關鍵字:醫療設備
但隨著醫院所需的設備日漸增加,以及其中的電路設計日趨復雜,要管理這些設備,為其提供防護,以及確保它們之間可以互連互通,實在并不容易。照目前發展看,在網上鋌而走險的黑客只會越來越多,他們不一定是財迷心竅的犯罪集團,很多人只因默默無聞,以致不惜犯險,但求一舉成名。由于黑客利用先進技術非法襲擊網絡的案件大幅飆升,因此網絡受襲的風險也不斷上升。此外,各地政府為確保醫療系統安全,紛紛頒布新的信息系統安全法和個人資料保護 法,并增強這方面的執法,犯案者一旦定罪,懲罰相當嚴厲。
英特爾(Intel)、賽門鐵克(Symantec)和艾默生網絡能源(Emerson Network Power)因這個發展攜手合作,提出“連線醫院”這個構思。“連線醫院”不是一個只停留在理論上的概念,而是一個切實可行的方案,其優點是可為醫療機構的計算系統提供一個統一的管理平臺,以便支持先進的遠程管理功能和增強系統的安全。這個可行方案的核心是 Metro* medDISPENSE* 自動配藥系統(Automated Medication Dispensing System),其特點是采用艾默生網絡能源的 MITX-CORE-820 平臺。本文主要介紹這個可行方案所采用的新技術,并詳細討論醫院的信息技術部門應如何充分利用這些新技術提高醫療設備的管理效率以及更有效確保病歷紀錄的安全。
連線醫院
連線醫院利用電子方式儲存所有病歷紀錄,這是連線醫院賴以提供優良服務的基石。全賴這套電子病歷紀錄(EMR)系統,醫護人員可以輕易分享信息。連線醫院的所有資料都儲存在龐大的數據庫內,沒有一張張的繪圖紙。電子病歷紀錄的好處是可以提高醫護人員的服務水平,讓病人可以享受更好的醫療服務,病人健康也得到更大的保障。圖1顯示“連線醫院”的概念圖,以圖中的醫院為例,醫護人員可以通過醫院的網絡系統迅速取得相關病人的病歷資料。整個系統的保安非常嚴密,醫護人員分享有關資料時也不用擔心資料外泄。
圖1:“連線醫院”概念圖
連線醫院可以簡化整個診斷過程,讓病人獲得更好的護理,而且醫院的網絡系統可以提高醫生、護士和行政人員的工作效率,有助于改善醫療服務。以醫護人員為例,他們若有急切需要,可以隨時隨地通過醫院網絡取得病人的病歷紀錄。此外,醫院的行政人員也可通過系統靈活調配人手和簡化工作流程,以便提高工作效率,減少配藥過程出現錯誤,以及降低運營成本。
信息技術的潛在問題
隨著數字信息技術越趨精密,資料的保密和不同設備的管理便成為備受關注的問題。醫院信息技術部門的首要工作是要建立一個可以共同使用的架構平臺,將許多不同的軟硬件聯系一起,有關的軟硬件系統包括數據存儲系統、有線和無線通信系統、采用多重保密設計的防毒系統、以及可支持配置和載入修補程序與更新版軟件的設備管理系統等。與醫院網絡連通的每一設備都必須有嚴密的防毒裝置,確保軟硬件不會遭受病毒和駭客入侵。但問題是不同的設備各有不同的軟件平臺,要建立一個統一的平臺架構以便統一管理不同設備和確保系統安全便十分困難。
由于醫院不斷添購新設備,輔助醫療和信息技術部門的工作人員每日面對的工作也不斷增加。有關的工作包括管理存貨、配置系統、載入修補程序、執行防護功能、以及提供保修和維護服務。圖表1列出醫療設備工程師和信息技術工程師面對的問題以及這些問題對醫院日常運營所產生的影響。
圖表1:醫院信息技術部門的員工面對的問題
統一管理的設計
為了解決上述各種信息技術和醫療設備管理的問題,英特爾(Intel)、賽門鐵克(Symantec)和艾默生網絡能源(Emerson Network Power)合作研發新技術,讓醫院方面可以利用更有效率的方式管理不同的醫療設備,以及為其提供更完善的保護。這幾家公司終于成功構思“連線醫院”這個實際可行的方案,其優點是可以通過遠程管理功能和先進的防毒軟件,節省信息技術人員的管理時間。這個可行方案可讓管理人員通過一個控制臺執行設備管理功能和防毒軟件,以便管理醫療和診斷設備,所采用的工具和方法大致上與基于英特爾(Intel?)架構的服務器、臺式機和便攜式計算機相同。
連線醫院方案的系統配置主要包括:
* 艾默生網絡能源的 MITX-CORE-820 計算平臺
* 賽門鐵克的 Altiris 7.0 版用戶端管理軟件套件(Client Management Suite 7.0)
