醫療保險管理信息系統安全建設探討

[摘要] 運用現代信息技術建立科學的醫療保險信息管理系統在我國醫療保險制度實施過程中具有重要意義，但在實際工作中系統運行的安全性也存在一些突出問題影響其功能的發揮，應探尋有效的安全措施對醫療保險管理信息化建設安全性加以完善。

[關鍵詞] 醫療保險管理；信息系統；安全性

隨著信息技術在醫療領域的不斷發展，醫院保險信息化建設越來越引起人們的廣泛關注和重視。醫療保險管理信息化是醫療保險管理通過建立內部及外部的信息管理平臺，實現管理和運作自動化、智能化，從而達到共享信息、降低成本、提高效率、改善服務的目的[1]。醫療保險信息系統建設所發揮的日益突出的作用，不僅使人們對它的須臾不可或缺的認識越來越深刻，而且對醫療保險管理信息化建設中存在的安全問題和使其完善的措施有了越來越深入的研究。

1.醫療保險管理信息系統

醫療保險計算機信息管理系統是一個以現代計算機技術為手段，綜合通信技術、信息處理技術，以電子化、分布式社會保險信息資源為基礎，以全面實現基本醫療保險的相關業務處理，信息交換的系統化、規范化、自動化及管理決策的信息化與科學化為主要目標，實現對醫療保險信息的協同處理和資源共享的大型系統工程。醫療保險信息系統是醫療保險系統中不可缺少的支持系統，以提高醫療保險管理效率及決策科學性為目的，支持高層決策、中層控制、基層運作的集成化的人機系統。醫療保險管理信息系統能利用過去及現在的數據預測未來，實測醫療保險運行過程中的各種功能情況，利用信息控制醫療保險的運行、以幫助醫療保險機構實現其規劃的目標[2]。

具體來講，醫療保險計算機信息管理系統是一個涉及醫保中心、參保單位、參保職工、定點醫療機構、地稅部門、財政部門、銀行、上下級勞動保障部門的多部門、多層次、多種業務類型(基本醫療保險、工傷保險、生育保險、企業補充醫療保險、公務員補助保險、離休干部醫療保險、二等乙級醫療保險等)的綜合業務系統。系統的安全建設對于深化社會保險制度改革，保障參保職工的權益保持社會穩定乃至樹立政府形象都有著廣泛的意義和影響。

2.醫療保險管理信息系統運行中的不安全因素

醫療保險管理系統一旦投入運行，系統安全問題就成為系統能否持續正常運行的關鍵。作為一個聯機事務系統，要求能夠及時、高效、準確的處理數據和信息，防止系統網絡本身及其采集、加工、存儲、傳輸的信息數據被故意或偶然的泄露、更改或破壞、從而有效保障信息的可用性、機密性和完整性。引起醫療保險管理信息系統不安全，即引起系統網絡本身和系統的數據信息不安全的因素主要有以下兩方面。

2.1系統信息網絡自身的脆弱性

系統信息網絡自身的脆弱性主要包括：①在信息輸入、處理、傳輸、存儲、輸出過程中存在的信息易被篡改、偽造、破壞、竊取、泄漏等不安全因素；②信息網絡自身在操作系統、數據庫以及通信協議等方面存在安全漏洞和隱蔽信道等不安全因素；③Web服務器軟件自身存在安全問題，Web應用程序安全性差；④在其他方面，如磁盤高密度存儲受到損壞造成大量信息的丟失，存儲介質中的殘留信息泄密，計算機設備工作時產生的輻射電磁波造成的信息泄密等。

2.2系統信息網絡安全面臨的外部威協

系統信息網絡安全面臨的外部威脅主要來自：①電磁泄露、雷擊等環境安全構成的威脅；②軟硬件故障和工作人員誤操作等人為或偶然事故構成的威脅；③利用計算機實行盜竊、詐騙、非法訪問或篡改、偽造、破壞數據等目的的違法犯罪活動的威脅；④網絡黑客攻擊和計算機病毒構成的威脅，以及信息戰的威脅等。

3. 醫療保險管理信息系統安全運行措施

要保證醫療管理信息系統的運行安全，需要采取一系列的安全管理和保護措施，建立一個完備的安全管理保護體系。該體系主要包括安全組織機構、安全管理制度和安全技術體系三個方面。

