1、區域衛生信息平臺安全保障體系方案設計目 錄 TOC o 1-3 u 第一章區域衛生信息平臺系統架構 PAGEREF _Toc83370492 h 4第一節平臺架構分析 PAGEREF _Toc83370493 h 4一、平臺系統功能 PAGEREF _Toc83370494 h 4二、數據來源模式 PAGEREF _Toc83370495 h 7三、數據存儲類型 PAGEREF _Toc83370496 h 9四、系統架構類型 PAGEREF _Toc83370497 h 9五、隱私保護與信息安全 PAGEREF _Toc83370498 h 10第二章區域衛生信息平臺技術架構 PAGEREF

2、 _Toc83370499 h 11第一節總體技術架構 PAGEREF _Toc83370500 h 11第二節安全保障體系方案 PAGEREF _Toc83370501 h 12一、安全等級 PAGEREF _Toc83370502 h 13二、物理安全 PAGEREF _Toc83370503 h 15三、系統安全 PAGEREF _Toc83370504 h 15四、數據安全 PAGEREF _Toc83370505 h 16五、應用安全 PAGEREF _Toc83370506 h 16六、安全管理 PAGEREF _Toc83370507 h 18第三節標準規范管理方案 PAGERE

3、F _Toc83370508 h 19一、標準規范建設原則 PAGEREF _Toc83370509 h 19二、遵循與參考的標準 PAGEREF _Toc83370510 h 19三、標準規范體系管理 PAGEREF _Toc83370511 h 20第三章區域衛生信息平臺部署模式 PAGEREF _Toc83370512 h 22第一節平臺應用架構 PAGEREF _Toc83370513 h 22第二節縱向分級部署模式 PAGEREF _Toc83370514 h 23第三節橫向擴展布署模式 PAGEREF _Toc83370515 h 25第四節其他應用模式 PAGEREF _Toc8

4、3370516 h 26第四章附錄 PAGEREF _Toc83370517 h 27第一節縮寫 PAGEREF _Toc83370518 h 27第二節主要參考文獻 PAGEREF _Toc83370519 h 27區域衛生信息平臺系統架構平臺架構分析平臺系統功能基礎功能基于健康檔案的區域衛生信息平臺的使用對象主要是醫療衛生人員，最終的服務對象是居民和患者。醫療衛生人員為了更好的為居民和患者提供可靠的、可及的、連續的醫療衛生服務，需要依賴平臺提供的眾多服務。在平臺提供的這些服務中有些是很基礎但又很關鍵的服務，比如：個人的身份識別、健康檔案索引服務、以人為中心的存儲服務、數據交換服務以及數據調

5、閱服務，下面將分別對這些基礎服務進行描述。1. 個人身份識別服務為了建立對區域范圍內各醫療機構業務聯動，實現數據共享或業務協同，對各醫療機構在個人身份上必須具有統一的身份機制，此項工作是作為區域衛生信息平臺建設的最為基本性的任務。人群分類情況從人群的整體來看，主要可分為兩大類：參保人群：即參與了基本醫療保障的本地居民，目前主要是城鎮職工基本醫療保險、城鎮居民基本醫療保險、新型農村合作醫療的參保人。非參保人群：由于我國的國情決定了還有相當一部分人群（特別是在農村及經濟欠發達地區）未納入國家社會保障體系，或者是外來就醫人員，這里歸納為非參保人群。電子憑證分類情況電子憑證是指能識別個人身份的電子依據

6、，在這里大多是指卡，卡的種類主要有醫療保障就醫憑證、醫院自費就醫憑證、市民卡或者其他電子憑證。居民身份識別需求由于發卡機構的多樣性，個人手中可能會有多張與醫療衛生相關的電子憑證，如個人可能同時擁有醫保卡、社保卡、婦保卡、健康卡等。在區域醫療衛生系統中，則需要將各業務條線的健康檔案進行整合，因此會出現這樣的問題：區域范圍內持多張卡的同一患者，在系統里會被認為是多個人，即多張卡沒有對同一人進行關聯，這樣就可能造成無法調閱某個人完整的健康檔案。個人身份識別是區域醫療衛生系統所要解決的基本問題，對于本系統的建設起著至關重要的作用。2. 健康檔案索引服務健康檔案索引服務全面掌握區域衛生信息平臺所有關于個

