医疗行业安全建设方案

一、 概述

卫生信息安全工作是我国卫生事业发展的重要组成部分。做好信息安全等级保护工作，对于促进卫生信息化健康发展，保障医药卫生体制改革，维护公共利益、社会秩序和国家安全具有重要意义。

1.1工作目标

依据国家信息安全等级保护制度，遵循相关标准规范，在卫生行业全面开展信息安全等级保护定级备案、建设整改和等级测评等工作，明确信息安全保障重点，落实信息安全责任，建立信息安全等级保护工作长效机制，切实提高卫生行业信息安全防护能力、隐患发现能力、应急处置能力，为卫生信息化健康发展提供可靠保障，全面维护公共利益、社会秩序和国家安全。

1.2工作原则

（一）遵循标准，重点保护。遵循国家信息安全等级保护相关标准规范，结合卫生行业信息系统特点，优先保护重要卫生信息系统，优先满足重点信息安全需求。
（二）行业指导，属地管理。卫生行业信息安全等级保护工作实行行业指导、属地管理。地方各级卫生行政部门要按照国家信息安全等级保护制度有关要求，做好本地区卫生信息系统安全等级保护的指导和管理工作。卫生行业各单位要按照“谁主管、谁负责，谁运营、谁负责”的要求，落实信息安全责任。
（三）同步建设，动态完善。在信息系统规划设计与建设过程中，同步开展信息安全等级保护工作。因信息和信息系统的业务类型、应用范围等条件改变导致安全需求发生变化时，应当重新调整信息系统安全保护等级，及时完善安全保障措施。

1.3工作任务

（一）定级备案。
1．卫生行业各单位应当对本单位建设与运营的卫生信息系统进行自查，对未定级、定级不准的信息系统,应当按照《信息安全技术信息系统安全等级保护定级指南》开展定级工作。
国家信息安全等级保护制度将信息安全保护等级分为五级：第一级为自主保护级，第二级为指导保护级，第三级为监督保护级，第四级为强制保护级，第五级为专控保护级。以下重要卫生信息系统安全保护等级原则上不低于第三级：
（1）卫生统计网络直报系统、传染性疾病报告系统、卫生监督信息报告系统、突发公共卫生事件应急指挥信息系统等跨省全国联网运行的信息系统；
（2）国家、省、地市三级卫生信息平台，新农合、卫生监督、妇幼保健等国家级数据中心；
（3）三级甲等医院的核心业务信息系统；
（4）卫生部网站系统；
（5）其他经过信息安全技术专家委员会评定为第三级以上（含第三级）的信息系统。
2.拟定为第三级以上（含第三级）的卫生信息系统，应当经信息安全技术专家委员会论证、评审。
3.卫生行业各单位在确定信息系统安全保护等级后，对第二级以上（含第二级）信息系统，应当报属地公安机关及卫生行政部门备案。跨省全国联网运行并由卫生部定级的信息系统，由卫生部报公安部备案；在各地运行、应用的分支系统，应当报属地公安机关备案。
（二） 建设与整改。
1.对已确定安全保护等级的第二级以上（含第二级）卫生信息系统，应当按照国家信息安全等级保护工作规范和《信息安全技术信息系统安全等级保护基本要求》等国家标准，开展安全保护现状分析，查找安全隐患及与国家信息安全等级保护标准之间的差距，确定安全需求。
2.根据信息系统安全保护现状分析结果，按照《信息安全技术信息系统安全等级保护基本要求》、《信息安全技术信息系统等级保护安全设计技术要求》等国家标准，制订信息系统安全等级保护建设整改方案。第三级以上（含第三级）卫生信息系统安全建设整改方案应当经信息安全技术专家委员会论证。
3.卫生行业各单位应当按照信息系统安全建设整改方案，完善安全保护设施，建立安全管理制度，落实安全管理措施，形成信息安全技术防护体系和信息安全管理体系，有效保障卫生信息系统安全。
（三）等级测评。
1.系统建设整改工作完成后，应当按照《信息安全等级保护管理办法》要求，从全国信息安全等级保护测评机构推荐目录中选择等级测评机构，对第三级以上（含第三级）卫生信息系统进行等级测评。
2.测评合格后，应当将测评报告报属地公安机关及卫生行政部门备案。
3.应当每年对第三级以上（含第三级）卫生信息系统进行等级测评。对于重要部门的第二级信息系统，可参照上述要求进行等级测评。
（四）宣传培训。
1.各级卫生行政部门信息化工作领导小组应当对本地区各级各类医疗卫生机构开展等级保护政策和标准规范培训，提高各单位信息安全管理人员的技术能力和管理水平。
2.卫生行业各单位应当开展内部信息安全培训，提升全员信息安全意识，规范信息安全操作行为，提高信息安全保障能力。
（五）监督检查。
1.卫生部信息化工作领导小组负责督导检查各地医疗卫生机构信息安全等级保护工作落实情况，并督促部机关重要信息系统责任单位开展信息安全等级保护工作。
2.省级卫生行政部门信息化工作领导小组负责督导检查本地区卫生行业各单位信息安全等级保护工作落实情况，并督促本单位开展信息安全等级保护工作。
3.省级卫生行政部门信息化工作领导小组应当于每年年底，向卫生部信息化工作领导小组报送本地区信息系统定级备案、建设整改、等级测评和自查等工作开展情况。

