时间:2023-09-20 16:01:53
序论:写作是一种深度的自我表达。它要求我们深入探索自己的思想和情感,挖掘那些隐藏在内心深处的真相,好投稿为您带来了七篇互联网医疗风险分析范文,愿它们成为您写作过程中的灵感催化剂,助力您的创作。
医疗系统信息安全需求与安全风险分析
安全是一种需要,是人们生存的需要,生活质量提高的需要。安全是一个目标,它需要人们为此做出努力。信息安全目标是指防止意外事故和恶意攻击对信息及信息系统安全属性的破坏,安全属性包括保密性、完整性、可用性、真实性、不可否认性、可核查性、可靠性[2]和可控性等。对医疗卫生行业来说,患者生命安全是第一位的,因此,临床诊疗信息系统的可用性(可靠性)需求是最重要的。另外,个人医疗健康信息是患者的隐私内容,随着《个人隐私法》的出台,对医疗信息系统的保密性提出了更高的要求。医疗卫生行业的信息安全需求主要源于两方面的驱动:一是内部自身信息安全需求,二是法律法规要求。医疗机构的患者具有隐私权,为维护患者的隐私权,医生、护士和其他员工都有为病人保密的责任。《中华人民共和国护士管理办法》、《中华人民共和国执业医师法》、《医务人员医德规范及实施办法》、《母婴保健法》、《传染病防治法》、《电子病历基本规范》,以及即将出台的《个人隐私法》等相关法规中都对保护患者隐私提出了相应的要求和规定。2.1医疗卫生行业信息安全现状随着信息环境越来越复杂,以及医疗卫生行业对信息系统的依赖程度越来越强,信息安全问题越来越突出,患者信息泄露事件、数据泄漏、知识产权与医疗机构科研成果被盗用现象频频发生,大规模的DoS侵入、信息系统遭黑客攻击、蠕虫病毒与垃圾邮件泛滥等安全事件逐渐增多,不仅严重影响到医疗业务系统的正常运行,还直接威胁到患者的隐私,甚至是患者的生命安危。与其他行业相比,中国的医疗卫生行业在信息安全保障领域的工作刚刚起步,虽然部署了一些安全产品,但仍处于“头疼医头,脚痛医脚”的阶段,信息安全意识相对落后,没有专门的信息安全组织机构,更没有建立规范成套的管理制度。从医疗卫生行业内部管理来看,医疗信息系统面临着多方面的信息安全风险,这些风险主要在于:1)医务工作者信息安全意识淡薄,领导不够重视,认识不够全面,信息安全保障措施投入严重不足,医疗信息化建设中,医疗机构高投入地进行信息系统及其网络基础设施等的建设,而在信息安全管理与技术方面考虑、投入却严重不足,管理措施严重滞后,相关信息安全规章制度与操作手册严重缺乏。2)信息安全需求分析不够全面,信息安全风险估计不足。业务信息系统、设备的获取、采购与检测程序不够健全与重视,以及在与第三方的合作时也没有识别出相关的风险,对第三方人员(如软件外包人员、工程建设总包)的审查和管理方面做得不够,没有采取措施进行相应的控制。3)医疗信息系统的运营缺少有效的安全保护措施和审计机制,存在账号滥用、业务数据被非法读取的风险。另外,医疗信息系统不是一个孤立的系统,与合作单位甚至互联网都存在接口,存在被黑客入侵、网络攻击的风险。4)医疗卫生行业内外网划分不清晰,内外网隔离安全防范措施缺失,网络安全漏洞比其他行业更加严重,导致可能存在医疗信息系统的核心业务信息通过互联网泄密与被黑客入侵的风险。随着医疗手段越来越依赖网络,网络故障可以像电源故障那样导致医生手术的中断,直接危及患者的生命。2.2医疗卫生行业信息安全风险分析医疗卫生行业信息安全风险分析是指对医疗卫生行业信息系统及重要信息资产面临的安全风险进行分析与评价的过程,在该过程中要识别信息系统的价值、内在的脆弱性及所面临的外部威胁,进而确定威胁利用弱点导致安全事件发生的概率,最终确定风险的大小或等级。为了便于实际分析工作,根据医疗卫生行业信息系统功能的不同,依次划分为几个方面,分别是综合管理系统、医疗诊断信息系统、数据库系统、硬件信息系统(包含网络设备)、重要信息载体以及掌握重要信息的医务工作者等。虽然由于医疗系统各系统独立性强的特点,孤立地分析单个信息系统所面临的风险对医疗机构而言意义重大,但同时更要综合考虑整体业务的正常运营。医疗结构的重要业务是患者的健康安全,因此应考虑以患者健康安全为中心来进行信息安全风险分析工作。医疗机构的整体信息安全风险是各个业务的风险与其相应的业务重要性加权值之积的和。信息安全风险分析结果可以作为信息安全等级保护工作有力的支持与依据。
医疗卫生行业信息系统等级保护体系化实施
(1)等级保护实施计划阶段即信息系统识别定级与备案,在此阶段:1)要明确的是医疗机构的信息安全需求与国家针对医疗行业等级保护的要求。2)要明确医疗机构等级保护的范围或要保护的对象,谈到信息安全时,许多人的视野往往停留在数据化的信息本身,这无疑过于狭窄。医疗系统信息安全保障的对象是应用业务信息系统、主机与主机系统、网络与通信设备、环境与设备、患者信息数据、科研成果与知识专利等。3)针对各医疗系统进行科学的定级,应根据各科室的工作职能、重要性、所涉及信息的重要程度等因素进行科学定级,在信息系统的定级过程中可以参考信息安全风险分析的情况,确定系统的安全等级,并找出系统安全现状与等级要求的差距,形成完整准确的信息安全需求。信息系统定级针对不同的安全域确定不同的等级,在同一个系统里,还允许划分不同的安全域,在每个安全域可以分别定级,遵循“谁建设、谁定级”的原则。安全技术框架包括:安全技术设施体系、信息系统的获取开发维护体系、安全运维体系、数据系统安全体系、网络与通信安全体系、访问控制安全体系以及计算机环境安全体系等。安全管理框架包括:安全策略体系、安全组织体系、物理环境安全体系、合规性安全体系、安全事件管理体系、安全风险分析体系以及信息安全人才培养体系等,并使用符合国家有关规定的信息安全技术与产品。安全检查阶段的主要工作是对信息安全技术与管理两方面工作的落实程度与效果进行分析和评价,判断建立的信息安全保障体系是否符合相关的标准要求,是否满足预期的效果,及对信息安全保障工作的符合性、有效性、充分性与适宜性进行评价,包括信息系统主机审计与应用审计。检查的目的是为了更好的改进,信息安全等级保护措施在改进过程中要严格按照国家的相关标准,结合信息系统的实际情况,逐项进行安全风险分析。根据安全风险分析的结果,对部分保护要求进行适当的调整和整改。调整应以不降低信息系统整体安全保护强度,确保患者生命安全为原则。
作者:陈晓雷 单位:北京网御星云信息技术有限公司
【关键词】 公立三甲医院 医疗风险管理 医疗风险预警体系
【中图分类号】R-01 【文献标识码】A
Public Building 3 Armour Hospital Medical Risk early Warning System
- in A Hospital as an Example
LIU Shukui School of Health Management, Guangzhou Medical Universitie
Abstract:The public hospital is of the main social medical for concentration resources, which affects the physical and mental health of the masses, and even the social harmony and stability. Hospital medical risk an ever-present, everywhere, but establishing medical risk early warning system can effective prevention and management. A public 3 armour hospital through the adjustment of the organizational structure, the application of mobile Internet technology, based on medical risk early warning indicators of risk management, and medical risk management culture of employee training and other measures to establish the medical risk early warning system, the hospital medical risk management level was improved.
