產品及解決方案 / 產品列表 / 數據庫安全 / 防統方數據庫審計系統

背景信息

在醫療行業，有一個專業名詞，叫做“統方”。顧名思義，其含義是醫院對醫生用藥信息量的統計。

在醫藥灰色產業鏈中，為商業目的的“統方”，其主要指醫院中個人或部門為醫藥營銷人員提供醫生或部門一定時期內臨床用藥量的統計信息，供其作為發放藥品回扣等不良違法行為的重要參考依據。“統方”就天然成為建立醫藥回扣黑鏈的重要樞紐環節，已經成為國家和媒體關注的重要社會焦點問題。我國衛生部反復強調，對于違反規定，未經批準擅自“統方”或者為商業目的“統方”的，不僅要對當事人從嚴處理，還要嚴肅追究醫院有關領導和科室負責人的責任。

2010年6月21日頒布的《衛生部關于進一步深化治理醫藥購銷領域商業賄賂工作的通知》中明確指出，“要對醫院各個部門通過計算機網絡查詢醫院信息的權限實行分級管理，對醫院信息系統中有關藥品、高值耗材使用等信息實行專人負責、嚴加管理，嚴格統方權限和審批程序，未經批準不得統方，嚴禁為商業目的統方。”

《中華人民共和國執業醫師法》第37條規定：“泄露患者隱私，造成嚴重后果的要承擔一定的刑事責任”。

《醫療機構信息系統安全等級保護基本要求》規定“網絡設備、操作系統、數據庫系統和應用系統的鑒別信息、敏感的系統管理數據和敏感的用戶數據（如患者的基本信息、診療相關信息等）應采用加密或其他保密措施實現存儲保密性”。

醫院“統方”系統主要漏洞

系統本身存在漏洞風險。醫院的HIS等醫療系統，集中了處方統計分析業務、處方查詢（藥劑科），以及掛號、病歷、診療信息管理等核心業務模塊，后臺涉及到醫生、藥品、劑量、單價、應收金額等直接或間接能夠“統方”的信息。這些功能本身提供詳盡的統方表格，同時該應用系統有部分高權限用戶擁有統方權限相關功能提供的統方。如果HIS系統有漏洞，或者內部管理不慎都有可能造成信息泄露。
內部信息資源管理人員非法“統方”。醫院信息中心人員負責醫院信息化建設，以及日常IT網絡設備、數據庫等程序的維護工作，這些管理人員掌握著SYS、SYSTEM等超級用戶。這些用戶具備了訪問所有IT網絡設備、服務器、應用數據庫的權限，從而使毫無業務需要的信息中心工作人員能夠訪問所有處方數據，具備“統方”的最佳途徑。
開發人員、維護人員非法“統方”。醫療信息系統的開發和維護人員掌握著系統訪問數據庫的用戶名和口令，這些人員經常需要在醫院內部進行日常工作，完全可以使用該數據庫用戶直接登錄數據庫，構造統方SQL進行非法“統方”。
黑客入侵醫療系統非法“統方”。

產品概述

優炫軟件通過對醫療行業數據安全項目的實施和規劃經驗，針對醫療行業信息系統核心數據安全及“防統方”全局安全解決方案，為保護關鍵數據安全，提出了優炫防統方安全解決方案，保障醫療業務數據的安全可靠，優炫防統方數據庫審計系統是其中重要的組成部分。優炫軟件醫療系統業務數據縱深防御方法及策略：

通過優炫防統方數據庫審計系統的防火墻，在惡意行為到達數據庫之前進行監控及阻斷，防止黑客或惡意人員破解、竊取、篡改醫療信息數據。
通過優炫防統方數據庫審計系統，對數據庫內部的操作權限進行控制管理，對數據庫操作，權限分配，監控管理實行三權分立,防止醫療業務系統開發人員、外包人員，通過已掌握的口令，繞過應用系統直接操縱數據庫，竊取客戶信息，甚至篡改用戶資金數據。
通過優炫操作系統安全增強系統對數據庫服務器的操作系統進行加固保護，實現系統安全由C2到B1等級安全防護水平的提高，防止操作系統漏洞造成信息數據泄漏。
通過優炫數據庫透明加密系統對醫療系統處方查詢（藥劑科），以及掛號、病歷、診療信息管理等核心業務信息進行加密，防止數據文件被盜引起的關鍵信息泄密，同時控制特權用戶對數據的直接訪問。
通過優炫防統方數據庫審計系統對醫療信息系統數據庫操作進行跟蹤，預警及事后審計，以滿足國內法律、法規的合規要求。

產品特性

不影響統方操作
優炫防統方數據庫審計系統本身不具備統方功能，通過權限設置不影響正常的統方操作。
不影響HIS系統性能
優炫防統方數據庫審計系統的構建主要是測掛鏡像模式為主，不影響醫院HIS系統的性能。
實時監控，及時阻斷非法操作
優炫防統方數據庫審計系統對所保護的數據進行實時監控，對非法操作及統方進行阻斷并發出告警信息。
全面監控、審計各種設備資源，并能夠主動防御
優炫防統方數據庫審計系統對信息中心的核心服務器、數據庫、HIS系統等設備資源，提供了最核心的監控、審計以及主動防御。

背景信息

醫院“統方”系統主要漏洞

產品概述

產品特性

成功案例