成都大學附屬醫院防統方公示
㈠ 近幾年,「統方」事件頻頻發生,對醫院造成了很大的損失,不知道國內現在有沒有專門針對防統方的軟體
這種軟體國內應該有,你可以在網上調研一下,如果想遏制「統方」發生,我建議最好使用那種可以「主動防禦」的防統方軟體。最近聽一個在醫院工作的朋友說有個「安華金和資料庫保險箱」挺火的,說是國內首個主動預防型防統方產品,他們正打算采購這個產品,你可以去調研一下,希望對你有所幫助
㈡ 杭州美創科技醫院防統方與網路審計的區別拜託各位大神
主要區別在於以下兩點: (1)、阻斷性防禦 美創科技的防統方產品依據預先配置的規則對於非法統方進行阻斷,而網路審計類產品一般僅僅可以進行事後審計。 (2)、針對真實員工身份的訪問控制 美創科技的防統方產品可以針對員工,比如醫生,信息科人員的真實信息進行授權管理和安全審計。在識別真實身份的基礎上,無論是統方操作還是統方審計都可以追蹤到真實人員,從而方便管理。
㈢ 醫院防統方軟體是通過什麼手段防止統方泄漏的
我認為醫院防止統方數據泄漏關鍵在於實現 事先阻斷 。 杭州美創科技防統方軟體解決方案從 事先防範——事中審批——及時通知——事後審計 四個方面構建,來滿足醫院和衛生部門對防統方的安全要求。 美創科技防統方解決方案已經在華東地區多家大型醫院成功實施,並贏得了衛生局和醫院領導的贊譽。
㈣ 感覺用審計產品來防統方效果不好,有防統方產品能夠做到事先阻斷嗎
盜取統方數據的手段層出不窮,要保護統方數據就要從事先、事中、事後三個方面來進行全方位的防控。對於一些「高手」來說獲取統方數據也就是幾秒鍾的事情,事後審計即使能夠審計到,也無法阻止這些人偷盜行為,最終還是會給醫院和相關的人員造成非常壞的影響。所以防統方還是要從事先預防和自動阻斷入手,事先把包括處方表、葯品數據表、患者信息表、臨床診療過程相關數據表等敏感數據保護起來,把訪問這些敏感數據的應用程序、人、終端(IP和MAC地址)等要素都保護起來,防止非法的人、終端、應用等訪問到敏感數據。
而對於像葯劑科這些業務科室,需要做合法統方時,主要利用「USBKEY」和「授權審批」相結合的手段來進行隨時控制。要進行合法統方必須是具有「USBKEY」人,經過紀檢部門或院領導的授權之後才可以執行,這樣紀委對每次統方行為都能及時掌握並且可以隨時阻斷。
美創防統方系統會把「異常或敏感事件」通過簡訊、郵件等多種方式第一時間發給相關領導,同時根據威脅的程度進行不同級別的警告,防止誤報。會發出簡訊或郵件警告的事件主要有:
1、 訪問者身份非法,訪問時間非法,接入的IP或MAC地址非法、訪問的應用程序非法等等
2、 訪問者執行了系統規則庫中SQL白名單中的語句,不管是操作被阻斷或者成功執行都會警告
美創防統方通過事先預防、自動阻斷來真正防止統方數據泄露,而事後審計只能在數據被偷取,危害已經造成的情況下提供相應的證據。採用事先防範、自動阻斷的方式來保護統方數據,因為非法統方行為會被自動阻斷,統方數據不會被竊取,所以對於醫院和醫院內部人員來說也是一種保護。
㈤ 醫院防統方軟體是通過什麼手段防止統方泄漏的
醫院防統方軟體是通過事先防範--事中審批--及時通知--事後審計四個方面構建,來滿足醫院和衛生部門對防統方的安全要求.
