醫院信息系統防統方技術(shù)策略論文

　　摘 要：隨著(zhù)信息產(chǎn)業(yè)的迅速發(fā)展，醫院的醫療業(yè)務(wù)和信息化日益緊密結合，使得醫院信息管理系統自身的安全性問(wèn)題愈發(fā)突出。目前，對數據庫的非法查詢(xún)如商業(yè)目的“統方”，嚴重影響了醫院的公眾形象，也嚴重損害了患者利益。為此，從技術(shù)角度來(lái)探討醫院信息系統防統方策略，通過(guò)事前權限管理防范、實(shí)時(shí)監控和審計追蹤等多種措施，來(lái)降低統方發(fā)生概率，從而促進(jìn)醫療服務(wù)工作健康快速發(fā)展。

　　關(guān)鍵詞：醫院信息系統;防統方;敏感數據

　　商業(yè)目的“統方”是建立醫藥回扣黑鏈的重要一環(huán)，是國家和媒體關(guān)注的重要社會(huì )焦點(diǎn)問(wèn)題，不僅嚴重影響了醫院的公眾形象，也嚴重損害了患者的利益。為滿(mǎn)足衛生部關(guān)于進(jìn)一步深化治理醫藥購銷(xiāo)領(lǐng)域商業(yè)賄賂的工作要求，促進(jìn)醫療服務(wù)工作健康快速發(fā)展，從技術(shù)角度來(lái)探討醫院信息系統防統方的策略。

　　1 醫院信息系統中存在的安全隱患

　　1.1 主機防護不完善

　　系統主機缺乏保護機制，前端沒(méi)有任何保護設備，即使安裝上保護設備，也僅能針對IP地址/端口等進(jìn)行保護，無(wú)法識別數據層的信息，同時(shí)也會(huì )影響整個(gè)系統的響應時(shí)間。操作系統或者應用軟件本身存在隱患，利用應用系統和中間件的各種安全漏洞尤其難于防范。

　　1.2 系統超級用戶(hù)管理不嚴

　　管理員賬戶(hù)和超級用戶(hù)賬號/密碼管理不嚴格，或者利用權限違規進(jìn)行數據操作，而且沒(méi)有相應的監管和記錄。

　　1.3 保密制度形同虛設

　　即使制定了嚴格的管理制度，也沒(méi)有行之有效的執行手段。

　　1.4 缺乏有效的數據監管

　　沒(méi)有有效的數據審核機制，敏感數據管理普遍存在安全策略的缺失。

　　1.5 敏感數據從內部流出

　　軟件供應商、服務(wù)外包、數據維護人員或院內人員利用軟件后門(mén)，或者職務(wù)便利獲取敏感數據，沒(méi)有一套完整、有效的技術(shù)手段對其進(jìn)行保護。

　　2 防統方的技術(shù)策略

　　通過(guò)引入第三方軟件防統方系統來(lái)對訪(fǎng)問(wèn)醫院信息系統的手段和數據進(jìn)行監控和控制，采用事前權限管理防范、實(shí)時(shí)監控報警和審計追蹤等手段，能有效降低非法統方發(fā)生概率，從而滿(mǎn)足醫院“教育為先、制度為主、技術(shù)為輔”多管齊下的管理要求。

　　2.1 防統方系統的部署

　　醫院防統方系統采用旁路部署方式，只需連接在醫院網(wǎng)絡(luò )核心交換機的數據鏡像端口上，不改變醫院原有網(wǎng)絡(luò )配置，針對主機的Telnet、FTP、SSH等訪(fǎng)問(wèn)行為進(jìn)行詳細記錄監控;針對特定的應用及客戶(hù)端主機，實(shí)現訪(fǎng)問(wèn)控制，禁止其訪(fǎng)問(wèn)敏感資源，從而保護醫院HIS系統，電子病歷系統等。

