帕拉迪数据库审计产品专业专业技术具体专业专业技术工作方案.doc

二、技术方案 1、产品简介 帕拉迪数据库风险分析与安全监控审计系统(简称：DbXpert)作为国内外“流技术”数据库审计产品第一品牌，结合各类法案法规（如等级保护、企业内控管理、SOX法案、PCI等）对数据库审计的要求，运用当今最先进的流技术加以全协议解码，完成海量数据的完整审计与精准分析。 DbXpert以独立硬件审计、旁路监听的工作模式，完整的协议解读，灵活的审计策略配置，智能的建模白名单自学习机制，完整的数据库审计与操作回溯，实时的性能监控和快速精确的全文检索，解决各行业核心数据库所面临的“完整数据审计、越权使用、权限滥用、异常接入”等安全威胁，满足合规性要求。广泛适用于“金融、运营商、能源、医疗、教育、政府、税务、工商、社保、交通、企业及上市公司”等所有使用数据库的各个行业。 2、需求分析 （1）医院信息化建设遇到的挑战和需求 随着医疗卫生建设的重点逐渐转向信息化和数字化，国内越来越多的医院正加速实施基于信息化平台和医疗信息系统(HIS)的业务体系建设，以提高医院的服务水平与核心竞争力。我们可以明显的感受到，以电子病历为基础的医院信息平台的建立，以及一卡通的使用，提高了医务人员的工作效率，加快了病人就诊的速度，有效解决了群众看病难的问题。在医院信息化的过程中，开发了大量业务系统例如HIS、PACS、LIS、EMR及RIS，配置了大量的服务器、网络设备，而针对这些设备的使用、维护和安全保护等管理问题，直接影响到系统能否可靠持续运行，医院的医疗活动能否正常运作，事关重大。医院信息系统(Hospital Information System HIS)是医院重要的医疗信息基础设施，HIS系统一般以大型数据库（如Oracle数据库）系统为基础平台，由门诊挂号管理系统、医疗诊治系统、住院管理系统、计价收费管理系统、医疗器械管理系统、药房管理系统、病案管理系统、医疗科研系统以及OA系统等构成。HIS系统是总医院各项业务运行的重要支撑系统，它的特殊性决定了安全性要求极高，特别是HIS系统的核心——数据安全性的威胁体现在实际应用中，重点要考虑来自二个方面的安全风险：一是来自外部安全风险，利用弱口令设置、数据库系统漏洞，非授权进入HIS系统访问、拷贝和修改数据内容，甚至可以采用SQL注入，攻击数据库系统；另一个是内部安全风险，以合法授权身份进入HIS系统对数据进行非法的访问和操作。由于HIS系统庞大，系统的部分运行维护工作由软件开发商和系统集成商负责完成，因此该类维护人员通常具有系统权限，能够进入HIS系统，对系统的数据进行访问和操作。以上安全风险会引发HIS系统瘫痪、各种内部数据信息被泄露和篡改、涉密数据信息被窃取和失泄等信息安全事件发生。 （2）目前医院普遍存在的问题：1. 各个业务系统的核心数据维护人员越来越多，既有本院相关业务科室信息维护人员，也有系统开发商、第三方运维外包公司，安全管理难度比较大；2. 非法统方手段专业化，由早期的手工统方转变成专业的统方软件，只需要在医院任何一台电脑上运行程序，就可以非常快捷的完成统方；3. 非法统方手段多样化，医生统方、药房统方、护士统方、信息科统方、开发商外包人员统方等多种手段并存，且隐蔽性越来越强；4. 操作安全缺少技术监管手段，医院管理制度难以落实，过分依赖于人员的“自觉性、道德水平”；5. 因为许多防统方产品专业性太强，无法满足非IT专业人员对统方监管工具的易用性、直观性的要求，使医院的管理层医院和监察部门不易及时、准确地监管同方行为。 随着药物统方商业违法行为造成的社会影响越来越被关注，国家主管部门出台了反商业统方的相关法律和制度，对医疗系统提出明确管理责任要求：★ 2007年《关于加强医院信息系统药品、高值耗材统计功能管理的通知 》（卫 办医发[2007]163 号）★ 2010年《卫生部关于进一步深化治理医药购销领域商业贿赂工作的通知》---- 要对医院各个部门通过计算机网络查询医院信息的权限实行分级管理---- 对医院信息系统中有关药品、高值耗材使用等信息实行专人负责、加密管理，严格统方权限和审批程序，未经批准不得统方，严禁为商业目的统方。” 3、解决的问题 满足法案法规要求，顺利通过IT审计。 随着信息化的建设，安全性和标准化越来越被重视。特别来自监管部门，通过颁布各种法案法规以及相关指引，来加强企业内控。比如：政府行政事业单位或者是国有企业需要满足《信息系统安全等级保护基本要求》，国内上市公司需要执行《企业内部控制基本规范》，各行业合规性满足《银行业信息科技风险管理指引》、《证券公司内部控制指引》、《电力二次系统安全防护规定》等。 完整审计业务信息，重溯业务准确定责。 审计数据是否完整直接决定审计的成败，0.01%数据的丢失也不能完整重溯业务流。特