Keywords: Public 3 Armour Hospital;Medical Risk Management;Medical Risk Early Warning System
一、引言
当前,我国公立医院医疗卫生事业改革进入深水区,群众看病难、看病贵等问题迟迟没能很好地解决,医患矛盾和医患纠纷问题此起彼伏,公立医院面临的医疗风险呈现出多样性、复杂性、突发性和不确定性等特点。2016年11月,山西长治和平医院某医生因拒绝采用患者家属从网上看到的医疗方法给患者治疗,从而引发的医疗风险事件导致医生被患者家属刀砍,给医生及医院造成重大损失。由此可见,该事件的起因和其恶劣结果之间并没有必然联系。因此,公立医院进行医疗风险预警对于医院利益相关者来说意义重大。医疗风险预警体系是医疗风险管理的重要一环,在防控医疗风险方面能够起到事半功倍的效果。
二、概念界定
1. 公立三甲医院
公立三甲医院就是公立的三级甲等医院,是按照我国《医院分管理标准》划分评定的,其硬件规模和软件技术的评级均达到三级甲等水平。
2. 医疗风险管理
医疗风险是指存在于患者从入院到出院整个诊疗过程中的可能会导致损失和伤残事件的不确定性和可能发生的一切不安全事件,如医疗意外、医疗差错、医疗事故及并发症等。
医疗风险管理是指医院以提高医疗质量、医院管理的社会效益和经济效益为目标,通过对现有和潜在医疗风险的识别、评价和处理,最大限度地减少医疗风险事件的发生,评估医疗风险事件可能造成的危害及经济损失,有效应对与控制医疗风险的管理活动过程。
医疗风险预警体系是指医院对医疗活动过程中可能出现的各种医疗风险进行监测、汇总、分析、预报,提出相应的防控措施并加以反馈等所构建的体系。它是根据医疗过程的特点,通过收集相关的资料信息,监测医疗风险因素的变动趋势,并评价各种医疗风险状态,向决策层发出预警信号并提前采取预控对策。其目的和作用是医院通过预警体系建立一系列防控机制和标准,提高医疗安全质量,改进医院管理水平,防止医疗风险发生,减少医疗风险产生,保障医院利益相关者安全。
三、A公立三甲医院医疗风险预警系统的构建
A公立三甲医院是广州市卫计委下属大型综合性医院,是广州地区医疗、教学、科研、干部保健的重要基地。现有职工人数3635人,高级职称610人,编制床位2645张。
1. 医院组织结构调整
A医院现有科室分布中,医院风险管理主要由医务部负责,但医务部下设投诉管理科和质控科两个科室,医院风险管理的具体负责科室并不明确。当患者有投诉时投诉管理科会进行处理和解决,质控科更多地只是对各业务科室的医疗质量加以控制管理,并不指向风险管理。因此,A医院在引入全面风险管理理念基础上,决定对职能科室重新划分,将原来的投诉管理科和质控科合并组建医院风险管理办公室。办公室设主任一名,副主任两名。办公室主任对副院长负责。风险管理办公室的职责主要是医疗风险预防、医疗风险识别、医疗风险分析评估和医疗风险管控等。A 医院新的组织结构,见表1。
其中医疗风险管理办公室下设二个职能科室:医疗质量科、风险管理科。医疗质量科的主要职责是对各种医疗文书的书写情况按规范进行检查,包括病历、处方、申请单、报告单和护理资料等,并做好相应质量检查记录;对各项护理制度执行情况进行检查,对检查中发现的问题及时报告科主任并提出改进意见;定期分析评判本科室各阶段医疗质量动态,总结归纳。风险管理科的主要职责是全面承担医疗风险管理,预防风险、控制风险、化解风险、规避风险,最大限度地减少各类因医疗风险造成的损失和不确定性。负责全院医疗风险管理文化的教育和培训,处理医患沟通、医患冲突等问题;建设医疗风险管理信息系统,充分利用移动互联网媒体进行风险管理等。
2. 塑造医疗风险管理文化
医疗风险无处不在,无时不在。因此,A医院将医疗风险管理上升为医院战略管理高度,由分管医疗风险的副院长牵头,医疗风险管理办公室负责,在全院范围内进行医疗风险管理文化的塑造。把医疗风险管理的知识、精神、理念、宗旨、方针和政策等用小册子形式印刷发放给每位员工,不定期地、经常性地对全院工作人员进行医疗风险管理文化灌输、教育、培训和学习;通过多渠道多途径对全院员工进行风险管理文化的培训,如通过医院微信公众号、医院风险管理信息系统、医院内部办公OA系统和微信群等进行医院风险管理文化的塑造。目的是要让员工们人人心中有风险管理意识,人人能按照风险管理的要求去开展工作。A医院力争用一年左右的时间把医院塑造为拥有较强风险管理文化的医院。
3. 构建医疗风险预警指标体系
医疗风险预警指标,就是对医疗服务过程中可能产生医疗风险的各风险因素进行识别,并将引起医疗风险的复杂因素分解成相对简单的,容易被识别的基本单元,能敏感地反映医疗风险状态和医疗风险程度的具体指标。
A医院在确定医疗风险预警指标时采用的是德尔菲法。医疗风险管理办公室负责从医院各职能科室抽取50名副高级以上专业职称的专家,从业经验大于十年,原则上每个科室至少抽取一名专家。先由医院各科室负责人将本科室存在的或潜在的针对医院开展医疗服务活动所涉及的各医疗风险因素及其发生概率汇总上报给医疗风险管理办公室,医院风险管理办公室将各部门提交的资料汇总、整理、筛选后列出医疗风险预警指标,然后按规定程序用匿名方式征求50名专家意见,经过三轮反复分析判断,进行不断收敛与量化,最后由医院风险管理办公室进行综合分析,确定医疗风险预警指标。具体指标见表2。
4. A医院医疗风险的监测和识别
医院人事处配合医院风险管理办公室从医院各科室抽取经验丰富、能力强的医护人员组建医疗风险预警信息委员会,要求各委员每个工作日负责对表2中的每一项指标进行监测,重点是委员所在部门科室,委员们要利用一切可以利用的资源、工具对医疗风险进行监测,一经发现问题及时进行风险识别分析和处理,采取有效措施加以应对,并将风险发生及处理情况及时汇报给医疗风险管理办公室。若本科室处理不了,则需及时将情况上报医院风险管理办公室,由医院风险管理办公室联合该科室共同解决。A医院建立了医疗风险监测报告制度,如各科室每周一要对上一周的医疗风险预警监测情况向医疗风险管理办公室进行汇报,并对本周的监测工作进行部署安排。在医疗风险识别过程中,要识别出医疗风险的类型、医疗风险发生的原因、医疗风险的危害程度及其造成的可能结果。
除医疗风险预警信息委员会成员外,其他所有员工当发现或感知到医疗风险预警指标发生变动时,都应该及时主动上报给医院医疗风险管理办公室。医院制定了不安全风险事件的上报制度,明确了上报流程和上报方式,确保上报是在安全、保密、非惩罚的环境下进行的,并对主动上报者进行奖励。医疗风险管理办公室成员要定期或不定期实地走访,进行现场观察和督查,尽可能阻止医疗风险的发生。
为了能更好地做好医疗风险监测工作,A医院制定了相关奖惩制度,一方面对能够向t院风险管理办公室提供风险预警合理化建议的人一定的奖励;另一方面对故意隐藏医疗风险的员工进行惩罚,惩罚程度依据情节轻重。
在医院内部形成医疗风险报告制度的基础上,A医院还鼓励医院以外的所有利益相关者发现医疗风险后及时报告给医院,包括患者及其家属等人,医院给予外部报告人一定的物质或精神奖励。
5. A医院医疗风险分析处理
对于那些科室解决不了的医疗风险发生后,A医院医疗风险管理办公室应立即展开风险分析处理工作。在医疗风险分析过程中,重点分析此类医疗风险能不能够及时终止,或及时转移,如果不能,则要分析如何处理和应对。在设计处理方案时要充分考虑方案的合理性、可行性、科学性,要对所选方案实施的结果进行预判。对于那些重度风险事件,医疗风险管理办公室要组织专家进行根本原因分析,提出限期整改方案措施,并持续监控医疗风险事件的进展动态;对于中度风险事件,医疗风险管理办公室协助有关科室提出对策,并持续监控医疗风险事件的进展动态;对轻度风险事件,由有关科室自行解决,事件处理状况及时向医疗风险管理办公室汇报并总结经验。
A医院在进行医疗风险分析处理过程中,需密切联系患者及其家属,多听他们的意见或建议,同他们一起共同做好医疗风险预警工作,而不是由院方单方面地去处理,那样的话,既会增加患者及其家属对医院的不信任,又会影响医疗风险的及时处理,甚至错失处理良机。
6. A医院医疗风险预警处理反馈
医疗风险预警分析处理后要及时向各有关部门或人员进行反馈。反馈的目的是总结经验,发现医疗风险预警过程中做的不完整或不到位的问题,以便以后更好地开展预警工作。对于发现风险后的处理情况,A医院医疗风险管理办公室要及时、准确、全面地向患者及其家属、医院有关科室部门、医院高层管理者、社会公众进行反馈。形成风险事件反馈报告制度,在对内对外反馈过程中不隐瞒,不夸大,不虚构医疗风险事件。
四、讨论与结论
1. 政府需建立t疗风险预警制度
尽管国内有很多医院如A 医院一样已经认识到构建医疗风险预警体系的重要性并逐步建设,但政府政策层面的医疗风险预警制度尚未建立。迄今为止,政府层面上只是做了一些医院管理制度方面的文件,要求医院在医院管理制度框架下做好相应的医疗风险管理工作。事实上,医院做不做,做的程度如何,政府往往无法完全掌握真实情况。考虑到近年来患者对医院的不信任已经延伸到对政府的不够信任,如一些医疗纠纷事件中患者乐于通过媒体或其他医闹途径来寻求解决办法而不是求助于政府,因此,政府有必要建立医疗风险预警制度,从而对医院实施即时监督,同医院一起共同做好医疗风险预警工作。医院由于自身人、财、物、技术、信息等资源的局限性,一些医疗风险事件的发生仅靠医院是很难避免的,需要政府层面对患者及其家属进行宣传、指导和管理。
2. A医院充分利用移动互联媒体实时监测、防控医疗风险
除上文提到的医疗风险预警信息系统外,A医院需充分利用移动互联媒体进行医疗风险监测。如微信公众号、微信群、微博等。这些具体工作由医院风险管理办公室来开展。通过移动互联媒体,医院内部沟通、医院与患者及其家属之间的沟通都会更加快捷便利。因此,医院医疗风险预警体系会更健全,预警信息化处理能力也能得到强化。事实上,依据移动互联媒体进行医疗风险监测与防控,有利于医疗风险预警的系统化、常态化和精细化,既省时省力,又能节省医院监测成本。
3. 严格执行医疗风险预警制度
再好地制度如果不严格执行,其效果效益都会打折扣。制度制定出来后关键是落实。A医院医疗风险预警体系构建后需严格执行,将其常态化,并动态调整有关内容,每位员工上都需将其当做日常工作中常规内容,任何时候都不能松懈。只有全员参与全面进行的医疗风险预警,才有可能做好医疗风险预警工作。
为了能够更好地进行医疗风险预警工作,A医院耗费一定的人力、物力、财力进行了医疗风险预警制度的构建工作。该制度在监测医疗风险、识别分析医疗风险、处理应对医疗风险方面都起到了较好地作用,医院的医疗风险管理水平也得以提升。当然,制度并不完善,还需依据医院面临的内外部环境变化不断调整。
参考文献:
[1] 王惠英,宣俊俊,邱智渊,李芸,马昕.医疗风险预警机制构建[J].中国卫生质量管理,2016,(5):27-29.