1.4工作要求

（一）高度重视，加强领导。卫生行业各单位要高度重视，充分认识信息安全等级保护工作对保护居民健康信息安全、医疗卫生机构正常运转和社会稳定的重要意义。各单位主要负责同志要负总责，分管负责同志要具体抓，明确职责与任务，突出重点，将信息安全等级保护工作列入重要议事日程和工作绩效考核指标，一级抓一级，层层抓落实。
（二）保障经费，加强监管。卫生行业各单位要建立经费投入机制，将信息安全等级保护建设整改、等级测评、信息安全服务、技术培训等费用纳入信息化建设预算，并加强对资金使用的监管。
（三）加强沟通，密切合作。各级卫生行政部门应当加强与本地信息安全等级保护管理部门的沟通交流，建立协作机制，在信息安全等级保护工作中的定级备案、建设整改、等级测评、监督检查等环节密切合作，共同推进信息安全等级保护工作。

1.5参考标准

《中医医院信息化建设基本规范》
《卫生行业信息安全等级保护工作的指导意见》
《医疗机构信息系统安全等级保护基本要求》
《医疗行业信息系统安全等级保护定级工作指导意见》
《计算机信息系统安全保护等级划分准则》
《信息安全技术 信息系统安全等级保护基本要求》
《信息安全技术 信息系统安全保护等级定级指南》
《信息安全技术 信息系统安全等级保护实施指南》
《信息安全技术 信息系统安全等级保护测评要求》
《信息安全技术 信息系统安全等级保护测评过程指南》
医院信息化基础建设评分标准与方法
IATF 3.1信息保障技术框架
GB/T 21052-2007 信息安全等级保护 信息系统物理安全技术要求
GB/T 20271-2006 信息安全技术 信息系统通用安全技术要求
GB/T 20270-2006 信息安全技术 网络基础安全技术要求
GB/T 20269-2006 信息安全技术 信息系统安全管理要求

二、 医院信息系统安全建设

2.1医院管理信息系统概述

Hospital Information System：利用电子计算机和通讯设备，为医院所属各部门提供病人诊疗信息和行政管理信息的收集、存储、处理、提取和数据交换的能力，并满足所有授权用户的功能需求。
一个完整的HIS包括HMIS(Hospital Management Information System)和CIS（Clinical Information System）。

2.1.1医院管理信息系统(HMIS)

HMIS的主要目标是支持医院的行政管理与事务处理能力，减轻事务处理人员的劳动强度，辅助医院管理、高层领导决策，提高医院的工作效率，从而使医院能够以较少的投入获得更好的社会效益与经济效益，像门诊收费系统、住院收费系统、财务管理系统、药库管理系统、门急诊药房管理、住院药房管理、出入院管理及结算、病案管理系统、供应室管理系统、“一卡通” 系统、物资管理系统等就属于HMIS的范围。

2.1.2临床信息系统（CIS）

CIS的主要目标是支持医院医护人员的临床活动，收集和处理病人的临床医疗信息，丰富和积累临床医学知识，并提供临床咨询，辅助诊疗、辅助临床决策，提高医护人员的工作效率，为病人提供更多、更快、更好的服务、像门急诊挂号系统、门急诊医生工作站、住院病人出院管理、住院医生工作站、病区护士工作站、电子病历系统、临床检验系统、医学影像系统、抗菌药物管理系统、体检管理系统等就属于CIS范围。

2.2HIS对信息处理的三个层次

完整的医院信息系统对信息的处理大体上可分为三个不同的层次：数据的收集过程；数据的集中加工、处理与分析过程和决策咨询与决策支持过程。一般来说，数据的收集过程与基层科室的事务处理活动相联系；数据的集中处理与分析过程与中层科室的工作任务相联系；决策、支持过程则与高层领导相联系。