7、人的健康信息事件，包括居民何時、何地、接受過何種醫療服務，并產生了哪些文檔。健康檔案索引服務中主要記錄兩大類的信息：健康事件信息：包括時間、地點、健康事件名稱等；文檔目錄信息：包括臨床文檔、預防保健文檔等。3. 以個人為中心的存儲服務在區域衛生信息平臺中，針對個人的數據包括：個人注冊信息庫、臨床診療信息庫、公共衛生信息庫、時序檔案信息庫。個人注冊信息主要是指個人身份信息，可供系統唯一標識個體身份，以便使相關業務數據與所記錄的對象建立對應關系。臨床就診信息主要包括就診患者基本信息、實驗室檢驗報告、醫學影像圖像檢查報告、醫學影像圖像文件、住院相關病案、就診患者的就診日志信息等。公共衛生信息是指與居

8、民相關的疾病預防控制、精神衛生、婦幼保健等業務數據。時序檔案信息是指對與患者相關信息（包括臨床就診數據、疾病控制與管理數據等）建立的索引信息，此外還根據業務流程或預定義的規范對業務信息進行相關處理。4. 數據交換服務在區域衛生信息平臺中，數據交換服務是一個非常重要的基礎功能。平臺需要從醫療機構獲取各種基礎的業務數據，這些數據的獲取都是通過平臺提供的數據交換服務來完成的。數據交換服務至少要提供如下的一些功能：適配器管理功能、數據封裝功能、數據傳輸功能、數據轉換功能、數據路由功能、數據推送功能、數據訂閱發布功能和傳輸監控等。5. 數據調閱服務區域衛生信息平臺從醫療機構中采集數據，并經過一系列的處理

9、后存入數據中心，這些過程只解決了數據怎么來、怎么存的問題，還沒有解決怎么用的問題，這就要求平臺提供相應的數據利用方式來為醫療衛生人員提供服務。這些數據利用的方式包括：數據調閱、業務協同、輔助決策等，其中業務協同和輔助決策可以被看成是在平臺加載的應用系統，而數據調閱因其通用性和安全性要求則被視為平臺的基礎功能給予提供。數據調閱服務是為醫療衛生人員提供的一種基于Web方式安全的訪問健康檔案的功能。互聯互通性目前醫療衛生機構中存在大量處理業務的信息系統，例如：醫院內的HIS、CIS、LIS、RIS、PACS等系統，社區服務中心內的HIS、LIS、CHIS等系統，公共衛生條線的疾控、婦幼等系統，這些業

10、務系統被統稱為基本業務信息系統（Point Of Service，POS）。在現有條件下，要實現醫療機構內部信息系統應用之間的互聯互通問題，有兩種方式，其一是為所有醫療衛生機構新建業務系統，其二是建設區域衛生信息平臺來與醫療機構內部信息系統應用交互。平臺與醫療機構內部信息系統應用的交互能力就是所謂的互聯互通性（Interoperbility）。平臺需要從醫療機構內部信息系統應用中獲取數據，平臺也向醫療機構內部信息系統應用提供信息共享、協同服務等功能。平臺與醫療機構內部信息系統應用之間的交互被視為互聯互通性一個應用場景。平臺從醫療機構內部信息系統應用獲取數據后需要內部各構件協同工作來提供對外服務

11、，例如：注冊服務構件與全程健康檔案服務構件之間交互，這些平臺內部構件之間的交互也是互聯互通性的一個應用場景。概括而言，互聯互通性是系統與系統之間進行協作的技術規范，它包含兩個層面的含義，第一個層面是指系統與系統之間能夠進行數據交換，即消息層互聯；第二個層面是指系統能夠認識并準確理解被交換數據的含義并且按照預期操作進行，即語義層互通。互聯互通規范主要包含兩大類內容，其一為描述醫療機構內部信息系統應用與區域衛生信息平臺之間的交互接口，被稱為健康檔案互聯互通規范；其二為描述區域衛生信息平臺內部各構件之間的協作行為，被稱為平臺互聯互通規范。數據來源模式孤島數據孤島數據是指那些不能相互共享利用、孤立的、

12、分散的業務數據。根據當前我國醫療衛生信息化的現狀，可以看出多數的醫院內部信息系統存在“信息孤島”的現象，從而也就產生了相應的孤島數據。典型的孤島數據有：1. 社區健康檔案系統數據社區衛生服務中心所使用的健康檔案管理系統，大多數是為該社區的居民建立個人基本健康檔案，一旦建檔完成后就保存在本地的服務器上，絕大多數的建檔檔案數據獨立存在于本社區內，既沒有被臨床診療相關的業務系統“激活”，也沒有被上級機構所采集共享以實現跨社區的聯動。該系統完全為建檔而建檔，建好的檔也就成為“死檔”，沒能體現應有的利用價值。2. 醫院信息系統（HIS）數據HIS系統一般是當前醫院首先建設的信息系統，主要是為實現以收費為