[2] 许苹,杨兴辰,樊震林,等.医疗风险管理预警体系的构建研究[J].中华医院管理杂志,2007,23(5):313- 316.
[3] 刘晴,许苹,绳慧峰,李世东,秦峰.医院医疗风险预警预控指标研究[J].中国医院管理,2016,(7):43- 45.
近年来人工智能高速发展,计算机视觉、自然语言处理、机器人技术、语音识别等人工智能技术逐渐走入我们的视野,这些技术在改变人类生活方式的同时也极大的影响了当前的金融行业,本文将简要介绍人工智能技术,并分析和探讨人工智能技术在金融行业的一些应用状况。
【关键词】人工智能 金融
人工智能作为计算机科学的一个重要分支,近年来得到了广泛的社会关注。计算机视觉、自然语言处理、机器人、语音识别等人工智能技术为逐渐走入我们的视野,例如前不久Alphago与李世石的人机大战,此外还有近年来兴起的智能聊天机器人(如微软小冰、Siri等)、无人驾驶技术等,这些技术在一定程度上提高了人们生活的便捷度,为人们略显单调的生活增添了乐趣,同时也给各个行业带来巨大的变革。在这个过程中,作为与人们生活息息相关的金融行业也开始步入了智能时代,随着互联网金融平台和金融科技公司的兴起,人工智能技术被广泛应用在银行、保险、投资理财等金融行业中,如智能投资顾问、股票交易预测、金融支付验证、投资理财推荐、贷款审批等等。
1 人工智能技术概述
1.1 什么是人工智能
人工智能是指使计算机拥有人类智能系统,令其具备一定的自主计算、思考、学习能力,从而高效地完成一些复杂的任务。由于人工智能是基于计算机系统运作,与人相比其受环境的影响也大大降低。同时人工智能技术使得计算机拥有人类难以企及的大数据分析功能,其处理海量、非结构化数据以及推断和演绎问题的能力,使人工智能被广泛启用在图像、视频、语音、文本等数据处理中。
1.2 人工智能主要研究领域介绍
1.2.1 机器视觉
机器视觉是指利用成像系统代替人类的视觉器官,通过计算机程序对各类图像进行分析、处理和解释。借助设定的算法,计算机能够对图像中所蕴含的视觉信息,如物体的形状、位置、姿态、运动数据进行快速地分析评估,例如拍照相机中的人脸检测、自然场景图像中的文字定位和识别等。近年来机器视觉已经在公共安全监控、金融支付验证以及医疗图像诊断等领域有着重要的应用。
1.2.2 自然语言处理
自然语言处理是研究在人与人交际中以及在人与计算机交际中的语言问题的一门学科,它通过算法或规则对庞多复杂的语言、文字信息来进行各类分析、处理或理解。该领域研究的问题主要有机器翻译、信息检索、自动文摘、文档分类、问答系统等,如通过机器翻译实现从一种语言到另一种语言的自动翻译;通过文档分类实现垃圾邮件的自动过滤,此外,百度、谷歌等搜索引擎通过信息检索技术使得知识通过问答的方式得到普及。
1.2.3 语音识别技术
语音处理是指运用特定程序使得机器具备识别人的语音的功能,从而完成人类所的各项任务。这三个研究领域作为人工智能最主要的分支,近年来吸引了许多的学者来进行研究,并且各大互联网公司也基于这些领域做出了很多应用产品。除此之外,人工智能还有专家系统、神经网络等重要的研究领域。
2 人工智能在金融业的一些应用
2.1 金融支付验证
首先是金融支付方面,相比于比较常见的密码输入验证的方法,生物特征识别技术可以使得密码验证的安全性大大提高。目前基于生物特征验证的金融支付方式主要有三类:指纹验证、人脸验证和虹膜验证。
第一类是指纹验证,它是通过将采集的指纹图像与备份指纹图像来进行对比验证,近年来许多智能手机开始支持指纹验证支付,该验证方式相比于传统的密码支付更为安全快捷;第二类是人脸验证,其通过提取人脸图像的特征,形成一个描述该面像的特征向量,将之与原先采集的人脸属性进行比对验证,在今年的CeBIT上马云演示了蚂蚁金服的人脸验证支付功能。第三类便是虹膜验证,也称视网膜图像验证,一个虹膜图像中约有266个单位的读取点,其复杂程度远远超过了其他生物特征,是目前公认的安全性和保险性最高的身份验证方法,目前一些发达国家已开始把这种身份验证技术用于银行提款机。
2.2 智能客服
在银行服务方面,可以通过语音识别技术、自动问答技术来构建金融领域专用的自动问答机器人来实现远程客户服务、业务咨询和业务办理等,这样不仅可以使得用户能够及时得到满意的答复,提升用户的满意度,而且可以减轻人工服务的压力,降低企业的运营成本。在2015年双十一期间,蚂蚁金服95%客户服务已经由智能问答机器人完成,并且实现了自动语音识别。
此外,在银行网点安放可交互型的机器人来替代大堂经理,对客户进行语音交流、业务咨询和办理等,这样在一定程度上可以增强银行服务的科技感、提升客户体验,并且减轻工作人员压力。例如交通银行推出的机器人“娇娇”、民生银行退出的机器人“ONE”、农业银行推出的机器人“智慧小达人”等。
2.3 智能投资顾问
智能投资顾问是指根据理财客户的一些指标如年龄、经济实力、消费行为、理财需求、风险偏好等,通过机器学习算法以及现代资产组合优化理论来构建标准化的数据模型,并利用网络平台和人工智能技术对客户提供个性化的理财顾问服务。这种智能推荐服务类似于目前电商网站的个性化产品推荐服务,相比于传统的个人投资顾问,智能投Y顾问更加的可信、客观和可靠。近年来,国内外从事智能投顾的企业也越来越多,如:德意志银行推出的机器人投顾“Anlage Finder”、京东金融推出的智投、小金所的机器人投资顾问等。随着这些历史数据的不断增大以及算法模型的不断完善,智能投顾将会个性化和智能化。
3 结论
随着互联网金融平台和金融科技公司的兴起,现如今的金融行业已经广泛的与人工智能技术相结合,除了上述介绍的三种应用外,人工智能技术还可以用于算法交易、银行贷款风险分析、客户分析和聚类、行业景气程度分析等等。我们有理由相信随着人工智能技术的不断提高,必定会给金融行业带来广泛而深刻的变革。
参考文献
[1]杨皓东,江凌,李国俊.国内自然语言处理研究热点分析―基于共词分析[J].图书情报工作,2011,55(10):112-117.
