样会造成一方面信息中心运维管理经验不能沉淀下来,另一方面领导不能对所发生的IT故障有个全面的把控。
项目管理复杂:一个项目要涉及到众多医疗部门、开发商的参与,医疗部门在如何处理好医疗和信息工作的结合,这都会增加项目管理的复杂程度。
因此打造高效流程化信息中心内部体系,帮助医院用户梳理和设计运维管理流程,形成持续优化、不断改进的信息中心管理目标,协助信息中心建立一套基于软件的运作流程,实现数据库安全管理、IT运维管理流程与日常信息工作管理电子化、自动化,真正实现医院IT基础架构与内部管理业务的融合,帮助用户实现高效管理和运维目标。
3 医院信息中心业务和数据库安全管理系统的主要功能
医院信息中心业务和数据库安全管理系统主要包含数据库安全管理和信息中心业务管理两部分。
3.1 数据库安全管理部分
医院的数据库是与应用打交道最近的地方,里面保存着珍贵的医疗数据,医院应保护的信息绝大数在数据库里, 而80%的系统,都没有针对数据库的安全设置相应的安全对策。
据调研统计,80%的数据库威胁行为来自于人为误操作和越权操作。由于绝大部分的敏感信息操作都来源于内部人员在合理权限内的操作,对于人为误操作和敏感数据的越权操作,虽然通过用户的权限和角色等设置可以实现部分的功能,但是无法从根本上解决此类问题。
3.1.1 业务环境健康检查
针对于数据库环境的各项健康指标进行采样和分析:CPU使用率,磁盘空间,交换空间,内存的使用率,用户连接情况,数据库中各类资源的使用情况,通过图表方式展现出来。
3.1.2 业务潜在性能跟踪及捕获
设定各种系统资源的阀值,针对于系统资源达到一定的阀值后,通过提示报警(声音、邮件、手机短信)等功能,提示管理对系统进行监视和处理;对于占用资源很大的业务处理进行跟踪,管理员可以对其进行管理,跟踪到具体的客户端、当前处理的业务模块,限制其对大量资源的占用,避免大局的性能影响。 3.1.3 身份验证功能和客户端准入数据库控制
不同客户端,不同的IP地址,不同时间段,不同的应用程序,对于数据库的登录进行身份验证,只有符合规定的连接才能进入到数据库里进行数据操作。
3.1.4 超级用户和特权用户管理
由于特权用户的存在,过大的权限对信息安全难以控制;对这些特权用户的权限必须有一个独立的监管和控制。
3.1.5 信息中心内部及开发商身份管理
信息中心内部和开发人员的身份进行实名连接管理,用户名、IP地址等进行身份绑定,将权限细化到个人。
3.1.6 误操作和恶意数据操作防范
针对于用户的高危操作,例如删除表、删除表空间、重启数据库等操作,通过专属的维护用户对这些操作进行管理。
3.1.7 敏感资产保护及审批
医院有很多敏感的数据,普通情况下,开发人员和维护人员由于平时维护的原因,均可以访问到这些敏感数据,通过敏感资产保护的方式,可以避免这些越权访问,并且通过审批的手段来管理起来。
3.1.8 误操作回收站功能
如果有些误操作无法进行防范,并且已经产生不良的后果。对这些数据库的误操作进行恢复动作,确保在一定的时间内能对误操作进行恢复,实现后期的修复功能。
3.2 信息中心业务管理
信息中心业务管理包含硬件领用登记、硬件故障信息登记、软件需求管理(故障管理、需求管理)、项目管理过程、供应商管理、值班排班管理、培训管理(外派,内部)、报表查询、系统配置管理以及基础字典维护等业务的管理。
硬件领用登记、硬件故障信息登记、软件需求管理(故障管理、需求管理)是面临全院各部门,各信息系统的,为了方便操作者使用,我们将这些功能嵌入到每个应用系统中,以方便全院各科室需求提交。比如说,出入院结算系统在给病人结算时,出现了错误提示,工作人员就可以直接在该系统中的软件需求管理(故障管理)栏目,形成一个故障报修单,对出现的问题进行描述,并将错误信息通过截图上传至系统附件中,提交后,系统就上传至信息中心管理信息系统中,信息中心值班人员会对故障报单根据目前信息中心人员当前任务的繁忙程度和业务处理能力情况进行任务分派,任务分派后,只有被分派者的系统中会显示此故障的详细信息,同时短信提示任务接受者个人。如果被分派任务者正在处理其他业务且短时间内不能完成本项任务,那么他可以转移给其他同事,或拒绝接收此任务,返回上级菜单,让值班人员重新分派任务,但要写明拒绝接收此任务的理由。故障处理结束后,要在系统中对处理情况进行描述,形成知识库。同时反馈给故障提出部门,故障提出部门对其故障处理的速度、程度给出相应的评价,以便信息中心对其进行考核。如果是信息中心人员处理不了,需要软件开发商进行软件修改的,由信息中心人员生成一张软件需求报告单,通过相应审批流程提交给软件供应商进行处理。
项目过程管理是针对于项目进行计划和管理,主要对软件过程进行具体的监控。包含立项时间、招标项目合同签定时间、软件供应商的人员进场实施时间、供应商名称、里程碑、付款、项目验收、项目维护等,贯穿项目管理的全过程。
供应商管理是对于不同软件模块的供应商进行管理,主要包括供应商名称、供应商地址、供应商类型、销售电话、供应商技术接口人、技术电话、研发接口人、研发电话。
会议和培训管理主要是对医院的技能和业务培训进行管理,主要包含内部培训、外部培训。培训管理主要管理内容有:培训时间,培训方式(内部、外部),培训原因,培训人员,培训费用,培训内容。
4 实施后的效果
本系统在数据库安全管理方面通过基于数据库的系统行为控制和过滤的增强系统,引入行为控制,提供身份认证、行为控制等增强的行为控制服务,规避高风险和越权操作,从而达到提升数据库的操作安全、保护敏感数据不被破窃取的目的。建立完善业务知识体系,对工程和需求进行跟踪处理,实现信息中心的内部流程管理、硬软件供应商管理、故障管理、软件需求管理等规范和信息处理,为工作量化与绩效考核提供了数据来源,实现信息中心运维的规范化。信息化方面填补了数字化医院的一个短板,将信息中心的管理从手工、传统的管理,走向无纸化、信息化的管理,填补国内信息中心管理软件空白。本系统引入了客户满意度评价体系,提升了信息中心人员的工作效率和服务质量,真正做到了事事有人管理,件件有着落,并且有据可查,全院各科室对信息中心工作认可度、满意度有较大提升。和与传统的OA相比,着力于信息中心的业务和流程管理,中间加入了知识库的归类和管理,提升医院信息中心的技术能力。实现医院信息中心的信息化,把信息中心管理转化效率、服务能力和创新,以更好地为医院业务系统服务,增强医院核心竞争力,把医院信息化推向一个新的高度。
转载注明来源:https://www.xzbu.com/3/view-11109488.htm
