浅议医疗信息化安全管理模式

0 引言

SaaS模式与医疗信息化建设的有机融合，使得基于SaaS的医疗信息化安全管理模式得以出现。而想要更好的进行该模式的应用，则需要对SaaS模式进行进一步了解，并对基于SaaS的社区医疗信息化管理模式的架构、性能和信息安全问题进行探讨。

1 SaaS模式概述

所谓的SaaS模式，其实就是一种建立在互联网技术基础之上的软件应用模式。而在该模式下，用户不需要进行软件的购买，只需要进行基于Web的软件的租用。

1.1 模式的特征

不同于传统销售软件方式，SaaS服务模式具有几方面的特征。首先，软件供应商与客户的关系将从售卖关系转变成服务关系，继而形成互相牵制。其次，由于用户可以通过互联网进行软件和服务的获取，所以该模式能在任何有互联网的地方应用。再者，供应商将按照用户租赁的软件模块收费，而用户也可以根据需求进行软件应用服务的订购。而系统的部署、升级和维护，则需要由SaaS供应商负责。此外，SaaS模式的交付快捷简便，并可以由用户自由定制，以便满足用户的个性化需求。

1.2 模式的信息安全

从信息安全角度来看，SaaS软件数据都是存放在软件商网络服务中心，用户难以直接进行这些数据的控制。而在这种情况下，用户将对数据安全产生疑惑。因为，一旦商业数据丢失，就会给企业带来不可估量的损失。所以，SaaS软件商需要对用户数据安全作出承诺，并采取一定的措施确保信息安全。一般的情况下，SaaS软件商都会严格执行定期备份制度。具体来讲，就是每隔一段时间将用户数据备份到磁带或光盘中，并进行归档保存管理。而一些企业甚至可以提供异地灾备服务，以便减少重大灾害对数据安全的威胁。

2 基于SaaS的医疗信息化安全管理模式研究

2.1 模式应用架构

针对基于SaaS的医疗卫生服务信息化平台，可以采用省、市、社区三级联网体系服务模式。在该模式下，每个地市将进行多个社区卫生服务医疗中心的管辖，而每个中心则下设多个社区卫生服务站。而这些社区卫生服务站则主要负责进行社区居民家庭健康档案的建立，并负责追踪回访等工作。

从数据共享方面来看，在医院管理信息系统和基层医疗卫生信息系统之间，还需要进行数据交换机制的建立，以便进行医院和社区卫生服务中心之间的医疗信息的共享和交换。同时，由于医院管理信息系统和基层社区卫生信息系统在同一数据平台上，并且系统没有访问权限和地域性限制，所以医院可以进行各基层社区居民健康档案的调取。而通过系统数据交换，医院也可以将诊疗信息传回社区，以便及时完成居民健康档案的更新。所以，通过医院与基层医疗信息的共享和互补，居民的健康档案可以得到很好的丰富。就目前来看，在数据交互方面，XML标准可以确保数据的一致性，所以可以在SaaS模式下使用。

在信息数据存储方面，将由SaaS软件供应商进行数据库存储设备的提供。而除此之外，供应商还需要提供相应的备份存储设备，并采取一定的安全性措施进行系统的保护。此外，各个社区可以利用互联网进行Web应用的直接访问，而SaaS供应商则需要通过身份验证、数据加密解密和权限认证等措施进行用户权限和功能的判断。

2.2 系统性能

基于SaaS的医疗信息化安全管理模式具有较好的系统性能，可以弥补社区医疗目前的信息化水平低和资金、人才短缺的缺陷，继而促进社区医疗卫生服务的发展。

首先，不同的社区医疗机构所要服务的社区大小不同，所以需要的功能也不尽相同。针对一些小社区，相应的医疗机构就不需要进行一些功能的购买。而SaaS可以将软件编成相对独立的构件，并利用构件技术进行系统复杂性的降低，继而为用户提供多样化的功能服务，满足用户的多样化需求。

其次，对于一些经济压力较大的社区卫生服务机构来讲，SaaS不需要进行过多的运营资金的占用，只需要用户以低廉“月费”方式进行投资。同时，用户可以从供应商处获得最新的硬件平台和问题解决方案。而基于SaaS的社区医疗信息平台也能够向用户提供硬件防火墙、身份认证服务器等多种软件，并且用户也不需要考虑软件折旧的问题。因此，基于SaaS的医疗信息安全管理模式的出现，在很大程度上缓解了社区医疗卫生服务机构的经济压力。

再者，在维护和管理方面，用户只需要对租赁的业务进行管理，所以不需要安排专门的维护和管理人员。同时，基于 SaaS的医疗服务信息安全管理软件具有错误跟踪系统，可以及时解决用户投诉，也可以为用户提供更多的服务。所以，在SaaS服务模式下，社区医疗机构的人力和财力压力得到了缓解。

此外，基于SaaS的社区医疗卫生服务信息系统具有一定的扩展性，可以进行手持设备和智能卡的添加。而利用手持设备进行记录居民身份和就诊记录的IC卡的读取，则可以帮助医疗单位迅速了解居民病史，继而节约大量就诊时间。

2.3 系统信息安全

在利用SaaS系统进行社区医疗机构的信息化管理时，需要承担相应的人为泄密风险、完整性受损风险和系统安全风险。而针对这些风险，则需要采取相应的防范措施，并进行社区医疗信息化管理流程的规范，才能为社区医疗事业的发展提供保证。

首先，为了维护患者的隐私，需要对人为泄密风险进行防治。而为了达成这一目的，SaaS系统需要采取数据加密技术进行健康档案数据的保护，以便防治非法的信息存取行为和网络传输过程中的信息窃取行为。从原理上来看，就是通过加密算法将信息转换成密文，从而防止非法用户进行原始数据的截取和查看，继而确保数据的机密性。

其次，为了保证电子监控档案信息数据的完整性，需要进行完整性受损风险的防治。而为了实现这一目的，则需要加强对医务人员的档案管理意识的教育，以便使其能够正确进行病患信息的录入。同时，还需要加强对系统管理人员的行为约束和风险教育，以便使其规范进行社区医疗资源信息库的维护和更新。此外，需要进行纠错制度的建立，以便使错误信息得到及时更正。

再者，针对系统安全风险，需要从计算机和网络安全方面进行风险的防范。一方面，针对互联网稳定性风险，需要通过加强互联网基础设施投入进行风险的防范。而针对网络攻击，则需要进行防火墙和病毒防护系统的安装，并对网络流量和运行状况进行实时监控。另一方面，为了防止计算机风险，需要严格落实系统备份制度，并采用多冗余磁盘阵列技术保证系统的运行。而针对机密数据信息，则需要采用数字认证技术和数字签名加密措施防止非法用户的入侵。

此外，诊断记录是医务人员和患者进行自身权益维护的重要证据。所以，在诊疗的过程中，需要满足档案的不可抵赖性要求。为了对不可抵赖性风险进行防范，需要为不同医务人员分配不同的档案操作权限。就目前来看，可以而利用数字签名技术代替医务人员的“亲笔签名”，从而确保电子档案的完整性。因此，在医疗信息化安全管理模式中，数学签名技术可以成为不可抵赖性风险的防范标识，可以确保医疗信息的安全。

3 结论

基于SaaS的医疗信息化安全管理模式的出现，为实现高效医疗体系提供了方法和路径，更为缓解社区医疗机构的资金压力和人力压力提供了便利。所以，在社区医疗管理信息化进程中，基于SaaS的医疗信息化安全管理模式必将掀起一股潮流。