[2]姚华.支付宝如何利用大数据分析进行交易风险管控[J]. 计算机与网络,2015,41(19):49-49.
[3]樊GG,曲双石.金融产业升级: 从互联网到人工智能[J].当代金融家,2016(06):46-48.
[4]张雪飞,李洁清.浅谈我国商业银行的个人理财业务[J].活力,2009(04):44-44.
【 关键词 】 医院;网络安全;安全防护
Network Security Analysis and Protection in the Construction of Hospital Informatization
Han Hui
(People's Hospital of Pei County,Jiangsu Province JiangsuPeixian 221600)
【 Abstract 】 Due to the development of modern medical technology, the hospital of dependence on the network and system has been enhanced, hospital network security directly related to the normal conduct of business. In this paper, through the analysis of internal, external security risks of hospital network that may exist, to solve the security problem through the security technology and management system, forming a system, the associated security architecture, provides a feasible solution for network security protection of hospital.
【 Keywords 】 hospital; network security; security protection
1 前言
随着医院信息化的不断发展,医院的HIS、CIS、RIS、LIS等信息系统大大提高了医疗水平与诊断准确性及效率,但是随着业务系统的逐渐扩展,对于网络的管理越来越复杂,而恶意软件的猖獗,对医院的网络造成了更多安全威胁,网络安全是一项动态工程,既需要技术手段,更需要人为配合,如何保障医院网络的健康运转行,已成为当前医院信息化建设过程中所需关注的重要事项之一。
2 医院信息化建设中存在的安全隐患
2.1 影响医院网络安全的技术因素
医院在进行信息化建设过程中,与其它局域网相同,涉及到基础链路、网络设备、存储设备、服务器、客户端、业务系统等多种元素。医院信息化水平的不断发展大大提高医院的治疗、服务水平,但是其网络安全问题也日益突出,如物理环境的安全性、操作系统的安全性、数据备份的安全性等问题,采取传统的防火墙与防病毒等被动式的防御措施已无法解决各个层面可能产生的安全问题,由此导致的重要数据损坏、丢失等问题,不仅影响了医院业务网络的正常运转,同时也威胁到了患者的隐私数据甚至生命安全,需要更全面的安全解决方案。
安全设备简单罗列,未规划一个整体的安全防御体系。医院在进行安全防范时,存在一定的思维误区,认为有了防火墙就可高枕无忧,关于网络的管理可做可不做,实际上防火墙仅是安全类产品中的之一,其功能存在一定的局限性,对于基于网络内部或旁路的攻击无法抵御,对基于内容的攻击也无法防范。IDS设备也是如此,仅可对存在的安全问题提供报警信息,并不能有效防御;数据库审计,虽可以记录到登录到数据库的用户所做的操作,可定位到操作的源IP地址,但是无法防止对数据的恶意操作者,如窃取、篡改等操作的具体医务人员,也即无法追究到最终的责任人。
安全措施操作复杂,且无关联性。如IP与MAC地址绑定,产生的问题之一是管理人员需要单独操作每台交换机,对其绑定信息进行逐条输入,工作量非常大,操作不便。问题之二是拥有网络基础知识的内部人员可轻松更改IP地址与MAC地址,导致绑定失效。再如医院主机上安全了杀毒软件,但是由于数量之多,且对各个主机的杀毒软件缺乏统一管理,对于病毒库是否更新、主机是否开启了杀毒软件都不得而知,操作系统的补丁更新也存在同样的问题。医院可能花费大量的人力、物力制定了大量的安全措施与手段,但是对其可操作性,相互之间的关联性未做评估,造成形同虚设。
2.2 影响医院网络安全的人为因素
无专门的网络管理部门,无法在出现问题时责任到人;未制定统一的医院信息系统建设的安全规范或标准;无强制性的安全检查、监督机制,且无第三方专业机构介入;无网络安全上岗人员资质认定标准,无定期的网络安全知识培训、宣传、考核制度。
由以上因素可能造成严重的安全问题,如医院内部的人员将个人电脑接入医院内部网络,可能会将携带的病毒感染至医院内网,影响业务系统的正常运行;或医院内部人员将业务网络的电脑接入至互联网,也可能将互联网上的木马、病毒传播至医院内网;医院内部人员利用职务之便,直接访问数据库窃取重要数据、篡改医患的数据数据,造成医院的重大经济损失。此外,黑客可利用电脑,非法接入医院的业务网络,发动攻击,由于医院与医保等社保网络是必须相联进行相应的数据验证,因此一旦被攻击,其后果可想而知。
3 医院信息化建设中的安全防护策略
医院网络安全构架见图1所示,通过管理与技术两方面对其安全性进行保障。
3.1 网络安全技术手段
3.1.1运行环境安全
物理环境是所有设备、业务系统运行的基础,因此它的安全性也是整个网络安全的基础。机房中旋转服务器或网络设备的机柜均上锁,并设专人保管钥匙。机房内安装专业视频监控设备,配备防雷、防静电、防尘装置。重要的网络设备安装UPS或提供双路供电;部分重要科室的汇聚层交换机应设计为互相冗余,避免因单点传输故障造成的业务中断,确保医院重要业务的不间断运行。医院网络基础建设中应采取VPN技术,防止外部网络未授权用户的非法访问。
3.1.2网络边界安全
安全隔离设备:用于实现医院内网与互联网的安全物理隔离,为各类威胁进入医院内网设置第一道屏障,同时可根据配置实现相应的安全数据交换。
下一代防火墙:用于对医院内部网络与外部网络通信内容的扫描,过滤来自互联网的攻击,如DOS攻击、Java、JavaScript侵入等,还可用于通过关闭不必要的端口增强安全性,禁止来自非法站点的访问,用以抵御不明通信,除了传统防火墙功能外,下一代防火墙还具备应用识别功能,包括识别普通应用与移动应用中包含的风险,识别应用中的用户信息,并具备主动防御功能。
入侵检测系统IDS:依照相应的安全策略库,监测网络与业务系统的通信情况,对不符合安全策略的可能入侵情况进行告警,并可与防火墙进行联动,阻断攻击事件,抵御主机资源免受来自内部或外部网络的攻击。
划分VLAN划分:用于划分不同科室的用户可访问的信息资源,避免医院内部网络遭受广播风暴,同时可降低工作人员的管理与维护负担。
3.1.3重要信息系统安全
流量监测系统:此处的流量监测系统是针对医院的重要信息系统,一般旁路部署于三层交换机,通过镜像端口进行各个应用系统流量的分流,分别可对其访问流量、访问用户、停留时间等进行全面监测与分析,通过用户自行设置的阀值进行判断,一旦发现异常则告警。
SAN存储系统:对数据存储设备进行集中管理与整合,可实现存储的冗余,并利用数据的权限设置、数据备份、容灾等技术保障数据的安全性。
3.1.4桌面终端安全
防病毒软件:建立可自动下载、统一分发、同步更新、集中管理的防病毒中心,无论是最新病毒,还是流行病毒,无论是基于Windows,还是Linux,一旦发现其入侵到任意系统,便可即刻清除。
终端管理:主要用于对终端使用USB、移动硬盘等外接设备的控制,安装和使用互联网非法软件的控制,访问非法网站的控制等功能,将安全风险降到最低。
软件升级:主要用于进行系统补丁的即时更新与分发,修复全网的安全漏洞。
3.1.5全网安全监测与管理
安全监测平台:通过与其它安全设备的联动,实现对医院内部全网的所有基础设备与安全设备进行全面监测,包括业务的运行情况、性能、配置的分析与预警、风险分析并生成量化报告、将安全运维的流程进行标准化等功能,将单点的安全防范提升为整体的安全把控。
云安全管理平台:一般借助虚拟化平台,将各类安全措施进行集中管理,如数据防丢失(DLP)、安全信息与事件管理(SIEM)与终端保护方案等,用于提供相应的云服务,以虚拟化降低维护成本,同时高效地解决医院内部网络安全问题,例如,通过防病毒厂商与VMware vSphere 5结合实现服务器的安全检测,实时地识别网络通信和阻止虚拟架构的配置更改,可有效停止用户的未授权操作,并在不影响系统正常运行的前提下抵御0day攻击。
3.2 网络安全管理制度
一方面,需要建立套较为完善,且操作性较强的管理制度,如业务系统管理制度、病毒防范制度、安全管理登记制度、日常维护记录查看制度等,对于未遵守相关规章制度的人员有相应的惩罚措施。另一方面,需要制度详尽的应急预案,并成立常年的应急小组,根据事件的严重事件进行适时采用,当发生灾难时尽快恢复,将医院中断时间、故障损失与社会影响降到最低,并形成问题整改的长效机制。此外,需要对医院网络的所有使用人员进行安全意识培训,尤其是对于网络管理人员,需定期对其进行考核,以确认其岗位胜任与否。
4 结束语
网络发展越智能,其伴随而来的安全问题越复杂,医院在进行病患病情分析、诊断、治疗等多个环节都需要借助信息系统,医院网络的正常运转直接影响到其业务与服务的开展,因此医院网络的安全性与医院利益息息相关,需要从技术方面、管理方面,上至领导,下至工作中的每个员工共同来维护其安全性,共同铸造一道牢不可破的安全防线。
参考文献
[1] 管丽莹,黄小蓉.医院计算机网络及信息安全管理[J].现代医院,2006,6(8):144.
