医护培训管理电子教务安全设置的建立

彭鳒侨,邹新业,吴智超,陈梁华,刘燕琴

(广州医科大学附属第一医院,广东广州 510120)

·医院管理·

医护培训管理电子教务安全设置的建立

彭鳒侨,邹新业,吴智超,陈梁华,刘燕琴

(广州医科大学附属第一医院,广东广州 510120)

目的建立医护培训管理电子教务安全设置,以保障医护培训管理的顺利实施。方法在硬件齐全的基础上,以Java驱动Servlets传递信息,由JDBC搭桥连接可供检索的Oracle数据库,在localhost:8080的Web界面上尝试单机运行安全操纵。结果按照明细、计划、设计、实现、测试、维护等步骤,在保证功能实现的前提下初步建立合理化的安全引擎,该系统引入了登录许可、权限分配、资料保护、安全保险等安全设置,实现了人事培训科对海外培训数据的高度掌控。结论安全设置的建立,有效保证了对系统的维护,保障了培训管理的顺利实施。

在职培训;医院管理;电子教务;安全管理

目前,医院网络化、作业无纸化等电子医务已经普及到二级甲等以上医院,骨科个性化、外科智能化等数码医务已经普及到三级甲等医院。而医院数据化的决策应用软体少见,随着医院科室、医护员工的迅速增多,如何摆脱传统的人力管理方式是摆在医护部门领导桌面上的难题。本课题旨在探讨符合本院实际情况的培训管理机制,以培训管理为目标构筑电子教务框架,采用层次化、模块化的布局,在保持功能实现的前提下构筑合理化的检索、申报、选拔、数据、安全等5大模块,将其统称为“医护培训管理系统”(简称AAMT)。本文侧重体现的是其中的第5模块——医护培训管理信息化的电子教务安全设置,其实际功用为医护培训系统安全设置(简称SSMT)。

1 材料与方法

1.1 材料

500 G硬盘、4 GHz Dual Core主机2台,Pentium 41.2 GHz/256 MB,Geforce2显卡。手提电脑1台,250 G移动硬盘2只,32 G移动软盘2只及服务器、交换机、并口卡、路由器等相关配件。

1.2 软件设备

Windows XP/Vista驱动计算机工作站,Oracle数据库及PACS/HIS/RIS配套软体。

1.3 组织架构

Serverlet[1]辅加JDBC成为获取Database的支点,这3种部件被选择为架设本系统的核心载体(图1)。

1.4 布局设计

AAMT的设计沿着以下5大专栏展开,目的在于构筑一个完整的培训管理体系。①检索栏目:收集海外名校、名医院、名学科的进修岗位,以及公私合营资助求贤的企业,网上公布以供客户通过输入关键词点击检索。②申报栏目:用户以邮政编码和地址注册用户名,登录系统。输入个人资料,网上申报进修岗位。数据录入供人事培训科读取。网上设置岗前培训、考核、进修评语反馈及回国成果检测等模块。③选拔栏目:系统预设评分标准,根据用户输入的客观履历(学历高低、业绩优劣、外语水平、婚育状况、基层考核)进行打分,通过自动混算反弹出侯选人的量化素质和综合排名,然后网上公示出线职员名单以实现公开选拔。④数据栏目:设立数据库,性能包括创建数表、观察数表、插入数据、选择数据、更新数据及删除数据,供人事培训科掌控。⑤安全栏目:管理者用来定义登录许可、获取许可、安全级别、安全保险,控制敏感数据源,描述系统接口号码和IP地址等。

1.5 开发步骤

SSMT的开发步骤包括7个相。明细:明确用户的要求和可能的结果。计划:预测遇到的实际问题,规划整个项目。设计:根据自身方便以重新设计Java。实现:编程写码,逐一实现每项指标。测试:测试系统并修改项目。维护:用于维护、更新系统。退出:系统将开始投入使用。

