安恒信息医疗行业防统方系统解决方案1.doc

安恒信息医疗行业防统方系统解决方案1 医疗行业防统方系统解决方案

1. 医院面临的问题

随着医院信息化的迅猛发展，信息的高度集中使得核心数据泄密的隐患也越来越突出，在利益的驱使下非法统方行为时有发生，严重影响了医院的公众形象，也严重损害了患者的利益。鉴于问题严重性，卫生管理部分也引起了高度的重视，多数医院也采取了“教育为先、制度为主”的管理手段，但还是难以达到预期效果。

通过对多家医院的实际情况调研，目前医院主要面临的问题是：

∙核心数据维护人员越来越多，既有本院相关业务科室信息维护人员，也有系统开发商、第三方运维外包公司；

∙非法统方手段专业化，由早期的手工统方转变成专业的统方软件，只需要在医院任何一台电脑上运行程序，就可以非常快捷的完成统方；

∙非法统方手段多样化，医生统方、药房统方、护士统方、信息科统方、开发商外包人员统方等多种手段并存，且隐蔽性越来越强；

∙医院管理制度难以落实，过分依赖于人员的“自觉性、道德水平”，缺少技术监管手段；

∙缺少专业的、智能化、简单易用的医疗防统方系统，纪监部门过分依赖于信息部门的专业人士进行分析，丧失了主动判断权；

2. 安恒解决方案

安恒结合自己多年在医疗卫生、运营商、金融、政府、企业的敏感信息泄漏防护领域的经验，并对数十家医院的实际情况调研、实施经验总结，形成了一套有效的防统方解决方案。

∙风险评估、安全服务、身份认证，保障HIS系统数据库安全；

∙动态建模，轻松、智能识别统方行为；

∙医疗行业规则包，真正贴合用户需求；

∙智能、简单的报表系统，符合纪监、纠风办等使用习惯，解决对信息专业人员的依赖问题；

∙数据库请求和返回结果双向审计，根据准确的定位违规统方行为；

∙分布式部署模式，满足卫生管理部门统一监管需求，实时将各医院违规信息统一发送到卫生管理部门，保障证据的权威性；

3. 方案特点

风险评估，建立安全HIS数据库

利用安恒全球首创、拥有完全自主知识产权的数据库弱点扫描器，定期对HIS系统数据库进行安全扫描，可以识别SQL 注入、访问权限绕过、提权漏洞、权限过大等几百种漏洞和不安全配置，并提供专业的分析报告和安全加固建议。防止不法人员破解数据库密码，入侵HIS系统数据库服务器等方式的非法统方行为。

动态建模，智能识别统方行为

动态建模即根据历史的数据库访问情况，建立一套HIS系统数据库的用户访问行为模型，包括帐号、IP地址、客户端工具、SQL语句、返回结果等成千上万个动态元素，而且可以根据数据库的变化情况持续更新。当有新的行为发生时系统通过高效的算法比对模型的各种参数，然后根据其与模型的偏离情况来智能识别统方行为。

下图中：发现一个人在非工作时间用一个高权限帐号、通过一个陌生的客户端程序连接了数据库，而且发现查询了“药品名称、药品数量、医生”等敏感统方信息，还导出了几万行敏感信息。通过与用户行为比较发现，与模型偏离程度非常大，这个很可能就是一个违规统方行为。

医疗行业规则包，真正贴合用户需求

结合数十家医院的实施经验，形成了丰富的防统方知识库，通过强大、细粒度的规则设置功能，形成了医疗行业防统方规则包，准确识别非法统方行为。解决统方行为特征提取困难、规则设置难度大、规则误告警等问题，帮助客户轻松部署防统方系统。

简易报表、丰富告警，纪监部门及时掌握违规行为

安恒防统方系统内置60多种报表，分为纪监部门、数据库管理员等不同级别的报表，可以通过饼图、柱状图、曲线图等多种形式直观展示。符合纪监、纠风办等使用习惯，解决对信息专业人员的依赖问题；更关键的是我们可以生成综合性的报告，一键生产的报告就可以直接满足等级保护、塞班斯（SOX）法案等法律法规的要求。

分布式部署，统一监控确保证据权威性

卫生管理部门（卫生厅、卫生局）有需要对下辖的各个医院的非法统方行为进行监管，需要及时准确的掌握各个医院的违规情况。安恒防统方系统能够支持分布式部署，可以很好的满足卫生部门的监管需求。

首先在各个医院部署一套防统方系统，同时也在卫生管理部门部署一套管理中心。然后通过管理中心对各家医院的系统进行统一的监管和控制，通过管理中心下发统一的防统方策略，一旦哪家医院发现违规行为，就会通过机密协议立刻上传到管理中心上，邮件、短信等丰富告警方式让纪监部门第一时间掌握非法统方行为。

同理在医院总部也可以采用同样方案，及时监管各分院的违规情况。

4. 部分客户案例

∙中日友好医院

∙北京市肿瘤医院

∙北京大学深圳医院

∙浙江省卫生厅

∙解放军307医院

∙北京市佑安医院

∙上海市第一妇婴保健院

∙河南省人民医院

∙武汉市中心医院

∙金华市中心医院

∙杭州市中医院

∙杭州市第三人民医院

∙杭州市第七人民医院

安华金和-电信行业解决方案--CRM系统客

户信息保密7

CRM系统客户信息保密解决方案

1.背景

在以“客户信息为中心”的CRM系统中，存储着大量重要客户资料，如客户的姓名、电话账户、余额、资费套餐等，都是电信运营商最重要的核心业务数据。为保护这些“数字资产”不被泄露，运营商们花费了很大代价，购买并实施了包括防火墙、入侵检测系统、异常流量检测与过滤、集中管控等在内的大量信息安全产品,在边界防护上构筑了一道固若金汤的安全防护“铁闸”。

然而，在近几年电信运营商数据泄密事件仍频频发生，除造成直接的经济损失外，这些泄密事件带来的损失还包括：被泄密客户诉讼、被客户/潜在客户抛弃、品牌受损失、促进竞争对手的成长。

程序员程稚瀚四次侵入北京移动充值中心数据库盗取充值卡密码，获利达300多万元。

2003年，广东联通7名人员利用内部工号和密码对欠费停机手机进行充值，使联通损失260万元。

今年，3.15晚会曝光了移动、联通及原中国网通三大电信运营商的3个“内鬼”多次向“私家侦探”泄露客户信息、通话记录、手机定位信息共获利300万元，其犯罪手段就是通过应用数据库用户口令获取操作员的工号和口令，再通过业务系统导出各种信息,目前，3人均已获刑。

……

2.CRM系统客户隐私保密需求分析