[2] 王玮,鲁万鹏,牟鑫.医院信息系统中的安全运行保障[J].中国医疗设备,2008,23(1):63-65.
[3] 雷震甲.网络工程师教程[M].北京:清华大学出版社,2006:320.
[4] 王辉.浅议网络信息安全[J].农业图书情报学刊,2008,20(6):112-115.
[5] 陈克霞,袁耀岚,李平.计算机网络信息安全策略探讨[J].数字石油和化工,2008,4:38-40.
[6] 肖敏.稳定与高速兼顾 安全与管理并重――珠江医院网络改造纪实[J].中国医药导报,2007,4(25):11.
[7] 宋颖杰,于明臻.医院信息系统的网络安全管理与维护[J].中国现代医生,2007,45(17):104.
一、指导思想和总体目标
(一)指导思想。全面贯彻党的十精神,以“创新发展年”为主线,切实把药品安全作为重要的民生工程,以确保公众用药安全为目标,坚持标本兼治、重在治本的原则,通过提高标准、严格准入、强化监管、落实责任,进一步整治和规范药品市场流通秩序,健全药品安全监管机制,提高公众用药安全水平,促进我市医药产业又快又好发展。
(二)总体目标。通过全面整治,强化风险防控,进一步深化信用体系建设和药品安全示范创建,完善应急管理和过期药品回收机制,推进药品电子监管,实施新版《药品经营质量管理规范》,完善药品生产经营质量管理规范和质量标准,强化企业第一责任人意识,进一步规范药品经营行为,促进产业结构调整,保障药品流通环节质量安全。
二、整治范围
辖区内药品经营、使用单位
三、整治重点
(一)开展十一项专项检查,全面规范药品市场流通秩序
1、开展中药饮片专项检查。结合2012年度全市中药饮片抽验发现的常见问题,重点检查中药材、中药饮片的购进渠道、包装标识及仓储条件等状况,严查药品经营企业是否存在分装中药饮片、改换标签行为;是否从非法渠道采购,是否存在手写票据;是否在购进时向企业索取生产、经营许可证件、GMP及GSP证书等相关资质及检验报告书。
2、开展含麻黄碱类复方制剂专项检查。药品经营企业在销售含麻黄碱类复方制剂时,要严格落实含麻黄碱类复方制剂管理规定,要实行处方药和非处方药分类管理,属处方药的要凭处方并按处方剂量销售,非处方药一次销售不得超过2个最小包装。要实行实名销售,并进行专册登记,查验购买者身份证,登记购买者身份证号码、购买人姓名、药品名称、规格、销售数量、生产企业、生产批号等。
3、开展基本药物专项检查。一是加大对流通和使用环节基本药物的监督抽验力度,实行全品种全覆盖监督性抽验。二是实施基本药物目录全品种电子监管,重点推进药品批发、零售连锁企业的网上监控。三是完善基本药物不良反应监测、报告和评价体系,开展配送和使用环节质量监测试点。
4、开展疫苗质量专项检查。重点检查人用狂犬病疫苗、甲型H1N1流感疫苗、麻疹疫苗等预防性生物制品的进货渠道、冷链管理、储存运输和疫苗流向,防止假冒疫苗流向市场,以及冷链管理不规范影响疫苗质量,保障公众疫苗接种安全。
5、开展药品经营许可条件专项检查。严查是否存在长期不经营,营业场所、办公场所、仓库挪作他用;企业主要人员在岗情况;两证过期是否仍在违法经营;是否存在无证经营、挂靠经营、走票、超方式、超范围经营和从非法渠道购进药品等违法行为。
6、开展高风险药械专项检查。一是加强医疗器械使用环节中的六类高风险医疗器械(心脏起捕器、人工心脏瓣膜、血管内支架及导管、一次性使用塑料血袋、动物源医疗器械和同种异体医疗器械)的监管,开展对上述品种的专项检查。二是加强蛋白同化制剂、终止妊娠药品、精麻类药品等重点品种监管。
7、开展违法广告专项检查。加大违法广告监测力度,定期违法广告警示公告,对经营违法广告药品的零售企业列入GSP跟踪检点,并对企业负责人进行约谈;对严重违法的广告药品采取暂停销售等行政强制措施。建立完善多部门联合打击违法药品广告机制,发现违法药品广告及时移送工商行政主管部门,并配合通信管理部门严厉打击利用互联网违法药品信息和销售药品的行为。
8、开展打击制售假药专项行动。加强与有关部门的协调配合,完善打假联动机制,强化行政执法与刑事司法相衔接,保持打击制售假劣药品违法行为的高压态势,重点打击制售假药(器械)窝点、中药材及中药饮片掺杂使假、以次充好和利用互联网、邮寄等方式制售假药违法行为。一经发现,要追根溯源,一查到底,不留后患。
9、开展药品使用专项检查。重点检查基层医疗机构特别是民营医院、个体诊所及社区服务站(卫生室)的药品质量,严查是否存在使用过期失效药品、以祖传秘方或特效药等名义违法配制销售制剂等行为。
10、开展虚假宣传销售药品专项检查。严厉打击利用虚假宣传方式销售药品行为,会同工商、卫生、公安等部门重点查处以免费体验、义诊、讲座、试用、上门看病、参观旅游等形式,以及以包治百病、祖传秘方、专治疑难杂症等虚假宣传销售药品及非药品冒充药品违法行为。
11、定制式义齿专项检查。对全市牙科门诊所(门诊部)开展使用定制式义齿专项检查,重点检查其采购和使用的定制式义齿产品是否从已取得《医疗器械生产企业许可证》和《医疗器械注册证书》的企业购进,产品的结构形式和原材料等是否与注册证书核准内容一致,对发现使用未取得《医疗器械生产企业许可证》和《医疗器械注册证书》义齿产品的单位,将依法严肃惩处。
(二)完善四项机制,全力提升管理效能
1、信用机制。以贯彻实施《市药品经营使用药品安全信用等级分类管理实施方案》为契机,以2012年确定的信用等级分类结果为基础,完善企业信用档案和监督检查档案,分析安全风险隐患,加大风险排查,加强对失信和严重失信企业监督检查力度,全面提升企业安全信用等级。
2、应急机制。一是建立健全应急管理组织,明确分工和责任,积极开展工作。二是进一步完善应急预案,加强应急演练,提高应急人员业务水平,确保发生药品安全突发事件时能够迅速应对,妥善处置。三是大力推进应急预警技术平台建设,提高应急保障能力,形成指挥得当、反应灵敏、协调有序、运转高效的应急处理机制。
3、回收机制。健全过期药品回收网络,完善回收销毁机制,向市民积极宣传过期药品回收政策,在已确定的8家过期失效药品定点回收单位的基础上,增加定点回收单位数量,并加大督查力度,对未按要求进行回收工作的单位取消定点资格,建立“方便有序、统一规范”的回收网络,防止过期药品流入非法渠道。
4、监测机制。完善不良反应监测网络和评价制度,进一步增加监测点,扩大监测覆盖面,不断提高监测水平。对监测中发现的不稳定因素,开展风险分析评价及时做出预测,对可能发生和可以预警的社会性事件及时进行预警,做到“早发现、早报告、早评价、早控制”;建立完善预警信息通报与制度。充分利用各种媒体和手段,及时统一预警信息和药品安全信息,努力构建全覆盖的预警信息网络。
四、工作步骤
集中整治为期7个月(从2013年6月至12月),主要步骤为:
(一)动员准备阶段(2013年6月15日前)。制订印发《全市药品流通市场专项整治行动实施方案》,建立组织机构,明确工作任务,对全市涉药单位开展整治前的动员培训会议,强化行业自律,加强企业第一责任人意识。
(二)集中整治阶段(2013年6月16日至12月15日)。根据方案要求和整治工作重点,加强监督检查,对违法违规企业,依法严肃处理;情节严重的单位,纳入“黑名单”管理,并将检查结果和信用等级评价挂勾,记入企业档案或依法吊销《药品经营许可证》;涉嫌犯罪的,移送公安机关追究刑事责任。
(三)总结验收阶段(2013年12月16日至12月31日)成立专门督导组,对专项整治工作进行验收总结,对仍然存在问题的单位坚决严肃处理,对在检查中利用职权营私舞弊、徇私枉法、吃、拿、卡、要的工作人员将按照相关规定严肃处理。
五、工作要求
(一)依法行政,规范执法。在专项整治行动中,要积极履行法定职责,严格按照法定程序规范执法、公正执法、文明执法,要尊重和保护监管相对人的合法权益,不得以任何理由和形式越权执法,既要避免不作为,又要防止乱作为。要进一步完善法制监督机制,不断提高执法水平。