2.2.1支持联机事务处理

通常，信息流是伴随着各式各样窗口业务处理过程发生的，这些窗口业务处理可能是医院人、财、物的行政管理业务，也可能是有关部门、急诊病人、住院病人的医疗事务。例如：人事处要办理医院职工工资的调整与变化；总务处要负责全院各部门的物资、材料、办公用品、低值易耗品的供应、采购与发放；病房的医生要不断地为住院病人开出医嘱；护士要不断地整理医嘱或各种摆药单、领药单、注射单、治疗单、化验检查单，并执行和记录这些执行的过程；而门诊的药房药剂士要为处方划价，要为病人配药和发药；门诊收费处则要完成划价收费业务，在各种处方、化验、检查单上加盖已收费标记和付给病人帐单(报销单)。在所有这些繁杂、琐碎的业务活动过程中，大量的信息产生了。我们开发的HIS要支持这些日常的、大量的前台事务处理。事务处理级的计算机系统(例如门诊收费系统、病房医嘱处理系统等)应该同时担负双重的任务。
对于窗口业务人员来说，这些系统是帮助他们完成日常繁重窗口业务的工具。借助计算机系统，使他们凌乱的工作变的有条理，解脱他们需要记忆大量信息(药品的规格、价钱，疾病的名称与编码等)的困难。保证他们遵守某些规范，减轻他们汇总、统计、报告、传递这些信息的负担。因此，尽量符合这些事务处理级工作人员的工作秩序与工作习惯、功能完整、操作简单、响应迅速、界面友善、易学易用成为这类软件必须满足的功能要求。应该让使用者感到该系统是专门为帮助他们完成窗口业务而设计的。系统所拥有的任何其他功能(指支持窗口业务处理之外的功能)应该尽量的是后台的、隐藏的、不被终端用户所感知的、不增加或尽量少增加窗口业务处理人员的负担。
对于整个医院信息系统来说，窗口事务处理的计算机系统同时又是完整的HIS数据收集端口。它们是HIS伸向信息发源地的触角、感受器。例如：办理病人入出转(ADT)业务的系统必然向住院处实时提供病人入出转的信息，同时也是住院病人动态统计的主要信息来源。门诊收费系统在完成病人交费过程的同时也收集到了相应的为门诊提供医疗服务的各门诊科室及辅助科室的门诊收入与工作量信息。所有这些数据都是上一层直至最高一层信息系统用以进行统计、分析等数据加工的原料。从数据采集的角度，HIS要求窗口业务系统收集的信息完整、准确、及时和安全。

2.2.2支持科室级信息的汇总与分析

医院的中层科室担负着繁重的管理任务，例如，医务处负责全院医疗工作的计划、组织与实施，医疗动态的监督控制，医疗质量的检查管理；人事处负责全院机构设置与调整，考勤考核，各级各类专业技术职务的评审；护理部负责全院护理工作的组织实施，全院护理质量的管理，护理人员的管理……等等。随着这些管理级工作的日趋科学化，中层科室会越来越多地依赖于它们从基层收集来的基本数据进行汇总、统计与分析，用来评价他们所管理的基层部门与个人的工作情况，据以做出计划，督促执行，产生报告和做出决定。
计算机化的信息系统要支持中层科室的数据收集，综合、汇总、分析报告与存储的工作。科室级的信息系统要能够定期自动地从基层科室收集数据，按照需要，对数据进行各种加工处理，产生出能够支持中层科室管理工作的分类统计报表和报告。例如，统计室应该能收集来自住院处的病人ADT数据，来自收费处的病人收费数据，来自病案室的有关住院病人的诊断，手术等临床数据，定期的产生住院病人的动态报告，床位使用情况报告和单病种分析报告。医务处则应该从住院处、统计室、病房、手术室等等不同部门收集到有关信息，产生有关医疗动态、医疗质量控制的各种报表。
科室级的信息系统的特点是：
通常不与窗口事务处理工作相联系。
较少有实时的数据录入任务。
定期地对收集到的信息进行加工处理。
加工处理的算法通常是固定的。
目的是为了本科室管理业务的需要或者定期上报的报告与报表需要。

2.2.3支持医院最高领导层对管理信息的需求

医院的最高领导层要实现对全院的科学化管理，必须得到计算机信息系统的全面支持。经过中层科室加工分析的数据不仅要产出上交高层领导的报表和报告，用以直接辅助医院最高领导层的决策，而且要通过计算机的信息系统把加工后的数据直接传递给最高领导层。HIS的最高一层模块：医疗和财务信息的综合查询与辅助决策模块接收并重新组织这些数据，把全院各职能部门，包括临床的、行政的、医疗的、财务的各方面，各部门的信息沿二条主线－医疗、财务组合起来，提供一些非常方便、灵活的检索与查询的手段，满足医院最高领导层不断变化着的对信息的各种需求。这一层信息系统的特点是：
它不同任何具体的事务处理相联系，即除了接收下层的数据和提出各种查询、统计请求外，没有数据录入。
它的主要功能是提供灵活的检索、查询、统计、分析能力。
该系统产出的报表、报告是随需求而变化的，是不定期、不固定内容的。
该系统往往同一些财务管理、经济核算、质量控制、动态分析等专门化的与医院管理有关的模型和算法相联系。例如医疗质量的监督与评价、医院财务执行情况的监督与评价、各部门医疗工作量负担的监督与评价等等。
该系统强调产生报告的形式，例如图形、图表……等，要灵活、通俗、易懂。

