&风信子医院数据库安全与防统方解决方案
医院数据库安全与防统方解决方案
一、医院信息化建设遇到的挑战和需求
随着医疗卫生建设的重点逐渐转向信息化和数字化，国内越来越多的医院正加速实施基于信息化平台和医疗信息系统(HIS)的业务体系建设，以提高医院的服务 水平与核心竞争力。我们可以明显的感受到，以电子病历为基础的医院信息平台的建立，以及一卡通的使用，提高了医务人员的工作效率，加快了病人就诊的速度， 有效解决了群众看病难的问题。在医院信息化的过程中，开发了大量业务系统例如HIS、PACS、LIS、EMR及RIS，配置了大量的服务器、网络设备， 而针对这些设备的使用、维护和安全保护等管理问题，直接影响到系统能否可靠持续运行，医院的医疗活动能否正常运作，事关重大。
医院信息系统(Hospital Information System HIS)是医院重要的医疗信息基础设施，HIS系统一般以大型数据库（如Oracle数据库）系统为基础平台，由门诊挂号管理系统、医疗诊治系统、住院管 理系统、计价收费管理系统、医疗器械管理系统、药房管理系统、病案管理系统、医疗科研系统以及OA系统等构成。HIS系统是总医院各项业务运行的重要支撑 系统，它的特殊性决定了安全性要求极高，特别是HIS系统的核心----数据安全性的威胁体现在实际应用中，重点要考虑来自二个方面的安全风险：
一是来自外部安全风险，利用弱口令设置、数据库系统漏洞，非授权进入HIS系统访问、拷贝和修改数据内容，甚至可以采用SQL注入，攻击数据库系统；
另一个是内部安全风险，以合法授权身份进入HIS系统对数据进行非法的访问和操作。由于HIS系统庞大，系统的部分运行维护工作由软件开发商和系统集成商负责完成，因此该类维护人员通常具有系统权限，能够进入HIS系统，对系统的数据进行访问和操作。
以上安全风险会引发HIS系统瘫痪、各种内部数据信息被泄露和篡改、涉密数据信息被窃取和失泄等信息安全事件发生。
目前医院普遍存在的问题：
各个业务系统的核心数据维护人员越来越多，既有本院相关业务科室信息维护人员，也有系统开发商、第三方运维外包公司，安全管理难度比较大；
非法统方手段专业化，由早期的手工统方转变成专业的统方软件，只需要在医院任何一台电脑上运行程序，就可以非常快捷的完成统方；
非法统方手段多样化，医生统方、药房统方、护士统方、信息科统方、开发商外包人员统方等多种手段并存，且隐蔽性越来越强；
操作安全缺少技术监管手段，医院管理制度难以落实，过分依赖于人员的“自觉性、道德水平”；
因为许多防统方产品专业性太强，无法满足非IT专业人员对统方监管工具的易用性、直观性的要求，使医院的管理层医院和监察部门不易及时、准确地监管同方行为。
随着药物统方商业违法行为造成的社会影响越来越被关注，国家主管部门出台了反商业统方的相关法律和制度，对医疗系统提出明确管理责任要求：
★ 2007年《关于加强医院信息系统药品、高值耗材统计功能管理的通知 》（卫 办医发[ 号）
★ 2010年《卫生部关于进一步深化治理医药购销领域商业贿赂工作的通知》
---- 对医院信息系统中有关药品、高值耗材使用等信息实行专人负责、加密管理，严格统方权限和审批程序，未经批准不得统方，严禁为商业目的统方。”
- 设备密码统一管理，提高密码管理的安全性
- 集中管理各种操作行为，提高操作管理效率
- 统一身份认证，使操作者与操作行为一一对应
- 有效审计操作行为（真实记录、审计回放、实时监控）
- 有效监管设备厂商人员、代维人员的操作
- 发生操作事故能快速定位责任人与事故原因
合规性需求（使组织的信息安全管理符合信息安全相关标准、法规要求）
- 《信息安全等级保护管理办法》
该办法要求组织对信息系统分等级实行安全保护，其中明确要求计算机信息系统创建和维护受保护客体的访问审计跟踪记录，并能阻止非授权的用户对它访问或破坏。
- 《塞班斯法案》（ SOX ）
该法案要求在美国上市的公司不仅要保证其财务报表数据的准确，还要保证内控系统能通过相关审计。
- 《ISO27001标准》
条款A10.10.4要求组织必须记录系统管理和维护人员的操作行为。内控专家--+--北京极地信息技术有限公司--+--
地址：北京市海淀区知春路1号学院国际大厦7层
邮编：100191
***：010 - 22762
传真：010 -
终端管理极地安全
JD-FTF极地内控防统方系统
来源:极地安全
内控专家 | 发布时间: |
浏览次数：
JD-FTF极地内控防统方系统是一种被加固的可以防御进攻的计算机，具备坚强的安全防护能力。极地内控防统方系统扮演着看门者的职责，所有对网络设备和服务器的请求都要从这扇大门经过。因此极地内控防统方系统能够拦截非法访问和恶意攻击，对不合法命令进行阻断、过滤掉所有对目标设备的非法访问行为。极地内控防统方系统能够极大的保护医院内部网络设备及服务器资源的安全性，确保各种服务器数据的安全保密、管理控制和操作审计，最终确保数据安全，全面而彻底地解决了目前医院防统方的难题和困境。