13、中心的醫院內部信息管理，早期建設的HIS系統也是完全獨立于醫院內部，與醫院外的業務系統無任何聯動，有的甚至與醫院內部其他信息系統（如LIS、CIS等）也毫無關聯（因為往往同一家醫院HIS、LIS、CIS的開發分別由不同的開發商承擔，醫院難以協調開發商對多系統進行整合）。3. LIS數據LIS是相對專業化程度較高的系統，每家醫院獨立使用這套系統，LIS數據僅存在于本醫院內部，當病人跨院就診時，往往需要重新檢驗，造成了大量的人力、財力的浪費，往往這也是造成老百姓看病難、看病貴的主要原因。4. PACS數據與LIS類似，PACS系統專業化程度高，由于產生的醫學影像數據也只存在于本醫院內，造成病人跨院

14、就診時重復檢查，也是孤島數據的一個重要表現。5. 醫院體檢系統數據醫院建設的體檢系統也是完全獨立的，僅記錄來本院體檢人員的信息，與其他醫院內部業務系統無業務聯動。6. 其他除以上所涉及到的孤島數據外，其他醫療機構也存在類似的情況，如疾病預防控制中心的慢病管理系統等，往往也是獨立存在的“孤島”。孤島數據的存在給醫療衛生從業人員帶來的很多的麻煩，如對于每個孤島系統都需要不斷錄入人員信息數據，極大地加重了醫療機構從業人員（特別是基層醫療機構，其中以社區衛生服務中心尤為突出）的工作量，導致工作效率低下等問題。煙囪數據煙囪數據是指以業務條線為主的業務數據。疾病預防控制業務系統、婦幼保健業務系統中的數據是

15、典型的煙囪數據。目前我國廣大區域內疾控業務多以業務條線為主，如傳染病管理，每一個病重都是一個業務條線，從國家到省、地區、縣市、鄉鎮的縱向管理，與其他業務條線也是平行的，同樣也就造成了相關工作人員，特別是基層數據錄入人員的工作負擔。從管理上來看，煙囪數據的存在也造成了相關業務條強塊弱的局面，為管理層帶來了很大挑戰。無系統數據由于區域內各醫療機構信息化水平參差不齊，很多社區衛生服務中心、衛生服務站（特別是中西部偏遠欠發達地區），并沒有建成區域信息平臺所需要的醫療機構內部信息系統（POS），因此造成基礎數據無法采集。對于這類區域醫療機構，需要在新建信息系統時，基于本區域平臺來建設，平臺提供將提供相關

16、業務的數據標準，以便新建的系統能良好地集成到區域衛生信息平臺。數據存儲類型業務數據的類型主要包括文檔數據、操作型數據、輔助決策型數據。文檔數據：以文檔形式存在于平臺中的臨床和預防保健業務數據，例如檢驗報告、處方，傳染病報告卡等。這些數據是結果數據。操作型數據：操作型數據存儲，在本指南中一般是指平臺從業務系統中采集、匯總、供實時業務查詢和統計使用的數據：操作型數據是從醫療機構內部信息系統采集上來的，不是由操作型數據所在的平臺產生的；操作型數據是從多個醫療機構內部信息系統數據源采集上來，并加以匯總的數據，不是醫療機構內部信息系統數據的簡單采集和堆積；從邏輯上操作型的數據結構基本與原來醫療機構內部信

17、息系統數據源的類似，但是在匯總時會使用統一的基礎數據（例如居民信息、機構信息、代碼等），也會消除一些冗余信息；操作型數據主要服務于統一的即時查詢和實時的統計。輔助決策數據：存儲在數據倉庫中，以主題方式組織，是經過二次加工的歷史數據。系統架構類型區域衛生信息平臺涉及到與居民健康相關的所有業務，因此其業務數據具有類型多、容量大的特點。根據業務數據的特點，對數據存儲的要求也不盡相同。系統架構與數據存儲的模式分為集中式、分布式和混合式。集中式存儲方式：集中存儲的優點是效率高且方法簡單，但擴展性和靈活適應性受到一定局限。在本系統建設中，對于居民基本信息（包括姓名、性別、出生年月、身份證號、社會保險號等）

18、，由于其使用頻率高，數據容量相對較小，可采用數據中心集中式存儲的方式；對于公共衛生信息，如疾病預防數據、婦幼保健數據、精神衛生數據，則采用中心集中存儲的模式，這樣可以保證該類數據的安全性。分布式存儲方式：分布存儲一般說來效率較低，技術實現復雜，但其擴展性和靈活性有很大優勢。在本系統建設中，對于醫學影像信息，其數據量大，可采用分布式的存儲模式，這類信息通過注冊到區域衛生信息平臺，當醫療機構需要調閱時，可通過平臺查詢獲取數據所存儲的地址（一般為某醫療機構），再從目的地獲取所需要的信息。這樣既減輕了平臺的負載，也提高了數據的調閱效率，但缺點是對醫療機構之間的網絡要求較高，區域范圍內各醫療機構之間必須

