P2DR模型在医院信息系统安全中的应用分析

P2DR模型在医院信息系统安全中的应用分析

潘珩

潘珩(河南省郑州大学第一附属医院450052)

【摘要】目的P2DR模型是一种动态网络安全体系，今年来广泛应用于医疗机构。此模型在医院的运用提高了医院的信息的安全，有效减少了因数据问题导致的医疗纠纷的发生率，减轻了医生的工作负担，提高了医院的工作效率。本文通过分析安全模型P2DR在临床中的应用效果及目前医院信息存在的安全风险和潜在隐患，阐述此模型可靠、安全和运行高效的特点。

【关键词】P2DR信息安全医疗信息

【中图分类号】R197【文献标识码】A【文章编号】1672-5085（2013）39-0076-02

医院信息是对医院的各种信息进行传输、统计和存储的应用系统[1]。医院里有关患者的疾病信息若被非法访问或修改将会造成严重的医疗纠纷和不必要的经济损失。随着科技的发展和医院信息化，我院引进了P2DR安全系统，服务涵盖医院日常工作的各个环节。在引进此模式之前，医院的网络一旦瘫痪或其他原因导致数据丢失，会对医院或病人造成严重的损失。本文通过结合P2DR理论，探讨实现医院信息安全的方法。对数据库合理操作的痕迹详细记录并审计，使数据的访问活动可查，全面掌握数据库的情况，并对部分有安全隐患的信息进行提示、调整或改进，是医院安全事件追踪分析和医疗责任追究的必要手段。

1.P2DR安全模型主要组成部分[1]

P2DR模型是某一国际公司研发的较先进的代表模型[1]，是动态信息安全模型。P2DR信息安全模型包含四个部分：安全策略、防护、审计和响应。?

1.1安全策略：是此安全模型的核心，全部的执行过程都是依据安全模型的策略实施的。安全策略分为总体策略和具体策略2个部分。在工作中实施动态信息的网络循环过程，医院的信息安全策略制定后，所有的防护、检测、响应都要依据安全策略实施，医院安全策略为安全管理提供管理方向和支持手段。运用纵深防御，信息安全防护模式是多层次的系统，避免因网络突然中断和其他原因导致的信息数据的“单点失效”。

1.2防护：防护是依照信息系统的一些可疑问题采取的措施，这些措施是借助于静态安全技术合理利用而实现。危险因素入侵信息的安全性，进行攻击所用的时间为安全体系启动防护提时间；在入侵成功的同时，此模式的检测系统同时发挥作用；在检测到入侵行为后，系统将对其做出效应性处理。

1.3审计：安全审计是安全响应的依据。利用综合检测工具对系统进行全面检测和对其安全状态进行评估，通过一系列反应将数据系统调整到安全状态。该理论的原理是，信息传递、保存等信息安全有关的全部活动都要利用时间。因此防护启用所要用的时间来判定一个体系的安全能力。?

1.4响应：系统检测到危险因素入侵的同时，响应系统开始工作，进行处理危险情况。响应分为：紧急响应和数据恢复处理。

2.国内P2DR安全模型的运用现状[2]

在我国此模式已经得到广泛运用到很多行业的信息安全管理中。在医院的全面开展运用中，从陌生到熟悉，对临床信息安全的管理有了突破性的进展，有效减少了因数据问题导致的医疗纠纷的发生率，减轻了医生的工作负担，提高了医院的工作效率。本文通过分析安全模型P2DR在临床中的应用效果及目前医院信息存在的安全风险和潜在隐患。

3.P2DR安全模型在运用中的不足

安全系统要及时对危险事件作出反应：①报告：虽然系统属于自动化，也需要有管理员监视，对危险事件发生进行检测；②记录：必须将全部的情况都记录下来，包括各个细节以及全部的系统反映；③反应：对所有的异常情况进行相应的处理以阻止隐患的蔓延。通过对特定行为对事件进行逻辑描述，查找可疑行为的源头；根据所有操作过程和访问行为客观记录追溯，找到可疑人位置，再找出可疑目标使用的工具和操作时间，对违规操作进行及时控制[3]。

有上所述，此模式的自动化还不够完善，需要有工作人员对其进行人为检测，对工作人员的要求也较高，理论上其准确性会因主管感受的不同而受到轻微的影响。而且此软件的主要针对对象是人为的异常操作，对网络本身可能造成的一些风险抵抗性能较差。

4.小结

医院里有关患者的疾病信息若被非法访问或修改将会造成严重的医疗纠纷和不必要的经济损失。随着科技的发展和医院信息化[4]，我院引进了P2DR安全系统，服务涵盖医院日常工作的各个环节。在引进此模式之前，医院的网络一旦瘫痪或其他原因导致数据丢失，会对医院或病人造成严重的损失。为了避免这些情况的发生，国内医院选择运用P2DR模型是某一国际公司研发的较先进的代表模型[1]，是动态信息安全模型，用来避免上述问题的发生。P2DR信息安全模型包含四个部分：安全策略、防护、审计和响应[5]。

医院信息安全对医院正常运行有着非常重要的意义。保证医院信息的安全是一项很复杂的工程，对所有可能情况均需要全面考虑，P2DR安全模型在医疗信息安全管理中的应用只属于医院信息安全建设中的一个组成部分，建立严格的信息安全管理制度、运用健全的安全管理技术才是解决医疗信息安全的根本途径。因为在临床上还没有一套通用的关于医疗信息安全模型，在运用过程中对具体问题结合实际分析应用，并应对此类系统进行进一步的完善。

参考文献

[1]刘志.基于P2DR动态安全模型的SHTERM产品设计与实现[D].北京邮电大学,2008.11（3）：43-44.

[2]冯毅.基于P2DR模型的网银安全体系方案设计[J].中国科技信息,2011,(14):104-105.

[3]范春雨.医院信息系统安全及对策[J].科技创新导报,2010,(1):215-216.

[4]黄泽斌.基于P2DR模型的安全解决方案研究[J].计算机与信息技术,2007.(2):79-80.