关键词:社保基金;云审计;风险控制
据人社部官方统计数据显示,截至2016年9月底,我国缴纳基本养老保险、基本医疗保险、失业保险、工伤保险和生育保险的参保人数分别为8.71亿人、6.98亿人、1.78亿人、2.16亿人、1.82亿人,前三季度五项社保基金总收入4.9万亿元,总支出4.3万亿元。可见,依靠传统的审计技术来监督规范如此庞大的社保基金财务数据已无法满足要求,必须革新社保基金审计技术以适应大数据时代的要求(王章礼,余鲁,2016)。新兴的云计算为处理大数据审计需求提供了契机,云计算可实现审计工作在云端的一个系统内集中处理,审计人员无需进行数据的汇总、分析测试,无需关注审计软件的兼容性和使用何种计算机程序,只需将重心放在审计任务即可。可见,借助云计算使得审计作业更加规范化、审计结果更加科学准确、审计工作效率大幅提高,更加契合在大数据背景下有效开展审计业务的先进技术手段(魏祥健,2015)。虽然云审计相比于传统审计技术在数据采集、存储、计算处理和安全方面存在显著的优越性,但系统运作机制的复杂性也导致其背后隐藏的风险和影响远高于传统审计技术。而国内众多学者都将研究的焦点放在云审计系统构建和应用研究方面(张永杰,2015;陈伟,2012;姜梅等,2007),对于云审计应用过程中的风险控制关注甚少。因此本文以社保基金云审计应用为例,对云审计应用过程中的风险控制进行深入探讨,以期为未来审计机关大规模开展云审计有效应对可能发生的风险提供借鉴意义。
一、社保基金云审计应用系统分析
大数据时代下,需要借助先进的技术支持才能对社保基金征缴、支出和管理产生的庞大数据的真实性、完整性和合法性进行有效监督规范,而云计算将是最佳选择,依靠其强大的数据采集、存储和分析功能,审计终端不需要购买服务器、存储器等硬件设备,而是通过网络直接使用云端提供的SaaS、PaaS、IaaS等服务对被审计端开展审计业务,提高审计工作效率的同时还可以有效降低工作成本(详见图1)。具体而言:首先,被审计端需要及时将各地区社保基金征缴数据、支付数据、管理数据和其他文件资料等内容进行汇总采集。尤其关注参保人数及信息完整性、缴费基数和缴费比率、企业缴费情况、是否存在欠缴、不缴或者选择性参保等问题。在原始数据采集过程中被审计单位也要对数据进行备份处理,同时严禁人为删减数据,以保证原始数据的完整性和准确性。并通过云端接口技术,将采集数据按时上传云端,以备审计机关进行检查监督。
其次,云端负责对被审计端上传的原始数据进行加工处理并将处理结果传输给审计终端,这些操作均由云端完成,也称为“云审计”。数据处理流程主要包括:第一,对原始数据进行清理和加工。按照不同类型社保基金的特点和数据存储格式转换成符合审计终端要求的标准数据,再根据预先编制的审计计划重新汇聚,以形成满足审计分析使用的基础表和分析表;第二,对海量数据进行智能分析。借助云端自有的各类审计模型(审计对象模型、审计数据模型、审计疑点模型、审计底稿模型等)对社保基金原始数据、基础表和分析表之间的内在逻辑关系进行自动化和智能化分析,以发现疑点数据、有效数据和无效数据,并实时保存和备份原始数据和分析报告;第三,海量数据存储。被审计端将所有采集的社保基金原始数据上传云端后,云端都将会自动保存并备份,使得原始数据保存有了“双保险”,更有效解决了被审计端对海量数据存储的硬件设备难题。
另外,通过云端存储功能审计人员也可以随时调用查看社保基金原始数据以开展审计作业;第四,对可疑数据自动生成预警报告。“审计云”将根据数据库内容和数据表的自动分析生成的数据结构变更分析报告,预警结果按不同分类提供给审计人员,以便其能够及时把握审计线索,规避审计风险,提高审计效率。可见,“云审计”实现了各类审计信息的数字化,有效促进信息的交流和共享,使得审计资源得到充分利用。
最后,在审计终端审计人员可通过笔记本电脑、PDA、手机等便携式设备直接登陆“云审计”平台即可调用储存在云端的原始数据和审计模型,无需掌握后台技术,直接查看云端自动生成的审计分析结果。借助于“云审计”平台提供的强大数据计算处理能力显著减少了审计终端的数据处理负担,而web浏览器更让审计终端简化成一个单纯的输入输出设备,不需安装、升级和维护软件或硬件设备,审计人员一样可以有效开展审计作业,得出审计结果。
二、社保基金云审计应用风险分析
(一)被审计端风险分析
被审计端作为社保基金原始数据采集源头,应重点关注数据采集的数量和质量,因为前端审计数据采集的完整性、准确性直接影响后续云端的数据分析和审计疑点反馈的针对性和全面性,进而增加了现场审计失败的风险。由于社保基金具有内容广、业务量大、多元化和异构型等特征,易发生参保人数遗漏或信息不完整、参保企业欠缴、不缴或者选择性参保、缴费基数和缴费率不合规等问题,这都会影响前端审计数据采集的完整性和准确性。具体而言,当前社保中心的数据采集都建立在连接外网的基础上,而网络资源的共享性和开放性使得社保中心数据库易遭受病毒、黑客攻击,网络环境的不稳定性加剧了社保基金原始数据采集的难度,难以有效保证数据采集的质量。
此外,社保基金原始数据都以无纸化的电子数据保存在磁介质内,这为无权访问或接触数据的舞弊者删减或修改社保基金数据提供了机会,且电子数据的更改不留痕迹,舞弊行为无处可寻。因此任何非法的访问或接触行为都会影响社保基金数据的完整性和准确性,进而增加了审计失败的风险。尤其是大数据群体对办公设备的配置要求较高,内存不足或系统瘫痪都会使得数据采集失去连续性,而系统区与数据区的混合使用也加剧了系统出错的风险,使得原始数据采集和保存工作面临较大挑战。另外,数据上传过程中也面临传输不完整、上传失败、甚至是数据外泄的风险。尤其是数据传输过程中的访问登陆、加密监控、安全性和稳定性等都依赖于每个基础API内置的安全性。如果云端服务商未能消除接口端API中的不安全因素,亦会增加社保基金数据在传输过程中遭受攻击的风险。
(二)云端风险分析
1.从云端本身来看,其面临的主要风险有:第一,虚拟环境运行安全风险。即作为一种IT技术也会遭受网络病毒、恶意程序、黑客等的攻击,一旦云端遭受“攻击”,产生的危害可能远大于被审计端原始数据采集网络运行威胁产生的危害,因为云端既承担数据保存,也负责数据的加工处理和预警分析,如果云端在数据分析过程遭遇恶意程序,可能会得出无效或错误的分析报告,加重审计负担;第二,内部操作风险。反映了云端后台人员对于被审计端传输过来的数据未进行有效管理致使数据外泄,或内部人员对原始数据进行了修改或删减,影响了原始数据的完整性和准确性。
2.从数据安全角度来看,云端主要面临的风险有:第一,数据存储风险。社保基金数据作为敏感数据,应严格保证数据的保密性、完整性和可控性。但由于云端通过虚拟化技术将被审计端的数据存储在不同服务器上,使其无法准确定位存储数据的位置并提供针对性的保密措施,从而加大了敏感数据外泄或被窃取的风险。另外,数据存储的物理控制和逻辑控制全部由云端服务商控制,被审计端和审计终端缺乏对数据存储的必要控制,一旦云端服务商出现系统故障或遭受“攻击”致使系统瘫痪,如何有效保证存储数据的快速恢复和数据备份安全成为云端不得不面临的难题;第二,数据隔离风险。云端服务商可能为多个用户提供不同等级或特性的数据存储服务,出现了多个用户共享计算环境,特别是在公用云环境下,如果不能对重要数据进行有效隔离,易引发云端在数据管理和分配用户数据时出现混乱,加剧了存储数据的安全隐患。
