利用网闸实现病案首页数据的自动上报

2022-04-01 07:11刘杰胡胜利罗一刘佳
中国医疗设备 2022年3期
关键词:内网病案自动

刘杰,胡胜利,罗一,刘佳

沧州市中心医院 信息中心,河北 沧州 061001

引言

国家卫健委医管司关于开展医院质量监测评价工作的通知中明确指出:各省级卫生行政部门要将医院质量监测评价工作情况列入本地区医院评审细则,督促辖区内三级医院按时完成上报,对于未按时启动数据手动上报和完成自动上报工作的医院,应推迟其医院等级评审的时间,并不得纳入优质医院推荐名单。

国家卫健委医管司的医院质量监测系统(Hospital Quality Monitoring System,HQMS)是基于外网网络的,而存储病案首页数据的日常统计学指标监测系统是基于内部网络的,要实现内网病案首页数据对接至HQMS数据接口,必须解决内外网数据交换问题。

随着医疗信息化的逐步深入,医院信息系统、电子病历、医学影像存档与通讯系统、实验室信息管理系统等业务系统逐步应用于临床医技等科室,医院业务有其特殊性,需要系统24 h不间断运行,同时由于系统中涉及患者病历、检验检查结果、费用等敏感信息,面对病毒泛滥、黑客入侵、恶意攻击等对这些敏感数据造成的威胁,日常统计学指标监测系统中的病案首页数据在向外网HQMS实现对接时,必须采取一定的技术手段保障系统数据的安全可靠。利用人工方式通过U盘将病案首页信息从内网拷贝到外网前置机中,这种方式费时费力,且有一定的风险,这种原始的解决方案不能满足用户的需求。利用网闸实现的是物理隔离,可靠性和安全性较好。如果外网主机被攻破,不会影响内网可信端的服务器主机,应用网闸能够提供比防火墙、入侵检测等技术更好的安全性能[1-2]。

目前已经有一些关于病案首页数据上报的文章发表,但关于利用网闸技术的详细部署和上报流程的文章,还未见相关报道[3-5]。这对未实现数据对接的三级及二级医院,具有十分重要的借鉴意义。

1 自动上报平台详细设计

采用基于网闸的安全隔离技术,来实现医院内外网络的数据交换,既能达到内外网之间的互联互通,又能提供医疗信息的安全保障[6-7]。

1.1 采用网闸作为安全有效的隔离技术

网闸全称为安全隔离网闸,是一种由带有多种控制功能专用硬件在电路上切断网络之间的链路层连接,并能够在网络间进行安全适度的应用数据交换的网络安全设备[8-11]。

将网闸部署在内网和外网之间,不仅可以实现内外网之间的完全物理隔离,而且还可以实现二者之间的数据交换。而且网闸采用专有协议,数据包、命令和TCP/IP协议无法穿透物理网闸,这就从原理上切断了UDP、ICMP等协议以及所有的TCP连接,通常的木马都是基于TCP/IP协议,这就达到防止已知和未知木马的目的。通过将数据包分解或重组为数据块,并以数据块的形式在内外网之间进行“摆渡”。这就避免了TCP/IP协议固有的安全隐患,实现数据交换的安全性。

网闸使用了安全套接字(Security Socket Layer,SSL)协议,在网闸连接期间,所有交换的信息均被SSL加密。另外网闸内嵌的防病毒模块,可对交换的文件进行病毒查杀,从而保障了文件信息的安全。

网闸的一些个性化配置也可保障交换数据的安全:如可对文件类型进行限制,根据关键字、黑白名单等对内容进行过滤。如果交换的文件是文本文件,还可通过通配符和正则表达式对内容过滤,只有满足过滤条件的文本文件才允许进行交换。支持通配符和正则表达式两种方式对交换的文件进行文件名过滤,只有满足过滤条件的文件,才允许进行文件交换。