* 通過賽門鐵克的控制臺執行英特爾主動管理技術(Intel? AMT)的功能
這個方案的優點是管理人員可以通過中央控制方式統一管理網絡上的用戶和設備,而且無論用戶和設備所在何處和距離有多遠,管理人員都可貫徹執行軟件政策(包括確保系統安全),以及進行遠程診斷和修復故障的軟硬件。藥物管理系統生產商 Metro* 已在其配藥系統中將這些功能集成。
medDISPENSE* 自動配藥系統
醫院的病人只要有需要,無論是日間還是晚上護士都要聯系配藥部門為病人配藥,即使配藥的職員已全部下班也要確保藥物供應如常,病人能按時服藥。Metro* 的 medDISPENSE* 是一套每日24小時不停運作的配藥系統,可以隨時為病人配藥。此外,系統的運作也受到嚴密的保護,確保未獲授權的人士無法擅自取得有關的藥物。由于這個系統可以全面支持大部分的應用軟件,因此配藥后可以立即編列藥物賬單,這樣有助于簡化工作流程,以及確保墊支費用必定會獲得償還。medDISPENSE系統采用英特爾主動管理技術(Intel? AMT)搭配賽門鐵克的 Altiris? 用戶端管理軟件套件(Client Management Suite),確保醫院的信息技術工程人員無論在醫院內的任何地方都可通過無線方式管理系統。
圖2:medDISPENSE* 自動配藥系統
medDISPENSE* 系統以無線方式連接局域網,讓連線醫院的醫護人員可以共同享用病人的病歷資料。例如,護士可以清楚了解病人曾經服食哪些藥物,病人對藥物是否過敏,這方面的最新資料都有助于減少出現意外事故的可能性。由于這套系統會自動管理庫存和開列賬單,令醫院的運作效率可以進一步提高,而且藥物輸送采用閉環方式,因此可以減少浪費以及節省時間,令成本開支得以大幅降低。
醫療設備的計算平臺
艾默生網絡能源的 MITX-CORE-820 是一款采用 Mini-ITX 格式的主板,其中裝載了英特爾(Intel)最新推出的第二代 Core i7 處理器。無論是性能還是功耗,裝載了這款英特爾處理器的 MITX-CORE-820 主板都優于目前裝載了 Intel? Core2 Duo 處理器或第一代 Intel Core i7 處理器的 Mini-ITX 主板。這個嵌入式計算平臺不但性能卓越,而且功能齊備,系統集成商可以充分利用這兩個優點開發各種新一代的醫療設備。
這款主板裝載了最新的圖形處理器,其圖形處理能力比上一代的處理器高達三倍。由于這些最新的技術可大幅提高系統性能,因此這款主板不但能夠支持兩個獨立的顯示器,而且還可通過內置的VGA/LVDS和HDMI接口支持多種不同的顯示器,令這款主板適用于如圖3所示的各種醫療設備。艾默生網絡能源這款主板不但穩定可靠,而且壽命極長,是整個系統的“大腦”,其性能之強勁足以支持多核計算系統,確保有關的醫療設備可以執行許多復雜而又不能缺少的防毒軟件。
圖3:適用于醫療設備的 MITX-CORE-820 主板
艾默生網絡能源的 Mini-ITX 平臺裝載了英特爾(Intel)的第二代VPRO 處理器,而這款英特爾處理器采用主動管理技術(Intel AMT)、可信賴執行技術(Intel TXT)和虛擬化技術(Intel VT)。英特爾的主動管理技術可以支持遠程診斷功能,因此即使電路板處于休眠狀態,其操作系統沒有任何響應,有關的硬件(例如硬盤驅動器)發生故障,或軟件代理程序已遺失,管理人員仍可通過遠程診斷功能保護、修復和管理電路板。醫療設備只要采用 MITX-CORE-820 主板,信息技術工程人員便可利用這個遠程診斷功能,無需親往現場也可更新軟件,讓系統的保修成本可以大幅降低。這個遠程存取功能是個前所未有的新功能,再加上英特爾(Intel)第二代 Core? i7 處理器配備可信賴執行技術(Intel? TXT)和虛擬化技術(Intel VT),兩者搭配一起可為平臺提供嚴密的保護,以免連線的醫療設備遭受病毒或駭客入侵。這些功能還可為系統增值,例如讓系統可以另外建立多臺虛擬機器,以保護在醫療設備之內運行的重要應用程序。這些功能還有其他的優點,例如其中的病毒防護技術(Execute Disable Bit)可以防止病毒利用緩沖區溢出攻擊連線設備,而可信賴執行技術(TXT)則可保護虛擬系統免受工具套件入侵和防范其他攻擊。
英特爾的主動管理技術(Intel AMT)有何獨特之處?