19、是雙向網絡，而且需要保證一定的帶寬。混合存儲方式（聯邦式）：對于其他業務數據（如實驗室檢驗數據、就診記錄數據），則可以根據實際的業務需求，采用分布式存儲+集中式存儲的混合模式。總的說來，區域衛生信息平臺可以支持這三種架構來實現數據存儲。隱私保護與信息安全隱私保護及信息安全是區域衛生信息平臺所要重點解決的問題。主要體現在如下幾個方面：隱私保護的需求居民同意；匿名化服務；根據病種、角色等多維度授權；關鍵信息（字段級、記錄級、文件級）加密存儲；數據調閱對安全的需求身份認證的需求；角色授權的需求；責任認定的需求；電子簽名；時間戳。應用系統對安全的需求單點登錄；統一授權；應用審計。區域衛生信息平臺技術架

20、構總體技術架構從前面的需求分析我們知道，基于健康檔案的區域衛生信息平臺是為區域衛生信息化提供一個以健康檔案數據為核心的開發和運行平臺，可以使用此產品快速的的定制、開發和部署區域衛生信息平臺項目，來滿足日益增加的區域電子健康信息共享與管理需求。因此基于健康檔案的區域衛生信息平臺構架設計的目標是建立一個能夠容納管理個人健康檔案的可擴充的、開放的、可持續發展的構架，其包括以下方面：管理業務的擴充：能夠圍繞電子健康信息建立擴展新的健康管理業務，從公共健康管理的角度來看可以建立不同的疾病監控系統，從醫療服務者的角度看，可以查詢、調用以不同組織方式呈現的個人電子醫療檔案。存儲健康信息的擴充：能夠在系統中增

21、加新的健康信息種類的存儲，比如新的醫療影像或檢驗結果。能夠根據每種存儲信息的特點對信息內容進行優化，但通過統一的接口對新的健康信息可以和已有的健康信息進行查詢、調閱。接入方式的擴充：區域電子健康信息中心面對的數據源和用戶是各個醫療機構及個人用戶，所以能夠接納各種現有的和未來的應用系統的數據上傳及使用相當重要。中心構架需要能夠擴充對各種接入方式的支持。系統容量的擴充：區域電子健康信息中心是一個數據量龐大的信息系統，在設計時需要考慮對數據存儲容量的橫向擴充。系統處理能力的擴充：隨著區域電子健康信息中心使用者的增加，系統將承受大量的服務請求壓力。系統將使用分布式服務和集群等方式實現系統處理能力的擴充

22、。為了實現上述的要求，建立一個穩定核心適用全國各地的軟件平臺，滿足各地區域衛生信息化的基本需要，同時還要滿足區域衛生信息化持續性發展的需求，因此我們將基于健康檔案的區域衛生信息平臺的總體技術框架設計如下：圖5-1 總體技術架構圖如上圖所示，基于健康平臺的區域衛生信息平臺主要包括硬件網絡基礎設施層、數據中心數據層、業務服務層、數據交換層四個層次，還包括貫穿四個層次的標準規范體系和安全保障體系兩大體系。硬件網絡層是指支撐區域衛生信息平臺的硬件設備和網絡平臺，其是區域衛生信息平臺的基礎設施。數據中心層主要是實現基于健康檔案的區域衛生信息平臺的數據存儲，需要解決數據存儲的結構、模型、內容、數據庫管理軟

23、件的選型等。數據交換層和業務服務層主要實現基于健康檔案的區域衛生信息平臺的數據采集、交換與共享，數據交換層是直接與外部系統進行溝通的技術層，業務服務層是基于數據交換層根據數據結構設計各種業務服務組件來完成平臺數據的采集，存儲與共享。標準規范體系是區域衛生信息平臺中必須遵循和管理的數據標準，是平臺運行和應用的數據基礎。安全保障體系是從物理安全到應用安全保障整個平臺的正常運營。安全保障體系方案基于健康檔案的區域衛生信息平臺的可靠安全的運行不僅關系到數據中心本身的運行，還關系其他業務部門相關系統的運行，因此它的網絡，主機，存儲備份設備，系統軟件，應用軟件等部分應該具有極高的可靠性；同時為保守企業和用