2.3HIS系统的体系结构

目前，可供一个HIS选择的体系结构有三种，主机加终端的分时系统，微机网络加文件服务器系统和客户机/服务器系统。

2.3.1主机加终端的分时系统

主机加终端分时系统是美国、西欧与日本自七十年代到八十年代末在开发综合医院信息系统时的基本选择。许多成功的著名的HIS都是基于这样的体系结构开发出来的。这就是所谓传统集中式信息管理基于主机的模型。尽管这样的系统可处理的数据量，其运行效率，对完整的关系数据库的支持以及数据的整体可用性等方面可以满足HIS的需要，但近年来理论上受到越来越多的批评，实践上受到Downsizing浪潮的强烈冲击。
普遍认为这样的集中式系统一次性投入太大，应用系统被过多地束缚在厂家的软、硬件产品之上，失去了系统的开放性，灵活性，可伸缩性，笨拙的软件开发工具影响应用软件的开发速度，无法与PC相比的API及GUI技术影响应用软件开发的质量与成功率。越来越多的信息系统主管相信他们的基于Mainframe的集中式的HIS的寿命不会很长了。
日本许多大医院八十年代建立的集中式系统，弃之可惜，留之不好用，成了沉重的包袱。因此，虽然集中式的HIS有过它昔日的辉煌，但我们在九十年代中叶设计中国医院信息系统时，是不应该，也不会再走西方国家十年、二十年前的老路了。

2.3.2微机网络加文件服务器系统

微机网络加文件服务器系统可以说是当今中国医院信息系统体系结构的主流选择。中国医院计算机应用经历了单微机单任务，多微机多任务进入到微机网络的文件服务器阶段，应该承认是有了很大的进步。微机网络支持分布式处理，而且直接继承了PC系统的全部优点，用户可以充分使用自己的CPU的同时又可以共享昂贵的外部设备，海量外存器，激光打印机及绘图仪，亦能实现多用户的数据共享。实际上，已有一些中、小型的医院在这样体系结构基础上成功地部分实现了HMIS。但是这样的系统也许可以承担大型医院部门一级(例如财务处、人事处或病人入、出院管理等)的信息管理任务，但此类结构的先天不足会使其难以担负起建立整个医院完整的信息系统的重任。这是因为：
通常此类系统均不是建立在真正RDBMS Server之上，x base一类的”大众”数据库系统无法为开发者和用户提供完整的关系数据库管理服务，像数据库管理员(DBA)、数据字典(DDL)、数据库结构化查询语言(SQL)、数据的完整一致性与保密性保证，支持多任务、多线索(Multithreaded)，联机事务处理控制(OLTP)，查询优化，Stored Procedure及Trigger的能力。
文件服务器(Server)负责应答用户端计算机(工作站)有关数据存取的需求，但它往往是以简单的文件方式：用对单一文件加锁、解锁方式实现共享，用传输整个文件的方式提供服务。这不但给LAN增加了不必要的流通负担，同时也没能充分发挥后台服务器CPU的能力，工作站仍然承担全部所需处理，和单个微机情况相同。这就是为什么人们亦把文件Server叫做Client-based计算机的原因。
在这样的体系结构下，如果设计者为减轻网络的通讯负担和加强数据的安全性，采用数据物理上分布于不同Client端的方法，那将为系统的设计与实现，数据完整一致性的保证，满足高层用户对各类数据的综合查询与辅助决策，多个用户对彼此间数据的共享与同步更新带来无穷的麻烦。

2.3.3客户机/服务器系统

客户机/服务器(Client/Server)是在网络基础上，以数据库管理系统为后缓，以微机为工作站的一种系统结构。其关键点在于”一分为二”，即把数据存取与应用程序分离开，分别由数据库(Server端)及工作站(Client端)来执行，从而明显地既保证整个系统的运行性能，又增加了系统的易开发性、可扩充性和可维护性。它的优越性在于：
极高的性能(Performance)，Server端一定有一个完整的高效能的关系数据库管理系统(RDBMS,Relational DataBase Management System)。CPU只管DBMS的使用，不管任何客户端应用功能，支持并发控制，确保多个用户同一时间内处理相同的表、行、列数据，这就显著地改善了运行性能，特别是医院中以高频率更新数据的应用环境。
集中式数据管理。这是该结构的关键环节，是医院环境之高层管理和病人医疗数据管理的至关重要的需求。所有数据均用集中式DBMS加以管理和存取。Server所负责的DBMS功能完全等同于大、中型计算机中的DBMS。
扩充升级方便灵活(Scalability)。前后台任务的分离使得前端的应用程序不依赖于后台的软、硬件平台。无论用户升级更换后台的操作系统、Server硬件，应用程序都无须变动。这一方面保护了用户对应用程序及使用培训方面的投资，同时也为用户提供了一种低消耗地逐步更新设备的途径。
开放式平台有利于加速系统的开发。一方面，开放式后台数据库拥有强大的数据管理功能。另一方面，开发者又可以在前端用各式各样所熟悉的微机环境下的开发工具进行应用程序的开发工作，当然也可以使用数据库所提供的API方式来开发前端应用。