2 结 果

2.1 编码实施

依照以上的设想、方法和布局要求,我们拟定AAMT的开发所调用到的工具包包括:import javax.servlet.∗、import javax.servlet.http.∗、import HTML.∗;import java.io.∗、import java.util.∗、import java.sql.∗等[2]。基本框架如下述代码: public class SelectCustomerPost1 extends HttpS-ervlet{public void doGet(HttpServlet Request request,HttpServletResponse response){doPost(request,response);}}。这样,doGet(…)和doPost (…)这两个动作为整个页面的传递铺好了路,等候连串数据通过如下过程导入:对于已有的列举名单,可以使用public Enumeration Servlet Request.get-Parameter Names()[3]这个函数来递归,它为无字符串的要求回送参数;当请求单值时,可以用这一函数来回馈含明细参数值的string:public String ServletRequest.getParameter(String name)。如果strings在参数为复合数值时,回馈一个基于get Parameter(String name)的数组strings:public String Servlet Request.getParameter Values(String name)。如果从用户中选取数据(比如字符串cust_ string),则通过Request.get Parameter(name)来完成:String cust_string＝request.getParameter (“cust_string”)。

Java数据库的连接由名叫“sun.jdbc.odbc.Jdbc Odbc Driver”的载体来调用JDBC-ODBC这一“桥梁”来完成,具体由一个固定的Driver Manager.get-Connection()被传呼来回馈一个接口给数据库: public static synchronized Connection getConnect (String url,String user,String password)throws SQLException,这样便可以开始执行Create SQL Statement的命令Statement statement＝con.createStatement()。如果想从服务器中检索多个参数来获得诸如“Customer ID”,“Customer Name”,“Customer Address”此类的表格,则以Result.getString (name)来实现。当循环属于JDBC[4]的时候,它可在以执行SQL命令的“while loop Function”Result.next()[5]中连续获取:String sql＝“＜Query＞”; ResultSet rs＝statement.executeQuery(sql);While (rs.next()){System.err.println(rs.getInt(“column name1”));System.err.println(rs.get Float(“column name2”));}[6]。

AAMT发送、储存、更新信息(如Insert Order1.java等)通过这类动作来扳动:＜FORM action＝http://localhost:8080/servlet/Insert Order Post 1 method＝post＞,在全院局域网的终端机器上使用之前,通过FireFox或IE等浏览器操作,可先行在http://localhost:8080或localhost:9090的Web界面上尝试单机运行。敏感资料一旦在互联网上运载,就有被非法获取、改变或破坏的危险,安全是必不可少的措施。这里,SSMT设置的安全系统可供管理者(Administrator)用来保护敏感数据、描述系统接口号码、显示器服务器的规则等。

2.2 安全设置

2.2.1 登录许可 安全设置的第一个路径是分派登录许可给适当的人选,因为它由用户权限来执行,所以安全性比较低。我们在SSMT的JDK中选择sun.misc.BASE64Decoder类集,Servlet输送www授权或SC_UNAUTHORIZED到达用户的权限范围,这样,行政总管、网路总管用户名和密码就被派入“allowed”(允许登录),但是普通职员只被分派给“denied”(拒绝登录)。

2.2.2 权限分派 允许适当的网管登录后,在这一模块中第二道安全闸门是基于用户权限格式的设置,令获取程序码源权限的程度有所不同:低安全值的信息可供普通网管获取;高度的敏感数据仅可被高层总管获取。对于一些没有被保护的文档,也可分配不同级别(仅发送、仅接收、既发送又接收等)的属性。在Java Web服务器上＜server_root＞:＜port NO.＞的网管点选“default Realm”再点选“Se-curity”和“users”,输入户名和密码后,点击“Add”按钮可加入新的用户,点选“Radio box”和“Check box”话框分派许可品种和获取级别。重复上述进程,就可以分派更多的用户。

2.2.3 资料保护 继续选择获取控制栏目,以“Basic authentication”来保护低安全的信息资料,用defaul ACL点击“OK”来选择servlet文档。如果所期待的资源不在scrollbar栏目内,就在服务器显示屏上选择“servlet”来下载。