只有少部分的英特爾(Intel)處理器和芯片組采用該公司的主動管理技術(Intel AMT),確保系統可以支持遠程檢測和修復功能,以及為計算系統提供嚴密的保護。這種技術的獨特之處是即使以有線或無線方式連線的計算系統無法執行正常功能,也能確保連線穩定,讓軟件供應商如賽門鐵克(Symantec)可以繼續執行遠程管理和庫存管理的功能,以便提高管理效率。
遠程管理控制臺一般采用稱為帶內(in-band)鏈接的標準網絡連系方式與個別設備建立聯系。這種連系方式的缺點是有關設備所采用的大部分軟硬件如操作系統、硬盤驅動器、處理器和網絡驅動器都必須處于正常操作的狀態。相比之下,英特爾的主動管理技術(AMT)多加一條稱為帶外鏈接的全新通信通道,這條通道在計算系統之外獨立運作,確保管理員可與發生故障的系統建立聯系,甚至重新控制有關系統。
英特爾主動管理技術(AMT)的獨特功能?
* 具備遠程搜尋功能,可以重新尋回已失去聯系的醫療設備(無論設備處于什么操作狀態):英特爾的主動管理技術(AMT)將不同硬件設備的資料全部儲存于閃存內,因此即使有關設備已關機,管理員仍可隨時讀取有關硬件設備的資料。
* 遠程修復醫療設備:英特爾的主動管理技術(AMT)可讓管理員通過控制臺實時診斷、控制和修復故障的應用程序、操作系統或硬件。
* 可在遠程范圍外為醫療設備提供保護:可以遠程更新系統軟件和防病毒軟件,包括提供最新的修補程序和病毒定義檔。
* 醫療設備必須已連線。
醫療設備的防護問題
雖然一般來說醫療設備并非駭客的主要攻擊目標,但與傳統的信息系統一樣,這方面的威脅一直存在。例如,醫療設備若遭惡意程序攻擊,便可能會蒙受“間接的損害”,甚至會因為防護不足,讓病毒長驅直入,攻陷整個系統。醫療機構必須增強系統防護,否則網上的犯罪分子會乘虛而入,攻陷個別醫療設備,然后進一步破壞整個醫療系統,令病人無法獲得應有的護理服務。
據說曾有一種復雜難纏的Conficker電腦病毒成功入侵全球幾十間醫院的設備,情況如此嚴重有點令人難以置信。病人的病歷紀錄可能會通過受襲的設備泄漏出去,入侵的病毒也可能會令醫院的儀器出錯,嚴重影響醫院的護理服務。
要為醫療設備提供全方位的防護并不容易,其中一個原因是較難更新其中的防毒系統以提高其防護能力。以美國的醫院為例,信息技術部門的工程師必須在設備廠商的協助下才可修訂防毒軟件,因為根據美國食品及藥物管理局(FDA)的規定,要修訂醫療設備的系統配置必須先取得有關廠商的同意,而且有關修訂必須在廠商的協助下進行。此外,醫療設備的生命周期通常都較長,因此其中采用的都是多年以前的防毒技術,無法防范采用先進破解技術的新一代駭客。
要確保系統安全便必須保存一份有關所有設備的庫存記錄,讓系統可以隨時跟蹤每一件設備、每一套軟件和每一個廠商的最新情況,這是防毒系統要克服的另一個大問題。單單知道網絡上有哪些設備并不足夠,信息技術部門的工程師必須將有關設備所運行的軟件一一記錄下來,例如采用哪些應用程序和操作系統,以至版本和配置都要清楚記錄下來。系統若有任何潛在問題,信息技術工程師都可輕易檢測出來,并在廠商的支持下堵塞有關的漏洞,或改用更完善的網絡架構以減低駭客入侵的風險。