2.4医院信息安全威胁

   “信息是数据，也是财富，但是只有安全的数据信息才是有价值的信息。医院信息系统要求每天24小时不间断运行，安全问题就成了系统能否持续正常运行的关键，安全是医院信息系统的生命线。医院信息系统包含各类功能模块承载着众多的业务应用，随着医院业务量的增加，支撑应用业务系统的硬件设备也会随之增加，所受到的信息安全威胁也复杂多变，主要来源于外部和内部两个方面。

2.4.1外部信息安全威胁

由于医院专用网络需要与市医保、县区农村合作医疗等网络相连，以保证信息的及时传输和更新，但也会给医院信息系统造成较大安全隐患。
外部威胁种类繁多，大体有以下几种：
窃听：有些黑客或者攻击者会利用窃听技术窃听敏感数据，等这些数据到手后，可能去威胁当时热，借此达到自己的利益目的。
木马：一种远程控制的工具，它不具有传染性，所以严格意义上讲不是一种病毒，只有具备了传染性的木马才可以称为病毒。
DDOS攻击：专门针对服务器的一种攻击，可以通过TCP协议中的3次握手原理，不断向服务器发送大量的垃圾无用的数据导致服务器瘫痪，对医院信息系统来说，服务器瘫痪了，医院可能就无法了解患者以前的就诊信息，无法准确对患者信息做出判断，也有可能无法开药。耽误患者就诊。
篡改：攻击者可能通过进入医院信息系统，非法篡改患者的就诊记录，影响医生的判断，造成误诊，延误病情。

2.4.2内部信息安全威胁

内部信息安全威胁主要包括：
（1） 人为威胁
如医院工作人员将带有病毒的个人U盘等与医院计算机连接时，由于病毒感染导致医院专用网络受到攻击，造成网络瘫痪或者中断发生；医院工作人员利用权限非法访问数据库系统，窃取数据信息，或者对病人的就医记录进行篡改，最终造成医疗纠纷事件发生。
（2） 设备故障
如服务器故障、网络交换机故障、存储设备故障造成医院医疗处理速度缓慢甚至中断。

2.5HIS系统建设目标

2.5.1以病人为中心

以病人为中心，以电子病历为核心，以全面集成为手段，提高医院管理水平和经营效益为目标，打造先进的、全面的现代化的数字医院。数字化医院建设是建立全面的管理信息系统和临床信息系统,用最新的最先进的IT技术对全院的信息资源（人，财，物，医疗信息）进行全面的数字化，全面的优化和整合医院内部的资源以及医院外部全社会的信息资源为医院临床、管理服务，运用所有的信息资源为患者提供先进的、便捷的、人性化的医疗服务。

2.5.2人性化

以人为本，以病人为中心的原则，在系统的每个细节都应该体现人文关怀主义，考虑如何更加的方便患者，更加方便业务人员，更加的人性化。

2.5.3集成化

民康医院信息系统建设将有众多不同的系统组建而成，并形成有机的统一整体，规避医疗信息孤岛。

2.5.4智能化

系统通过系统的智能处理，减少人工环节，增强自动化的程度，增加辅助支持的功能。

2.5.5无纸化

系统通过电子处方，电子病历，电子申请单，电子报告等的应用逐步走向无纸化。

2.5.6无胶片化

通过实施医学影像系统，建立放射科数字阅片中心和诊断工作站，临床中心数字阅片室，医生影像浏览工作站，全院的数字阅片中心，会诊中心，教学中心等实现全院无胶片化临床模式和管理模式。

2.5.7无线网络化

通过建立无线网络，使用笔记本，平板电脑，PDA，无线病情跟踪器等无线设备实现医生护士查房，库房管理，病人病情跟踪等等，使一些业务不受空间的限制，无处不在。

2.6网络方案的选择

完整的医院信息系统依赖于覆盖全院的计算机网络系统的支撑。当前选择网络系统时应该着重考虑的因素有：

2.6.110M以太网(Ethernet)－Novell网

目前国内运行的10MB/秒局域网(Local Area Network,LAN)绝大多数是Novell网。市面上出售各种各样廉价的支持IPX通讯协议的以太网卡，它们可以用于ISA或EISA总线，可以支持总线型，或者星型拓扑布线，可以使用粗/细同轴电缆，3号/1号无屏敝双绞线作为传输介质。Novell网设备价格低廉，无论布线、安装、运行支持均简单易行，软、硬件产品的成熟度与可靠性均很高。缺点是网络输出速率低，如果考虑的是几十个网段，几百台微机，多台服务器的完整医院信息系统环境，10MBNovell网则难以胜任。