2.2.4 安全保险 各种安全属性都由java.security的类集进行设置,这样,在Server Administration Tool设置了登录许可之后,只有网管才能作出以下改变。①设置默认保险单为:security.provider.1＝ sun.security.provider.Sun[7]。②设置系统范围的安全保险。③设置门户保险:policy.url.1＝file:＄{java.home}/.java.policy[8]。这就保证了除管理者外其他人无法更改IP和接口号码,在file:///C |/jdk2.1/masma/default.cfg路径上的默认描绘文档default.cfg设置为:server.port＝8080 server.docbase＝webpages server.tempdir＝tmpserver.hostname＝server.inet＝结果,AAMT这一整体系统以及建立在其基础上的安全设置顺利通过了序列测试(图2)、IBM测试(图3)和循环测试(图4),从而使整个系统得到维护(图5)。与SSMT连接的其他检索、申报、选拔、安全等4个栏目系统除有自身的性能外,还可以相互交通,从而满足了培训管理的需要。

图1 组织架构 图2 序列测试 图3 IBM测试 图4 循环测试 图5 系统维护

3 讨 论

3.1 对于电子教务的评议

卫生专业包含医护、医技、医工等知识层面。目前,大量的高、精、尖仪器运用到临床,临床医生过分地依赖现代设备,忽视了临床经验的积累及临床能力的提高,不仅造成简单疾病的诊疗复杂化,而且增加了病人的负担。如果实践技能未能与“器”俱进,诊疗设备就不可能物尽其用;另外,全球每年的外文专著、医技成果以几何级数增长,如果理论知识未能与时俱进,医护员工就不可能人尽其才。这些迫切需求需要在进修、培训等继续教育中获得满足。培训部对于国内培训学员的进修情况和成果进展的了解相对翔尽,若有错误也可及时纠正,再加上国内培训耗费相对便宜,系统化管理显得没那么迫切。而海外培训机会本来就难得,加上学费、机票、食宿昂贵,如因派出人选不当而影响到进修的质和量,对医院、对个人来说是一种物质和智力资源的浪费。所以,培训部必须建立完整的信息化数据资料体系以供借鉴,这样继续教育才能有效实施。电子教务,就是教务信息化,它通过资源共享来服务于培训、进修管理。现时的医院网络为临床、教学、实验、检索提供了一些便利,但提供培训管理、科学决策流程化的专门软件并不多见,未能满足临床师资建设、规范培训等基础性工作。本课题以“海外培训”为服务对象搭建培训资料的安全平台,保障了培训管理决策数据化的顺利实施。

3.2 对于安全设置的探讨

Java servlets、JDBC和SQL的联合,能用来开发任何电子商务、电子医务、电子教务等应用信息体系。Java servlet是一个流水型的负载模块,在Web浏览器和Web服务器之间负责应答有关数据运作的请求[9]。该模块在JVM里完全独立运行并替代CGI作为外部程序的一个接口[10],具有安全、有效、连续、高速等效能。该方案的成功运用,实现了表现层与商业层的动态关联,使得该培训系统的整体柔性有了极大的提高。JDBC担当桥梁角色,用来连接Java和数据库。数据库是一个分享相关数据的逻辑性集合,Oracle为数据的调动提供了SQL语句和命令等功能套餐。由于早期的安全概念属于基于Base64 encoding自身基础上的基本权限,用户名和密码以空白text的形式被储存在服务器并网上传输,故其安全性非常低。后来的数码权限采用MD5 encryption算法,在服务器中为用户名和密码嵌入“nonce”值,但必须保持数据库的原始译码,所以仍然处在低安全的范围内。最近的数码证书技术在安全上扮演着重要的角色,它提供了“公共、私有”两把钥匙随机分布,异步钥匙储存在数码证书的硬盘上显得更为牢靠,这种保密程序能核对所认定的涉及对象的权限以保证可以查阅的对象只有一个。至此,SSMT凭借IT高科技在电子教务的程序化决策实践中得到了充分的发挥。

