醫院信息安全應急管理系統設計及應用研究

劉宇枝 孫波

摘要：為了提高醫院信息服務管理水平，加強信息安全管理的同時，對于一些緊急事件能夠采取及時處理，本文提出一種信息安全應急管理系統。該系統利用J2EE架構和XML技術，構建由用戶層、業務層、數據層組成的框架結構，通過調用數據庫識別安全威脅行為和系統故障狀況。測試結果顯示，本系統可以在不同情境下準確識別安全和故障問題，支持自動應急處理，系統運行狀況良好，可以作為醫院信息管理工具。

關鍵詞：應急管理;信息安全;J2EE;XML

中圖分類號：TP311? ? ? 文獻標識碼：A

文章編號：1009-3044（2022）17-0030-03

近年來，我國醫療領域發展速度較快，借助先進的醫療設備，大幅度提升了醫療水平[1]。其中，醫院信息作為病理分析和治療策略擬定參考依據，需要加強信息安全管理，才能夠為避免醫療成果篡改、泄露等問題產生提供安全保障[2]。目前，大部分醫療機構為了保護院內醫療信息，開始著手探究信息內容安全管理，按照員工崗位級別不同，結合工作需求，為其賦予不同操作權限[3]。這種管理方式雖然在一定程度上提高了醫院信息系統訪問安全性，但是缺少信息安全突發事件處理，導致醫院信息系統遭受安全威脅[4]。為了彌補這些不足，本文提出針對醫院信息的安全應急管理系統設計研究。

1 系統架構設計

本系統選取J2EE作為系統框架設計工具，打造多層次業務體系，引入XML技術，嚴格按照業務知識管理標準，交換各個層次中業務信息，確保信息安全性，為醫院信息安全應急操作提供便利條件[5]。該系統中信息安全管理建立在隱知識和顯知識的相互轉化，采用組建方式進行信息保存，通過XML解析和執行，為用戶提供各種操作邏輯下的信息安全應急服務。系統架構體系如圖1所示。

該系統主要由三個層次構成，分別是用戶層、系統功能層、系統數據支撐層。其中，用戶層作為系統操作終端，用戶根據操作需求，從該層次輸入醫院信息訪問請求。該層次支持多用戶同時操作，按照訪問先后順序，分別對各個用戶的訪問需求進行識別與服務。系統功能層是為用戶提供服務的層次，按照醫院信息服務業務不同，從系統數據庫中匹配到相應數據信息，為用戶提供信息服務。系統數據支撐層位于系統最底層，由業務知識經驗數據庫和系統運行數據庫組成，通過XML建立系統功能服務引擎，開啟信息服務模式，針對信息安全問題，快速開啟應急作業模式，從業務知識經驗數據庫中調用應急預案，采用預案中的方法加以處理[6]。如果系統數據庫中不包含此情況，系統自動找到與之相似的預案作為處理參考依據，同時暫停該用戶訪問系統。

2 系統功能模塊設計

本系統根據醫院信息安全應急管理需求，開發6項功能，分別為醫院信息應急預案規劃管理、信息預案編制管理、信息發布管理、信息維護管理、信息安全訪問事件分析管理、信息應急資源管理。

2.1 醫院信息應急預案規劃管理

該功能模塊采用信息訪問安全評估方式，對不同信息訪問行為風險進行評估，并生成風險分析報告，按照風險評估結果，判斷當前訪問行為導致醫院信息陷入安全威脅的大小。按照安全風險大小和風險類型，歸納預案編制需求，包括安全事件場景、信息安全威脅、應急處理策略。為了盡可能提高系統應急管理功效，本系統增加了預案規劃管理環節，通過收集大量信息資料，對當前比較常見的一些信息應急預案進行總結，生成不同的預案類型，同時規劃處理這些預案的工作人員、處理時間、任務下達順序等[7]。只有規劃明確，才能夠保證系統得以有序運行。

2.2 醫院信息預案編制管理

信息預案的編制是安全應急管理系統運行的關鍵，針對不同安全事件擬定相應解決策略。本系統根據醫院信息特點，將所有信息拆分為多個模塊，各個模塊中分布的信息來自不同科室，以科室為單位進行應急管理，賦予科室高層管理人員修復信息權利和預案編制權利。其中，信息修復是針對系統運行發生故障的處理方法，預案編制是醫護人員根據多年工作經驗，歸納信息系統運行問題、信息訪問安全威脅，同時給出問題處理方法[8]。由于信息系統運行期間遇到的問題和安全威脅存在不可控特性，如果遇到新的信息安全問題，嘗試多種方法加以處理后，將該事件編寫為預案存入系統數據庫。為了提高系統作業效率，本設計方案采用動態更新方式，每間隔1小時自動更新數據庫，從而提高信息預案的實效性。

2.3 醫院信息發布管理

為了給予用戶更好的系統操作體驗，本系統增加了信息發布管理功能模塊，每當系統數據庫結構更新或者醫院信息結構發生調整后，都會通過信息發布平臺告知用戶。用戶登錄系統后便可以從消息盒子中查看此部分消息，如果對消息中內容有疑問，可以通過發送郵件的方式進行詢問。

2.4 醫院信息維護管理

系統維護管理是保證系統得以正常運行的功能模塊，本系統添加此功能模塊，定期對系統運行狀況進行檢查，對于存在安全隱患或者運行異常的部分，立即采取相應措施加以處理。實際上，本系統的維護管理就是遍歷系統功能，觀察系統的各項功能運行情況，根據系統作業反饋結果，擬定維護處理方案。本系統設定維護周期為7天，維護時間為6個小時，即每周日24點至次日6點作為系統維護時間段，此時間段內禁止訪問系統。

