医院防统方解决方案.pdfVIP

医院防统方解决方案 医院防统方解决方案 背景情况 什么是统方 “统方”是医院对医生用药信息量的统计。所谓为商业目的“统方”，是指 为医药营销人员提供医生或部门一定时期内临床用药量信息，供其发放药品回 扣的行为。在医院全面信息化的今天，“统方”常采用入侵医院信息系统，对数 据库进行窃取的方式进行。 统方的严重危害 违规统方的危害非常大。医药企业的营销人员通过统方掌握医院药品使用 信息，并以此为依据向有关人员送“回扣”，促销自己代理销售的产品。医药“回 扣”腐蚀医务人员及相关管理人员，其后果是严重扰乱医院医疗秩序，败坏医 德医风，进一步造成病人“看病难、看病贵”等问题。 防止统方的相关文件、法规 卫生部《关于进一步深化治理医药购销领域商业贿赂工作的通知》（卫办发 [2010]59号）要求：“各级卫生行政部门和各类医疗机构要结合本地区本单位实 际，研究制订贯彻落实卫生部《关于加强医院信息系统药品、高值耗材统计功 能管理的通知》（卫办医发[2007]163 号）的具体办法，采取切实有效措施，加 强医院信息系统药品、高值耗材统计功能管理，避免为不正当商业目的统计医 师个人和临床科室有关药品、高值耗材用量信息。要对医院各个部门通过计算 机网络查询医院信息的权限实行分级管理，对医院信息系统中有关药品、高值 耗材使用等信息实行专人负责、加密管理，严格统方权限和审批程序，未经批 准不得统方，严禁为商业目的统方。各级卫生行政部门要加大对辖区内医疗机 构统方行为的监督检查力度。对未落实统方管理要求的医疗机构，要责令其限 期整改，尽快建立健全有关管理制度。对于违反规定，未经批准擅自统方或者 为商业目的统方的，不仅要对当事人从严处理，而且还要严肃追究医院有关领 导和科室负责人的责任。” 2011 年福建省卫生厅发布《关于进一步强化医院信息系统安全防护措施的 通知》中则强调：“要加强我省各级医疗机构信息系统安全管理，消除隐患，堵 塞漏洞，化解风险，确保我省医疗机构信息系统安全可靠，医疗秩序稳定有序；” 需求分析 “统方”可能的来源分为三部分，包括： (一) 院外人员非法接入医院网络后，入侵数据库，对数据库中的药品表 等关键表进行窃取； (二) 院内人员通过药房、医生工作站等终端，利用职权进行违规操作， 对统方数据进行窃取； (三) 第三方开发人员由于长期驻点医院，且其熟悉应用系统架构，可利 用其优势对数据库系统进行越权操作，盗取统方数据； 上述非法统方行为能够成功，主要因为医院信息系统在多个层面存在诸多 “弱点”，给犯罪分子提供了可乘之机，例如：  网络权限不合理，未对网络中各区域的权限进行明确定义和对跨区域的访问 进行控制，导致犯罪分子进入网络后能够访问网络中的几乎所有资源，为其 进行攻击、入侵、窃取等黑客行为提供了条件。  网络接入无控制，导致任意人员、终端都可通过网络接口接入网络。  数据库操作权限不合理。目前，医院信息系统的运维行为、权限多采用粗放 式管理的方式，导致对数据库等重要系统的运维操作存在帐号共用、权限过 大等问题。  缺少对数据库操作行为进行审计的技术手段，导致在“统方”行为出现时， 无法在第一时间了解情况，也无法知道是何人在“非法统方”。 解决方案 可以看到，黑客能够成功入侵医院信息系统进行“统方”，是信息系统多个 层面的问题、漏洞导致的，因此医院在进行防“统方”建设时也必须从多个层 面对医院网络进行设计、改造。 运维管理区 核心服务器区 核心数据库 服务器 运维 黑盾安全审计数 人员 据中心 …… 黑盾堡垒机 黑盾安全 审计系统 接入交换机 黑盾准入安全 控制系统 黑盾防火墙 黑盾防火墙 应用开发区