24、戶秘密，維護企業和用戶的合法權益，數據中心應具備良好的安全策略，安全手段，安全環境及安全管理措施。眾所周知，信息系統完整的安全體系包括以下四個層次，最底層的是物理級安全，其包括計算機安全，硬件安全等,其次是網絡級安全，主要包括鏈路冗余，防火墻等等，再次是系統級安全包括數據災備，病毒防范等，最后是應用級安全包括統一身份認證，統一權限管理等，而貫穿整個體系的是安全管理制度和安全標準，以實現非法用戶進不來，無權用戶看不到，重要內容改不了，數據操作賴不掉。整個平臺的安全體系如下圖：圖5-12 平臺安全體系結構圖 安全等級基于健康檔案的區域衛生信息平臺所涉及信息包括：病人的基本健康信息，病人的診療數據，

25、衛生資源數據等等。這些業務信息遭到破壞后，所侵害的客體是公民、法人和其他組織的合法權益。一旦業務信息遭到非法入侵、修改、增加、刪除等不明侵害（形式可以包括丟失、破壞、損壞等），會對公民、法人和其他組織的合法權益造成影響和損害，可以表現為：影響正常工作的開展，導致業務能力下降，造成不良影響，引起法律糾紛等。程度表現為嚴重損害，即工作職能收到嚴重影響，業務能力顯著下降，出現較嚴重的法律問題，較大范圍的不良影響等。根據以上描述我們可以確定基于健康檔案的區域衛生信息平臺業務信息安全保護等級為第二級。業務信息安全被破壞時所侵害的客體對相應客體的侵害程度一般損害嚴重損害特別嚴重損害公民、法人和其他組織的合

26、法權益第一級第二級第二級社會秩序、公共利益第二級第三級第四級國家安全第三級第四級第五級基于健康檔案的區域衛生信息平臺屬于為國計民生、經濟建設等提供服務的信息系統，其服務范圍為區域范圍內的普通公民、醫療機構等。該業務信息遭到破壞后，所侵害的客體是公民、法人和其他組織的合法權益，同時也侵害社會秩序和公共利益但不損害國家安全。客觀方面表現的侵害結果為：（1）可以對公民、法人和其他組織的合法權益造成侵害（影響正常工作的開展，導致業務能力下降，造成不良影響，引起法律糾紛等）；（2）可以對社會秩序公共利益造成侵害（造成社會不良影響，引起公共利益的損害等）。根據定級指南的要求，出現上述兩個侵害客體時，優先考

27、慮社會秩序和公共利益，另外一個不做考慮。上述結果的程度表現為：對社會秩序和公共利益造成嚴重損害，即會出現較大范圍的社會不良影響和較大程度的公共利益的損害等。由于侵害的客體有兩個，侵害的程度也有兩個，則業務信息安全保護等級為第二級。系統服務被破壞時所侵害的客體對相應客體的侵害程度一般損害嚴重損害特別嚴重損害公民、法人和其他組織的合法權益第一級第二級第二級社會秩序、公共利益第二級第三級第四級國家安全第三級第四級第五級信息系統的安全保護等級由業務信息安全等級和系統服務安全務安等級的較高者決定。所以，基于健康檔案的區域衛生信息平臺安全保護等級為第三級。信息系統名稱安全保護等級業務信息安全等級系統服務安

28、全等級醫療便民服務一卡通第三級第二級第三級物理安全衛生數據中心是整個基于健康檔案的區域衛生信息平臺的關鍵節點，是系統運行的基礎，因此必須保證物理環境的安全，主要包括以下幾個方面：信息基礎設備應安置在專用的機房，具有良好的電磁兼容工作環境，包括防磁、防塵、防水、防火、防靜電、防雷保護，抑制和防止電磁泄漏；機房環境應達到國家相關標準；關鍵設備應有冗余后備系統；具有足夠容量的UPS后備電源；電源要有良好的接地。系統安全基于健康檔案的區域衛生信息平臺應具備性能完善的系統安全基礎設備。包括網絡防火墻、入侵檢測、病毒防范、用戶識別等信息安全軟硬件系統，并設專人進行日常監督管理與更新。利用防火墻在網絡入口點

29、檢查網絡通訊，根據客戶設定的安全規則，在保護內部網絡安全的前提下，提供內外網絡通訊。如何防范來自廣域網上的安全威脅是本系統安全設計的重點所在。我們采取網絡、單機相結合的方式來避免系統遭受計算機病毒的危害。一方面，利用網絡防病毒軟件來保護服務器，同時實現對網絡病毒的監控、報警和實時清除；另一方面，定期使用單機版防病毒軟件對工作站進行掃描、殺毒，以消除病毒隱患。防病毒系統的關鍵在于提高內部工作人員對計算機病毒的認識，不使用盜版軟件，對于外來磁盤、軟件、文件在使用前及時進行掃描、殺毒，從根本上切斷計算機病毒的來源。通過對主客體進行正確的標識和標注，執行自主訪問控制和強制訪問控制混合的訪問控制機制，保

