陳文亮，莊紹燕，楊保衛(wèi)

泉州解放軍第180醫(yī)院 信息科，福建泉州 362000

基于我院HIS的統(tǒng)一用戶管理的設計與實現(xiàn)

陳文亮，莊紹燕，楊保衛(wèi)

泉州解放軍第180醫(yī)院 信息科，福建泉州 362000

目的規(guī)范我院醫(yī)療人員登錄各信息系統(tǒng)的賬戶及口令，保證一個醫(yī)護人員在醫(yī)院工作期間，只維護一個口令，實現(xiàn)管理員對工作人員賬戶的統(tǒng)一管理。方法針對系統(tǒng)，從身份認證、用戶賬戶設計、權限范圍等多個角度制定接口規(guī)范，并在醫(yī)院信息系統(tǒng)（HIS）主數(shù)據(jù)庫上實施。結果實現(xiàn)了醫(yī)護人員在院工作期間，一賬戶一口令訪問網(wǎng)絡資源，達到了用戶信息集中化管理。結論解決了系統(tǒng)間信息冗余問題，各個系統(tǒng)實現(xiàn)了統(tǒng)一單點登錄。

醫(yī)院信息系統(tǒng)；系統(tǒng)用戶管理；單點登錄；身份認證

0 引言

我院目前已建立很多臨床業(yè)務信息系統(tǒng)，如心電系統(tǒng)、醫(yī)學影像存儲與傳輸系統(tǒng)（PACS）、檢驗系統(tǒng)、手術系統(tǒng)、眼科信息系統(tǒng)、辦公系統(tǒng)等等。由于各個系統(tǒng)相對孤立、來源于不同廠家，其數(shù)據(jù)標準和傳輸協(xié)議也不同。隨著系統(tǒng)不斷地增加，不但導致了系統(tǒng)間數(shù)據(jù)相互冗余，也給數(shù)據(jù)管理帶來很大的壓力。如每個單獨的系統(tǒng)都會有自己的安全體系和身份認證功能，用戶使用不同的系統(tǒng)，需要記住不同的認證密鑰，這不僅給用戶使用各個系統(tǒng)和訪問各個信息庫帶來麻煩，影響工作效率，而且由于各個孤立的系統(tǒng)有各自人員信息庫，人員信息沒有一個權威的、統(tǒng)一的來源，特別是不同的信息系統(tǒng)由不同管理人員分別手工管理，容易造成信息不一致，給管理帶來了很大的困難。

1 以往用戶管理模式

我院的信息系統(tǒng)發(fā)展過程包括：前期是通過總后勤部衛(wèi)生部下發(fā)的“軍字一號工程”，設立以醫(yī)護業(yè)務信息為主的服務器；后期建設的系統(tǒng)，大部分是由醫(yī)院以購買的方式獲取軟件系統(tǒng)使用權，軟件廠商為了部署方便，都會要求醫(yī)院提供1臺獨立的服務器，軟件廠商在獨立的服務器上部署自己獨立的數(shù)據(jù)庫及相應的操作系統(tǒng)。這樣導致了各個信息系統(tǒng)相互獨立、數(shù)據(jù)不一致、信息共享程度不高、管理分散，使得系統(tǒng)應用紛繁復雜，形成了一個個“應用孤島”（圖1）。

每個單獨的系統(tǒng)都會有自己的安全體系和身份認證功能，所以醫(yī)院每增加一套系統(tǒng)，相應工作人員則增加一套新的賬戶及口令，并提供簡單的用戶鎖以防止非法用戶破解賬戶口令。據(jù)不完全統(tǒng)計，我院平均每個工作人員至少擁有5套以上的賬戶、口令，部分后勤管理人員甚至擁有近10套賬戶、口令用以完成日常工作。在用戶離職時，需要同時在多個系統(tǒng)注銷賬戶。長期以往，醫(yī)院數(shù)據(jù)庫將存在眾多“僵尸”賬戶。這種賬戶管理模式在很大程度上給醫(yī)院的管理層帶來管理困難。

圖1 以往用戶管理模式

2 統(tǒng)一用戶管理模式的目標

開展統(tǒng)一用戶管理，對于擁有各式各樣系統(tǒng)的醫(yī)院內(nèi)部環(huán)境來說，務必會導致部分系統(tǒng)必須重新梳理并改善用戶管理接口，從而符合管理的需要。醫(yī)院最基本的系統(tǒng)仍以醫(yī)護工作站為主，主要使用成員占據(jù)醫(yī)院工作人員的70%以上。因此，本項目選定在HIS主數(shù)據(jù)庫上實施該方案（圖2），達到如下目標：① 最大限度的合理利用資源，保證數(shù)據(jù)的準確性、一致性；② 為第三方系統(tǒng)提供統(tǒng)一的身份認證接口；③ 完善系統(tǒng)對用戶管理過程中存在的缺陷；④ 提供最全面準確的人員信息共享，解除各個系統(tǒng)中的信息冗余；⑤ 實現(xiàn)各個系統(tǒng)的統(tǒng)一單點登錄；⑥ 完善數(shù)據(jù)庫安全管理措施，為用戶資源提供保障。

