> 首頁 > 防統方數據庫審計系統

背景信息

背景信息
在醫療行業,有一个专业名词,叫做“统方”。顾名思义,其含义是医院对医生用药信息量的统计。
在醫藥灰色産業鏈中,爲商業目的的“統方”,其主要指醫院中個人或部門爲醫藥營銷人員提供醫生或部門一定時期內臨床用藥量的統計信息,供其作爲發放藥品回扣等不良違法行爲的重要參考依據。“統方”就天然成爲建立醫藥回扣黑鏈的重要樞紐環節,已經成爲國家和媒體關注的重要社會焦點問題。我國衛生部反複強調,對于違反規定,未經批准擅自“統方”或者爲商業目的“統方”的,不僅要對當事人從嚴處理,還要嚴肅追究醫院有關領導和科室負責人的責任。
2010年6月21日頒布的《衛生部關于進一步深化治理醫藥購銷領域商業賄賂工作的通知》中明確指出,“要對醫院各個部門通過計算機網絡查詢醫院信息的權限實行分級管理,對醫院信息系統中有關藥品、高值耗材使用等信息實行專人負責、嚴加管理,嚴格統方權限和審批程序,未經批准不得統方,嚴禁爲商業目的統方。”
《中華人民共和國執業醫師法》第37條規定:“泄露患者隱私,造成嚴重後果的要承擔一定的刑事責任”。
《醫療機構信息系統安全等級保護基本要求》規定“網絡設備、操作系統、數據庫系統和應用系統的鑒別信息、敏感的系統管理數據和敏感的用戶數據(如患者的基本信息、診療相關信息等)應采用加密或其他保密措施實現存儲保密性”。

醫院“統方”系統主要漏洞

  • 系統本身存在漏洞風險。醫院的HIS等醫療系統,集中了處方統計分析業務、處方查詢(藥劑科),以及挂號、病曆、診療信息管理等核心業務模塊,後台涉及到醫生、藥品、劑量、單價、應收金額等直接或間接能夠“統方”的信息。這些功能本身提供詳盡的統方表格,同時該應用系統有部分高權限用戶擁有統方權限相關功能提供的統方。如果HIS系統有漏洞,或者內部管理不慎都有可能造成信息泄露。
  • 內部信息資源管理人員非法“統方”。醫院信息中心人員負責醫院信息化建設,以及日常IT網絡設備、數據庫等程序的維護工作,這些管理人員掌握著SYS、SYSTEM等超級用戶。這些用戶具備了訪問所有IT網絡設備、服務器、應用數據庫的權限,從而使毫無業務需要的信息中心工作人員能夠訪問所有處方數據,具備“統方”的最佳途徑。
  • 开发人员、维护人员非法“统方”。医疗信息系统的开发和维护人员掌握着系统访问数据库的用户名和口令,这些人员经常需要在医院内部进行日常工作,完全可以使用该数据库用户直接登錄数据库,构造统方SQL进行非法“统方”。
  • 黑客入侵醫療系統非法“統方”。

産品概述

産品概述




优炫软件通过对醫療行業数据安全项目的实施和规划经验,针对醫療行業信息系统核心数据安全及“防统方”全局安全解決方案,为保护关键数据安全,提出了优炫防统方安全解決方案,保障医疗业务数据的安全可靠,优炫防統方數據庫審計系統是其中重要的组成部分。优炫软件医疗系统业务数据纵深防御方法及策略:
  • 通过优炫防統方數據庫審計系統的防火墙,在恶意行为到达数据库之前进行监控及阻断,防止黑客或恶意人员破解、窃取、篡改医疗信息数据。
  • 通过优炫防統方數據庫審計系統,对数据库内部的操作权限进行控制管理,对数据库操作,权限分配,监控管理实行三权分立,防止医疗业务系统开发人员、外包人员,通过已掌握的口令,绕过应用系统直接操纵数据库,窃取客户信息,甚至篡改用户资金数据。
  • 通过优炫操作系統安全增强系统对数据库服务器的操作系统进行加固保护,实现系统安全由C2到B1等级安全防护水平的提高,防止操作系统漏洞造成信息数据泄漏。
  • 通過優炫數據庫透明加密系統對醫療系統處方查詢(藥劑科),以及挂號、病曆、診療信息管理等核心業務信息進行加密,防止數據文件被盜引起的關鍵信息泄密,同時控制特權用戶對數據的直接訪問。
  • 通过优炫防統方數據庫審計系統对医疗信息系统数据库操作进行跟踪,预警及事后审计,以满足国内法律、法规的合规要求。

産品特性

  • 不影響統方操作

    不影響統方操作

    优炫防統方數據庫審計系統本身不具备统方功能,通过权限设置不影响正常的统方操作。
  • 不影響HIS系統性能

    不影響HIS系統性能

    优炫防統方數據庫審計系統的构建主要是测挂镜像模式为主,不影响医院HIS系统的性能。
  • 实时监控, 及时阻断非法操作

    实时监控, 及时阻断非法操作

    优炫防統方數據庫審計系統对所保护的数据进行实时监控,对非法操作及统方进行阻断并发出告警信息。
  • 全面監控、審計各種設備資源,並能夠主動防禦

    全面監控、審計各種設備資源,並能夠主動防禦

    优炫防統方數據庫審計系統对信息中心的核心服务器、数据库、HIS系统等设备资源,提供了最核心的监控、审计以及主动防御。

成功案例

MORE+