30、證授權訪問的可控性。數據安全基于健康檔案的區域衛生信息平臺數據中心的數據是衛生應用關鍵性數據，必須保證數據的安全和隱私，因此平臺的建設必須考慮以下安全措施：數據庫應設置預定的備份策略進行本地備份，有條件的可做異地備份；嚴格按照用戶級別來授權用戶對數據和資料的訪問；關鍵數據的修改記錄應記錄詳細的操作日志，以備追查；數據的傳輸與關鍵敏感的數據的存放需進行一定的加密處理。制訂數據庫系統備份和恢復方案時，必須將重點放在防范用戶失誤和介質失效而造成的數據損失。基于健康檔案的區域衛生信息平臺應采用專業的備份軟件為整個網絡中的服務器和工作站提供高速、可靠的備份和恢復能力。應用安全基于健康檔案的區域衛生信息平

31、臺應用級安全包括統一身份認證,統一權限管理等,其包括系統軟件和應用軟件應具有訪問控制功能，包括用戶登錄訪問控制、角色權限控制、目錄級安全控制、文件屬性安全控制等；系統軟件(包括操作系統，數據庫等)和應用軟件等應定期進行完全備份，系統軟件配置修改和應用軟件的修改應及時備份，并做好相應的記錄文檔；及時了解系統軟件和應用軟件廠家公布的軟件漏洞并進行更新修正；應用軟件的開發應有完整的技術文檔，源代碼應有詳盡的注釋；使用基于PKI-CA體系的數字證書實現各業務應用系統的用戶身份驗證、數字簽名等功能。基于健康檔案的區域衛生信息平臺應用安全體系的架構如圖所示，整個平臺分為三個部分；身份認證基礎設施,應用安全

32、管理系統,應用安全中間件。身份認證基礎設施是整個系統的基礎,平臺整合了數字證書，用戶密碼模式，動態口令卡，手機動態密碼,指紋等多種身份認證模式，并支持接入各地的CA機構。應用安全管理平臺是基于多種身份認證模式對涉及區域醫療衛生安全要素的統一管理，要包括統一身份管理,醫療衛生角色管理，衛生信息資源管理，醫療衛生授權管理等。應用安全中間件是基于身份認證基礎設施和應用安全管理平臺，將醫療衛生安全應用以獨立中間件服務的方式提供給醫院，社區等醫療衛生信息系統使用，從而完成統一的電子健康信息網絡安全應用平臺的構建.這些中間件主要包括關于身份認證服務的中間件,關于數據安全服務的中間件，關于醫療行為審計服務的

33、中間件。統一身份認證數字證書認證中心(Certificate Authority, CA)主要負責產生、分配并管理所有參與網上交易的個體所需的身份認證數字證書。每一個數字證書都與上一級的數字簽名相關聯，最終通過一個安全鏈追溯到一個已知的并被廣泛認為安全、權威、足以信賴的機構。電子交易的各方都必須擁有合法的身份，即由CA中心簽發的數字證書，在交易的各個環節，交易的各方都需檢驗對方數字證書的有效性，從而解決用戶的信任問題。在本系統建設中，可直接利用蘇州市數字認證中心已有的CA中心的身份識別基礎設施。通過衛生數據中心平臺,各應用系統調用各種中間件,方便地實現區域衛生網絡系統統一的身份管理與授權管理。

34、采用PKI加密基于健康檔案的區域衛生信息平臺采用加密技術來保護敏感信息的傳輸，保證信息傳輸中的安全性。在一個加密系統中，信息使用加密密鑰加密后，得到的密文傳送給接收方，接收方使用解密密鑰對密文解密得到原文。目前主要有兩種加密體系：秘密密鑰加密和公開密鑰加密。數字簽名的應用在基于健康檔案的區域衛生信息平臺建設過程中涉及到電子健康檔案和電子病歷的傳輸和共享，因此我們需要采用電子簽名技術來保證電子健康檔案系統的安全性和不可抵賴性。通過區域衛生數據中心平臺平臺,醫院的醫生可通過調用身份認證(可采用數字證書或指紋模式),數字簽名,數據加密等服務將電子病歷上載到衛生數據中心中共享,衛生數據中心可對電子病歷

