基于我院HIS的统一用户管理的设计与实现
陈文亮,庄绍燕,杨保卫
泉州解放军第180医院 信息科,福建泉州 362000
[摘 要]目的规范我院医疗人员登录各信息系统的账户及口令,保证一个医护人员在医院工作期间,只维护一个口令,实现管理员对工作人员账户的统一管理。方法针对系统,从身份认证、用户账户设计、权限范围等多个角度制定接口规范,并在医院信息系统(HIS)主数据库上实施。结果实现了医护人员在院工作期间,一账户一口令访问网络资源,达到了用户信息集中化管理。结论解决了系统间信息冗余问题,各个系统实现了统一单点登录。
[关键词]医院信息系统;系统用户管理;单点登录;身份认证
0 引言
我院目前已建立很多临床业务信息系统,如心电系统、医学影像存储与传输系统(PACS)、检验系统、手术系统、眼科信息系统、办公系统等等。由于各个系统相对孤立、来源于不同厂家,其数据标准和传输协议也不同。随着系统不断地增加,不但导致了系统间数据相互冗余,也给数据管理带来很大的压力。如每个单独的系统都会有自己的安全体系和身份认证功能,用户使用不同的系统,需要记住不同的认证密钥,这不仅给用户使用各个系统和访问各个信息库带来麻烦,影响工作效率,而且由于各个孤立的系统有各自人员信息库,人员信息没有一个权威的、统一的来源,特别是不同的信息系统由不同管理人员分别手工管理,容易造成信息不一致,给管理带来了很大的困难。
1 以往用户管理模式
我院的信息系统发展过程包括:前期是通过总后勤部卫生部下发的“军字一号工程”,设立以医护业务信息为主的服务器;后期建设的系统,大部分是由医院以购买的方式获取软件系统使用权,软件厂商为了部署方便,都会要求医院提供1台独立的服务器,软件厂商在独立的服务器上部署自己独立的数据库及相应的操作系统。这样导致了各个信息系统相互独立、数据不一致、信息共享程度不高、管理分散,使得系统应用纷繁复杂,形成了一个个“应用孤岛”(图1)。
每个单独的系统都会有自己的安全体系和身份认证功能,所以医院每增加一套系统,相应工作人员则增加一套新的账户及口令,并提供简单的用户锁以防止非法用户破解账户口令。据不完全统计,我院平均每个工作人员至少拥有5套以上的账户、口令,部分后勤管理人员甚至拥有近10套账户、口令用以完成日常工作。在用户离职时,需要同时在多个系统注销账户。长期以往,医院数据库将存在众多“僵尸”账户。这种账户管理模式在很大程度上给医院的管理层带来管理困难。
图1 以往用户管理模式
2 统一用户管理模式的目标
开展统一用户管理,对于拥有各式各样系统的医院内部环境来说,务必会导致部分系统必须重新梳理并改善用户管理接口,从而符合管理的需要。医院最基本的系统仍以医护工作站为主,主要使用成员占据医院工作人员的70%以上。因此,本项目选定在HIS主数据库上实施该方案(图2),达到如下目标:① 最大限度的合理利用资源,保证数据的准确性、一致性;② 为第三方系统提供统一的身份认证接口;③ 完善系统对用户管理过程中存在的缺陷;④ 提供最全面准确的人员信息共享,解除各个系统中的信息冗余;⑤ 实现各个系统的统一单点登录;⑥ 完善数据库安全管理措施,为用户资源提供保障。
图2 现有用户管理模式
3 系统功能设计
3.1 提供统一认证的WCF服务
Windows通信基础(Windows Communication Foundation,WCF)是微软基于SOA推出的.Net平台下的框架产品,它代表了软件架构设计与开发的一种发展方向,是微软推出的在Windows 操作系统下开发面向服务应用程序的统一平台[1]。本项目在此基础上,搭建了关于人员用户ID、密钥、工作组和数据库访问角色的增、删、改,以及提供权限分配等一系列功能模块,从而保证了各个系统之间,拥有相同的认证机制,为统一用户管理提供了基础保障。
3.2 提供多样化认证方式
信息系统日新月异,各类认证方式层出不穷。我们设计的初衷不仅仅局限于各类临床信息系统的验证及使用上,还要从员工良好的体验角度出发,为办公门禁、停车场、食堂等提供统一的认证接口。市场上常见的认证工具如指纹识别、蓝牙、非接触式IC卡、虹膜、数字证书等,由于不同的认证所采用的物理方式也不同,以指纹识别为例,特征提取、指纹分类、特征比对是它的3大技术要点[2]。而指纹图像特征提取的方法主要有两种:从指纹的原灰度图像上识别细节特征;从指纹的细化图像上识别细节特征[3]。无论是哪一种识别方式,都离不开指纹图像的高效稳定的提取。在保证数据库安全稳定的前提下,我们采取物理存储的方式搭建了文件服务器,并在认证接口中为各认证工具提供文件路径指向服务,不仅满足了对数据库管理的要求,也提高了系统的响应速度。
3.3 保证用户的合法性及唯一性
在医院信息系统的日常管理中,角色与工作内容的对应关系是相对稳定的,而工作人员的角色是相对动态的。系统对工作人员的角色管理,既与工作人员的工作内容有关,又与系统的各种功能有关,因此用户授权工作存在严重的弊端。只有将人力资源管理者(包括院科两级)进行动态的考勤和岗位管理与系统管理员进行静态的岗位与工作权限管理进行关联,才可以有效解决这一问题[4]。
我院的人力资源系统为自主研发,系统以身份证为主索引,涵盖了每位工作人员的详细信息。为此,本项目以该系统为切入点,在人员维护功能上增加了人员账户的统一管理,无论是入职或者离职,系统可以通过认证服务平台对用户账号进行开通或者停用。在对人员账户进行操作的过程中,赋予该账户一个初始化密码,且所有的人员账户通过身份证号作为唯一索引,从而保证信息的准确性和唯一性。
3.4 提供统一的用户授权机制
