成都大学附属医院防统方公示
㈠ 近几年,“统方”事件频频发生,对医院造成了很大的损失,不知道国内现在有没有专门针对防统方的软件
这种软件国内应该有,你可以在网上调研一下,如果想遏制“统方”发生,我建议最好使用那种可以“主动防御”的防统方软件。最近听一个在医院工作的朋友说有个“安华金和数据库保险箱”挺火的,说是国内首个主动预防型防统方产品,他们正打算采购这个产品,你可以去调研一下,希望对你有所帮助
㈡ 杭州美创科技医院防统方与网络审计的区别拜托各位大神
主要区别在于以下两点: (1)、阻断性防御 美创科技的防统方产品依据预先配置的规则对于非法统方进行阻断,而网络审计类产品一般仅仅可以进行事后审计。 (2)、针对真实员工身份的访问控制 美创科技的防统方产品可以针对员工,比如医生,信息科人员的真实信息进行授权管理和安全审计。在识别真实身份的基础上,无论是统方操作还是统方审计都可以追踪到真实人员,从而方便管理。
㈢ 医院防统方软件是通过什么手段防止统方泄漏的
我认为医院防止统方数据泄漏关键在于实现 事先阻断 。 杭州美创科技防统方软件解决方案从 事先防范——事中审批——及时通知——事后审计 四个方面构建,来满足医院和卫生部门对防统方的安全要求。 美创科技防统方解决方案已经在华东地区多家大型医院成功实施,并赢得了卫生局和医院领导的赞誉。
㈣ 感觉用审计产品来防统方效果不好,有防统方产品能够做到事先阻断吗
盗取统方数据的手段层出不穷,要保护统方数据就要从事先、事中、事后三个方面来进行全方位的防控。对于一些“高手”来说获取统方数据也就是几秒钟的事情,事后审计即使能够审计到,也无法阻止这些人偷盗行为,最终还是会给医院和相关的人员造成非常坏的影响。所以防统方还是要从事先预防和自动阻断入手,事先把包括处方表、药品数据表、患者信息表、临床诊疗过程相关数据表等敏感数据保护起来,把访问这些敏感数据的应用程序、人、终端(IP和MAC地址)等要素都保护起来,防止非法的人、终端、应用等访问到敏感数据。
而对于像药剂科这些业务科室,需要做合法统方时,主要利用“USBKEY”和“授权审批”相结合的手段来进行随时控制。要进行合法统方必须是具有“USBKEY”人,经过纪检部门或院领导的授权之后才可以执行,这样纪委对每次统方行为都能及时掌握并且可以随时阻断。
美创防统方系统会把“异常或敏感事件”通过短信、邮件等多种方式第一时间发给相关领导,同时根据威胁的程度进行不同级别的警告,防止误报。会发出短信或邮件警告的事件主要有:
1、 访问者身份非法,访问时间非法,接入的IP或MAC地址非法、访问的应用程序非法等等
2、 访问者执行了系统规则库中SQL白名单中的语句,不管是操作被阻断或者成功执行都会警告
美创防统方通过事先预防、自动阻断来真正防止统方数据泄露,而事后审计只能在数据被偷取,危害已经造成的情况下提供相应的证据。采用事先防范、自动阻断的方式来保护统方数据,因为非法统方行为会被自动阻断,统方数据不会被窃取,所以对于医院和医院内部人员来说也是一种保护。
㈤ 医院防统方软件是通过什么手段防止统方泄漏的
医院防统方软件是通过事先防范--事中审批--及时通知--事后审计四个方面构建,来满足医院和卫生部门对防统方的安全要求.
