每日归档： 2024年2月22日

去年中旬的一天，我们科务会集体学习了部门草拟的两个文件，一个是数据权限管理，一个是应急预案管理。

文件概述

应急预案的文件，主要是讲医院可能涉及的安全事件，根据影响进行分级，启用相应的应急预案，并规范应急预案的具体内容和责任部门。

权限管理的文件，讲的是医院包含哪些主要业务系统，系统各自具有什么权限，具体哪个部门负责管理这些权限，什么情况下异动，如何实现统一管理。

领导看完权限管理的全文后，提了一个很现实的问题：医院现有系统这么多，是否有一个系统能统一管理所有用户的权限？

现状分析

确实，由于历史原因，我们单位业务系统众多，HIS、EMR、LIS、PACS，C财务、人事等等。

大部分系统都是由不同公司的不同团队独立开发的，账号和权限都是分开管理的，这是典型的烟囱式开发。

以前人员相对固定、系统相对较少的时候还没啥问题。当一个员工拥有超过2个以上的系统功能时候，事情就变得复杂了。

一是用户体验感不好。当员工拥有系统1和系统2的权限时，管理人员需要到对应系统去创建账户和分配权限，多个系统就要多次配置账号和权限。使用的用户也需要记住多个系统的账号和密码；

二是管理和维护困难。每新购一个系统就有一套账号权限体系，涉及人员同步和权限授权。没有一个地方知道一个员工拥有哪些系统的哪些权限（如领导问的问题一般），人员异动的时候会麻烦且容易遗漏；

三是不利于进行数据收集与分析。由于各个系统账号是独立存储的，不利于后续收集这些用户的使用数据，更别提对数据进行统计处理和分析了。

权限管理模型

因此，若有一个能对全院用户的系统、功能及数据的授权和收回的系统，基本能解决上面提到的几个问题。

我调研了一下现有多系统权限管理的实现方式。业内一般采用功能权限和数据权限两种方式。

数据权限是更细粒度的控制，强依赖客户组织架构和具体业务的关系，实现起来会比较复杂。

而功能权限比较常见，有很多的通用框架和设计。有ACL、RBAC、ABAC几种模型。

如何落地

那针对我们单位现状，如何实现用户权限的集中授权和收回管理呢？

最理想的情况，应该是有一套单独的权限系统或者数据中台，能管理注册所有系统并提供鉴权服务，有一个key负责统一管理。但这需要对已有系统进行确权的改造以及对规范新系统的接入流程。考虑到成本和投入，实施难度较大。

退一步的方式，就是能有一个平台记录全院所有已上线的系统，通过这个系统记录每个人在各系统具有的权限内容，有一个界面提供查询和管理。但是如果业务系统的授权修改了，平台却没有同步的话，还是会导致数据的滞后。但是至少比没有系统记录还是要好很多。

最简单的方式，是摸底统计每个员工开通了哪些系统，拥有哪些功能权限。这个方式只是一次应付检查，不推荐。

目前我们的集成平台已经实现了主要业务系统的注册管理和单点登录，至于权限管理，也覆盖了一些同品牌厂商的系统，其他系统的覆盖，需要做一定的升级和业务系统改造。

写在最后

随着业务的发展、技术的进步和管理的加强，现在医院的信息化管理面临不小的挑战。

牵涉到患者体验、医疗质量、成本效益、精细化管理等多个维度。

在有限的资源投入下，逼迫管理者一方面探索优化现有架构和尝试引进新技术，一方面又不得不集中精力解决当前面临的主要问题。

有些重要非紧急事情就慢慢搁置，直到某一天冒头或被重新提起。

有时技术方案的优劣反而不是最主要的了，短平快地解决当前的问题就好了。

至于以后有没有什么问题，以后自会有人想办法解决。

扯远了。大家有好的技术解决方案，欢迎和我一起交流啊。