1.2 网闸的应用拓扑图

通过部署网神SecSIS3600安全隔离与信息交换系统(以下简称网神),可实现病案首页数据的自动上报。网神电源取单项PDU电源,外网1端口接外网交换机,上报前置机与外网交换机相连,通过路由器连通互联网,HQMS数据对接系统部署在互联网中,属于不可信网络。内网1端口接思科核心交换机,核心交换机连接安装日常统计学指标监测系统的内网服务器,见图1 。

图1 网闸应用拓扑图

1.3 基于网神的安全策略部署

通过网神自身提供共享空间的方式,将日常统计学指标监测系统服务器中的病案首页摆渡到外网前置机中,基于网神的安全策略部署,见图2。在图中,通过Web方式对网神的内外网进行管理,采用https//10.0.0.1作为内网默认的管理地址,https//10.0.0.2作为外网默认的管理地址。由于10.0.0.1以及10.0.0.2和网络口地址不在同一个网段,为了数据的安全性,采用https安全的超文本传输协议进行数据传输。

图2 基于网神的安全策略部署

对网神的具体配置过程如下:首先登录https:// 10.0.0.1对内部网络进行配置,在这里选用Net模式配置内部网络的地址,Net模式的网络接口可以作为独立网卡使用,直接连接有关网络,具体配置为192.168.0.28。同理,登录https:// 10.0.0.2采用Net模式配置外部网络地址,具体配置为192.168.88.248。

外网1端口通过交换机和上报前置机相连,并且上报前置机的IP地址和192.168.88.248在同一网段内,内网1端口通过交换机和内网服务器相连,内网服务器地址和192.168.0.28在同一网段内。

1.4 文件交换策略的配置

登录https:// 10.0.0.1配置和管理内网的文件交换任务,在Web管理界面点击添加可新增新的文件交换任务:配置的具体参数如下:任务号为26,需要进行同步操作的目录为D://hsl,对应于日常统计学指标监测系统服务器中共享目录,每天定时生成的病案首页数据文件就放在这里,选择运行。由于需要日常统计学指标监测系统服务器中的文件摆渡到外网前置机中,属于单向的数据流,也是为了保障系统的安全性,传输方式选择内网→外网。利用单向通道技术,只允许内网的文件传输到外网,只完成文件级交换,而不是数据包级交换,防止病毒、木马、黑客的攻击,最大限度保障病案首页的安全[12-14]。工作模式选择完全一致,从而保持目的与源端一致,选择同步子目录,允许二进制文件传输。

同理,登录https:// 10.0.0.2配置和管理外网的文件交换任务,与内网配置不同的是,移动目录设置为E://hu,对应于上报前置机共享的目录,同步目录为空,外网的任务号、是否运行、工作模式等策略和内网配置一致。需要注意的是内网的同步目录和外网的移动目录均设置为共享状态,才能保障文件成功摆渡。

1.5 自动上报流程

日常统计学指标监测系统每日15:10定时生成病案首页PDF格式的数据文件,这种文件符合国家卫健委规定的文件命名与存储规则,放于日常统计学指标监测系统服务器的D://hsl监控目录中。

通过网神数据摆渡功能,将监测系统服务器监控目录中的病案首页文件传送到外网的监控目录E://hu中。

利用HQMS数据对接前置机程序实现病案首页数据的自动定时上传,每天14:00—16:00前置机每隔一段时间进行自动检测,如果发现共享目录中有DBF文件,则将数据文件转换并打包上传至HQMS数据对接系统,上传成功后自动删除DBF文件。

每月9日,HQMS利用对接系统自动生成上月月报部分指标,自动生成的指标在HQMS系统月报中以星号标识。

2 自动上报效果分析

2.1 较早实现数据上报

通过部署网神,他院实现自动、及时、完整、真实、持续、无人为干预地将病案首页数据上传至HQMS数据对接系统,并在国家卫健委医管司医院等级评审数据质量及数据对接工作进度评级中被评为A级,成为国家卫健委较早实现病案首页自动上报的三级综合性医院,上报系统的病案首页数据导出界面如图3所示。