圖2 現(xiàn)有用戶管理模式

3 系統(tǒng)功能設計

3.1 提供統(tǒng)一認證的WCF服務

Windows通信基礎（Windows Communication Foundation，WCF）是微軟基于SOA推出的.Net平臺下的框架產(chǎn)品，它代表了軟件架構設計與開發(fā)的一種發(fā)展方向，是微軟推出的在Windows 操作系統(tǒng)下開發(fā)面向服務應用程序的統(tǒng)一平臺[1]。本項目在此基礎上，搭建了關于人員用戶ID、密鑰、工作組和數(shù)據(jù)庫訪問角色的增、刪、改，以及提供權限分配等一系列功能模塊，從而保證了各個系統(tǒng)之間，擁有相同的認證機制，為統(tǒng)一用戶管理提供了基礎保障。

3.2 提供多樣化認證方式

信息系統(tǒng)日新月異，各類認證方式層出不窮。我們設計的初衷不僅僅局限于各類臨床信息系統(tǒng)的驗證及使用上，還要從員工良好的體驗角度出發(fā)，為辦公門禁、停車場、食堂等提供統(tǒng)一的認證接口。市場上常見的認證工具如指紋識別、藍牙、非接觸式IC卡、虹膜、數(shù)字證書等，由于不同的認證所采用的物理方式也不同，以指紋識別為例，特征提取、指紋分類、特征比對是它的3大技術要點[2]。而指紋圖像特征提取的方法主要有兩種：從指紋的原灰度圖像上識別細節(jié)特征；從指紋的細化圖像上識別細節(jié)特征[3]。無論是哪一種識別方式，都離不開指紋圖像的高效穩(wěn)定的提取。在保證數(shù)據(jù)庫安全穩(wěn)定的前提下，我們采取物理存儲的方式搭建了文件服務器，并在認證接口中為各認證工具提供文件路徑指向服務，不僅滿足了對數(shù)據(jù)庫管理的要求，也提高了系統(tǒng)的響應速度。

3.3 保證用戶的合法性及唯一性

在醫(yī)院信息系統(tǒng)的日常管理中，角色與工作內(nèi)容的對應關系是相對穩(wěn)定的，而工作人員的角色是相對動態(tài)的。系統(tǒng)對工作人員的角色管理，既與工作人員的工作內(nèi)容有關，又與系統(tǒng)的各種功能有關，因此用戶授權工作存在嚴重的弊端。只有將人力資源管理者（包括院科兩級）進行動態(tài)的考勤和崗位管理與系統(tǒng)管理員進行靜態(tài)的崗位與工作權限管理進行關聯(lián)，才可以有效解決這一問題[4]。

我院的人力資源系統(tǒng)為自主研發(fā)，系統(tǒng)以身份證為主索引，涵蓋了每位工作人員的詳細信息。為此，本項目以該系統(tǒng)為切入點，在人員維護功能上增加了人員賬戶的統(tǒng)一管理，無論是入職或者離職，系統(tǒng)可以通過認證服務平臺對用戶賬號進行開通或者停用。在對人員賬戶進行操作的過程中，賦予該賬戶一個初始化密碼，且所有的人員賬戶通過身份證號作為唯一索引，從而保證信息的準確性和唯一性。

3.4 提供統(tǒng)一的用戶授權機制

以往系統(tǒng)管理員對人員的管理主要體現(xiàn)在獨立的信息系統(tǒng)授權訪問機制和獨立的信息系統(tǒng)授權管理機制。各信息系統(tǒng)管理員管理各自所屬的信息系統(tǒng)資源和訪問資源，為各個系統(tǒng)的用戶信息進行注冊，并進行權限的分配。這種應用支撐的方式不利于進行用戶信息的管理，難以按照最小單元的原則進行劃分，當用戶擁有多個不同身份時，無法享有更佳細粒度劃分的權限實體資源。其次，伴隨著信息系統(tǒng)用戶量的不斷增長，權限管理的難度越來越大，系統(tǒng)的防護能力往往不能達到規(guī)定要求[5]。因此，我院在HIS用戶管理系統(tǒng)的基礎上，調(diào)整授權機制，對相對獨立的系統(tǒng)分配各類角色，設立虛擬組織體系，將人員從原有的科室組、醫(yī)生組、護士組等工作組轉變?yōu)橄到y(tǒng)需要的臨床、醫(yī)技、后勤、行政等多方面組織，在每個組織下設立符合要求的權限點或系統(tǒng)節(jié)點，管理員只需根據(jù)人員崗位或職位等級設立相應的權限點，即可快速準確地完成用戶的授權。這種方式，不僅告別了以往繁雜的授權手續(xù)，大大減少管理員操作失誤率，而且角色與功能的對應關系相對穩(wěn)定，保證了角色變化管理及時，定位準確，易于規(guī)范化管理。

