最新医院信息化建设方案(九) ——统一认证与单点登录系统

2021-01-13 17:43:04 【his_his系统_emr电子病历_医院信息管理系统_养老系统】-行心医疗云 阅读

统一认证与单点登录系统统一身份管理与授权管理。身份管理和授权管理是访问控制的前提,身份管理对用户的身份进行标识与鉴别;授权管理对用户访问资源的权限进行标识与管理。统一身份管理与授权管理系统作为安全管理中心的一部分,部署于安全管理区域。

医院集成信息平台在医院得到应用后,平台上各用户的身份管理必将成为网络信任体系建设中的基础内容。在网络空间中,用户不可能以真实实体的形态存在,只能通过电子化的身份凭证来代表或标识。传统的认证方式就是对一个用户的某个身份凭证进行认证,如用户名/口令。然而在复杂的多应用环境下,简单的凭证定义已不满足跨域访问要求,需要对每个用户构建起以数字身份为核心思想的综合信任机制,将其基本信息与各种特定领域的信息标识进行统一管理,并体现为不同的具体凭证,为各类应用提供基于数字身份的可靠认证和授权控制。作为整个医院信息平台各类实体的数字身份管理支撑,统一数字身份管理将提供统一身份管理、授权管理、审计管理等功能,从而构建以“认证、授权和责任认定”为核心思想的网络信任体系。统一认证授权平台是单点登录、身份认证、权限管理、访问控制、安全审计、数据加密的基础支撑平台。需要采用统一的用户信息管理,集中+分布式信息访问授权,实现高效的用户管理。需要采用高安全性、高可靠性的身份验证机制,使用户在访问医院信息系统过程均实现实时可靠的强身份认证。

1、单点登录

通过单点登录用户不再需要每次输入用户名称和用户密码,也不需要牢记多套不同供应商的系统用户名称和用户密码,从而改善用户使用应用系统的体验。根据不同的使用者可以分为:

1)医务人员:针对医务人员,提供应用的统一入口,医务人员所有的医院应用在该门户上使用。

医院管理人员:针对医院管理人员,提供应用的统一入口,医院管理人员所有的医院应用在该门户上使用。特别是提供统一的管理辅助决策和临床辅助决策应用。

2)信息管理员:针对医院信息管理员,提供统一的用户管理入口,提高效率。

2、身份管理

统一数字身份管理的核心,负责对各类实体信息进行数字身份的定义和标识,管理用户信息、部门信息、角色信息、信息系统、用户与角色关系信息的维护,实现数字身份流程化管理,控制数字身份的整个生命周期,需实现以下功能:

1)应保证用户具有唯一的标识,并采用统一的数据库对用户身份信息进行管理;

2)应采用数字证书+USBKEY的双因素认证方式实现强身份鉴别,并对其进行安全存储与管理;

3)应支持用户能够进行统一的身份鉴别;

4)应支持用户访问权限的统一管理;

3、授权管理

根据对用户的身份认证结果,按照授权管理模型和策略的要求,提供用户授权访问的信息资源,需实现以下功能:

1)依据用户的职权属性和系统信息的安全属性,制定授权策略;

2)按照用户身份信息,基于授权策略建立自主访问控制列表;

3)授权管理。按照分域控制、分类防护要求,按部门、按人员的职责确定其所访问的范围

4)应支持部门进行分层次授权,避免集中授权复杂性,提高授权的准确性

5)提供与应用系统模块信息的同步接口;提供与授权信息的同步接口;提供授权信息的在线查询接口。

4、安全审计

实现对用户所有登录认证操作及授权访问行为的全面记录和监控,确保所有操作处于可控和可审计状态,需实现以下功能:

1)基本的行为审计记录功能,支持访问医院信息平台各类行为的安全审计;

2)基于网络数据流的安全审计;支持审计自动转储和审计在线查询;

3)具备对医院信息平台内部数据访问行为的安全审计;

4)支持授权用户通过审计查阅工具进行审计数据的查询,审计数据应易于理解;

5)具备审计日志数据的完整性保护;

6)可实现各种安全设备审计数据的集中管理。

5、统一身份认证授权实现方法

身份和访问管理是用来管理数字化身份并控制身份如何访问资源的方法、技术和策略。身份和访问管理包括两部分内容:身份管理和访问管理。身份管理需要实现用户账号申请、审批、变更及撤销工作流的创建,从整体角度设置信息系统资源,并尽量通过自动化流程降低成本。可借助集成化的单点登录和个性化的企业门户实现自助服务(例如密码重置等)。访问管理指的是为了满足资源请求而进行控制和授权允许访问的过程。这一过程经常通过一个认证、授权及审计动作次序来完成。鉴定是身份声明获得证明的过程。授权是决定是否允许一个身份执行某一动作或访问某一资源。审计是记录的过程,用来记录已发生的权限安全事件。卫生部颁发的《卫生系统电子认证服务管理办法》(试行)中指出:“凡涉及国家安全、社会稳定、公众利益的各类重要卫生信息系统,应当按照国家法律法规、信息安全等级保护制度等要求,采用电子认证服务,解决身份认证、授权管理、责任认定等安全问题”,医院信息平台中的电子病历等信息系统涉及到患者的基本信息、病情病理等敏感信息,应使用数字证书来实现医护人员的强身份认证。医院的医生、护士以及技师等医护人员通过数字证书登录信息系统,进行授权下的医疗业务应用操作,处理完成后的数据通过数字签名/验证服务器进行数字签名,并基于安全信道提交数据中心。为实现上述业务流程,可通过基于数字证书的统一认证管理系统、PK中间件以及数字签名/验证服务器等实现,利用统一身份认证管理系统实现统一的安全身份认证和统一的授权管理;PKI中间件支撑数字证书的基本应用;数字签名/验证服务器为信息平台应用中的数据提供完整性保障,实现应用操作过程中的抗抵赖功能,确保信息平台应用中关键业务操作的安全性。

当用户第一次访问应用系统1的时候,因为还没有登录,会被引导到认证系统中进行登录

1)根据用户提供的登录信息,认证系统进行身份效验,如果通过效验,应该返回给用户一个认证的凭据--ticket

2)用户再访问别的应用的时候

3)就会将这个ticket带上,作为自己认证的凭据,应用系统接受到请求之后会把ticket送到认证系统进行校验,检查ticket的合法性

4)如果通过校验,用户就可以在不用再次登录的情况下访问应用系统2和应用系统3了。