图3 上报系统的病案首页数据导出界面

2.2 促进医院质量管理

利用网神实现病案首页数据的自动上报,从而实现HQMS病案首页部分数据的自动获取,保障了数据的真实、及时、准确,避免了手动上报不及时、效率低、存在安全隐患、容易出错等缺点。自动上报平台自上线以来,每月自动上传病案首页10000多条,选取2021年10月份病案首页数据12005例作为观察对象,在手工上报过程中,需要登录内网的上报系统,导出病案首页数据,用U盘导入外网,并登录HQMS,具体病案首页上传的平均时间,手工上报和自动上报差异有统计学意义(P<0.001)(表1)。

表1 病案首页上传平均时间[(±s),s]

表1 病案首页上传平均时间[(±s),s]

方式 例数/例总时间手工上报12005系统审核登录系统导出数据登录HQMS导入数据614±2.32自动上报12005 162±3.75 121±2.15 186±3.15 80±1.21 63±3.21 180±2.65 t值 13.21 18.02 9.65 6.21 5.32 19.51 P值 <0.001<0.001<0.001 <0.001 <0.001<0.001 162±3.75 0 10±1.06 0 8±1.02

HQMS的统计报表功能方便卫生行政部门及医院按月、季、年对住院死亡类、重返类、医院感染类等所有指标进行汇总统计。进一步完善了医院的日常监管与评价体系,促进了医疗质量的持续改进,加强了医疗服务质量监管,有力配合了国家卫健委对综合性三级医院的评审工作。

3 讨论

日常统计学指标监测系统严格按照卫建委的要求进行指标采集,定时导出病案首页数据,通过网闸的摆渡功能,将首页数据从内网导出到外网,HQMS自动对接病案首页数据,确保了医院评审评价的数据真实。通过网络直接上报,保障数据统计的及时性、准确性、客观性,极大提高工作效率,从而避免了上报延时和漏报或重报的现象[15-18]。为了最大限度保障系统数据的准备完整,除了可以自动上报外,系统还允许手工导出,用户可以自定义导出数据的起始时间、结束时间。在文中,详细介绍了基于网神的安全策略部署、文件交换配置、实现自动上报,这不仅可以实现病案首页上报,还对类似的如:发热门诊医疗服务监测数据、流感医疗服务监测数据、疫情防控数据的上报,每天数据传输需持续不间断,同样有借鉴意义,利用网闸实现内外网数据交换,原理都是一样的。尤其是现在疫情进入常态化防控,利用网闸实现疫情信息的自动化上报,全国各级医院及各部门的疫情信息能够实现快速共享,能增强疫情常态化防控能力。

通过双网卡的方式实现内外网的互联互通,这种方式机器暴露在互联网中,容易受到扫码和攻击,安全性较低,安全隐患大。在实现内外网连接时可能还会用到防火墙,防火墙是一种逻辑隔离设备,与外网通过TCP/IP协议进行连接,直接面对不可信连接,一旦防火墙因攻击失效,内网的病案首页数据将面临安全威胁。如果采用这种方式进行病案首页数据的上报,安全性较低,防火墙是保证网络层安全的边界安全工具,网闸重点是保护内部网络的安全,采用网闸进行数据上报,安全性和实用性比双网卡和防火墙都好。

利用网闸实现病案首页数据的自动上报,能为将来三级综合性医院的评审提供重要的数据支撑,同时对于实现数据上报的自动化、信息化,增强上报数据来源的准确性,减轻手工上报数据的工作负担具有十分重要的意义。

猜你喜欢
内网病案自动
基于二维码的病案示踪系统开发与应用
试析病案管理中预防病案错位发生的方法
自动捕盗机
病案信息化在病案服务利用中的应用效率分析
让小鸭子自动转身
企业内网中的数据隔离与交换技术探索
自动摇摆的“跷跷板”
内外网隔离条件下如何实现邮件转发
关于自动驾驶
医院病案管理与改进策略初探