1、全面的&非法统方&控制：真正做到&事前可控、事中可察、事后可审&的非法统方全方位的控制。
2、从根源解决防&统方&难题：对HIS数据库的运维操作全程记录、审计，配合强认证手段，从根源上彻底控制统方数据信息的泄露，为医疗信息化打好底层基础。
3、融预警变事后追查为主动防御：内控防统方系统通过引入4A管理理念，将&统方&数据与无关工作人员进行隔离，有效防止非法&统方&行为的发生。
4、便捷操作：不增加操作和维护的复杂度，不改变用户的使用习惯，不影响被管理设备的运行。
5、权责分明，提高工作效率：极地内控防统方系统通过独立于数据库自身权限体系之外的4A管理体系，在提高了管理效率的同时，使DSA(安全管理员)和DBA（数据库管理员）的权责更加分明。
6、方案高屋建瓴，应用改造零代价：极地内控防统方系统的实施，对于现有应用系统基本透明，无需改造，原有Oracle、MSSQL等核心应用均可继续使用，同时极地内控防统方系统集中控制的模式，能够快速、无缝地融合到现有医疗信息系统中。
7、多级部署、统一管理：极地内控防统方系统的统一管理中心部署在上级卫生局，上级卫生局可以实时的查看各个医院数据库的访问情况，通过监控对比，及时发现下属医院存在的问题，严防非法统方。而且可以通过策略的统一下发和管理，实现下属医院的统一管控、统一审计，统一生成报表。
1、良好的可扩展性：品从4A解决方案中抽象出来，提供最便捷的4A项目集成方案。
2、全面的信息系统和数据监控及访问控制：极地内网内控安全管理系统能够提供对数据操作工作站的安全合规检查，如非法外联检测、防病毒软件检测、系统补丁检测、系统安全配置检测等；同时提供细粒度的智能访问控制，最大限度保护用户资源的安全。
3、智能而强大的审计功能：极地内控防统方系统精确记录用户操作时间、方式、内容，审计结果支持多种展现方式，让操作得以完整还原。
4、实现统方命令的实时审计和拦截：对于普通用户登录到目标设备上正在进行的操作，审计管理员可以通过极地内控防统方系统的WEB界面做到实时监控，做到边操作边审计，真正实现操作透明；同时对于用户的违规操作，审计管理员还可以做到实时切断。
5、支持对HIS数据库网络流量实时审计：极地内控防统方系统可对HIS数据库的网络流量进行实时、高效的***、判断和分析，杜绝私自绕开防统方系统远程网络直接访问HIS数据库进行统方的行为。
6、多种报警方式：极地内控防统方系统可以对疑似统方的行为进行严重级别等级划分，根据疑似统方行为相应的严重级别程度采取相应的报警方式。
上一篇：   下一篇：青岛市南：“防统方”软件为处方装上“电子锁”_检察日报社多媒体数字报刊平台
第06版：预防
| 标题导航 |
青岛市南：“防统方”软件为处方装上“电子锁”
卢金增　郝会娟　陈文娟
&&&&前不久的一天上午，一场特殊的“演练”在山东省青岛市市立医院展开。这家医院院长的手机里突然传来“嘀嘀”的报警声，他的神经一下紧张起来，“不好!有人擅自查询医师处方及用药情况!”院长立即检查医院的“统方”信息系统，发现这是有人违规操作导致的系统报警，并很快查找到了违规操作的医师。据了解，这款软件是该市市南区检察院联合市立医院推出的“防统方”应用系统。&&&&&所谓商业目的的“统方”，是指医院中个人或部门为医药营销人员提供医生或部门一定时期内临床用药量信息，供其发放药品回扣的行为。而“防统方”软件的开发正是为了遏制这一问题。据市南区检察院检察长程宏谟介绍，该系统是为了应对医务人员收受药品经销商贿赂，违规提供“统方”数据的医疗卫生系统职务犯罪新形态。使用“防统方”软件的目的就是为医生开处方装上“电子锁”，并控制查询权限，一旦有未经批准的“统方”行为，系统会自动报警，并查找出违规操作的电脑，防止“统方”数据外流，运用信息化手段开启了医疗卫生系统科技防腐新篇章。&&&&&除了事中预警外，该软件系统还在事前加筑“防火墙”，对“统方”信息系统的应用权限和“统方”行为的提请程序进行严格限定，授权医院信息管理部门对药品处方信息全面负责，各业务科室需要“统方”信息时，要向信息管理部门递交需求和用途书面申请，由信息管理部门登记备案后，报请医院院长或党委书记、纪委书记审核批准后，方可进行“统方”查询，从源头上杜绝非职能人员随意登录和使用“统方”信息系统。&&&&&“防统方”软件运行以来，市南区检察院还配合市立医院开展了事后跟踪监测。市立医院纪委吴书记介绍说，该系统运行一年多以来，医院上下更加重视“统方”在改进医疗工作方面的重要作用，根据每月“统方”的异常数据，医院已停止了五种违规药品的采购，医院购药、用药行为得到明显规范。&&&&&背景链接:&&&&&“统方”是指医院对一定时期内临床用药量信息的统计。近年来，不法药品经销商为促进药品销量，往往通过买通医院内部人员，违规获得“统方”数据的方式，计算给医生用药的回扣数额。“防统方”软件是针对医务人员倒卖“统方”数据和收受药品回扣的违法违规行为而专门研发的“杀手锏”。