SOLUTIONS解決方案
當(dāng)前位置: 首頁 > 解決方案
醫(yī)療行業(yè)解決方案
醫(yī)療行業(yè)防統(tǒng)方系統(tǒng)解決方案
隨著醫(yī)院信息化的迅猛發(fā)展,信息的高度集中使得核心數(shù)據(jù)泄密的隱患也越來越突出,在利益的驅(qū)使下非法統(tǒng)方行為時(shí)有發(fā)生,嚴(yán)重影響了醫(yī)院的公眾形象,也嚴(yán)重?fù)p害了患者的利益。鑒于問題嚴(yán)重性,衛(wèi)生管理部分也引起了高度的重視,多數(shù)醫(yī)院也采取了“教育為先、制度為主”的管理手段,但還是難以達(dá)到預(yù)期效果。
通過對(duì)多家醫(yī)院的實(shí)際情況調(diào)研,目前醫(yī)院主要面臨的問題是:
● 核心數(shù)據(jù)維護(hù)人員越來越多,既有本院相關(guān)業(yè)務(wù)科室信息維護(hù)人員,也有系統(tǒng)開發(fā)商、第三方運(yùn)維外包公司;
● 非法統(tǒng)方手段專業(yè)化,由早期的手工統(tǒng)方轉(zhuǎn)變成專業(yè)的統(tǒng)方軟件,只需要在醫(yī)院任何一臺(tái)電腦上運(yùn)行程序,就可以非常快捷的完成統(tǒng)方;
● 非法統(tǒng)方手段多樣化,醫(yī)生統(tǒng)方、藥房統(tǒng)方、護(hù)士統(tǒng)方、信息科統(tǒng)方、開發(fā)商外包人員統(tǒng)方等多種手段并存,且隱蔽性越來越強(qiáng);
● 醫(yī)院管理制度難以落實(shí),過分依賴于人員的“自覺性、道德水平”,缺少技術(shù)監(jiān)管手段;
● 缺少專業(yè)的、智能化、簡單易用的醫(yī)療防統(tǒng)方系統(tǒng),紀(jì)監(jiān)部門過分依賴于信息部門的專業(yè)人士進(jìn)行分析,喪失了主動(dòng)判斷權(quán);
2. 安恒解決方案
安恒結(jié)合自己多年在醫(yī)療衛(wèi)生、運(yùn)營商、金融、政府、企業(yè)的敏感信息泄漏防護(hù)領(lǐng)域的經(jīng)驗(yàn),并對(duì)數(shù)十家醫(yī)院的實(shí)際情況調(diào)研、實(shí)施經(jīng)驗(yàn)總結(jié),形成了一套有效的防統(tǒng)方解決方案。
● 風(fēng)險(xiǎn)評(píng)估、安全服務(wù)、身份認(rèn)證,保障HIS系統(tǒng)數(shù)據(jù)庫安全;
● 動(dòng)態(tài)建模,輕松、智能識(shí)別統(tǒng)方行為;
● 醫(yī)療行業(yè)規(guī)則包,真正貼合用戶需求;
● 智能、簡單的報(bào)表系統(tǒng),符合紀(jì)監(jiān)、糾風(fēng)辦等使用習(xí)慣,解決對(duì)信息專業(yè)人員的依賴問題;
● 數(shù)據(jù)庫請(qǐng)求和返回結(jié)果雙向?qū)徲?jì),根據(jù)準(zhǔn)確的定位違規(guī)統(tǒng)方行為;
● 分布式部署模式,滿足衛(wèi)生管理部門統(tǒng)一監(jiān)管需求,實(shí)時(shí)將各醫(yī)院違規(guī)信息統(tǒng)一發(fā)送到衛(wèi)生管理部門,保障證據(jù)的權(quán)威性;
3. 方案特點(diǎn)
風(fēng)險(xiǎn)評(píng)估,建立安全HIS數(shù)據(jù)庫
利用安恒全球首創(chuàng)、擁有完全自主知識(shí)產(chǎn)權(quán)的數(shù)據(jù)庫弱點(diǎn)掃描器,定期對(duì)HIS系統(tǒng)數(shù)據(jù)庫進(jìn)行安全掃描,可以識(shí)別SQL注入、訪問權(quán)限繞過、提權(quán)漏洞、權(quán)限過大等幾百種漏洞和不安全配置,并提供專業(yè)的分析報(bào)告和安全加固建議。防止不法人員破解數(shù)據(jù)庫密碼,入侵HIS系統(tǒng)數(shù)據(jù)庫服務(wù)器等方式的非法統(tǒng)方行為。
動(dòng)態(tài)建模,智能識(shí)別統(tǒng)方行為
