北医三院的移动医疗安全策略

IT网络环境的逐步完善促使医疗卫生管理部门把医院信息安全管理提到了重要位置。国家卫计委刚刚出台新规：要求不得越界采集信息不得泄露人口健康信息。基于此，中国数字医疗网记者专门采访了北医三院信息管理中心副主任计虹，请她结合医院实际，就移动医疗时代医院信息安全保障系统的建设部署等问题做了相应分析，供业内人士借鉴参考。

移动信息化重塑医疗业务流程

目前，绝大多数医院都已经建成较为完善的医院信息系统，解决了医嘱的下达、审核和生成任务，但在床旁环节即执行医嘱还没有管控，是医嘱整个业务流程中的缺口环节。实际给药、输液、采血、输血、治疗等操作过程没有在系统监控下和保障下，会出现人为的差错。而移动医疗应用的出现，给医务人员带来了极大的便利性，可以随时随地的查阅信息，及时处理医疗事务，提高为患者服务的时效性，有效提升了工作效率保证患者的最大权益。

据了解，北医三院于2011年10月启动了移动医疗项目，初衷是为了缓解医护紧缺，医务工作人员往返病房与医护工作站的无效时间，提高工作效率。

计虹指出：北医三院移动主要体现在医生工作站、护士工作站上。先期移动设备选择集发药车、治疗车、护理车、移动电脑于一体的多功能无线移动车，提供给医护人员快捷、高效的移动工具，将以往固定工作站的模式延伸至了患者身旁，一经投入到病区便收到了明显效果。

多站点式移动工作站，是原来固定式工作站的有效扩充，使医疗到床旁，大大提高了医嘱处理的时效性。但同时也发现由于移动推车体积大，对于有些小治疗使用不方便，尤其夜间不太适合。因此，医院在2012年11月又引入了灵活的手持设备PDA。二者联合应用，实现了体征采集、医嘱确认、医嘱执行及电子评估等移动医疗功能，达到了临床医护、患者、管理者多方位的满意效果。

据介绍，移动医疗依据服务对象及场所大致分为院内及院外两部分，院内移动多用于优化流程，主要体现在医生工作站、护士工作站上，移动设备通常有移动推车、手持移动式的PAD、PDA、手机等。对于大医院日均门诊及住院患者的日趋增长，在有限的床位及空间下，只能提高周转率的方式来满足患者的大量需求，而移动医疗的出现正是一种解决方法和手段。移动医疗将固定工作站模式延伸至患者床旁，从医院内部外延到社区甚至家庭，提供了高效、快捷、多功能、信息化的辅助方式。

“移动医疗利用移动技术、无线技术、信息技术将自动审核、有效提醒作为医疗行为的客观辅助，极其有效地减少了医疗差错，保证医疗护理质量，使业务数据得以完善，形成闭环管理的新模式。对管理者有效查询，分析决策提供了完备的绩效考核及监督数据。使医疗整体业务流程中消除了缺口，移动医疗使医疗行为更具科学性和严谨性，同时也是改善患者服务的一种必然解决途径。”计虹强调。

关键技术解数据安全后顾之忧

医院在实现移动化过程中面临最大的挑战就在于设备的安全性，医院对安全性的重视与日俱增，希望确保患者数据安然无虞。计虹告诉记者，现在医院采用的是基于Android平台的英特尔IA架构的平板电脑，除了更迅捷的响应能力、电池续航能力外，合适的尺寸大小，更重要的是自身的身份保护技术在一定程度上保证了医护人员在使用后台应用的安全性，可靠性以及灵活便利性。

同时，一旦设备丢失，医院管理人员会通过服务器就可以远程进行数据的锁定和数据的擦除，还可以进行个人信息的隔离，有效地保护了患者个人信息安全。

除了要考虑设备自身的安全外，网络也是信息化建设核心，要支撑这些移动业务在院内按部就班的开展，就要搭建起稳定的网络确保信息安全。信息安全系统包括的许多技术都是在网络的各个层面上实施的，离开安全管理的信息系统如同“裸奔”。那么，北医三院又是如何做好信息安全管控，确保移动医疗的网络安全运行?