35、信息資源共享的機制進行設置與管理,其他醫院醫生則通過調用身份認證(可采用數字證書或指紋模式),方問控制,數據解密等服務對電子病歷進行調閱,病人也可通過衛生服務網站調用身份認證(可采用手機動態密碼方式),訪問控制,數據解密等服務對自己的電子病歷進行遠程查詢,從而實現區域內電子病歷的安全共享和訪問,為電子病歷法律化奠定技術基礎。圖5-13 平臺數字簽名系統結構圖隱私與權限管理為了保證電子健康信息共享的同時實現對居民隱私的保護，平臺必須對電子健康信息提供權限管理機制。電子健康信息的權限管理根據醫生，管理者，市民等不同的角色進行權限管理，權限管理按等級實現個人級，文件類別級，文件級，市民自定義保護級四

36、級保護機制。 安全管理對涉密網的環境因素實施監控和警衛，預防人為威脅；集中建設網絡支撐平臺監控中心，進行統一安全監控；建立健全相關網絡安全管理責任制度；建立嚴格的機房安全管理制度。非工作人員未經許可不準進入機房，任何人不準將有關資料泄密、任意抄錄或復制；禁止在生產系統中使用未經批準的應用程序，禁止在生產系統上加載無關軟件，嚴禁擅自修改系統的有關參數；用于開發、測試的系統必須與生產系統嚴格分開；監視系統運行記錄，及時審查日志文件，認真分析告警信息，及時掌握運行狀況，對系統可能發生的故障做好應急方案；軟件程序的修改或增加功能時，須提出修改理由、方案、實施時間，報上級主管部門批準；程序修改后，須在測

37、試系統上進行調試，確認無誤經批準后方可投入生產應用；軟件修改、升級前后的程序版本須存檔備查，軟件修改、升級時須有應急補救方案；制定各項訪問控制措施，包括對網絡、主機、數據庫等的訪問。對所有路由器、交換機的密碼及配置應由網絡管理員掌握，統一進行配置；對各類主機的管理和對用戶以及文件系統的分配、訪問權限設置等工作統一由主機管理員執行；對所有數據庫的管理和對表、視圖、記錄和域的授權工作統一由數據庫管理員執行。標準規范管理方案標準規范建設原則有國家（行業）標準的，優先遵循國家（行業）標準；即將形成國家（行業）標準的，爭取在標準基本成熟時，將該標準率先引入試用；無國家（行業）標準，等效采用或約束使用國際

38、標準； 無參照標準，按標準制定規范，自行進行研制；在編寫衛生信息交換標準時，需特別考慮到未來的發展和變化；在此基礎上形成區域醫療衛生信息交換標準。遵循與參考的標準1國家與行業標準衛生部健康檔案基本架構和標準（試行）；衛生部醫院信息系統(HIS)基本功能規范；疾病分類代碼標準 (ICD-10)；衛生部標準WS/T102-1998，臨床檢驗項目分類與代碼；醫藥行業標準YY0252-1997，化學藥品(原料、制劑)分類與代碼。2國際標準和國外標準（1）HL7（美國醫療服務信息網絡通訊協議）3.0/2.4版；（2）SNOMED國際系統醫學術語全集3.5版；（3）ICPC（國際初級保健信息標準）；（5）

39、CPT（美國醫院臨床操作服務分類編碼和術語標準）；X12N（美國醫療保險業電子數據交換標準）；（7）LOINC、HHCC、ICIDH等標準。標準規范體系管理基于健康檔案的區域衛生信息平臺的標準規范由一系列的規范、機制、制度組成。標準規范體系包含數據標準規范、技術標準規范、管理標準規范、業務標準四個部分。數據標準規范：公共數據元標準、公共代碼標準、公共數據存取規范、數據交換規范。技術標準規范：通過技術標準規范支持醫院、業務部門系統和信息平臺之間的數據級和應用級整合，并提高業務系統之間的應用集成、互聯互通的能力。管理標準規范：標準管理、安全管理、數據管理、項目管理，用于指導信息平臺日常運行管理、數

40、據維護管理。業務標準：獨立業務標準由業務部門制定，關聯業務標準由信息平臺統籌，協調各業務部門聯合制定。數據標準包括業務數據采集標準，健康檔案標準，統計數據標準，共享數據標準，交換數據標準及醫療信息國際標準。衛生信息平臺是各個業務部門的基礎平臺，主要為各應用軟件提供接口服務，提供統一的標準。因此要針對不同機構的不同業務，制定統一的應用服務接口標準體系，該標準體系是數據交換的保證。所有接入該平臺的應用軟件系統，都必須遵循這個統一的接口標準。同時建立標準管理制度，保證標準持續性的升級與完善。區域衛生信息平臺部署模式平臺應用架構基于健康檔案的區域衛生信息平臺是區域衛生信息化的核心和基礎,是整個區域醫療