防统方解决方案体系包含如下:
(1)以事先防范构筑"统方"防御体系
禁止当前频繁发生的商业统方以及任意非法统方行为。
(2)以事中授权和审批保障"统方"安全
禁止非法统方,确保合法统方经过USB授权可以识别统方和操作人一一关联。
(3)事中及时通知可疑"统方"行为
针对统方数据的操作,不论统方是合法或非法,均在第一时间通过多种渠道发布通知,发现可疑"统方"行为。
(4)全面的事后审计
以事后审计追踪非法"统方"事件,不论统方是合法或非法,所有操作均记录在审计信息内,详尽的海量审计信息为惩戒提供了精细的证据。
㈥ 防统方和数据库审计是互为补充吗具体有什么区别
是的,防统方和数据库审计系统是互为补充的,这是因为防统方系统与数据库审计系统分别承担了不同的审计任务。
防统方系统内置了针对医药信息的规则库,以此审计违规统方的访问行为,所针对的是防医疗腐败、医疗回扣问题。防统方系统涵盖的范围虽相对较小,但内置了很多对应的规则,更具有针对性,也更为专业。
数据库审计系统审计范围更广。除了用药信息之外,医院还存储着大量医疗影像信息、患者就医信息、实验室信息、电子病历等重要数据,数据库审计保护的对象是医院的核心数据,目的为防止信息泄露。
因此两者需在医院信息系统中配合使用才能达到全面防护医院信息安全的效果。
㈦ 防统方的简介
“统方”是建立医药回扣黑链的重要一环,是国家和媒体关注的重要社会焦点问题。
数据库由于存储着大量的用药和医疗设备采购信息,历来是医药代表进行“统方”的有效途径;当前,已经发生多起医药代表与医院信息科人员勾结,实现“统方”的案件:
2005-2008年海宁某医院信息科信息管理员王力,通过医生用药数据库中的药品及医疗设备的采购资料、医生用药量等信息资料,向药品经销商沈某、方某等人出售“统方”信息,共获得14万元。
2008-2010年1月杭州某医院计算机网络中心副主任金某与职员林某,向药品销售商李某等人出售“统方”信息,共获得13万元。

㈧ 防统方的防“统方”需求分析
在医院HIS系统中,至少存在以下数据库安全漏洞,能导致非法“统方”行为发生: 当前医院的HIS系统是一个统一的应用平台,集中了处方统计分析业务、处方查询(药剂科),以及挂号、病历、诊疗信息管理等核心业务模块,这些模块共用同一个数据库用户。这种方案存在三个问题:
(1)绕开应用系统直接访问数据库中的统方数据:该数据库用户由于未采用有效的保护措施,可以通过该用户直接访问数据库,从而造成数据库内统方信息的泄密;
(2)利用处方查询业务中的合法数据库用户身份,在应用中进行间接“统方”
对于药剂科的处方查询、处方打印操作,本身就需要具备查看处方中的药品、医生名称、药品数量等关键信息的权限。合法的业务操作是基于处方编号进行精确查询,仅能返回特定处方的信息。但如果应用系统的开发控制不严,被人为篡改查询语句或植入按时间范围、按医生及药品名称进行批量查询的报表,则能够迅速地获取批量处方信息,间接地完成“统方”。
(3)无法进行 :由于不同模块公用同一数据库用户访问数据,无法有效的限定数据库用户的访问能力,特别是处方统计分析业务和处方查询的区别管理。 DBA及系统维护人员的权限过高,可以访问所有处方数据。
SYS等超级用户、DBA用户,以及维护人员的数据库用户,具备了访问所有数据的权限;从而使毫无业务需要的DBA及维护人员能够访问所有处方数据,具备“统方”的最佳途径。 由于数据库中的数据是以明文的形式存储在数据库中,从网络中的文件处理层将数据库文件拷贝走,可以获得所有统方信息,完成“统方”。
存储设备丢失、数据文件被窃取都会引起的批量处方信息泄露。

㈨ 现在国内大部分医院都在用His系统,统方问题不可避免,国内有没有好的防统方软件啊
这种软件国内应该有,你可以在网上调研一下,如果想遏制“统方”发生,我建议最好使用那种可以“主动防御”的防统方软件。最近听一个在医院工作的朋友说有个“安华金和数据库保险箱”挺火的,说是国内首个主动预防型防统方产品,他们正打算采购这个产品,你可以去调研一下,希望对你有所帮助
㈩ 医院领导想上一套防统方系统,麻烦各位大侠推荐一下!
我也是医院的。防统方时纪委抓的项目,数据库审计肯定不行的,上次我们也试用过。但纪委不相信我们提供的审计报告,怕我们做过手脚。要求必须由他们来全面监控才行。直接否决。