利用管理套件為醫療設備提供更可靠的防護
醫療機構只要采用賽門鐵克(Symantec)的 Altiris? 用戶端管理套件,信息技術部門的工程師便可清楚知道醫院的內聯網有哪些連線設備,以及每一設備的所在位置及其操作模式。部署整個網絡系統以及隨后的管理、防護和故障排除工作都很費時,而且部分工序要重復多次才可完成。采用賽門鐵克(Symantec)這套管理套件便可將這些工序自動化,有助于節省人手和成本。
這套管理套件的故障報告功能不但可以找出系統架構的潛在問題,而且還會提出解決方案,讓信息技術人員可以盡速采取行動解決有關問題。圖4顯示這套管理套件的部分功能。
圖4:賽門鐵克(Symantec)的 Altiris 用戶端管理套件
智慧型的軟件和修補程序管理套件
Altiris用戶端管理套件可支持所有基本功能,其中包括軟件檢測、分析、分配和監控。有關的工程人員只要利用這套工具,便可輕易根據醫院的部署策略和目標為按照正確程序配置的醫療設備更新其中的程序。即使系統無法自動為設備作部署,也必須具備檢測系統資產及其配置的功能,因為這樣才可確保人手管理不會出錯。此外,由于可以充分利用英特爾的主動管理技術(AMT),因此無論工程人員身處何地,都可按照連線醫院可行方案所列的設備逐一加以檢測,一旦發現故障,便可進行遠程維護,令維護工作有較大的靈活性,而且不會影響用戶的日常工作。正因為英特爾的主動管理技術(AMT)具有這種遠程修復功能,所以信息技術工程師無需親赴現場也可迅速為用戶解決問題。
采用英特爾(Intel)主動管理技術(AMT)的賽門鐵克(Symantec)控制臺
正如圖5的畫面所顯示,連線醫院可行方案的軟件集兩大功能于一身,亦即可支持遠程設備管理的同時,也可為系統提供嚴密的保護,讓信息技術部門的工程師只需通過一個圖形用戶接口(GUI)便可管理醫療設備。此外,即使醫療設備發生故障或沒有電源供應,工程師也可利用英特爾的主動管理技術(AMT)與有問題的醫療設備取得聯系,確保設備能執行正常功能,這樣也有助于提高設備的使用率。以駭客入侵設備的事件為例,即使設備無法作出回應,英特爾的主動管理技術(AMT)也可利用網絡的另一硬盤驅動器重新啟動系統,然后重新載入軟件、操作系統和驅動程序。
圖5:Altiris*管理系統控制臺采用英特爾的主動管理技術(AMT)
部署、管理和保護醫療設備
雖然連線醫院的工作效率和護理服務都較好,但由于醫療設備不斷增加,要將全部設備集成和統一管理極為困難,因此信息系統備受很大的壓力。醫院方面現在只要通過先進的管理系統控制臺,便可統一管理和保護所有設備,而且這樣還可節省成本,以及為整個醫療系統架構提供更嚴密的保護。這個連線醫院可行方案是英特爾、賽門鐵克(Symantec)和艾默生網絡能源的合作成果,只有這個方案才可充分發揮以上的所有優點。
只要將連線醫院可行方案與medDISPENSE自動配藥系統搭配一起,醫院的配藥系統便可充分利用這個方案的先進技術,其中包括由賽門鐵克(Symantec)成功研發并獲英特爾AMT技術支持的遠程管理和防毒技術,讓系統的防護和管理可以緊密配合一起,而院方由部署醫療設備至落實其管理和防護工作都可通過統一管理減省大量人手和開支。