戴佳颖 张 晖

（宁波市卫生和计划生育委员会 宁波市卫生信息中心）

电子健康档案是全面反映居民个人全生命周期健康状况和接受医疗卫生服务的数字化记录，包含了个体基本卫生服务核心数据的结果数据集合，其建立、利用、维护均需要信息化共享交换平台的支撑。根据国家卫生计生委《健康档案基本架构与数据标准》《基于健康档案的区域卫生信息平台建设指南》的要求，近年来，宁波市逐步推进全市范围的居民电子健康档案安全体系建设，以我市智慧健康保障体系和大数据技术为依托，通过整合各级医疗机构和卫生公共数据，建立形成完整的健康档案信息平台和数据中心，并对集成的健康档案信息进行共享和应用。数据中心承载着居民诊疗信息和健康档案等多种应用服务和隐私信息，要有效发挥电子健康档案的作用，其安全体系建设是基础，也是前提。

一、电子健康档案安全体系建设的主要目标

（一）系统平台的全面防护性

大数据环境下，电子健康档案信息系统的有效运行离不开安全稳定的系统平台，而全面有效的防护是关键。居民个人的电子健康档案包括门诊、住院、公共卫生、体检、慢病管理等多方面涉及个人隐私的数据信息，要在有效保障信息安全的前提下通过互联网实现这些信息数据的共享应用，是当前安全体系建设和技术防护的难点。

（二）健康档案数据的真实完整性

电子健康档案的基础数据由各医疗卫生单位生成，且前期都保存在各自的数据系统中。考虑到目前各区县（市）和市级医疗卫生单位的现有应用系统情况，在进行平台整合和优化过程中，需要在不更改现有应用使用和访问方式的前提下，保证原有数据的真实完整和一致性，这是当前电子健康档案数据整合管理的重点。

（三）软硬件的高效可用性

为保证电子健康档案信息平台业务的正常发展，应在硬件和软件上充分保证高效的可用性，完善基础设施设备，同时需要对系统的架构、可靠性、稳定性进行整体评估，通过数据分析找出潜在的性能问题并有针对性地进行改进。另外，需要满足日常管理要求，易于操作和维护，故障应及时提醒并容易识别，从而才能保证业务的连续性。

（四）系统的可扩展性

为了满足不断增长的健康数据查询利用和应用需求，电子健康档案信息平台应该易于扩展和升级，且升级过程中不需要推倒重来和业务中断。

二、电子健康档案安全体系建设的主要内容和范围

（一）制度及人员建设

电子健康档案信息平台及安全体系建设是深化推进医药卫生体制改革的基础性保障工作，项目建设覆盖范围较大，涉及的部门或单位较多，实施较为复杂，需要从制度和人员上充分保障。一是设立组织领导小组，按职能划分下设机构，指定配备相应档案管理和信息技术人员。二是制定电子健康档案体系建设的运行管理制度、操作管理规范、应急处置预案等，使整个系统运行维护规范化、科学化、条理化，做到权责、分工明确，有效推进项目安全建设的顺利实施。

（二）信息系统及数据建设

1.物理环境安全。安全稳定的物理环境是信息系统及数据安全的基础性保障。该层次的安全包括通信线路、物理设备、运行环境的安全等。主要体现在通信线路的可靠性，通常有线路备份、网管软件、传输介质等；软硬件设备安全性，包括设备的备份、防灾害能力、防干扰能力；运行环境主要考虑机房整体安全运行环境及温度、湿度、烟尘、监控、不间断健康电源保障等。

2.网络区域安全。电子健康档案平台建设依靠互联网信息技术的支撑，网络安全是重中之重。一是要严格控制对网络设备的访问，对访问用户都必须进行认证和授权管理。严格管理网络设备的日常运行，对于网络运行所必需的协议，如路由协议等，应加强安全保护，采用加密技术或邻机校验方法，以完成认证，防止非法路由器及伪造路由信息的加入。二是加强服务器的安全防护，电子健康档案平台建设涉及众多应用系统及数据库服务器，并需要与其他智慧健康专网平台互联，应考虑其端口级别的逻辑隔离，并在数据中心交换机上部署防火策略。

3.信息数据安全。电子健康档案是基于医疗大数据下形成的，其数据的真实完整有效是关键。要实现全市范围的电子健康档案数据共享，就必须考虑各级医疗机构在数据形成和融合汇总过程中可能遇到的各种风险因素，包括系统环境的不匹配性、各级数据的质量差异、数据传输交换不完整等问题，并在信息系统的前期建设中加以综合考虑和风险应对。

三、电子健康档案安全体系建设中面临的主要问题

（一）服务器的选型问题

包括数据库服务器和应用服务器。服务器作为业务系统的核心，具有业务量大、存储数据量大等特点，它承担着业务数据的存储和处理任务。如果没有合理选择服务器，将导致后期数据存储运行的一系列问题，并给信息系统和数据库的安全性能埋下隐患。因此，如何选择服务器特别是数据库服务器就显得尤为重要。首先是考虑服务器的可靠和安全性，这是最关键、最核心的需求；其次是服务器的数据处理能力和可用性；第三是服务器的可扩展性和可管理性。