　　2.2 事前權限管理防范

　　為加強醫院信息系統藥品和耗材統計功能管理，信息科采取授權、加密、控制終端信息采集范圍等有效措施，對各個(gè)部門(mén)通過(guò)計算機網(wǎng)絡(luò )查詢(xún)醫院信息的權限實(shí)行分級管理。未獲授權和備案，任何部門(mén)和個(gè)人不得調用醫院信息系統與藥品有關(guān)的功能菜單。

　　2.3 實(shí)時(shí)監控報警和審計追蹤

　　根據統方操作常用語(yǔ)句和行為方式，制訂相應識別規則，對醫院應用系統中海量、無(wú)序的數據進(jìn)行整理分析，還原所有工作人員的操作，包括業(yè)務(wù)訪(fǎng)問(wèn)、系統維護、策略配置等。同時(shí)，建立一套HIS系統(醫院信息系統)數據庫的用戶(hù)訪(fǎng)問(wèn)行為模型，包括帳號、IP地址、客戶(hù)端工具、SQL語(yǔ)句、返回結果等成千上萬(wàn)的動(dòng)態(tài)元素，再結合管理員的設置，篩選記錄統方行為，并針對可疑統方行為在第一時(shí)間報警，并以短信、郵件、閃爍、網(wǎng)頁(yè)等多種形式加以提醒和警示。讓管理者在第一時(shí)間掌握誰(shuí)(who)在什么時(shí)刻(when)在哪里(where)使用什么工具(way)對數據庫進(jìn)行了哪些操作，拿走了哪些數據(what)。在一定條件下，防統方系統可以根據源/目的IP地址、源/目的MAC地址、訪(fǎng)問(wèn)時(shí)間、訪(fǎng)問(wèn)內容等條件對系統訪(fǎng)問(wèn)進(jìn)行阻斷操作，從而達到控制客戶(hù)端對非授權應用系統的訪(fǎng)問(wèn)。

　　3 防統方的應用成效

　　通過(guò)采取技術(shù)手段防統方系統來(lái)杜絕醫院內的統方行為，不僅實(shí)現了對各級管理員操作行為的審計，有效防止管理員的權限濫用，還為統方行為的溯源提供保證，降低了系統維護人員的安全隱患;不僅完整記錄、分析對敏感數據的查詢(xún)、變更、刪除等操作，保護重要數據的安全，還能控制非法終端對系統的訪(fǎng)問(wèn)，保障業(yè)務(wù)的連續性。

　　4 結 語(yǔ)

　　醫院信息安全的建設是醫院信息化建設的重要一環(huán)，對患者隱私、醫生用藥信息、財務(wù)信息等重要數據的保護，都是醫院安全運營(yíng)的保障。通過(guò)各種管理制度，技術(shù)手段對醫院的信息進(jìn)行保護，特別是防統方系統及利用審核機制事后對統方記錄進(jìn)行追查，是醫院信息安全建設的重要內容。

　　參考文獻

　　[1]賴(lài)煒,辛小霞,吳汝明,等.區域醫療信息共享平臺的數據審計研究[J].醫學(xué)信息學(xué)雜志,2010,31(12):14-17.

　　[2]綠盟科技.重新定位運維安全審計[J].網(wǎng)管員世界,2012(24):48-49.

　　[3]力竟成.醫院信息安全建設[J].計算機光盤(pán)軟件與應用,2012(15):14-15.

【醫院信息系統防統方技術(shù)策略論文】相關(guān)文章：

醫院組織文化建設策略研究論文03-15

醫院成本核算的問(wèn)題及策略論文11-14

水利施工技術(shù)改進(jìn)策略論文11-13

土壤重金屬污染治理的策略與技術(shù)論文02-22

信息系統應用論文03-21

高中信息技術(shù)教學(xué)策略探索論文02-18

路橋施工技術(shù)與質(zhì)量控制策略論文02-23

醫院財務(wù)成本控制策略論文03-11

計算機信息管理技術(shù)有效策略論文02-16