2.6.2快速以太网(Fast Ethernet)

快速以太网技术是近几年在原以太网的技术上发展起来的，它仍然采用原来以太网广播/冲突检测的基本协议，但在无屏敝双绞线（UTP）介质上的传输速率可高达100MB/秒。如果采用光纤连接不同的建筑物，距离一般要小于410米，双绞线的连接距离则不能大于100米。网卡的价格通常是10MB网卡的2－3倍，目前只能用于PCI总线。快速以太网通常选用星型布线，采用交换技术（即选用适合的交换式集线器）可以将服务器以及主要的交换HUB之间用快速以太网连接构成100MB主干网，而工作站与集线器的连接采用10MB以太网。这是一种经济、实用的组网技术，由于是星型联接，将来过渡到ATM/快速以太网混合网络十分容易。
快速以太网的缺点来自它的基本传输协议，由于是广播/冲突检测方式，因此首先100M带宽的使用效率不及FDDI的令牌环网方式。另外，它也不适合于动态连续图象数据的发送。当一个站点发送了一个图形包以后，下一个包什么时候能够继续发送取决于网线的忙闲程度。理论上说，该站点有可能无限期等待下一个网线空闲的状态。这与ATM传输协议是有着根本不同的。

2.6.3FDDI（Fiber Distributed Data Interface）

FDDI常被称为光纤环网。它是一个令牌环网（Token-Ring）的体系结构。由双环构成，从而实现双向通行及线路故障时的容错。环的带宽为100Mb/S，从而可以同时携带来自多个结点的高速度和大容量的信息包。FDDI环网通常能满足高速度、大容量的主机、超级小型机、服务器互联的需要，也能满足静态图象工作站高速数据传输的需要。这种技术在八十年代被广泛地用于校园网的互联技术，即在校园范围内构造起一个理想的分布式数据库的网络环境。
FDDI技术的优点是技术稳定、成熟、可靠。与最新的网络交换技术相结合，目前仍有许多网络方案采用FDDI为主干环网，通过交换集线器同10MB以太网互连构成覆盖全院的局域网。这样的网络方案在当前支持几百个微机工作站，以文字数字及静态图象为主要信息传输/交换内容的系统需求是没有问题的。而且具有双环容错，抗电磁干扰，系统稳定性好的优点。
FDDI技术的缺点是：价格相对较高，因为一定要处理光纤双环网，因此连接施工难度大。它是双环结构，拓扑与快速以太网及ATM的星型布线不同，将来转换比较麻烦；令牌环虽然较广播/冲突检测的以太网效率更高，但仍然不适合于动态多媒体数据的传输。由于以上缺点，学术界普遍认为，FDDI最终会让位于新兴的ATM技术。

2.6.4ATM（Asynchronous Transfer Mode）

ATM是九十年代才发展起来的新一代网络传输协议。非同步传输模式（ATM）是一种以细胞（Cell）为基础的高速分封多工交换（Multiplexing and Switching）标准，现今已被CCITT及ANSI认可，与同步光纤网络（SONET）共同成为宽带广域服务数字网络（Broad ISDN,B-ISDN）的基础。它主要是面对大范围网络互连中如何处理动态图象，多媒体数据传输而设计的。它与以太网及令牌网均不相同的地方在于它采用的是予联接技术（Pre-Connection），在目前实现的111MB带宽范围内（带宽很快还会增加），当网络上的两个结点要相互交换信息时，ATM协议要求首先把一定的带宽分配给这二个结点，先实现它们之间的连接，然后开始它们之间的通讯，直至通讯完毕让出带宽。这样的协议就保证了一旦两点连通，就不会有第三者干扰两点间的数据传递。显然，这样的协议特别适合于语音、动态图象等连续动态多媒体数据的传递。例如远程会诊，远地学术会议，远地手术，现场动态教学等应用。
ATM的标准尚不完善、统一，ATM论坛（ATM Forum）正在制定各种界面规格与广域ATM网络传输标准，目前各厂家的产品还缺乏互连性，ATM产品价格较贵。但可以认定，若干年内ATM将成为最流行的网络互连标准。
以ATM为网络主干，某些特殊用途的多媒体工作站直接按ATM方式连接在网上，同时辅之以快速以太网的网段或工作站。这可能就是三、五年后医院信息系统的主要网络结构模型。

2.7HIS子系统

医院信息系统所包含的内容纷繁复杂，依其在一个医院的实现先后，大体可以分为以下三个阶段：

2.7.1管理信息系统

管理信息系统一般包括：
门、急诊挂号子系统
门、急诊病人管理及计价收费子系统
住院病人管理子系统
药库、药房管理子系统
病案管理子系统
医疗统计子系统
人事、工资管理子系统
财务管理与医院经济核算子系统
医院后勤物资供应子系统
固定资产、医疗设备管理子系统
院长办公综合查询与辅助决策支持系统