我国在医护领域的各大专业的技术水平与欧美国家比较仍然存在不少差距,有必要引导职工通过培训来吸取新技术以补充和完善自身的专业。就海外培训而言,存在开支昂贵、资源有限、机会难得、竞争激烈等特征,单凭对某个职工的印象来推荐人选容易造成片面过失。相比之下,信息化数据体系可使培训管理合理化、学术效果最优化、社会效益最大化。Java和servlets具备高效、连续、轻便、坚实、安全等特色,在JDBC的辅助下成为网上获取Database的强大工具,为我们所研制的SSMT提供了理想的技术支撑。站在业务的微观层面上,SSMT作为医护培训专用的安保平台,对于保障作业系统的安全运行具有现实作用;站在管理的宏观角度上, AAMT步步跟进着e时代的步伐,对于医护队伍的常态化培养具有深远意义。

[1]GOODWILL J.Developing Java Servlets[M].Indianapolis, IN:Sams Publishing,1999:11-18,42-47.

[2]HUNTER J,CRAFORD W.Java Servlets Programming[M].Sebastopol,CA:O’Reilly Inc,1998:76-89.

[3]HORSTMAN C S,CORNEL G.Corn JAVA 2,VolumeⅡ: Advanced features[M].Upper Saddle River,NJ:Prentice Hall PTR Corp,1997:114-123.

[4]TAYLOR A.JDBC developer’s resource[M].2nd.Upper Saddle River,NJ:Prentice-Hall,Inc,1997:174-186,204-223.

[5]KIPP C.Programming Informix SQL/4GL[M].2nd.Upper Saddle River,NJ:Prentice.Hall,Inc,1997:97-131.

[6]LULUSHI A.Oracle developer/2000 forms[M].Upper Saddle River,NJ:Prentice-Hall,Inc,1998:38-55.

[7]OAKS S.Java security[M].Sebastopol,CA:O’Reilly Inc, 1998:41-64.

[8]SHACK S R.Classical and object-oriented software engineering[M].Boston,MA:McGraw-Hill Companies Inc,1999: 165-177.

[9]WILLIAMSON A R.Java servlets by example[M].Greenwich,CT:Manning Publications Co,1999:203-211.

[10]HSIEH C Y.Electronic enterprise engineering[M].Skokie, IL:KSI Publishing,1997:26-45,56.

(本文编辑 厉建强)

DEVELOPMENT OFSECURITY SETTING FOR DIGITAL EDUCATION BASED ON INFORMATICS ADMINISTRATION IN MED-ICAL TRAINING

PENG Jianqiao Matthew,ZOU Xinye,WU Zhichao,CHEN Lianghua,LIU Yanqin (The First Affiliated Hospital of Guangzhou Medical University,Guangzhou 510120,China)

ObjectiveTo create a“medical training administration system with secure setting”so as to ensure the implementation of the training administration.MethodsAfter hardware ready in base,messages were passed on Servlets driven by Java,Oracle database was searchable by connection of JDBCbridge,security manipulation was attempted to be executed on web interface of localhost:8080 individually.ResultsAccording to the procedure of requirement,planning,design,implementation, testing and maintenance,a reasonable security engine was set up initially based on functional practice and secure setting of Logon permission,Authority distribution,source protection,and secure policy were brought in to ensure oversea training data running in control by Human Resource Training Department.ConclusionCreation of the security settings effectively ensures the maintenance of the system and smooth implementation of the training administration.

inservice training;hospital administration;digital education;safety management

R192

A

1008-0341(2014)01-0079-04

10.13362/j.qlyx201401032

2013-06-21;

2013-09-04

中华医学会立项项目(20101435);广东省教育厅立项项目(11GJB125082).

彭鳒侨(1967-),男,博士,高级工程师,硕士生导师。

刘燕琴(1975-),男,经济师。E-mail:18922346634＠163.com。