医疗信息系统的安全性

三、医疗信息系统的安全性

由于计算机应用于医疗数据的处理系统，计算机出现故障就可能给医院业务工作带来重大影响。而且，如果用计算机对患者数据作处理时，这方面的故障既和患者个人的隐私有关系，同时由于错误数据而造成的误诊也是医疗上的重大问题。必须分析和计算机有关的灾害发生的可能性，并采取适当的措施。

与计算机有关的危害有两种：一种是和医用电气设备联机使用的计算机漏出的电流，通过人体，产生触电事故；另一种是和计算机的信息处理机能有关的事故。因为第一种是组合仪器的问题，所以，这里只限于讨论称为数据保护（Data Protection）问题。

数据保护可分为数据保全（Data Integrity，Data Safety）和机密保护（Data Security）。数据保全就是防止数据的破坏和损失，机密保护就是防止与人隐私有关的数据被不正常地泄漏。

医疗信息系统可以看成是一个支持系统（Support System），它能使医生有效地完成对患者的诊断、治疗等医疗工作。为此，应能高效率地将诊疗记录、病历、生理学的数据、家族史等患者资料作为数据库储存起来，根据需要或者取出来进行参照，或者用计算机进行分析等。基于这样的需要，作为综合信息管理的工具，最近变得引人注目的是数据库管理系统。数据库管理系统根据各自应用程序而使数据管理机能独立化，具有数据独立、外存储器综合化，易于维修及便于使用等优越的机能，它担负着医疗信息系统中的主要任务。医疗数据作为数据库被综合化时，包含数据库的信息系统的安全措施显得格外重要。

例如，如果中心检查室输入的检查结果和患者的号码不一致时，那么使用这个数据的诊断将是错误的。在医疗工作中如果计算机出了故障，医院医疗工作将停止而产生混乱。患者的数据如泄漏给第三者，就成为泄密问题。这些或者是因程序的理论有错误，或者是操作者中断数据处理，或者是因仪器输出错误结果，或者是由于“程序的飞逸”使其他患者的数据也被破坏。如果发生这样的事情，则不仅给医疗业务带来故障，也将容易变成社会问题。因此，需要采取适当的安全措施。

数据保全是对数据的破坏和损失等事故所采取的安全措施，发生这些事故的原因如下：

（1）硬件的故障；

（2）软件的错误；

（3）操作错误；

（4）记忆元件被盗；

（5）数据错误或改写错误；

（6）火灾、水灾、停电等灾害。

机密保护是对患者有关的隐私被泄漏给第三者的事故所采取的措施，发生这些事故的原因如下：

（1）由无权限者对不正常数据的存取；

（2）因错误对不适当数据的存取；

（3）记忆元件被盗。

数据保护措施是对这些原因所采取的安全措施，可分为技术措施和管理措施。技术措施是根据应用硬件技术和软件技术来实现数据保护，管理措施是按照法律规定以及对计算机房及计算机人员进行的安全管理。

系统安全措施的实现，是以系统性能有一定程度的降低和成本提高为代价的，数据保护措施的实现也必须以此为交换条件。再者，为实现适当的数据保护措施，要考虑它的目的、数据处理系统的环境和费用，以及必须保护的数据的性质等条件。一般采用一种手段不行，最好是将几个不同的手段组合起来。

为了不使患者的机密数据因不注意或不正常工作而泄露，可采取下列措施：

（1）按法律规定个人数据的使用；

（2）在数据库内控制个人数据的存取；

（3）使第三者对数据不能理解。

在数据库内对数据存取进行控制的方法，是作为机密保护技术措施使用最多的方法，主要有以下四种：

（1）限制终端的使用；

（2）限制程序的使用；

（3）限制外存储器的使用；

（4）限制特定项目的存取。

医院中的数据处理系统，有预约登记、会计、来自中心检查室的数据输入、诊疗用的患者数据的询问和输入，医学研究用的统计处理等，数据库被应用于各种目的。根据用户处理业务不同，使用的程序和数据也不同。为了有效实现用户机密保护措施，要对医疗数据进行适当分类。

医疗数据可分为医疗数据和医学数据，医疗数据还可分为患者姓名、ID号码、住所等的长期数据和预约、会计等的当天数据。医学数据也分为出生年月日、性别、血型等长期的（生理的）数据和检查结果、诊断病名、处方等当天数据。医疗业务通过各室的终端对医疗数据边存取边完成，临床业务通过医生的终端，对主要是医学数据，必要时也有医疗数据，边存取边完成。从检查室的终端只输入ID号码和检查结果，通常不进行数据存取。在医学研究中，根据需要可存取全部医疗数据，但应当用子程序来控制输出基本上不是患者某个人的数值，而是集体平均的统计值。

和这样的各自的医疗数据及与其相关联的业务相对应，对于使用者（医院的工作者）也必须进行适当的分类。使用者可分为医生、护士、医疗辅助人员、办事员、计算机人员及患者。患者也是问诊终端的使用者。这种分类只是大致的，实际上还需要按各业务单位、病房或科室进行细分。

如果将数据库内的数据密码化，即使由于不正常的存取数据被泄漏、外存储器元件被拿走，别人也不了解内容。所谓密码化（Ciphering）就是将原始记录（Plain Text）变换成和它相等的文字组（Cipher Text），密码键能够还原为原来的记录。

密码化法可以分为编码法、数据压缩法、置换法及位置变换法等。编码法是使用变换表等变换为不同规则的编码系的方法。数据压缩法依靠除掉剩余性等方法，是能将记录的长度缩短的方法，且有降低数据通信成本的效果。置换法使用变换规则或变换表等，在同一的编码系中将文字改换的方法。

上述保护措施要根据系统的使用环境、统计目的和处理数据的机密程度等具体情况，采取适当的措施。

思考题

8-1　何谓安全系统工程？安全系统工程主要研究的内容有哪些方面？

8-2　故障类型和影响分析步骤有哪些？

8-3　事故树分析的基本程序有哪些？

8-4　安全评价的方法有哪几种？

8-5　叙述医疗器械风险分析基本概念及分析过程。

8-6　叙述医院信息系统的组成以及医疗信息系统的安全性。