010-57298809
您的当前位置:主页 > 新闻动态 > 行业新闻 >

预防医院核心数据泄密,防“统方”有办法

时间:2019-10-29

一、时代背景

在大数据时代,数据的价值比金钱还高。为了保障数据不被外泄,很多企业设立层层防护,严防死守,但蜂拥而至的掘金者依旧猖獗,医疗行业更是备受其害。
医疗作为一个极其特殊的行业,集中了各类极具商业价值,高度敏感的数据。虽然国家三令五申,但还是有部分人员铤而走险,想要利用医院的数据库进行“掘金”!

二、安全事件

医院非常重视信息化的建设推进,在信息化建设过程中一度高歌猛进。日积月累,医院集中了大量的医患敏感信息和核心技术数据信息,而大环境下医疗行业非法统方的事件屡禁不止,内部管理性事件已逐步演变成群体性事件。
据泄露屡禁不绝。

2015年6月  一家无证经营的医药公司,被查出14人合伙私吞“统方费”80余万元;
2017年5月,广州医药圈爆出50多名医药以每种产品250-280元不等的价格向上游购买统方数据;
2019年5月,湄潭县中西医结合医院信息科原科长被指控在一年半内,收受陕西步长制药公司统方费费31万余元。

在医生的实际收入中,“统方”回扣是一个重要来源。统方回扣对医生群体的诱惑之大,外界常难以想象,其额度可达药品零售额的10%30%。而实际上,对于引入了信息化系统的现代医院,这种诱惑不仅仅发生在医生身上,还发生在第三方运维人员,开发人员以及披着神秘色彩的黑客。
三、“统方”泄漏途径

由于医院绝大部分业务都通过信息系统来处理,这就使内部统方的途径也变得多样化,药房、科室、信息中心任何一个能进入信息系统的终端都可能成为统方的途径。

1. 医生医嘱:医生每天的处方医嘱医生自己很清楚,而且系统记录在自己座位的电脑里。医生可以告诉下手人员,或者直接打开电脑让药代自己查看。

2. 药房统计:药房的系统就能记录到患者实际取药的数量,而且有处方开出的科室、医生信息,可以通过每天查医生的处方来统计。

3. 护士统方:负责领药的护士有每天准确的领药品数据,有的医药代表找到护士统方,每晚发送电子邮件,准确记录药品每天的用量。

4. 科室电脑:通过科室电脑或者科主任查询获取整个科室的用药统方数据。

5. 医院信息科:此处是医院信息的总汇处。不少医院的信息科的统方人员成为药企营销人员的重点对象,每月可以拿到回扣数万甚至十几万,可能高出临床医生。

6. 电脑黑客:如果医院不配合提供统方,那么医药代表可能会雇佣黑客进入医院系统获取统方。外部黑客攻击也正逐渐成为非法获取统方行为的一种手段。黑客策划、指挥同伙,利用计算机黑客软件程序非法入侵医院药库系统,秘密获取医务人员数据和病人账单医嘱表明细数据信息,然后,将窃取的数据储存到家中电脑硬盘,并根据医药代表要求,将医院医生用药信息数据整理统计后,通过邮件发送出售给医药代表获利。面对这种情况,国家不断出台相关约束政策法规,严令禁止统方行为。卫计委联合国家中医药管理局发出实施了《关于加强医疗卫生机构统方管理的规定》,文件明确“严禁为不正当商业目的统方”,要求各医疗机构采取相关措施防统方,对于出现问题的单位与个人,要给予处分,甚至追究刑事责任。

四、传统方案

      对于医院来说,防止数据泄漏的关键还是得从技术上出招,做好数据库的安全。然而传统的防护手段无法满足医院的要求。传统的防护手段漏洞百出

1、不直观:审计的结果不易理解

2、易篡改:可以自行删除日志

3、不直接:不直接对数据库进行审计

4、难管理:大多数无法定义查找日志

5、效率低:在数据比较庞大的情况下,无法快速分析处理

6、不全面:存在漏审、误审的情况

五、建议方案

数据库审计系统不依赖于HIS软件系统,并可以进行全方位监控,实现海量数据的分析处理,满足医院业务数据的处理要求。

1、旁路部署,对业务系统零影响 

无需在被审计数据库服务器上安装任何软件代理或插件;无需提供被审计数据库服务器的任何管理账号和密码;在运行中审计产品无需访问被审计数据库,真正零交互;无需重启被审计系统及服务,拒绝业务中断;对原有网络不造成影响,审计产品的故障不影响业务的正常运行。
2、支持应用层帐号、数据库帐号、操作系统用户名、客户端主机名、客户端IP、客户端MAC,无需安装业内普遍采用的探针插件,对用户的服务器及业务系统资源零占用无影响,定位到“人”。
3、可事前主动防御拦截阻断、事中实时报事后定位取证,全方位对非法统方行为进行严密的监控,一旦出现违规统方事件,系统提供操作过程回放,供相关人员分析,完全满足卫计委防统方的政策需求,帮助医院成功打造了“三好一满意”的政风。

技术支持:悟安 Copyright © 2014-2020 北京旗云天下科技有限公司 版权所有 京公网安备 11011202000939号 京ICP备17058884号-1