×

页面升级中敬请期待

> 首页 > 产品及解决方案 > 防统方数据库审计系统

背景信息 

背景信息
在医疗行业,有一个专业名词,叫做“统方”。顾名思义,其含义是医院对医生用药信息量的统计。
在医药灰色产业链中,为商业目的的“统方”,其主要指医院中个人或部门为医药营销人员提供医生或部门一定时期内临床用药量的统计信息,供其作为发放药品回扣等不良违法行为的重要参考依据。“统方”就天然成为建立医药回扣黑链的重要枢纽环节,已经成为国家和媒体关注的重要社会焦点问题。我国卫生部反复强调,对于违反规定,未经批准擅自“统方”或者为商业目的“统方”的,不仅要对当事人从严处理,还要严肃追究医院有关领导和科室负责人的责任。
2010年6月21日颁布的《卫生部关于进一步深化治理医药购销领域商业贿赂工作的通知》中明确指出,“要对医院各个部门通过计算机网络查询医院信息的权限实行分级管理,对医院信息系统中有关药品、高值耗材使用等信息实行专人负责、严加管理,严格统方权限和审批程序,未经批准不得统方,严禁为商业目的统方。”
《中华人民共和国执业医师法》第37条规定:“泄露患者隐私,造成严重后果的要承担一定的刑事责任”。
《医疗机构信息系统安全等级保护基本要求》规定“网络设备、操作系统、数据库系统和应用系统的鉴别信息、敏感的系统管理数据和敏感的用户数据(如患者的基本信息、诊疗相关信息等)应采用加密或其他保密措施实现存储保密性”。

医院“统方”系统主要漏洞

  • 系统本身存在漏洞风险。医院的HIS等医疗系统,集中了处方统计分析业务、处方查询(药剂科),以及挂号、病历、诊疗信息管理等核心业务模块,后台涉及到医生、药品、剂量、单价、应收金额等直接或间接能够“统方”的信息。这些功能本身提供详尽的统方表格,同时该应用系统有部分高权限用户拥有统方权限相关功能提供的统方。如果HIS系统有漏洞,或者内部管理不慎都有可能造成信息泄露。
  • 内部信息资源管理人员非法“统方”。医院信息中心人员负责医院信息化建设,以及日常IT网络设备、数据库等程序的维护工作,这些管理人员掌握着SYS、SYSTEM等超级用户。这些用户具备了访问所有IT网络设备、服务器、应用数据库的权限,从而使毫无业务需要的信息中心工作人员能够访问所有处方数据,具备“统方”的最佳途径。
  • 开发人员、维护人员非法“统方”。医疗信息系统的开发和维护人员掌握着系统访问数据库的用户名和口令,这些人员经常需要在医院内部进行日常工作,完全可以使用该数据库用户直接登录数据库,构造统方SQL进行非法“统方”。
  • 黑客入侵医疗系统非法“统方”。

产品概述 

产品概述




优炫软件通过对医疗行业数据安全项目的实施和规划经验,针对医疗行业信息系统核心数据安全及“防统方”全局安全解决方案,为保护关键数据安全,提出了优炫防统方安全解决方案,保障医疗业务数据的安全可靠,优炫防统方数据库审计系统是其中重要的组成部分。优炫软件医疗系统业务数据纵深防御方法及策略:
  • 通过优炫防统方数据库审计系统的防火墙,在恶意行为到达数据库之前进行监控及阻断,防止黑客或恶意人员破解、窃取、篡改医疗信息数据。
  • 通过优炫防统方数据库审计系统,对数据库内部的操作权限进行控制管理,对数据库操作,权限分配,监控管理实行三权分立,防止医疗业务系统开发人员、外包人员,通过已掌握的口令,绕过应用系统直接操纵数据库,窃取客户信息,甚至篡改用户资金数据。
  • 通过优炫操作系统安全增强系统对数据库服务器的操作系统进行加固保护,实现系统安全由C2到B1等级安全防护水平的提高,防止操作系统漏洞造成信息数据泄漏。
  • 通过优炫数据库透明加密系统对医疗系统处方查询(药剂科),以及挂号、病历、诊疗信息管理等核心业务信息进行加密,防止数据文件被盗引起的关键信息泄密,同时控制特权用户对数据的直接访问。
  • 通过优炫防统方数据库审计系统对医疗信息系统数据库操作进行跟踪,预警及事后审计,以满足国内法律、法规的合规要求。
  • 通过优炫防统方数据库审计系统的防火墙,在恶意行为到达数据库之前进行监控及阻断,防止黑客或恶意人员破解、窃取、篡改医疗信息数据。
  • 通过优炫防统方数据库审计系统,对数据库内部的操作权限进行控制管理,对数据库操作权限分配,监控管理实行三权分立,防止医疗业务系统开发人员、外包人员,通过已掌握的口令,绕过应用系统直接操纵数据库,窃取客户信息,甚至篡改用户资金数据。
  • 通过优炫操作系统安全增强系统对数据库服务器的操作系统进行加固保护,实现系统安全由C2到B1等级安全防护水平的提高,防止操作系统漏洞造成信息数据泄漏。
  • 通过优炫数据库透明加密系统对医疗系统处方查询(药剂科),以及挂号、病历、诊疗信息管理等核心业务信息进行加密,防止数据文件被盗引起的关键信息泄密,同时控制特权用户对数据的直接访问。
  • 通过优炫防统方数据库审计系统对医疗信息系统数据库操作进行跟踪,预警及事后审计,以满足国内法律、法规的合规要求。

产品特性 

  • 不影响统方操作

    不影响统方操作

    优炫防统方数据库审计系统本身不具备统方功能,通过权限设置不影响正常的统方操作。
  • 不影响HIS系统性能

    不影响HIS系统性能

    优炫防统方数据库审计系统的构建主要是测挂镜像模式为主,不影响医院HIS系统的性能。
  • 实时监控, 及时阻断非法操作

    实时监控, 及时阻断非法操作

    优炫防统方数据库审计系统对所保护的数据进行实时监控,对非法操作及统方进行阻断并发出告警信息。
  • 全面监控、审计各种设备资源,并能够主动防御

    全面监控、审计各种设备资源,并能够主动防御

    优炫防统方数据库审计系统对信息中心的核心服务器、数据库、HIS系统等设备资源,提供了最核心的监控、审计以及主动防御。
  • 不影响统方操作。

    不影响统方操作。

    优炫防统方数据库审计系统本身不具备统方功能,通过权限设置不影响正常的统方操作。
  • 不影响HIS系统性能。

    不影响HIS系统性能。

    优炫防统方数据库审计系统的构建主要是测挂镜像模式为主,不影响医院HIS系统的性能。
  • 实时监控,及时阻断非法操作。

    实时监控,及时阻断非法操作。

    优炫防统方数据库审计系统对所保护的数据进行实时监控,对非法操作及统方进行阻断并发出告警信息。
  • 全面监控、审计各种设备资源,并能够主动防御。

    全面监控、审计各种设备资源,并能够主动防御。

    优炫防统方数据库审计系统对信息中心的核心服务器、数据库、HIS系统等设备资源,提供了最核心的监控、审计以及主动防御。

成功案例

MORE+