计虹坦言：“在移动设备的使用过程中发现无线网络环境是移动医疗的最大困惑，移动医疗离不开无线网络，网络的无线覆盖技术是关键。网络的盲点和稳定性是影响移动应用的重要因素。”

为了规避医疗风险，北医三院从网络上进行了部署，确保了信息系统安全性。目前的网络环境分为两大结构层，内网和外网。网络依据业务与楼宇通过VLAN划分进行逻辑分区，并非物理隔离，是为了有效进行内外网的数据交互。内网应用于医疗业务的移动需求，外网应用主要用于移动办公。以集中式无线局域网部署模式，由四个主要构件构成，即多频点接入点(AP)、无线控制器组合、无线管理软件系统和无线定位系统。

网络架设的防火墙主要应用internet上网安全以及服务器的地址映射策略，内网口连接一台网关控制设备，作为上网行为管理，管理员的上网行为都由此设备控制。上网通过双重审批制，即使用科室及信息中心领导审批后执行。所有无线终端接入无线网络前，绑定终端的MAC地址，并输入相对应无线 SSID的密码，内网设备需要配置IP地址。通过设置访问控制列表(ACLs)来控制不同VLAN组之间的访问，防止非授权的设备访问入网，账户采用工号凭密访问方式。防病毒设备使用趋势NVW防毒墙，拦截外网的病毒。防毒墙下连接城市热点设备，作为上网人员身份认证设备。同时，网络核心的防火墙作为网络的第二道防火墙，主要控制网络中内网和外网用户的连接策略以及网络中用户连接服务器的策略，通过设置访问控制列表来控制不同VLAN组之间的访问，有效保障网络的安全。

网络安全建设是系统管理服务的关键，北医三院就特意根据医疗网络面临的安全问题，设计了一整套完整的解决方案。

计虹指出，北医三院的网络是通过VLAN划分，架设防火墙、防毒墙，网关控制设备，上网行为审计设备、绑定终端的MAC地址，用户密码控制等网络安全措施来保证上网的安全性。对于内、网必要业务的交互，是通过防火墙对相关服务器的地址映射策略，以及网络核心的6509的防火墙设置访问控制列表(ACLs)来控制不同VLAN组之间的访问，以及特殊业务要求下的特定IP地址访问要求，防止非授权的访问入网造成网络风险的。终端机安装桌面管理系统监控终端行为。用户申请帐户经过审批并备案，经信息管理中心批准并由信息管理中心负责实施，严禁任何用户擅自联入信息网。用户访问设定访问权限，不同系统用户权限分离。对部分非业务范围内的应用进行管控，在工作时间限制使用，有效保障业务的连续性和网络的安全性。不难看出，北医三院的网络技术的发展为医院的自身发展注入了新的活力，奠定了数字化医院网络管理的基石。

我们相信，安全可靠地存储和管理数据，保障信息的快速访问和综合利用，是医疗行业实现全面信息化的基本要素。用信息技术链接医疗安全关键节点，将有助于编织一张更全、更精、更细的医疗安全信息化预防网络，更好的为患者服务。

北医三院的“成绩单”

在确保信息安全的前提下，北医三院借助信息化及移动技术，取得了卓有成效的进步，交出了一份满意的成绩单。院内医疗应用全程条码化管理，执行时人-物扫描确认，构建医嘱闭环管理模式，使医疗环节零误差，有效降低了医疗差错。同时，移动设备联合使用多方位满足了医疗业务需要，使医疗业务流程重塑，移动信息化流程优于传统手工业务流程。院外通常用于改善服务，采用BYOD方式，模式以微信平台、移动医疗APP以及移动可穿戴设备更受欢迎。即使在院外也能得到必要的医疗服务或咨询，减少患者往返医院的时间及经济成本，增强突发病情/慢性病处理的及时有效性。另外，信息数据的同步传输，达到优化临床医疗、护理任务的过程控制，数据采集的完整性得到了完善。不仅提高了工作效率，还是提升医疗质量的有效方法，它们将成为医疗未来发展趋势的重要模式。