3.从云审计系统安全来看,云端面临的风险有:第一,访问控制无效风险。在多用户运行环境下,云端服务商通过远程端口访问技术同时向多用户提供不同的数据服务,该种情况下如果云端服务商在用户访问控制和身份识别方面存在漏洞则可能导致非法登陆等问题。因此如何对审计终端和被审计端用户的身份识别进行有效控制成为云端保证审计数据安全的关键屏障;第二,平台共享风险。云端服务商通过提供统一的基础设施服务(IaaS)让多用户共享平台的应用系统和运算资源,而底层组件却未提供强大的隔离措施以保证不同用户间应用程序运行环境和数据处理资源的隔离,易引发不同用户间应用程序的相互干扰,并为非法用户干扰破坏合法用户运行应用系统以窃取、篡改原始数据埋下了隐患;第三,平台传输风险。云端提供的强大数据传输、加工和处理服务都以高速、安全的网络传输平台为基础。尤其针对于社保基金等大数据存取、处理和频繁性信息交换都严重依赖于平台网络宽带传输的负荷能力,一旦平台网络传输超负荷运行将会导致审计终端无法正常开展审计作业,影响作业计划的顺利实施。
(三)审计终端风险分析
1.审计人员方面。社保基金云审计的应用效果取决于审计人员的专业素质和技能,一旦审计人员的专业能力无法匹配社保基金云审计的要求将严重影响审计监督的质量。具体而言,社保基金云审计对审计人员的胜任能力要求很高,不仅体现在审计业务知识方面,还要求其具备丰富的计算机技术并对云端的网络技术和软硬件系统有充分的了解。而在实务中很多审计人员的思维方式和操作方式还停留在传统审计技术层面,再加上缺乏系统的计算机技术和网络知识增加了因个人违规操作而导致的审计失败。如:擅自修改系统设置、数据处理不当等问题。此外,社保基金云审计是审计技术的优化创新,而传统的社保基金法规、准则体系已不能有效指导和规范新环境下社保基金云审计的实践操作及实务中出现的新问题。因此亟需一套标准的审计技术规范体系以供审计人员采用统一的标准对社保基金展开审计监督。而标准技术规范体系的缺乏也在一定程度上加剧了审计人员违规操作的风险,增大了审计失败的隐患。
2.现场审计方面。审计人员通过云端提供的预警分析报告和审计分析报告确定现场审计的重点,但这种“借力”第三方的审计模式致使审计终端在未对被审计端的内部控制有效性进行评估时就依赖于其上传的原始数据进行预警分析,如果被审计端的内部控制存在重大缺陷使其数据采集存在完整性缺失或准确性不够导致云端数据处理与分析报告错误或无效,从而误导了现场审计致使审计程序无效或审计失败。此外,在传统审计技术中审计证据都以纸质形式保存容易获取审计证据,而在云审计模式下财务与业务信息都以电子数据存储在磁介质中,现场审计时审计人员只能通过网络查询获取无纸化审计线索,而一些传统的审计方式无法有效开展(如观察法、盘点法),从而影响了审计证据的适当性和充分性,增加了审计失败的风险。
三、社保基金云审计应用风险控制
(一)被审计端风险控制
1.创建安全的网络运行环境。被审计端网络运行安全直接影响到社保基金原始数据采集的完整性和准确性,因此安全的网络运行环境是社保基金云审计顺利开展的第一道“防火墙”。具体安全措施包括:采用物理隔离技术、搭建完善的安全监控体系等。物理隔离技术是指当社保基金系统网络安全遭受外界网络威胁时,即采用专有的安全协议、加密验证等措施对网络访问请求进行严格的身份认证,并在不同安全级别的网络之间构建隔离模型以有效遏制隐患对系统产生的威胁。而完善的安全监控体系包括防火墙技术、非法入侵技术和病毒防护技术,以有效防止黑客入侵和网络病毒产生的危害(张宏等,2014)。
2.建立系统操作日志和远程访问监控系统。系统操作日志能够记录所有对社保基金系统操作程序,具体包括访问者身份、访问时间、登陆次数和地点及操作事项等。通过完整记录被审计端系统操作日志能够有效识别访问人员的非法操作,为日后现场审计获取审计证据提供了便利。远程访问监控是通过对特定权限的访问人员的身份、访问时间和登陆次数以及操作权限进行实时监控,以保证被审计端访问人员在合理权限内进行合规操作。
3.定期检测并维护基础设施安全。基础设施安全检测和维护具体包括内存设备和系统运行异常清除工作。在内存设备方面可利用虚拟技术并统一管理不同型号存储设备,通过漏洞检测技术、访问控制策略增强内存设备和网络服务器的稳定性,以保证社保基金数据采集系统良好的运行状态。系统运行异常清除是指在系统运行过程中及时清除由于死机、系统不兼容等问题导致的系统异常,以有效释放系统资源、扩充系统运行空间。
4.采用数据专网传输和数据加密控制。数据专网传输控制能够对数据传输全过程进行有效监控,防止数据传输过程出现的泄露和威胁,即通过被审计端楼宇内现有局域网资源,对原始数据进行转化和传输,并在数据转化过程中加入数据加密技术,对普通文本和数据进行编码以产生不可理解的密文步骤,只有通过密码才能解密并获取数据原始格式和文本,即使在上传云端过程出现数据泄露,没有正确的解密密码也无法打开原始数据,该举措也能有效防止云端后台人员对原始数据进行删改,保证数据的完整性和准确性(秦荣生,2014)。
1.构建完善的云端安全防御系统。云端的虚拟化技术面临着黑客恶意攻击、病毒代码篡改数据等隐患。所以针对虚拟环境的安全诉求,云端应构建完善的安全防御系统,至少包含虚拟化安全检测引擎、故障检测、漏洞扫描和风险预警等功能,以对云端虚拟环境由内向外、自下而上进行实时监控和漏洞扫描,并设置异常情况预警以及时排除故障,提高云计算系统的稳定性和可靠性。
2.加强访问控制技术。审计终端和被审计端借力云端实现审计连环作业时,通过统一身份认证以控制用户登录和访问权限,身份认证可采用“双密码”管理,既有固定登陆密码,也要设置动态提醒或特有标识密码(如指纹),即可有效防止非法用户或冒名盗用他人用户名进入云端非法下载或修改数据的风险。
3.采用智能探针与分析提取技术,保证数据安全。智能探针技术可以对被审计端上传数据打上污点标签进行分类管理和存储,还可以持续跟踪任何对打上污点标签数据的操作行为。云端可利用该项技术对被审计端上传的数据进行智能保存并持续监控以保证数据的完整性。另外鉴于云端包含的数据量大但相对价值密度较低,且多用户共享数据可能产生的共享风险,云端可借鉴大数据分析提取技术与智能探针相结合,识别不同数据的使用频率和应用价值,对数据进行职能隔离的同时也可以为审计终端调取、共享数据提供便利(曹洪泽,刘强,2006)。
4.加强设备安全配置管理。系统安全配置管理主要用于检测复杂环境下云端性能问题以提高云平台的实际处理能力。可通过远程Web管理(https协议传输)与命令行方式对设备进行安全管理,当设备遭遇突发事件时可实现自动保存、备份和恢复,同时也可实时监控网络稳定性、网络状态和设备运行状态,并定期生成记录日志以供备查。
(三)审计终端风险控制
1.应加强审计人员的综合培训。为了更好适应社保基金云审计的发展要求,当务之急是加强对审计人员的综合培训,培训内容不仅包括审计业务,还要涵盖计算机和网络技术等方面,增强其计算机实战技能和云审计信息化技术,提高审计人员“借力”云平台的应用能力。将定期的学习培训规划与实务应用相结合,使更多的审计人员成为岗位上的专才和实践中的专家。另外,建立专门的技术攻关与指导小组,为审计人员解决实践应用过程中的技术难题提供技术指导和专家咨询,帮助其更快的适应云审计的发展要求。
2.应实施远程与现场循环审计。云计算为审计终端实施远程审计提供了便利,借助云端提供的数据处理和存储能力有效缓解了被审计端的数据存储和审计终端的数据处理需求,但云端的数据处理与分析报告的准确性仍有待于现场审计的检验。为此实施远程与现场循环审计,通过联机分析与数据查询了解被审计端原始数据采集和上传的内部控制及具体执行情况,以判断云端数据处理结果的可信赖程度并确定审计重点。采用远程审计与现场审计相结合以固化审计经验,并将编程技术与建模思路相融合为审计人员后续开展审计工作提供技术指导(徐贵丽,2014)。
参考文献:
[1]王章礼,余鲁.大数据时代我国社会审计模式创新研究〔J〕.中国注册会计师,2016(11).
