防统方系统技术方案.docx

《防统方系统技术方案.docx》由会员分享，可在线阅读，更多相关《防统方系统技术方案.docx（5页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、防统方系统技术方案一、概述“各级医院必须贯彻落实卫健委关于加强医院信息系统药品、高 值耗材统计功能管理的通知（卫办医发2007H63号），加强医院信 息系统药品、高值耗材统计功 能管理，防止为不正当商业目的统计 医师个人和临床科室有关药品、高值耗材用量信息。非正常统方行为 作为药耗回扣利益链条中的重要环节，既违反了卫健委八项行业纪 律，同时触犯了中华人民共和国刑法第285条第2款，将构成非法 获取计算机信息系统数据、非法控制、计算机信息系统罪。破坏了医 院良好的公众形象，减低了医院的社会满意度。这种行为严重影响医 院及医疗机构的社会形象。因此医院急需有效控制统方的手段。医院信息系统越来越庞大，

2、各业务系统关联性越来越复杂，对核 心资料的侵犯手段多种多样，目前医院防统方的手段只局限于依赖员 工职业道德并以双密码的用户认证方式进行约束，在国内还没有任何 单位能提供系统化、智能化的医院防统方服务，缺乏技术手段来杜绝 医院内的统方行为。防统方系统应实现对网络和本地的所有活动，包括用户、地址、 程序和操作内容进行完整全面的监控和记录，对审计记录结果能够方 便的保存，检索和查询，按需审计；提供对数据库访问进行统计和分 析，对数据库性能改进提供参考依据，使防统方手段实现了从制度约 束到技术实现的跨越。为确保医药资金平安，防止利用数据库信息进 行“统方”、擅自更改医院和病人信息数据等问题。二、数据平

3、安要求目前医院应用系统庞大，其中重要的系统为医院HIS系统，目前 HIS系统、电子病历系统以及其他应用系统都采用多层架构，其功能 模块可以动态加载，是一个以应用为驱动的信息平台；所有数据进行 统一存储、集中展示。医院防统方系统可与平台无缝集成，对业务不 产生任何影响。随着医院不同的业务系统之间数据共享的增多，核心数据的 平安成为信息平安的重点。保护数据平安，需要从以下几个方面考虑：1 .数据操作符合规范随着中国“塞班斯法案”一企业内部控制基本规范的实施， 数据平安就已经成为企业信息平安中的重点。对于敏感数据做合规性 审查，及时发现嫌疑对象，记录相关的操作信息。2 .确保数据平安核心数据是医院业

4、务系统的基础，确保数据完整性和平安性相当 重要。诸多因素包括密码平安性较差，错误的配置、未被发觉的系统 后门等，使系统数据平安存在巨大隐患。3 .违规操作可监控对于数据库合法用户的违规操作，非授权用户的访问，以及内部 用户对关键、敏感数据资源的故意泄露或破坏等问题，对医院带来的 危害会更加严重，损失也会更加巨大。4 .数据操作可追溯当产生数据平安问题时，为了寻找事件线索，回溯事件过程、快 速查证。5 .智能阻断数据访问当发现核心数据被非正常访问时，及时根据预设策略阻断访问。医院防统方系统，通过对医院核心数据的“信息活动”实时地进 行监控，使管理者能够及时掌握数据的应用情况，及时发现用户的使 用

5、问题，纠正存在的平安隐患，预防应用平安事件的发生。防统方系统能够对网络和本地的所有活动，包括用户、时间和操 作内容及方式进行完整全面的监控和记录，并对数据访问进行统计和 分析，应用独特的业务活动分析技术可以区分真正的攻击与无害的用 户行为变化，特有的阻断技术为数据提供实时保护，防止利用数据 库信息进行“统方”、医患数据外泄、擅自篡改医院和病人信息数据 等问题。系统采用加密传输机制，防止可能存在地嗅探行为，保证系 统的平安。医院防统方系统的应用流程处理通常遵循如以下图所示的流程：医院防统方系统主要使用以下方法：1 .用户行为记录：记录用户所有的操作（业务访问、系统维护、策 略配置等）；.网络活动

6、审计：采集网络数据包，通过协议解析还原网络活动并记录;.重点监控对象：进行细粒度的行为记录与分析。2 .疑似统方通知：针对可疑对象，疑似统方行为，提供多种方式实 时通知。3 .可疑对象定位：可以精确定位可疑对象的物理位置。4 .阻断可疑会话：甄别数据访问，阻止非正常数据会话。5 .行为审计报告：根据日常行为生成审计报告。医院防统方系统从业务流程角度入手，结合核心数据特征，提供 了高度集成的“事前+事中+事后”数据防护手段。医院防统方系统可为 Oracle, MS-SQL、DB2、MYSQL、POSTGRESQL 和Sybase数据库提供自动化评估、审计和保护功能。动态建模技术 可自动创立数据库

7、使用业务模型，和细化到访问系统数据库的每个用 户的查询级别的平安策略。详细的数据库操作和报告功能使得查询更 方便，且不会对数据库性能产生任何影响。独特的业务活动分析和相 关性技术可将真正的攻击与无害的用户行为变化别离开来，从而提供 实时保护。三、应用要求医院的核心网络中使用核心交换机，医院防统方系统部署在医院 网络的核心层，核心交换机翻开一个数据镜像端口与防统方系统进行 连接，医院防统方系统接收交换机发送过来的流向各个系统的数据， 进行解析、筛选、记录。通过防统方系统的解析引擎，针对所有的数据进行深度的挖掘并 解析，同时结合管理员的设置，筛选记录统方行为，提供访问关键系 统的IP地址、MAC地

8、址、访问时间、针对系统的操作行为详细的操 作内容，在一定的条件下，医院防统方系统可以根据源/目的IP地址、 源/目的MAC地址、访问时间、访问内容等条件对系统访问进行阻断 操作，从而到达控制客户端对非授权应用系统的访问。1、防止管理员权限滥用能够对各级管理员的操作行为进行审计并还原出与操作相关的 各项信息，且能够提供多角度、全方位报警策略制定与响应机制。2、降低维护人员的平安隐患监测维护人员的操作行为，对其操作内容进行详细记录，为统 方行为的溯源提供保证。3、关注业务操作风险监测系统业务操作行为，分析业务操作流程，评估业务操作风 险。4、保护重要数据平安以保障重要数据的平安为出发点，完整记录、分析对关键数据 的查询、变更、删除等操作。5、保障业务连续性控制非法终端对系统的访问，保障业务连续性.乙方提供为期壹年的24小时全天候技术支持，服务范围包括故 障维护和软件版本以及统方知识库的升级。乙方负责系统的调试和参数配置，乙方保证甲方的正常使用。并负责对甲方的技戊人员进行培训，使得甲方能够独立操作此系统。乙方提供的技术服务不能满足甲方的需求，每延迟1日，按合 同总额的0. 4%支付违约金。