防統方解決方案體系包含如下:
(1)以事先防範構築"統方"防禦體系
禁止當前頻繁發生的商業統方以及任意非法統方行為。
(2)以事中授權和審批保障"統方"安全
禁止非法統方,確保合法統方經過USB授權可以識別統方和操作人一一關聯。
(3)事中及時通知可疑"統方"行為
針對統方數據的操作,不論統方是合法或非法,均在第一時間通過多種渠道發布通知,發現可疑"統方"行為。
(4)全面的事後審計
以事後審計追蹤非法"統方"事件,不論統方是合法或非法,所有操作均記錄在審計信息內,詳盡的海量審計信息為懲戒提供了精細的證據。
㈥ 防統方和資料庫審計是互為補充嗎具體有什麼區別
是的,防統方和資料庫審計系統是互為補充的,這是因為防統方系統與資料庫審計系統分別承擔了不同的審計任務。
防統方系統內置了針對醫葯信息的規則庫,以此審計違規統方的訪問行為,所針對的是防醫療腐敗、醫療回扣問題。防統方系統涵蓋的范圍雖相對較小,但內置了很多對應的規則,更具有針對性,也更為專業。
資料庫審計系統審計范圍更廣。除了用葯信息之外,醫院還存儲著大量醫療影像信息、患者就醫信息、實驗室信息、電子病歷等重要數據,資料庫審計保護的對象是醫院的核心數據,目的為防止信息泄露。
因此兩者需在醫院信息系統中配合使用才能達到全面防護醫院信息安全的效果。
㈦ 防統方的簡介
「統方」是建立醫葯回扣黑鏈的重要一環,是國家和媒體關注的重要社會焦點問題。
資料庫由於存儲著大量的用葯和醫療設備采購信息,歷來是醫葯代表進行「統方」的有效途徑;當前,已經發生多起醫葯代表與醫院信息科人員勾結,實現「統方」的案件:
2005-2008年海寧某醫院信息科信息管理員王力,通過醫生用葯資料庫中的葯品及醫療設備的采購資料、醫生用葯量等信息資料,向葯品經銷商沈某、方某等人出售「統方」信息,共獲得14萬元。
2008-2010年1月杭州某醫院計算機網路中心副主任金某與職員林某,向葯品銷售商李某等人出售「統方」信息,共獲得13萬元。

㈧ 防統方的防「統方」需求分析
在醫院HIS系統中,至少存在以下資料庫安全漏洞,能導致非法「統方」行為發生: 當前醫院的HIS系統是一個統一的應用平台,集中了處方統計分析業務、處方查詢(葯劑科),以及掛號、病歷、診療信息管理等核心業務模塊,這些模塊共用同一個資料庫用戶。這種方案存在三個問題:
(1)繞開應用系統直接訪問資料庫中的統方數據:該資料庫用戶由於未採用有效的保護措施,可以通過該用戶直接訪問資料庫,從而造成資料庫內統方信息的泄密;
(2)利用處方查詢業務中的合法資料庫用戶身份,在應用中進行間接「統方」
對於葯劑科的處方查詢、處方列印操作,本身就需要具備查看處方中的葯品、醫生名稱、葯品數量等關鍵信息的許可權。合法的業務操作是基於處方編號進行精確查詢,僅能返回特定處方的信息。但如果應用系統的開發控制不嚴,被人為篡改查詢語句或植入按時間范圍、按醫生及葯品名稱進行批量查詢的報表,則能夠迅速地獲取批量處方信息,間接地完成「統方」。
(3)無法進行 :由於不同模塊公用同一資料庫用戶訪問數據,無法有效的限定資料庫用戶的訪問能力,特別是處方統計分析業務和處方查詢的區別管理。 DBA及系統維護人員的許可權過高,可以訪問所有處方數據。
SYS等超級用戶、DBA用戶,以及維護人員的資料庫用戶,具備了訪問所有數據的許可權;從而使毫無業務需要的DBA及維護人員能夠訪問所有處方數據,具備「統方」的最佳途徑。 由於資料庫中的數據是以明文的形式存儲在資料庫中,從網路中的文件處理層將資料庫文件拷貝走,可以獲得所有統方信息,完成「統方」。
存儲設備丟失、數據文件被竊取都會引起的批量處方信息泄露。

㈨ 現在國內大部分醫院都在用His系統,統方問題不可避免,國內有沒有好的防統方軟體啊
這種軟體國內應該有,你可以在網上調研一下,如果想遏制「統方」發生,我建議最好使用那種可以「主動防禦」的防統方軟體。最近聽一個在醫院工作的朋友說有個「安華金和資料庫保險箱」挺火的,說是國內首個主動預防型防統方產品,他們正打算采購這個產品,你可以去調研一下,希望對你有所幫助
㈩ 醫院領導想上一套防統方系統,麻煩各位大俠推薦一下!
我也是醫院的。防統方時紀委抓的項目,資料庫審計肯定不行的,上次我們也試用過。但紀委不相信我們提供的審計報告,怕我們做過手腳。要求必須由他們來全面監控才行。直接否決。
