“统方”是建立医药回扣黑链的重要一环,是国家和媒体关注的重要社会焦点问题。而防统方即是防止统方行为发生,根据医疗行业及其应用系统的特点,以操作行为的正常规律和规则为依据,对相关计算机系统进行的操作行为产生的动态或静态痕迹进行监测分析,发现和防范内部人员借助信息技术实施的违规和犯罪。对信息系统运行有影响的各种角色的行为过程进行实时监测,及时发现异常和可疑事件,避免内部人员的威胁而发生严重的后果。
医药购销领域商业贿赂给临床医生带来很大负面影响,违规统方是医药代表事实定量贿赂的主要依据,医院信息科、药剂科、开发商是提供“统方”的重要来源。而“统方”数据的来源就来自于医院信息系统中的核心数据库,网域数据库审计系统将通过对医院信息系统的“审计层面、技术层面、管理层面”的安全需求分析,来保证医院核心数据库中的敏感数据的安全性。
主要体现在如下三个层面:
管理层面:
主要表现为人员的职责、流程有待完善,内部员工的日常操作有待规范,第三方维护人员的操作监控失效等等,致使安全事件发生时,无法追溯并定位真实的操作者。
技术层面:
为保护数据库信息的安全性,制定了相应的管理制度,但没有相应的技术手段进行控制。
数据库安装部署及HIS系统开发时,使用数据库默认配置、缺省口令、默认权限等现象普遍存在。
现有的数据库内部操作不明,无法通过外部的任何安全工具(比如:防火墙、IDS、IPS等)来阻止内部用户的恶意操作、滥用资源和泄露医院机密信息等行为。
审计层面:
现有的依赖于数据库日志文件的审计方法,存在诸多的弊端,比如:防统方功能的开启会影响数据库本身的性能、数据库日志文件本身存在被篡改的风险,难于体现审计信息的真实性,同时数据文件较多,很难从中及时找出非法统方的信息。
网域数据库审计系统通过对医院信息系统的“业务层面、技术层面、管理层面”的安全需求分析,在不影响HIS系统、PACS系统、EMR系统等应用系统正常使用的前提下,在核心业务服务区增设防统方审计设备,通过对网络中的海量、无序的数据进行处理、分析。既满足了医院信息建设中的国家等级保护、医院定级等合规性审计要求,又可以对越权操作、违规操作实时监控并追根溯源,实现了防统方手段从制度约束到技术限制的跨越,使工作人员从技术上远离统方禁区,有助于医院行风建设,树良好公众形象。