（二）数据不一致等质量问题

健康档案信息平台接收来自各个医疗卫生服务机构采集的电子健康档案、电子病历等数据，由于各个医疗卫生服务机构系统对数据质量的管理参差不齐，需要平台对提交信息的数据质量进行检查验证和管理。同时，为保证市区两级业务数据的一致性，在流程中区级上传或市级转发的市区流转环节中，因网络等原因，可能会出现健康档案记录区市同步失败或市向区转发失败的情况，造成数据的不完整和滞后性。

（三）虚拟化技术带来的新的安全防护挑战问题

健康档案信息平台的服务器承载着极为重要的数据，各种威胁都会抓住一切机会造访服务器系统。为了节约成本，提高服务器资源的使用效率，需要引进服务器虚拟化技术对应用服务器的计算资源进行整合。而服务器虚拟化后不但面临着传统物理实机的各种安全问题，同时，由于虚拟系统之间数据交换的特殊性，传统的安全技术手段很难对虚拟系统提供有效防护，同时会更大程度地消耗计算资源和管理成本，达不到引入服务器虚拟化的初衷和作用。

（四）档案人员队伍的能力及素质问题

电子健康档案信息平台建设涉及安全领域面较广，涉及人员也较多，从前期的开发建设到后期的数据维护、操作应用等，从软件公司IT技术人员到医疗系统内部管理工作人员，对安全体系建设带来了诸多挑战。纵观国内外许多信息泄露案件，大多是管理上的漏洞，如内部人员的盗取、外泄等管理不善原因而造成的严重后果。因此，政治和业务素质过硬的档案人员队伍对电子健康档案安全体系建设至关重要，直接事关安全体系建设工作的成败。

四、电子健康档案安全体系建设的对策和措施

（一）选择高效适用服务器系统

根据应用类型和规模的差异，数据库对服务器的性能要求各有不同。由于电子健康档案系统中存在着多种多样的应用，包括数据库及一些文件型应用，对于其数据库应用来说，服务器的性能瓶颈往往存在于存储的限制。为解决此问题，可以将数据库应用的数据迁移到Flash缓存上，其他应用的数据仍然可保存在SAN上。由此使单台服务器的处理性能大幅度提高，并大量取代磁盘驱动器，最终使IT架构简化。因此建议数据库服务器考虑采用高端的PC SERVER。另外，在考虑前置应用服务器选型上，需要满足快速维护和无间断的正常运行时间，服务器、网络、存储和应用的集中管理，确保灵活性、适应性和可扩展性，同时提高服务器的使用率和数据中心管理效率，鉴于上述原因可选择刀片服务器系统。

（二）加强数据整合管理

电子健康档案信息平台各类数据在整合交换过程中，当出现质量匹配不一致问题时，需要对数据质量涉及接口参数校验和健康档案记录数据进行校验，包括用户身份数据校验、数据元类型校验、数据元业务逻辑校验、数据元值域校验等，另外还需要支持校验规则的可扩展性和灵活性；当出现流转发送失败问题时，需将失败的健康档案记录保存到本级平台数据库中，由处理健康档案记录同步失败的服务监控此信息并处理健康档案记录的重发。同时，要做好整合后的数据备份管理工作，以确保健康档案数据的安全有效性。

（三）建设虚拟防护功能

传统的安全防护功能已经无法适应日新月异的信息技术发展，实现虚拟主机和虚拟系统的全面防护，是电子健康档案安全体系建设中需要解决的主要技术问题。通过底层无代理病毒防护、虚拟防火墙访问控制、入侵检测防护、完整性审计、日志审计和报表功能等一系列防护功能的建设，有效发挥对全面病毒的实时防护，在虚拟系统内部实现访问控制和病毒传播抑制，自动对每个虚拟主机提供全面的漏洞修补功能，当关键位置为恶意篡改或感染病毒时可以提供告警和记录功能，利用日志线索能追查所有用户的行踪，识别出现不久的违反规定、欺诈以及运作安全问题等诸多作用，从而切实有效保障系统的安全性。

（四）完善管理模式，强化职业操守

除了做好技术上的安全防范建设外，提升工作人员的职业道德素质尤为重要。进一步完善管理模式，在管理、技术、应用等各个层面设立监督小组，层层把关，不断加强对相关专业技术人员的素质教育，提升职业道德和责任意识。要加强制度落实，坚守原则。对工作中涉及个人隐私的各种健康档案信息要严格保密，面对各种诱惑和不正之风做到不迷失、不被干扰，不利用职权谋求个人私利，努力构建电子健康档案安全体系建设的最后一道防线。

［1］ 俞建明，郑加明，施怡，等.互联网居民健康档案查询的个人隐私保护方案设计［J］.中国卫生信息管理杂志，2016（5）.

［2］ 张志美，杨剑，胡新平.电子健康档案云安全研究［J］.中国数字医学，2012，7（8）.

［3］ 张倩.个人电子健康档案信息安全建设研究［J］.兰台世界，2013（6）.