论文部分内容阅读
随着信息技术和软硬件基础设施的普及,电子医疗信息系统有了长足的发展,医院信息化的高度建设,基本使医院实现了“无纸化”和“数字化”,促使医院的发展能与当今社会的高效率、快节奏相适应,各项工作流程日趋科学化和规范化。我国电子医疗信息系统起步较晚,在自我求发展的同时借鉴过很多国外的先进经验,发展还是相对较快。医务工作者越来越依赖电子医疗信息系统,人们对自我隐私保护意识也日益加强。IT业的快速发展无形中加剧了信息的安全风险,对医院这种每天24小时运行的机构,信息安全管理的要求显然是非常高的。要使系统安全有效的运行,就需要加强电子医疗信息系统的安全性。信息技术的使用给医院带来了巨大的挑战,在得到了便利的同时,也给医院和个人带来了诸多威胁。众所周知,如果医疗信息发生丢失、破坏、篡改、泄漏,无论对医院和个人造成的不良后果往往是难以弥补的。在以往专家的研究中,对于电子医疗信息系统在医疗信息的安全管理上,一般是以信息系统的安全等级保护基本要求为依据来对医疗信息的安全管理进行研究,在技术上、管理上都提出了具体的要求,操作性虽较强,但缺乏具体的安全目标,难以确定安全需求,何谈制定安全策略。所以,制定一套科学的安全对策可以使医院这个特殊的服务机构进行有效的管理。因此,本文结合国内外研究成果,·就电子医疗信息系统在实际运用中出现的安全问题,该文进行了深入的研究,并且提出了一套方法:首先,针对电子医疗业务中的各主要业务环节进行分析,使其具有针对性。其次,识别了各项主要电子医疗业务环节的安全需求,使其具有适度性。最后,针对各项安全需求制定相应的安全策略,达到满足各电子医疗业务的安全需求,使其具有完备性。所以,一套科学的、有效的信息安全策略对于电子医疗信息系统的发展具有实践意义。电子医疗业务分析的环节中,本文是通过用户角色、业务过程、业务数据对电子医疗信息系统中的主要电子医疗业务进行识别与描述的。电子医疗业务安全需求分析环节中,本文从用户角色、业务过程、业务数据三个角度出发,通过穷举电子医疗业务中所面临的各种威胁,对电子医疗业务进行危害性分析,最终来识别各项业务的安全需求。电子医疗业务的安全策略设计环节中,通过对访问控制策略设计和应急响应措施模型设计,制定各电子医疗业务的安全策略,最后,对各项电子医疗业务的安全策略进行有效性验证。