動(dòng)態(tài)建模即根據(jù)歷史的數(shù)據(jù)庫訪問情況,建立一套HIS系統(tǒng)數(shù)據(jù)庫的用戶訪問行為模型,包括帳號(hào)、IP地址、客戶端工具、SQL語句、返回結(jié)果等成千上萬個(gè)動(dòng)態(tài)元素,而且可以根據(jù)數(shù)據(jù)庫的變化情況持續(xù)更新。當(dāng)有新的行為發(fā)生時(shí)系統(tǒng)通過高效的算法比對(duì)模型的各種參數(shù),然后根據(jù)其與模型的偏離情況來智能識(shí)別統(tǒng)方行為。
下圖中:發(fā)現(xiàn)一個(gè)人在非工作時(shí)間用一個(gè)高權(quán)限帳號(hào)、通過一個(gè)陌生的客戶端程序連接了數(shù)據(jù)庫,而且發(fā)現(xiàn)查詢了“藥品名稱、藥品數(shù)量、醫(yī)生”等敏感統(tǒng)方信息,還導(dǎo)出了幾萬行敏感信息。通過與用戶行為比較發(fā)現(xiàn),與模型偏離程度非常大,這個(gè)很可能就是一個(gè)違規(guī)統(tǒng)方行為。
醫(yī)療行業(yè)規(guī)則包,真正貼合用戶需求
結(jié)合數(shù)十家醫(yī)院的實(shí)施經(jīng)驗(yàn),形成了豐富的防統(tǒng)方知識(shí)庫,通過強(qiáng)大、細(xì)粒度的規(guī)則設(shè)置功能,形成了醫(yī)療行業(yè)防統(tǒng)方規(guī)則包,準(zhǔn)確識(shí)別非法統(tǒng)方行為。解決統(tǒng)方行為特征提取困難、規(guī)則設(shè)置難度大、規(guī)則誤告警等問題,幫助客戶輕松部署防統(tǒng)方系統(tǒng)。
簡易報(bào)表、豐富告警,紀(jì)監(jiān)部門及時(shí)掌握違規(guī)行為
安恒防統(tǒng)方系統(tǒng)內(nèi)置60多種報(bào)表,分為紀(jì)監(jiān)部門、數(shù)據(jù)庫管理員等不同級(jí)別的報(bào)表,可以通過餅圖、柱狀圖、曲線圖等多種形式直觀展示。符合紀(jì)監(jiān)、糾風(fēng)辦等使用習(xí)慣,解決對(duì)信息專業(yè)人員的依賴問題;更關(guān)鍵的是我們可以生成綜合性的報(bào)告,一鍵生產(chǎn)的報(bào)告就可以直接滿足等級(jí)保護(hù)、塞班斯(SOX)法案等法律法規(guī)的要求。
分布式部署,統(tǒng)一監(jiān)控確保證據(jù)權(quán)威性
衛(wèi)生管理部門(衛(wèi)生廳、衛(wèi)生局)有需要對(duì)下轄的各個(gè)醫(yī)院的非法統(tǒng)方行為進(jìn)行監(jiān)管,需要及時(shí)準(zhǔn)確的掌握各個(gè)醫(yī)院的違規(guī)情況。安恒防統(tǒng)方系統(tǒng)能夠支持分布式部署,可以很好的滿足衛(wèi)生部門的監(jiān)管需求。
首先在各個(gè)醫(yī)院部署一套防統(tǒng)方系統(tǒng),同時(shí)也在衛(wèi)生管理部門部署一套管理中心。然后通過管理中心對(duì)各家醫(yī)院的系統(tǒng)進(jìn)行統(tǒng)一的監(jiān)管和控制,通過管理中心下發(fā)統(tǒng)一的防統(tǒng)方策略,一旦哪家醫(yī)院發(fā)現(xiàn)違規(guī)行為,就會(huì)通過機(jī)密協(xié)議立刻上傳到管理中心上,郵件、短信等豐富告警方式讓紀(jì)監(jiān)部門第一時(shí)間掌握非法統(tǒng)方行為。
同理在醫(yī)院總部也可以采用同樣方案,及時(shí)監(jiān)管各分院的違規(guī)情況。
4. 部分客戶案例
● 中日友好醫(yī)院
● 北京市腫瘤醫(yī)院
● 北京大學(xué)深圳醫(yī)院
● 浙江省衛(wèi)生廳
● 解放軍307醫(yī)院
● 北京市佑安醫(yī)院
● 上海市第一婦嬰保健院
● 河南省人民醫(yī)院
● 武漢市中心醫(yī)院
● 金華市中心醫(yī)院
● 杭州市中醫(yī)院
● 杭州市第三人民醫(yī)院
● 杭州市第七人民醫(yī)院
● 嵊州市人民醫(yī)院
● 中山市陳星海醫(yī)院
● 中山市小欖人民醫(yī)院
● 淄博市第一人民醫(yī)院
● 濱州醫(yī)學(xué)院附屬醫(yī)院
● 山東中醫(yī)藥大學(xué)附屬醫(yī)院
● 閔行區(qū)中心醫(yī)院
● 上海市第五人民醫(yī)院
● 嵊州中醫(yī)院
● 桐鄉(xiāng)市衛(wèi)生局