2.5 醫院信息安全訪問事件與系統運行狀態分析

該項功能模塊主要起到信息安全識別作用，分別對當前信息訪問安全性和系統作業故障狀況進行識別，根據識別結果，采取相應管理措施。該項功能模塊的運行建立在“醫院信息預案編制管理”功能模塊基礎上，按照該功能模塊中編寫的預案內容，判斷當前安全訪問事件類型及安全性，生成判斷結果，為應急資源管理提供參考依據。另外，本功能模塊還支持系統運行狀態診斷，采用同樣的方法，根據“醫院信息預案編制管理”模塊作業結果進行診斷。

2.6 醫院信息應急資源管理

為了提高醫院信息安全管理，本系統針對安全威脅事件，擬定應急資源管理方案。該方案依靠通信平臺和互聯網平臺，向信息安全管理負責人發送安全應急消息。其中，應急消息發送方式有兩種，分別是短消息發送、線上操作提示。系統將應急管理需求消息發送方式進行了優化，為醫院信息資源管理提供了便利條件。該管理功能模塊針對系統訪問安全威脅、系統故障兩種狀況進行管理，采用如圖2所示的應急管理流程對兩種狀況采取有效管理措施。

輸入事件信息后，系統將自動識別應急事件類型，包括安全威脅事件和系統故障事件，根據事件類型不同，分別采取相應處理方法。其中，兩種事件處理思路相同，都是通過調用系統數據庫，識別事件的類別，然后采取相應處理方法。

（1）安全威脅應急管理：通過調用系統數據庫中的安全威脅預案數據信息，將輸入事件信息與之比對，識別該事件屬于哪一種預案類型，同時判斷符合該類型中的哪種事件場景等條件要求。經過一番遍歷后，得到識別結果。按照此結果采取威脅處理方法，而后重新提交應急事件存在與否判斷功能模塊。

（2）系統故障應急管理：采用同樣的方法，調用系統數據庫，找到與當前事故相匹配的故障類型，根據數據庫提示的處理方法，開啟自動修復模式，等待系統功能恢復即可。

經過威脅處理和系統自動修復處理后，判斷當前不存在應急事件，則重新開啟系統訪問窗口，為該用戶提供醫院信息服務，反之，繼續尋找事件，根據事件歸屬情況，采取一定措施加以處理。

3 系統數據庫設計

本系統選取SQL Server數據庫作為數據庫開發工具，在此環境下創建5類實體，存儲在不同文件夾中，每一個文件夾用來存儲相應實體信息，根據事件分析及處理操作需求，打造如圖2所示的數據庫實體關系。

該設計方案根據各個實體之間的關系，用“1”“M”“N”來建立關聯關系，在不同條件下匹配實體關系，從而打造完整的實體體系。

4 系統測試分析

本次系統測試在Web環境下，輸入事件信息，用來模擬不同訪問和系統操作行為，通過觀察系統預案識別情況與應急管理結果，判斷本系統設計方案可靠性。以下為本次測試輸入的4種事件信息：

（1）訪問行為疑似盜用醫院機密文件，當前系統運行正常。

（2）系統信息查詢功能發生故障，無法根據關鍵詞，調用數據庫信息。另外，當前訪問行為無安全威脅。

（3）訪問行為疑似盜用醫院機密文件，系統當前用戶權限管理能力發生故障，存在較大安全隱患。

（4）無安全威脅訪問行為，同時系統作業正常。

將上述4種事件信息分別輸入系統中，統計測試結果如表1所示。

4組測試中包含了不同情景，從統計結果來看，本系統支持不同情景下的預案識別與系統故障識別，能夠準確得出識別結果，通過調用系統數據庫，自動生成應對策略，并開啟自動處理模式，使系統得以恢復到正常作業狀態，符合醫院信息安全應急管理需求。

5 總結

本文圍繞醫院信息管理問題展開探究，以信息安全管理事件和系統作業故障為例，探究應急管理系統設計及方法。該系統采用J2EE工具開發系統框架結構，引入XML技術，打造層次化的服務體系，以此提高醫院信息服務質量。為了提高系統訪問安全性和穩定性，本文設計了6個功能模塊，用來解決安全訪問和作業故障問題。測試結果顯示，本系統能夠準確識別信息安全威脅行為和故障狀況，支持自動恢復。

參考文獻：

[1] 林劍峰，吳孚輝.基于“互聯網+智慧應急”的電力安全應急管理信息化研究[J].企業管理，2019（S2）：162-163.

[2] 秦智超，岳兆娟，田輝.應急管理網絡信息體系中的內生安全機制設計[J].中國電子科學研究院學報，2019，14（12）：1233-1241.

[3] 彭玉敬，劉傳安，郜彤，等.煤礦企業安全風險防控與預警系統研究[J].煤炭技術，2019，38（3）：184-187.

[4] 彭妮娜.擁擠踩踏事故防范與應急管理系統框架設計[J].消防科學與技術，2019，38（9）：1326-1328.

[5] 裴歡，趙偉.南京地鐵“安全管理一體化”信息系統建設探討[J].中國安全生產科學技術，2019，15（S1）：26-33.

[6] 王景春，林佳秀，張法.基于ISM二維云模型的應急管理協同度研究[J].中國安全生產科學技術，2019，15（1）：38-44.

[7] 張新偉，禹傲然，張培紅.城鎮油氣管道事故應急疏散決策優化[J].中國安全生產科學技術，2019，15（12）：143-149.

[8] 王志英，鄧航宇，王念新，等.問答社區信息安全突發事件應急知識傳播模型研究[J].情報雜志，2019，38（10）：136-145.

收稿日期：2022-02-10

作者簡介：劉宇枝（1982—），工程師，本科，研究方向為信息安全設計與實施;孫波（1984—），男，陜西渭南人，工程師中級，本科，研究方向為網絡及網絡安全。