以往系统管理员对人员的管理主要体现在独立的信息系统授权访问机制和独立的信息系统授权管理机制。各信息系统管理员管理各自所属的信息系统资源和访问资源,为各个系统的用户信息进行注册,并进行权限的分配。这种应用支撑的方式不利于进行用户信息的管理,难以按照最小单元的原则进行划分,当用户拥有多个不同身份时,无法享有更佳细粒度划分的权限实体资源。其次,伴随着信息系统用户量的不断增长,权限管理的难度越来越大,系统的防护能力往往不能达到规定要求[5]。因此,我院在HIS用户管理系统的基础上,调整授权机制,对相对独立的系统分配各类角色,设立虚拟组织体系,将人员从原有的科室组、医生组、护士组等工作组转变为系统需要的临床、医技、后勤、行政等多方面组织,在每个组织下设立符合要求的权限点或系统节点,管理员只需根据人员岗位或职位等级设立相应的权限点,即可快速准确地完成用户的授权。这种方式,不仅告别了以往繁杂的授权手续,大大减少管理员操作失误率,而且角色与功能的对应关系相对稳定,保证了角色变化管理及时,定位准确,易于规范化管理。
3.5 单点登录
所谓单点登录是指用户只需向网络认证系统认证1次身份,即可访问所有被授权的网络资源[6]。采用单点登录的优势在于,系统可以得到更优的管理控制,系统中的所有网络管理信息都放在1个数据库中,这意味着对应每个用户的权限仅有1个授权列表。这使得管理员在更改用户特权后,可以确信其结果会传播到整个网络范围。从用户的角度看,虽然是在种类繁多的应用环境中,但是用户不需要频繁的进行身份的验证,能够将互操作性方面的问题减至最少。目前我院单点登录模式还处在初级阶段,主要针对OA办公系统、数字图书馆、教育平台、绩效平台等面向全院工作人员。但是单点登录模式的铺开,将会使未来各信息系统更加趋于统一,提高应用系统的安全性、可靠性、方便性,可极大地改善总体拥有成本。
4 结论
在当今多系统、多用户管理困难的背景下,本文围绕人员身份,以强化人事管理为导向,设计一套基于多方面认证的统一用户管理平台,采用市场主流的WCF技术,集中设计各种管理模型,提供多系统接口支持。在平台的日渐成熟下,医院系统管理过程更加趋于稳定、快捷,极大地方便了系统管理员,降低管理风险,提高各岗位的工作效率。同时也保证了各系统之间数据的安全有效互通,为未来医院的信息化发展提供了规范的保障。
[参考文献]
[1] Juval Lowy.WCF服务编程[M].北京:机械工业出版社,2008.
[2] 彭世新,周洁,尹庆宇.采用指纹技术提高企业系统认证安全[J].电脑知识与技术,2011,7(11):2551-2552.
[3] 汤海林.指纹识别技术的研究与分析[J].福建电脑,2011,(11): 42-43.
[4] 邢福工.医院信息系统统一用户认证授权管理模型研究[J].医学信息学杂志,2012,33(3):18-20.
[5] 王茜,史晨昱,李安颖,等.基于统一用户管理的办公业务资源系统集成[J].计算机技术与发展,2014,24(1):200-203.
[6] 皮晓东.单点登录的研究与实现[J].计算机应用与软件,2007,24 (6):156-158.
[7] 何剑虎,周庆利.互联网环境下的医疗数据安全交换技术研究[J].中国医疗设备,2013,28(4):13-15.
[8] 郁建.CA系统支持国密SM2算法改造研究[J].中国信息化, 2013,(6):1-4.
Design and Implementation of Unified User Management Based on HIS
CHEN Wen-liang, ZHUANG Shao-yan, YANG Bao-wei
Department of Information, No.180 Hospital of PLA, Quanzhou Fujian 362000, China
Abstract:ObjectiveTo standardize the login account and passwords of medical personnel and to achieve one password for a health-care worker during their work in the hospital so as to realize unified management of accounts by administrators.MethodsThe interface specification was developed and deployed for the system users from multiple aspects, including authentication, user account design and identity authorization management.ResultsOne password for one health-care worker was realized during their work in the hospital so as to achieve centralized management of user information.ConclusionThe problem of information redundancy between multiple systems was solved so as to make unified single sign-ons in various systems.
Key words:hospital information systems; system user management; single sign-ons; identity authentication
[中图分类号]TP393.08
[文献标志码]A
doi:10.3969/j.issn.1674-1633.2016.08.027
[文章编号]1674-1633(2016)08-0089-02
收稿日期:2016-01-15
修回日期:2016-02-19