3.1安全組織機構

就是通過組建完整的信息網絡安全管理組織機構，設置專職或兼職的安全管理人員，堅持“誰主管誰負責，誰運行誰負責”的原則，從而確保系統的安全性。信息安全管理組織機構的主要職責是：制定工作人員守則、安全操作規范和管理制度，經主管領導批準后監督執行；組織進行信息網絡建設和運行安全檢測檢查，掌握詳細的安全資料，研究制定安全對策和措施；負責信息網絡的日常安全管理工作；定期總結安全工作，并接受公安機關公共信息網絡安全監察部門的指導。

3.2安全管理制度

就是通過建立并執行一系列安全管理保護制度，以確保系統的安全。安全管理保護制度主要包括以下幾個方面：①計算機機房安全管理制度；②安全管理責任人、信息審查員的任免和安全責任制度；③網絡安全漏洞和系統升級管理制度；④操作權限管理制度；⑤用戶登記制度；⑥信息發布的審查、登記、保存、清除和備份制度等。

3.3安全技術體系

就是通過一系統安全保護技術措施，以確保醫療保險管理信息系統的物理安全性、信息安全性和網絡安全性。具體的安全保護技術措施主要包括以下幾個方面：①口令保護措施。保護口令的一種方法就是口令加密；②身份認證措施，身份認證措施主要包括數字簽名、身份驗證和數字證明；③系統重要部分的冗余或備份措施，通常用磁盤陣列，雙設備或輔助設備來實現；④計算機病毒防治措施，充分利用和正確使用殺毒軟件，定期查殺計算機病毒，并及時升級殺毒軟件；⑤網絡攻擊防范及追蹤措施，可以用各類防火墻、漏洞掃描器、物理隔離器和邏輯隔離器、網頁恢復產品等來完成；⑥安全審計和預警措施，主要用安全審計產品來實現；⑦系統運行和用戶使用日志記錄保存措施，日志記錄一般需保存60天或更多時間為宜；⑧記錄用戶主叫電話號碼和網絡地址的措施。

4. 醫療保險管理信息系統安全建設中應注意的問題

4.1正確處理信息共享和信息安全的關系

醫療保險管理信息系統的運行安全性必須予以足夠的重視，當然注重信息安全并不意味著不要數據共享，沒有數據共享也就不存在信息系統。應該根據各部門的工作性質不同進行權限管理，對需要讓本部門知道或共享的數據授予查詢、修改權限，但不能查閱其他部門的資料，數據庫由分管領導和信息科共同管理，有必要給其他單位提供時，需要經領導審批，這就保障了數據安全，同時也解決了資源共享的沖突。信息化建設不能只強調信息共享而忽視信息安全，而是要采用科學有效的安全機制，在保證信息安全的前提下實現最大限度的信息共享。

4.2應急預案是規避災難事件的有效措施

醫療保險管理信息化工程一旦付諸實施，將會在很短的時間內替代手工作業，人們在熟悉計算機操作的同時，也將會逐漸忘卻傳統操作模式。以往需要大腦記憶的東西，現在全部由計算機代勞。在此情況下一旦遇到系統發生故障而又在短時間內難以恢復，將會嚴重影響正常的工作秩序。為此應該制定嚴格的應急預案，根據故障發生的原因和性質不同分為三類，即：一類故障屬于全部網絡癱瘓，短時間內難以恢復，這就需要組織協調，各部門啟動手工操作，聯系工程技術人員盡快進行搶修；二類故障屬于單個工作站不能聯網、計算機故障等，此類故障只需信息部門派技術員維護就可避免；三類故障屬于上機操作人員人為因素造成，只需對個人進行培訓即可解決。應急預案制定后在全部范圍內進行相關預演，有了周全的準備，系統出現故障時就可從容應對，不至于造成工作秩序的混亂。

5. 結語

醫療管理信息系統的安全建設任重而道遠，只有對醫療保險管理信息化安全建設進行有效組織及管理，嚴格抓好信息化建設質量，才能保證醫療保險業務活動正常進行，從而提高醫療保險管理工作效率及決策的科學性，對提高整體醫療保險管理水平必將產生深遠的影響。

[參考文獻]

[1] 田田，宋睿妍．醫療保險的信息化管理[J]．經濟技術協作信息，2010，（33）：8．

[2] 周綠林，李紹華．醫療保險學[M]．北京：科學出版社，2006．153．