全国免费咨询电话:4006750796
首页 > 资讯观点 > 行业动态 > 医院如何与第三方平台安全合作?

医院如何与第三方平台安全合作?

2016-04-26  · 黄昊 医学界
浏览次数:

  信息安全的重要性众所周知,对部队医院来说,信息安全又有着更多层的含义,作为一家解放军医院,重庆大坪医院是如何在保证信息安全的基础上进行第三方合作的呢?重庆大坪医院信息科副主任黄昊如是说:

“互联网+”对医院的重要性

  重庆大坪医院2015年门诊量为210万人次,手术四万多。这就带来一个问题,我们病人越来越多,非常挤,为了解决这个问题,我们先后做了互联网挂号,互联网缴费、预约等一系列“互联网+的”工作。

  在做这个服务过程中,我们发现了医院社会责任和发展要求之间的矛盾,包括对环境的要求,因此无法规模化扩张,上级部门也不允许,尽管我们早就规划将门诊面积扩大,但上面不批。此外随着发展,我们发现原来医院的信息交换都在内部进行,但随着社交网络的兴起,医生非常医院信息内外部的互联。

基于这么几个目的,我们开始思考;,让患者能有更方便快捷高效的信息服务,第二,让患者参与医疗提供医疗的交换平台。于是我们把信息系统分为四个用户,为患者提供更好的服务。

  通过互联网+,我们获得更多数据,为临床提供一个整体的信息支持。在内容上,我们主要做的是系统整合,从事医疗信息化的同仁都知道,医院信息产自各个地方,比较散。第二是建立一个宣传推广平台,提高医院原有的影响力。接下来我们还想做一个统一支付平台、挂号预约平台,这方面很多互联网公司都在做。

具体业务如何开展?

  整体开展情况是这样的:,把互联网业务交给专业选手做,选择专业的公司合作,这样有一个好处,他们的产品比较成熟,我们直接引进产品,就能尽早给患者提供便利。第二,是我们的核心工作--建立内外网数据交换平台。这个平台基于几个目的,可以适应高速发展的互联网+医疗的发展趋势。第三,我们不能为了赶互联网的潮流就随便改变传统医疗的架构,就我们医院来说,互联网挂号和预约人数已经占到我们门诊量的12%,可是它依然是比较小的量,我不能说为了一个互联网+,我去影响我现场的整个信息化的流程。因此我们需要通过内外网平台进行一个分离,这个平台可以作为一个软的防火墙,我们院内网是相对比较安全的,因为我们对网络本身和使用网络的人都进行了安全宣教,安全技术,但是外面的网络就没有那么可信,因此需要有一个东西把它隔离开。第四,这个平台还可以作一个审计,通过平台的数据把通过的数据都保留起来,便于以后的察看。

  我主要借鉴了古代城门的作用,城门有这么几项功能。,御敌城外,辖制城内,第二,出入交通。医院和互联网的数据交换应该是安全可控的,不能随意开放,开放必须有条件。第三分工明确,规范有序,还有一个是信息发布,另和业务交换。类似于自贸区的概念,让数据在中间地带交换,避免对传统造成大的冲击,并建立完善的监控机制,每笔交易有据可查。此外还要把这个平台做成一个便捷的使用工具,让工作更轻松。

  我在跟其他同仁的交流中得知,他们中很多都是直接对接医院HIS,这是非常不安全的,而我们做的是平台模式,把互联网业务剥出来,不直接访问。然后是开放的心态,我不跟某一家绑定在一起,强调在一个安全基础上的互联网+。

  我们平台的大概构架是这样的:底层数据这一块,包括我们医院运行的各个系统,把跟患者有关的数据抽取出来放在平台,剩下的四大块是安全引擎,做安全设置,第二业务引擎,比如挂号,缴费,预约,检查报告等等,我们把这些服务放在平台发布。第三就是管理引擎,主要是号源管理,排班管理等等,还有一些监控引擎。在平台上面,我们还做了很多接入,比如APP厂商、支付宝和微信、预约系统等。

  最终目的是要实现了统一号源,多种预约途径,实现互联网医疗严格管控。我每天都会看到平台上流过的数据,曾有一个厂商对我的平台访问量非常巨大,但是他完成交易非常少,当时我把它请过来,说你程序可能有问题,当时他没有认可,但是我说在这个基础之上,你对我的平台造成比较大的压力,我暂时把你关了,等你把程序优化好之后,再接入,后来他优化之后,做了很大的优化。

安全是一切的基础

  我们在两年发现还是存在很多问题,个问题是服务器放在互联网上之后受到很多攻击,第二,我们把服务器托管在一个机房,这个机房没有专业的人管,很多时候患者打电话过来说,你们平台不能用了,我们再看,再反馈管理者,他再帮我们做机房管理,不及时。第三是安全,互联网应用,安全唯上,安全的威胁非常大。第四是可信,跟我合作的厂商都很清楚,互联网医疗怎么赚钱,个自然而然是数据,怎么做好数据管理,怎么做可信的服务,这是我们在思考的。另外一个支付,主要指跟我们医保相关的支付,这也是影响我们目前做相应服务的一个瓶颈。

  在安全上,我们是这样考虑,一项业务达成经过第三方APP也好,第三方服务,我们把它放在云上去,做云防护,我们现在跟阿里在做一些合作,利用它的专业知识,他做电商很多年,在这方面也有很多经验和技术手段。线路方面采用VPN,我们跟一些同仁交流,他们也想采用医保,或者银行等比较可信的网络链路进行。再过来到了交换平台,我们在交换平台上做了很多设置。最后才到我的HIS,通过一级一级把安全隐患降到,降到可控。

  尤其“云”这一块做了这么几项工作,,我们要防止数据泄露,医院信息科做数据安全,我们也比较欠缺,采用这种模式,能够保证我们数据不被恶意当走。第二,通过云的这种架构,我们不再是把医院IP地址直接提供给患者和第三方,而是中转,真正受攻击的时候我们有一个外壳进行阻挡,阿里会定期提供一份报告,告诉我们当前有哪些威胁等等相应的业务。这时候架构就发生一些变化了,首先在我们医院信息系统这一块,它就不是再直接通过我的平台去联我的患者或者第三方,而是通过阿里云相应的过滤和安全设置,最后提供给我们第三方,做到我的相对比较安全。

  同时我们还在平台上做了其他设置,比如说要验证患者手机IP、验证码等。再一个,我们通过对于服务分析,发现其实互联网的应用,大家多数都是读操作,写操作非常少,为了提高效率,还需要做读写分离。在技术上做到了安全,剩下的就是合作伙伴,我们要对他们进行考评,提出一个第三方合作的评价模型:看这个公司品行怎么样,业内口碑如何。第二看它的能力,开发能力和运营能力。再要看公司的实力,公司如果实力不够,比较小,我也不会合作。还有我要看它的安全策。

  最后给同仁一些建议:,信息安全是医院信息化建设永恒的主题,不能为了应用而忽视安全。第二,拥抱互联网,或者互联网进入医疗,其实这个开放必须是安全有序的。第三,开放必须有条件,不是什么都开放给你。第四,数据交换应该是清晰可查的。第五,随着我们互联网+应用,我们数据流发生很大的变化,患者的参与对医疗业务流发生一些变化。再有就是要做到深入,这样才有生存下去的价值。

转自:医学界