2.7.2临床医疗信息系统

临床医疗信息系统可能包括的内容很多，甚至可能是专科、专病、专课题的信息处理系统，下面给出一些常见系统的例子：
住院病人医嘱处理子系统
护理信息系统
门诊医生工作站系统
临床实验室检查报告子系统
医学影像诊断报告处理系统
放射科信息管理系统
手术室管理子系统
功能检查科室信息管理子系统
病理卡片管理及病理科信息系统
血库管理子系统
营养与膳食计划管理子系统
临床用药咨询与控制子系统

2.7.3医院信息系统的高级应用

医学图象实时传输与查询、归档系统
病人床边信息系统
计算机化的病人病案系统（CPR）
科研支持系统
教学支持系统
Internet医学情报系统
远程诊断与教学

2.8医院信息安全策略与建设

医院信息本质上也是信息，或者说是数据。既然是数据，就绕不开CIA三元组，即Confidentiality（机密性）、Integrity（完整性）、Availablity（可用性）
CIA三元相互依存，并形成一个不可分割的整体，三者中的任何一个受到损害都会影响到整个安全系统。
（1）机密性（确保机密状态的能力）
机密性是防止未授权的用户访问数据，简单来说就是“不能看”。
为了维护机密性，通常会在数据的处理、传输、储存过程中进行一些诸如加密或者权限类的保护措施来进行安全控制。
针对机密性的破坏主要包括窃取密码文件、社会工程学、嗅探、肩窥等。
这里着重要提一下肩窥（shoulder surfing）。肩窥就是越过肩膀探看别人操作获取信息的做法，看到别人输入密码，或者看到一些办公信息导致的机密性损失。
（2）完整性（确保有价值的信息/数据不被篡改的能力）
完整性是防止未授权的修改数据，也就是：“不能改”
针对完整性的破坏主要有病毒、应用程序错误、逻辑炸弹，以及被授权用户的非授权操作。
所以，为了保护完整性，要进行严格的访问控制，严格的身份认证以及严密的人员培训。
完整性依赖于机密性，如果没有机密性，也就无法维护完整性。
（3）可用性（业务和数据的可用性）
可用性是保证经过授权的客户能及时准确的不间断的访问数据，也就是“一直用”
针对破坏可用性的威胁主要有设备故障、软件错误、包括一些不可抗力如洪水、火灾等。再企业中，造成可用性破坏的最主要原因是人为错误，疏忽或失职造成的如意外删除文件、私自分配资源、安全策略配置错误等。
可用性依赖于完整性和机密性。
所有的信息安全控制与防御，以及所有的信息安全威胁、漏洞与安全流程都隶属于CIA 基准范畴。
与CIA三元组与之相反的则是DAD三元组，即Disclosure（泄露）、Alteration（篡改）、Destruction（破坏）。
医院信息安全与其他信息系统的安全目标并无二致，只是具体内容和重点略有不同。医院信息安全的三个主要目标仍然是：机密性、完整性和可用性。机密性是要确保只有被授权的人可以存取；完整性是要确保信息及处理方法正确，保证信息完整；可用性是确保信息在被授权人需要时能获取到。
医院信息安全的机密性要求是对患者信息隐私和医院业务敏感信息的保护。我国一些医院为了防正不法分子的商业贿赂行为，安装“反统方”软件，以避免医生药品处方统计信息泄漏。在患者隐私保护方面，如果某个患者有吸毒历史，病历中可以记录这些信息并为医生所使用，但是必须防正无关人员获知。
医院信息安全完整性是对电子病历制作与管理的安全性要求，病历作为医疗活动的客观记录，具有法律效用，不能随意地修改。台湾地区政府要求医生使用统一℃卡对电子病历进行签章，使用患者℃卡密钥对病历做加密和封装处理，以实现病历信息完整性和不可抵赖性的要求。我国电子签名法已经实施多年，尚未对电子病历完整性提出具体规范性技术要求。一些医院尝试采用数字认证、时间戳技术，以及访问控制和安全审计手段实现电子病历信息完整性要求。
医院信息的可用性包括两个方面内容：
一是要求避免因故障及其他原因导致系统运行中断;
二是即使发生了故障，系统的灾备或数据备份功能要能及时恢复，避免业务中断，降低故障导致的损失。