[2]魏祥健.云计算环境下的云审计系统设计与风险控制〔J〕.会计之友,2015(01).
[3]张永杰.云计算视域下养老保险基金联网审计系统建构分析〔J〕.审计研究,2015(05).
[4]陈伟,WallySmieliauskas.云计算环境联网审计实现方法探析〔J〕.审计研究,2012(03).
[5]姜梅,吴万春,邢金荣,田德新,孙可君.社会保障基金联网审计的应用研究〔J〕.审计研究,2007(04).
[6]张宏,徐士元,赵芳芳,王志.移动互联网安全审计云〔J〕.信息安全与通信保密,2014(02).
[7]秦荣生.大数据、云计算技术对审计的影响研究〔J〕.审计研究,2014(06).
[8]曹洪泽,刘强.联网审计及其关键技术研究〔J〕.北京理工大学学报,2006(07).
关键词:医院机构;会计管理;风险控制
一、医院会计管理与风险控制的情况概论
医院会计管理工作中的风险可以理解为,医院会计工作者由于缺乏实践管理经验或者专业知识不足,在工作过程中造成了会计管理的效果不明确、财务信息统计、收集与计算疏忽或者错误,会计计算方法不当,会计计算项目有遗漏、偏差等漏洞,会计工作的各项报表信息不准确、数据失真,增加了公司会计管理风险控制的难度,从而阻碍公司经济增长。医院应当看到会计管理与风险控制的重要性,认识到会计管理与风险控制工作对医院的发展规划、经营策略制定的指导作用,避免因为会计管理工作的不到位或者失误,导致会计数据来源不准确、核算方法不当、信息失实;通过加强医院的会计管理工作,降低医院财务会计管理风险,提升医院的整体医疗水准和综合竞争力,确保医院实现稳定、健康发展。
二、医院会计管理与风险控制的必要性分析
1.医院会计管理的信息系统有待完善。受到全球互联网信息技术的发展带动,信息管理作为一项新型管理理念被广泛应用于各行业中,信息管理系统的构建,能够实现医院会计各项收入与支出的自动汇总、数据收集、整理核算,从而提高医院会计管理工作的效率,避免人力资源的浪费,也给会计人员留出充分时间机会提高自身素质,从基础性会计工作中解脱出来,将精力集中在预算核算、成本控制、风险防范等事项上。与其他国家相比,国内医院的会计管理信息系统还存在很多问题,例如系统设计的不合理、功能欠缺,查找不到会计信息、无法实现信息数据授权范围内共享等缺陷,降低了医院会计管理的有效性。
2.医院会计管理的监督控制效力较低。从笔者对国内医院会计管理情况的统计来看,部分医院对会计管理工作的监督控制较差,没有形成健全的会计管理监督系统,会计工作的核算、审计管理不到位,甚至让会计监督仅仅以空壳的形式存在,而没有做出具体实施,提高了医院会计管理的风险性。由于很多医院的会计管理缺乏监督控制机制,放松了对医院会计职员的管理,不利于会计人员规范自身行为,不利于职业素养的培养。
3.医院会计管理人员的专业能力较低。部分医院的会计管理人员聘用、选任、管理机制存在漏洞,导致医院会计人员的专业能力或高或低,会计管理水平不稳定,会计信息数据准确性降低。目前,国内的医院会计管理人员专业能力与之前相比有所提高,医院的聘用机制也在不断改进当中,避免选任非会计专业、非正式的工作人员,提高会计管理人员的整体素质,保证医院会计管理工作的高质量和程序规范。医院中会计管理人员的专业能力较低情况,包括个别会计人员利用职务条件从事违法活动,侵占医院的公有财产,或者私自挪用医院的资产供个人使用;也指会计管理部门之间缺乏协调配合,会计管理职权划分不清。
4.医院会计管理人员的财务管理意识薄弱。部分医院的领导管理者和决策人并不重视会计管理工作,导致医院的会计管理工作中存在诸多问题,资金、人员等物资分配不平衡,各项费用支出监管不严而产生资金浪费的问题,提升了医院会计管理的成本;聘用并不具备会计管理能力的人员,不足注重对会计人员的教育培训,没有组织会计人员参加定期学习,减少了会计人员相互交流、彼此提高的机会。只有帮助医院会计人员树立正确的会计管理理念,才能提高医院会计管理的效率与质量,有效降低医院会计财务管理工作中存在的风险,提高医院的医疗水平,为医院的组织运营、竞争力增长提供保障。
三、医院会计管理与风险控制的优化措施
1.构建医院的会计管理机制。信息技术发展的大背景下,信息技术得到更为广泛的应用,应将其应用到会计管理工作中,构建信息化财务管理系统,以提高财务管理的质量和效率。原有的财务管理系统存在一定的漏洞,若系统出现故障或出现误删的情况,会导致会计信息大量丢失,信息残缺,为会计管理工作带来巨大的风险。面对此类问题,及时对财务信息化系统予以升级,增强财务系统的安全性与抵抗风险的能力,强化对信息化系统的维护与安全管理,增强系统稳定性,是当前的重要工作之一。另外,为了保证信息数据的完整性与安全性,应及时做好备份处理,以应对误删或错删等风险的发生。
2.建立医院的会计管理监督系统。对医院会计管理风险的总体控制仅仅依靠医院内部的管理者是远远不够的,因此,在医院的运营过程当中,应该构建一个完善的会计管理检测系统,让医院的各项资金都在一个透明的情况下出入,使得医院的每一笔资金的流动都能够有一个准确的记载,从而通过严格控制医院资金的流动情况来更好地控制会计管理风险,使得医院的财务能够有一个合理的管理,从而在一定程度上将医院财务管理更加规范化,提高了医院的管理效率,进而提高医院的综合实力。
3.提升医院会计工作人员的专业素养和职业道德。为了提高对医院会计管理风险的控制,首先就是医院要认识到会计管理对医院发展的重要性,从而能够引起医院的足够重视。其次归根结底对医院会计管理风险能够进行合理控制的是医院会计管理的工作人员,那么就应该让他们认识到自己工作的重要性,以及树立合理理财的意识,从而避免医院经费的浪费现象。除此之外,对于会计管理工作人员的甄选要尤为严格与谨慎,保证工作人员的专业素质与专业素养,对于上岗后的会计管理工作者,应该定期地让他们参与会计管理方面的培训,使其不断地充实自身的一些会计管理知识,以不断地提高自身的专业知识与专业素养,从而在一定程度上满足实际工作的需要,以更好地对会计管理风险进行控制,将会计管理风险降低到最小,从而减少一些不必要错误的发生。
4.帮助医院工作人员领悟到会计管理的现实作用。医院中领导队伍、经营决策者的思想意识会影响到会计工作人员的想法。只有领导、决策者清楚理解会计管理工作的现实意义,才能保证医院中具体负责会计工作的人员树立正确的想法观念,提高会计管理工作效率。因此医院管理者应当制定会计人员的人才培养计划,为会计人员提供定期培训、交流经验、分享沟通的机会,以举办知识讲座、参加学习考试、组织培训活动等形式,不断提升医院工作人员的水准。综上所述,为了促进我国医疗制度的优化改革,切实提升各地医院的医疗水平,应当重视并做好医院会计管理工作,避免因为对会计管理工作的疏忽,造成医院会计管理工作存在风险。因此,医院会计人员应当提升个人认识觉悟,参加会计理论学习,提升风险控制能力,为医院经营发展提供制度保障。
作者:孙凤文 单位:大连医科大学附属第一医院
参考文献:
[1]齐冬冬.医院会计管理风险分析及控制策略研究[J].企业改革与管理,2016,10:120.
[2]范军.医院会计管理风险以及控制措施探究[J].中外企业家,2016,14:71-72.
[3]安琪.医院会计管理的风险控制方略谈[J].现代经济信息,2016,02:250.