防统方解决方案介绍

防统方解决方案介绍

防统方解决方案从事先防范——事中审批——及时通知——事后审计四个方面构建，来满足医院和卫生部门对防统方的安全要求。

防统方解决方案体系包含如下：

以事先防范构筑“统方”防御体系

禁止当前频繁发生的商业统方以及任意非法统方行为。

以事中授权和审批保障“统方”安全

禁止非法统方，确保合法统方经过授权可以识别统方和操作人一一关联。

事中及时通知可疑“统方”行为

针对统方数据的操作，不论统方是合法或非法，均在第一时间通过多种渠

道发布通知，发现可疑“统方”行为。

全面的事后审计

以事后审计追踪非法“统方”事件，不论统方是合法或非法，所有操作均

记录在审计信息内，详尽的海量审计信息为惩戒提供了精细的证据。

覆盖商业”统方”多条通路

获取统方的道路层出不穷，针对当前市场上流行的手段和通路进行有效控

制。

防统方管理解决方案具有以下主要功能：

事先防范

基于“事先防范”的非法统方策略性管理是商业防统方的基础，在“事先防范”的策略性管理中，安全管理事先防范主要实现以下目标：

把“统方”基础数据纳入保护体系“统方”基础数据主要包括处方表、药品数据表、患者信息表、临床诊疗过程相关数据表,它不仅是统方基础数据，也是整个系统的核心数据。创造性的引入了“统方”基础数据拥有者这一概念，把“统方”数据拥有者赋给业务系统。在该“统方”数据保护体系下，除了业务系统外，其他人员将无法访问统方数据，从而为防统方安全管理打下坚实基础。

职责分离是数据库管理员，不是“统方”数据管理员，所以不应该访问统方数据。但是数据库却拥有超级权限。创造性的把管理

从“统方”数据中分离出来，使不再先天具有访问和管理“统

方”数据的权限，从而实现职责分离，保护“统方”数据。

限制特权用户访问统方除了之外，数据库中包含其他特权用户，这些用户都具有访问“统方”的权限，采用类似职责分离的方式，使“统方”数据从这些用户中分离出来，实现“统方”数据保护。

限制访问统方数据库内是“统方”数据的拥有者，天然具有随时统方的权限，通过转移“统方”数据的拥有者为业务系统，使不再具

有“统方”的先天访问能力，实现“统方”数据保护。

限制流动人员访问统方流动人员具有流动性和不受医院约束等特征，导致流动人员管理更具有难度。通过或临时授权等方式，实现开发商和合作伙伴等流动人员的管理，限制流动人员对“统方”的访问。

限制工具型应用访问统方在防统方实践中，相当多的商业统方都是通过工具型应用获得，对工具型应用严格管理，使工具型应用不具备访问“统方”数据的能力，从而实现“统方”数据保护。

严格遵循统方授权和审批管理对于合法的“统方”，为了不至于统方数据从合法统方渠道泄露，需要严格遵循卫生部要求的统方授权和审批，建立合法统方授权机制，实现统方的实时审批和监控。通过授权的方式来实现授权和审批，甚至可以实现在使用过程实现类似于银行柜台的双重授权机制，从而使统方数据泄露的可能性降到最低。

统方白名单和统方特征化使可以精确的识别系统中包含的

统方操作，在识别到统方操作之后进行授权和审批验证，只

有通过了授权和验证才可以获得统方。

事前阻断

安全管理通过“事先防范”机制，建立了商业统方的策略性管理之后，一旦发现不满足预定义策略的任何统方行为，将被实时阻断，统方窃取行为将被拒绝。

事前阻断是防统方管理体系的核心，只有在统方窃取阶段事前阻断，防统方才真正生效。

事中审批

安全管理通过事先策略性管理，对于可识别的统方操作，引入严格授权和审批流程，只有通过验证之后才可以访问统方操作。事中授权和审批是实现防统方管理的重要步骤，不论是非法统方和合法统方，统一纳入统方管理，使统方安全进一步得到保障。

及时通知

针对可疑统方行为可以在第一时间通知管理者，使管理者可以快速掌握现场。

任何被成功阻断的统方行为，认定为可疑的统方行为，都需要在第一时间得到通知，通知以短信、邮件、闪烁、网页等多种方式加以提醒和警示；认定为合法统方的操作行为也会在网页得到明显提示，让管理者在第一时间掌握谁()于什么时刻（）在哪里()用什么应用()进行的统方行为。

及时通知信息量是经过过滤的，数量少而精，若通知信息太多，会造成管理者

对统方管理的麻痹性，所以告警信息可以进行个性化订阅，从而掌控收到的信息数据严重程度和信息量。

事后审计

事后审计不同于事中通知，事后审计需要提供非常详尽的审计信息，便于可疑统方分析的回溯管理。海量审计信息主要有两个重要作用：

第一、审计信息分析以发现访问规律以及一些目前未发现的可疑点管理。

第二、提供事后追究的证据。

尤其是提供证据保存这一功能，要求审计信息必须具有其原始不可修改和删除的基本特征。

拦截商业(非法)统方之通路

“商业”统方是医疗回扣腐败利益链的核心所在，存在着巨大的商业利益。正是因为巨大商业利益的存在，利益相关人员会采用各种手段去获得统方数据。一旦存在着某个窃取统方的途径，该途径将会迅速传播，从而击破统方防御。基于此考虑，统方防御必须是全方位的，至少不能给不法者提供简单的、低成本的、快速的窃取途径。“商业统方”的基本途径主要分两大类：

(一) 来自于非业务系统软件的统方威胁

(二) 来自于合法业务系统软件的统方威胁

来自于非业务系统软件的统方威胁

高权限用户越权访问高权限用户越权访问使统方数据泄露的主要威胁之一。在数据库中，至少会拥有一个，除了之外还存在着很多先天有能力访问统方数据的数据库的用户。这些用户广泛的被管理人员，开发商以及合作伙伴所拥有，特别是相当多的高权限用户可能还存在着共享使用问题，比如等用户。从业务性质来说，任何高权限用户都是为了管理数据库，而不是管理数据，其本身并无访问统方数据的要求。

盗用以及其他共享用户密码软件系统开发和运行存在着一个广为人知的事实，就是，也就是业务系统访问数据库的用户密码无法保密。同时这个开放的用户又是统方数据和代码的缺省拥有者，使其成为统方数据泄露的最大威胁所在。特别是被盗用之后，其可以部署各种统方代理来完成统方数据的获取。

通过等合法数据备份程序访问几乎任何业务系统都存在和应用，这是任何业务系统灾难保障的一部分。和具有获取处方表等表哥全部数据的能力，也使其成为统方数据获取的一个可能来源。

通过生成的备份文件访问备份文件离线保存，可以在数据库外获得统方数据。虽然备份文件一般保留在数据库服务器之上，相当比较安全。也需要一定的方式加以保护。

代理式访问代理式访问相当比较隐蔽，部署一段代码在数据库或者主机之上。

通过该代码运行来获取统方数据。需要注意的是代理式访问并不

需要访问者具有直接访问统方数据能力，而是通过代理者的权限

来获得统方数据。从数据库角度而言，代理访问都是通过权限进