2.8.1医院信息安全管理要求

实现医院信息安全不仅是技术成分，还包括组织、制度、人员等方面管理要求。信息安全保障体系是信息安全制度、组织管理和技术层面的有机结合。医院信息管理系统首先需要明确的是管什么
我国政府在信息系统安全等级保护基本要求中提出，信息安全包括技术要求和管理要求两大类。技术类安全要求是通过在信息系统中部署软硬件，并正确的配置其安全功能来实现技术安全保护要求；管理类安全要求是对信息系统各种利益相关者，以及其角色和参与活动的管理。通过规范和控制各种角色的活动和行为，从政策、制度规范、流程方面规范人员行为，实现安全管理要求。
从90年代开始，国外就开展了有关信息安全系统（Information security Management System）的规范研究工作。到2008年，形成较为完善的标准体系，包括ISO 27001，ISO 27002不日ISO 27799等。ISO 27001是指导用户根据本单位业务活动和风险评估情况对信息安全管理系统的建设、实施、运行、监督、测评提出需求，明确“管什么”。ISO 27002则是根据需求框架，进一步说明实现信息安全的规则，明确“怎么管”。ISO 27799是在上述两个标准基础上，针对卫生领域安全管理标准提出的补充要求，包括11个方面的安全控制措施：
（1） 信息安全政策：医院必须制定信息安全规划文件，内容包括医院信息安全的目标、策略、控制和程序。例如某某年要实现跨机构电子病历共享所需要的信息安全目标。
（2） 信息安全组织：医院要建立一个职责清晰又富有活力的信息安全管理组织，这个机构不仅仅是信息技术人员，还包括管理和业务人员。这个组织不是一个摆设，要经常性地开展活动，执行信息共享和使用的协调，管理信息访问授权。
（3） 信息资产管理: 医院的任何一个信息资源都必须有责任人和资产监管者。例如，要明确谁作为资产的所有者对医院药 口数据库进行掌控和处置。信息资产管理要像固定资产管理一样，有登记制度，有资产标识，有相应管理和处置规定。
（4） 人力资源管理：医院要对医护人员、实习人员、志愿者等人员使用权限做出规范性制度。要求对人员在上岗前，上岗中，下岗后的职能和权限做出明确的规定，明确人员的身份、角色和责任。组织开展培训工作，提高人员信息安全敏感性。在人员职责和职务调整后，要及时修改授权或取消其访问权限。
（5） 实体与环境安全管理：医院要从制度上确定信息系统的安全区域防护边界，界定设各位置，并提出相关的安全管理要求。
（6） 网络通讯和业务运行：医院要制定有关软件升级和变更，以及系统测试与验收管理、数据备份管理等方面的规定。医院要制订信息安全传输、认证和加密措施规定。医院要对移动设备和移动存储介质提出规范管理要求。
（7） 访问控制管理：：通过对医院的用户注册，特权管理，口令管理，存取权限审计做出管理规定，防正对未授权的访问控制。
（8） 信息系统开发和维护管理：医院要对信息系统建设开发和维护工作中可能出现的安全问题做出相应管理规定。
（9） 安全事件管理：医院要制订应急预案，在系统发生安全事件时，应能按规定采取应对措施。日常要做好应急预案的演练。
（10） 业务连续性管理：医院要制订保证系统连续性的策略，保护医院重要业务应用免受系统故障影响，并能在故障出现后及时恢复业务运行。
（11） 法律遵从性管理：医院信息安全制度要遵守国家相关法律规章，包括对知识产权的保护，以及患者个人信息隐私保护要求。

2.8.2医院信息安全技术要求

医院信息安全的技术内容十分广泛。根据我国信息安全等级保护要求，信息安全等级保护技术包括物理安全、网络安全、主机安全、应用安全和数据安全五个层面。卫生部依据国家信息安全等级保护制度有关标准和规范要求，明确规定，要求三级甲等医院的核心业务信息系统原则上不低于第三级。国家信息安全等级保护制度对第三级安全保护能力提出的要求是，应能在统一安全策略下防护系统免受来自外部有组织的团体、拥有较为丰富资源的威胁源发起的恶意攻击、较为严重的自然灾难、以及其他相当危害程度的威胁所造成的主要资源损害，能够发现安全漏洞和安全事件，在系统遭到损害后，能够较快恢复绝大部分功能。为此，我国“信息安全技术信息系统安全等级保护基本要求”中对第三级系统的技术要求包括五个方面的要求：
（1） 物理安全
设备物理位置、访问控制、防盗窃和破坏、防自然灾害等。
（2） 网络安全
网络结构安全、访问控制、安全审计、网络边界完整性检查、入侵防范、恶意代码防范、设备防护（防止网络设备非法登陆）。
（3） 主机安全
身份鉴别、主机访问控制、主机安全审计、主机剩余信息保护、主机入侵防范、主机恶意代码防范、主机资源监控和控制。
（4） 应用安全
应用身份鉴别、应用访问控制、应用安全审计、剩余信息保护、通讯完整性和保密性、应用操作抗抵赖、应用软件容错、应用系统资源控制。
（5） 数据安全
数据完整性、数据保密、备份和恢复等。