41、衛生機構實現信息共享與交換,流程整合與協作,資源管理和配置,業務監督與考核的支撐平臺,是構建整個區域居民統一的電子健康檔案乃至全國統一的居民健康檔案,推動和支持醫療衛生體制改革的支撐平臺。整個區域衛生信息化建設是在目前各醫療衛生機構信息系統的基礎上構建一個醫療衛生信息集成應用開發以及日常運營的基于健康檔案的區域衛生信息平臺，同時建設電子健康信息數據中心，制定統一的標準，有效整合各個醫療衛生業務應用系統，形成一個互聯互通的醫療衛生業務協作網絡，從而實現市民在各醫療機構間(醫院與醫院之間，醫院與社區中心之間，社區中心與社區中心之間)診療資料全面共享和交換，包括電子處方，電子申請單，電子報告，電子醫

42、療文書等等；實現雙向轉診和雙向服務，形成區域居民的電子健康檔案EHR數據庫，采集、提煉各種醫療衛生管理數據，采用數據挖掘技術等手段，輔助決策支持和應急指揮，在此基礎建立統一的服務平臺，開展一站式的醫療衛生信息服務等等。基于健康檔案的區域衛生信息平臺在技術上實現各醫院之間的業務流程整合、跨系統的醫療信息共享與交換，并實現跨醫療機構的預約與轉診，基本病歷資料的信息共享和醫生處方、檢驗結果的互認機制和信息共享，實現醫療衛生服務共同體的數字化、自動化、智能化和交互性運營。整個平臺系統的總體框架規劃如下圖：圖6-1 平臺應用架構圖如上圖所示，整個區域衛生信息化主要包括區域衛生健康檔案數據中心，基于健康檔

43、案的區域衛生信息平臺，電子健康檔案EHR管理系統，公共醫療信息服務平臺,各種基礎業務信息系統等幾大部分。整個平臺建立在各衛生服務機構現有基礎業務信息系統的基礎上，通過基于健康檔案的區域衛生信息平臺的標準化接口群完成各系統之間的健康檔案數據交換與共享，實現整個區域的個人健康數據整合和業務整合，每一個業務系統在整個規劃中既是一個數據服務的提供者，同時也是數據服務的消費者。各個系統向整個區域內的衛生業務系統提供自身的業務數據，也可以發出數據請求消息，由基于健康檔案的區域衛生信息平臺找到能提供這個請求的最佳服務對象，并把請求結果準確的返回給請求者。在此基礎上形成衛生健康檔案數據中心，在基于健康檔案的區

44、域衛生信息平臺的基礎上建立電子健康檔案EHR管理系統，公共信息服務平臺等等，通過應用門戶使整個信息系統采用統一的入口進行使用和管理。同時通過數據共享與交換平臺還可以方便地實現與外部其他信息系統的健康個人信息的共享與交換。縱向分級部署模式基于健康擋案的區域衛生信息平臺支持多級平臺縱向部署的架構模型,即通過平臺之間的相互配置,能夠實現兩個平臺之間的數據交換,或者是通過逐級交換,實現全國從國家,省 ,市,區(縣)四級平臺架構,如下圖示意:圖6-2 平臺縱向分級部署模式圖通過多級信息平臺實現數據在各級醫療衛生機構間的信息交換和共享，可以在各級內各個業務信息系統間的數據交換和共享，通過統一的數據標準和數

45、據集進行，各個業務系統間并不直接發生接口關系，所有的接口只針對各級平臺統一制訂，而下級平臺同時是上級衛生交換平臺的支撐，各個業務系統數據通過各級平臺的梳理傳遞給上級平臺，實現上級平臺接口的進一步專業化，避免重復接口的實現風險。同時下級平臺又是上級平臺的補充，通過下一級平臺的建設，分擔了上級平臺的極高負荷，通過下一級數據的歸屬化管理，近一步減輕了上一級平臺的無效負載，有效改善系統反應速度和開發負責度，通過上一級平臺的傳遞和過濾同時能夠實現和下級平臺與周邊區域的信息共速度交流，減輕了下級平臺的接口實現難度，最大限度保留原有投資的不浪費。橫向擴展布署模式基于健康檔案的區域衛生信息平臺通過橫向部署連接本級的各種醫療衛生機構,能夠構建一個十分龐大的區域衛生信息系統，這種部署其涉及的機構眾多，條件參差不齊，所以應該針對不同的應用和具體情況對各應用進行合理的部署，才能使系統更加有效推廣和