医院防统方解决实施方案
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
医院防统方解决方案
作者:
日期: 2
医院防统方解决方案
背景情况
什么是统方
“统方”是医院对医生用药信息量的统计。所谓为商业目的“统方”,是指为医药营销人员提供医生或部门一定时期内临床用药量信息,供其发放药品回扣
的行为。在医院全面信息化的今天,“统方”常采用入侵医院信息系统,对数据库进行窃取的方式进行。
统方的严重危害
违规统方的危害非常大。医药企业的营销人员通过统方掌握医院药品使用信息,并以此为依据向有关人员送“回扣”,促销自己代理销售的产品。医药“回扣”腐蚀医务人员及相关管理人员,其后果是严重扰乱医院医疗秩序,败坏医德医风,进一步造成病人“看病难、看病贵”等问题。
防止统方的相关文件、法规
卫生部《关于进一步深化治理医药购销领域商业贿赂工作的通知》(卫办发[2010]59号)要求:“各级卫生行政部门和各类医疗机构要结合本地区本单位实际,研究制订贯彻落实卫生部《关于加强医院信息系统药品、高值耗材统计功能管理的通知》(卫办医发[2007]163号)的具体办法,采取切实有效措施,加强医院信息系统药品、高值耗材统计功能管理,避免为不正当商业目的统计医师个人和临床科室有关药品、高值耗材用量信息。要对医院各个部门通过计算机网络查询医院信息的权限实行分级管理,对医院信息系统中有关药品、高值耗材使用等信息实行专人负责、加密管理,严格统方权限和审批程序,未经批准不得统方,严禁为商业目的统方。各级卫生行政部门要加大对辖区内医疗机构统方行为的监督检查力度。对未落实统方管理要求的医疗机构,要责令其限期整改,尽快建立健全有关管理制度。对于违反规定,未经批准擅自统方或者为商业目的统方的,不仅要对当事人从严处理,而且还要严肃追究医院有关领导和科室负责人的责任。”
2011年福建省卫生厅发布《关于进一步强化医院信息系统安全防护措施的
通知》中则强调:“要加强我省各级医疗机构信息系统安全管理,消除隐患,堵
塞漏洞,化解风险,确保我省医疗机构信息系统安全可靠,医疗秩序稳定有序;
需求分析
“统方”可能的来源分为三部分,包括:
(一)院外人员非法接入医院网络后,入侵数据库,对数据库中的药品表等关键表进行窃取;
(二)院内人员通过药房、医生工作站等终端,利用职权进行违规操作,对统方数据进行窃取;
(三)第三方开发人员由于长期驻点医院,且其熟悉应用系统架构,可利用其优势对数据库系统进行越权操作,盗取统方数据;
上述非法统方行为能够成功,主要因为医院信息系统在多个层面存在诸多
“弱点”,给犯罪分子提供了可乘之机,例如:
网络权限不合理,未对网络中各区域的权限进行明确定义和对跨区域的访问进行控制,导致犯罪分子进入网络后能够访问网络中的几乎所有资源,为其进行攻击、入侵、窃取等黑客行为提供了条件。
网络接入无控制,导致任意人员、终端都可通过网络接口接入网络。
数据库操作权限不合理。目前,医院信息系统的运维行为、权限多采用粗放式管理的方式,导致对数据库等重要系统的运维操作存在帐号共用、权限过大等问题。
缺少对数据库操作行为进行审计的技术手段,导致在“统方”行为出现时,无法在第一时间了解情况,也无法知道是何人在“非法统方”。
解决方案
可以看到,黑客能够成功入侵医院信息系统进行“统方”,是信息系统多个层面的问题、漏洞导致的,因此医院在进行防“统方”建设时也必须从多个层面对医院网络进行设计、改造。
运维管理区核心服务器区
运维黑盾安全审计数
人员据中心
黑盾堡垒机
黑盾准入安全
控制系统
黑盾防火墙黑盾防火墙
应用开发区
合法终端方可接入
通过黑盾准入安全控制系统,对终端的合法性、安全性进行核准和检查,将非法终端阻挡在网络边缘。
网络资源分级开放
采用黑盾防火墙对网络安全域进行划分,并通过访问控制策略细致的控制各区域的网络访问权限,杜绝对数据库系统的非法连接、攻击等行为。
重要行为准确记录
利用黑盾安全审计系统一一医疗专版对数据库的审计功能,实现对“统方” 行为的准确判断和记录,并对“统方”源进行定位。
运维操作精细管理
黑盾堡垒机通过对数据库系统运维权限的接管,能够对数据库系统的运维权限精细化管理、操作行为全面记录审计,规范对数据库系统的运维行为。
产品与服务清单
黑盾安全审计系统一一医疗专版
黑盾堡垒机
黑盾防火墙
黑盾准入安全控制系统
运维管理区核心服务器区
用户价值
采用海峡信息防“统方”安全解决方案,能为您带来以下价值:
1.保护核心数据库和统方数据;
2.对非法统方操作进行准确判断、记录和来源定位;
3.满足相关法规审计要求;
4.简化数据库系统安全管理;
成功案例
福建省立医院
福建医科大学附属第一医院
福建省妇幼保健院