防統方系統

一、行心防統方系統產品概述

行心防統方系統通過對醫院信息系統的“業務層面、技術層面、管理層面”的安全需求分析，在不影響HIS系統、PACS系統、EMR系統等應用系統正常使用的前提下，在核心業務服務區增設防統方審計設備，通過對網絡中的海量、無序的數據進行處理、分析，一旦出現違規統方事件，系統能夠準確描述何人、何時、何地、以何種方式進行違規統方，并提供操作過程回放，供相關人員分析。

統方：指的是醫院對醫生用藥信息的統計。

非法統方：指的是醫院中個人或部門為醫藥營銷人員提供醫生或部門一定時期內臨床用藥量信息，供其發放藥品回扣的行為。非法統方是醫藥回扣黑鏈中重要的一環。

防統方：指的是防止非法統方的發生。

二、醫療行業需求

1. 醫療防腐所面臨的統方威脅

醫藥購銷領域商業賄賂給臨床醫生帶來很大負面影響，違規統方是醫藥代表事實定量賄賂的主要依據，而“統方”數據的來源就來自于醫院信息系統中的核心數據庫，主要體現在如下三個層面：

1) 管理層面：

人員職責、流程有待完善，安全事件發生時，無法追溯并定位真實的操作者。

2) 技術層面：

數據庫內部操作不明，無法通過外部的任何安全工具(比如：防火墻、IDS、IPS等)來阻止內部用戶的惡意操作、濫用資源和泄露醫院機密信息等行為。

3) 審計層面：

伴隨著數據庫信息價值以及可訪問性提升，使得數據庫面對來自內部和外部的安全風險大大增加，如違規越權操作、惡意入侵導致機密信息及統方信息竊取泄漏，但事后卻無法有效追溯和審計。

2. 國家政策嚴肅要求高度重視

1) 國家衛生部/衛生廳的要求

　　醫院信息化系統近幾年取得很大發展，已經成為醫院運營的重要組成部分，例如，中醫藥管理局發布了聯合制定的《加強醫療衛生行風建設“九不準”》第六條”不準為商業目的統方”。

2) 信息安全等級保護要求

　　《信息安全等級保護管理辦法》 要求組織對信息系統分等級實行安全保護，其中明確要求計算機信息系統創建和維護受保護客體的訪問審計跟蹤記錄。

3. 傳統防護手段捉襟見肘

目前醫療行業還沒有很好的防統方措施來防范統方，而是通過傳統的手段，通過數據庫自身審計產生的日志來分析，但是核心數據庫自身的審計功能對數據庫性能影響較大，審計權限和操作權限也沒有分離，對這種數據庫自身審計產生的日志，分析工作繁瑣、人力投入大、審計信息易被篡改或泄漏等。

三、系統介紹

1、用戶登錄HIS系統后，進入主界面，在主界面的一級菜單中找到【防統方系統】菜單，“點擊”打開【HIS界面統方查詢】界面。

2、通過“查詢條件”可以查詢到一段時間內的詳細統方記錄，統方記錄顯示在右邊的網格中。

網格顯示的信息分別有“用戶”，“日期”，“類型”，“詳細消息”。通過查看“詳細消息”，可以看到詳細的統方記錄，相關工作人員可以根據其進行記錄和分析。

3、【后臺統方監控查詢】內容包括：

IP：跟蹤到的IP地址；

計算機名：根據IP地址獲取到用戶的計算機名稱；

警報等級：獲取后臺判斷的等級；

查詢時間：輸入的查詢時間；

數據庫用戶名：查詢登錄的數據庫用戶名；

查詢工具：獲取查詢工具的軟件版本；

查詢內容：后臺跟蹤的監控內容。

4、防統方維護：如果用戶登記的信息有變動的，可以對其進行修改或刪除。

5、防統方應用程序維護，可以增加應用程序信息，信息包括：應用程序名稱和用戶ID。如果用戶登記的應用程序信息有變動的，可以對其進行修改或刪除。

根據我們的防統方系統以及相關的審計報表，能夠幫助醫院防止醫院患者，醫院職工和交易記錄等信息泄露，滿足了醫院信息建設中的國家等級保護、醫院等級等合規性審計要求。

四、系統特色及作用　  

通過上述解決方案，有效解決了醫療行業在數據安全管理方面的需求：防止非法統方，審計記錄操作行為并輸出完整報告等等；行心數據庫審計解決方案給醫療行業用戶帶來的價值具體如下：

1) 對醫院的統方行為進行監控，防止醫院患者、醫院職工、交易記錄等信息泄露，防止醫院在經營、財務、科研、辦公等方面的數據外泄，保護院方的核心利益。

2) 滿足了醫院信息建設中的國家等級保護、醫院定級等合規性審計要求。

3) 可對越權操作、違規操作實時監控并追根溯源。

4) 實現了防統方手段從制度約束到技術限制的跨越，使工作人員從技術上遠離統方禁區，有助于醫院行風建設，樹良好公眾形象。

5) 監控病患隱私信息、醫?？?、市民卡等儲值信息的異動，防止惡意充值、逃避繳費等，起到數據防泄密的多重效果，真正起到一次投資、重復利用的目的。

防統方系統界面演示