3.5 單點登錄

所謂單點登錄是指用戶只需向網(wǎng)絡認證系統(tǒng)認證1次身份，即可訪問所有被授權的網(wǎng)絡資源[6]。采用單點登錄的優(yōu)勢在于，系統(tǒng)可以得到更優(yōu)的管理控制，系統(tǒng)中的所有網(wǎng)絡管理信息都放在1個數(shù)據(jù)庫中，這意味著對應每個用戶的權限僅有1個授權列表。這使得管理員在更改用戶特權后，可以確信其結果會傳播到整個網(wǎng)絡范圍。從用戶的角度看，雖然是在種類繁多的應用環(huán)境中，但是用戶不需要頻繁的進行身份的驗證，能夠將互操作性方面的問題減至最少。目前我院單點登錄模式還處在初級階段，主要針對OA辦公系統(tǒng)、數(shù)字圖書館、教育平臺、績效平臺等面向全院工作人員。但是單點登錄模式的鋪開，將會使未來各信息系統(tǒng)更加趨于統(tǒng)一，提高應用系統(tǒng)的安全性、可靠性、方便性，可極大地改善總體擁有成本。

4 結論

在當今多系統(tǒng)、多用戶管理困難的背景下，本文圍繞人員身份，以強化人事管理為導向，設計一套基于多方面認證的統(tǒng)一用戶管理平臺，采用市場主流的WCF技術，集中設計各種管理模型，提供多系統(tǒng)接口支持。在平臺的日漸成熟下，醫(yī)院系統(tǒng)管理過程更加趨于穩(wěn)定、快捷，極大地方便了系統(tǒng)管理員，降低管理風險，提高各崗位的工作效率。同時也保證了各系統(tǒng)之間數(shù)據(jù)的安全有效互通，為未來醫(yī)院的信息化發(fā)展提供了規(guī)范的保障。

[1] Juval Lowy.WCF服務編程[M].北京:機械工業(yè)出版社,2008.

[2] 彭世新,周潔,尹慶宇.采用指紋技術提高企業(yè)系統(tǒng)認證安全[J].電腦知識與技術,2011,7(11):2551-2552.

[3] 湯海林.指紋識別技術的研究與分析[J].福建電腦,2011,(11): 42-43.

[4] 邢福工.醫(yī)院信息系統(tǒng)統(tǒng)一用戶認證授權管理模型研究[J].醫(yī)學信息學雜志,2012,33(3):18-20.

[5] 王茜,史晨昱,李安穎,等.基于統(tǒng)一用戶管理的辦公業(yè)務資源系統(tǒng)集成[J].計算機技術與發(fā)展,2014,24(1):200-203.

[6] 皮曉東.單點登錄的研究與實現(xiàn)[J].計算機應用與軟件,2007,24 (6):156-158.

[7] 何劍虎,周慶利.互聯(lián)網(wǎng)環(huán)境下的醫(yī)療數(shù)據(jù)安全交換技術研究[J].中國醫(yī)療設備,2013,28(4):13-15.

[8] 郁建.CA系統(tǒng)支持國密SM2算法改造研究[J].中國信息化, 2013,(6):1-4.

Design and Implementation of Unified User Management Based on HIS

CHEN Wen-liang, ZHUANG Shao-yan, YANG Bao-wei
Department of Information, No.180 Hospital of PLA, Quanzhou Fujian 362000, China

ObjectiveTo standardize the login account and passwords of medical personnel and to achieve one password for a health-care worker during their work in the hospital so as to realize unified management of accounts by administrators.MethodsThe interface specification was developed and deployed for the system users from multiple aspects, including authentication, user account design and identity authorization management.ResultsOne password for one health-care worker was realized during their work in the hospital so as to achieve centralized management of user information.ConclusionThe problem of information redundancy between multiple systems was solved so as to make unified single sign-ons in various systems.

hospital information systems; system user management; single sign-ons; identity authentication

TP393.08

A

10.3969/j.issn.1674-1633.2016.08.027

1674-1633(2016)08-0089-02

2016-01-15

2016-02-19

作者郵箱：cwl217@163.com