醫(yī)院信息系統(tǒng)防統(tǒng)方技術(shù)策略論文

　　摘 要：隨著信息產(chǎn)業(yè)的迅速發(fā)展，醫(yī)院的醫(yī)療業(yè)務(wù)和信息化日益緊密結(jié)合，使得醫(yī)院信息管理系統(tǒng)自身的安全性問(wèn)題愈發(fā)突出。目前，對(duì)數(shù)據(jù)庫(kù)的非法查詢(xún)?nèi)缟虡I(yè)目的“統(tǒng)方”，嚴(yán)重影響了醫(yī)院的公眾形象，也嚴(yán)重?fù)p害了患者利益。為此，從技術(shù)角度來(lái)探討醫(yī)院信息系統(tǒng)防統(tǒng)方策略，通過(guò)事前權(quán)限管理防范、實(shí)時(shí)監(jiān)控和審計(jì)追蹤等多種措施，來(lái)降低統(tǒng)方發(fā)生概率，從而促進(jìn)醫(yī)療服務(wù)工作健康快速發(fā)展。

　　關(guān)鍵詞：醫(yī)院信息系統(tǒng);防統(tǒng)方;敏感數(shù)據(jù)

　　商業(yè)目的“統(tǒng)方”是建立醫(yī)藥回扣黑鏈的重要一環(huán)，是國(guó)家和媒體關(guān)注的重要社會(huì)焦點(diǎn)問(wèn)題，不僅嚴(yán)重影響了醫(yī)院的公眾形象，也嚴(yán)重?fù)p害了患者的利益。為滿(mǎn)足衛(wèi)生部關(guān)于進(jìn)一步深化治理醫(yī)藥購(gòu)銷(xiāo)領(lǐng)域商業(yè)賄賂的工作要求，促進(jìn)醫(yī)療服務(wù)工作健康快速發(fā)展，從技術(shù)角度來(lái)探討醫(yī)院信息系統(tǒng)防統(tǒng)方的策略。

　　1 醫(yī)院信息系統(tǒng)中存在的安全隱患

　　1.1 主機(jī)防護(hù)不完善

　　系統(tǒng)主機(jī)缺乏保護(hù)機(jī)制，前端沒(méi)有任何保護(hù)設(shè)備，即使安裝上保護(hù)設(shè)備，也僅能針對(duì)IP地址/端口等進(jìn)行保護(hù)，無(wú)法識(shí)別數(shù)據(jù)層的信息，同時(shí)也會(huì)影響整個(gè)系統(tǒng)的響應(yīng)時(shí)間。操作系統(tǒng)或者應(yīng)用軟件本身存在隱患，利用應(yīng)用系統(tǒng)和中間件的各種安全漏洞尤其難于防范。

　　1.2 系統(tǒng)超級(jí)用戶(hù)管理不嚴(yán)

　　管理員賬戶(hù)和超級(jí)用戶(hù)賬號(hào)/密碼管理不嚴(yán)格，或者利用權(quán)限違規(guī)進(jìn)行數(shù)據(jù)操作，而且沒(méi)有相應(yīng)的監(jiān)管和記錄。

　　1.3 保密制度形同虛設(shè)

　　即使制定了嚴(yán)格的管理制度，也沒(méi)有行之有效的執(zhí)行手段。

　　1.4 缺乏有效的數(shù)據(jù)監(jiān)管

　　沒(méi)有有效的數(shù)據(jù)審核機(jī)制，敏感數(shù)據(jù)管理普遍存在安全策略的缺失。

　　1.5 敏感數(shù)據(jù)從內(nèi)部流出

　　軟件供應(yīng)商、服務(wù)外包、數(shù)據(jù)維護(hù)人員或院內(nèi)人員利用軟件后門(mén)，或者職務(wù)便利獲取敏感數(shù)據(jù)，沒(méi)有一套完整、有效的技術(shù)手段對(duì)其進(jìn)行保護(hù)。

　　2 防統(tǒng)方的技術(shù)策略

　　通過(guò)引入第三方軟件防統(tǒng)方系統(tǒng)來(lái)對(duì)訪問(wèn)醫(yī)院信息系統(tǒng)的手段和數(shù)據(jù)進(jìn)行監(jiān)控和控制，采用事前權(quán)限管理防范、實(shí)時(shí)監(jiān)控報(bào)警和審計(jì)追蹤等手段，能有效降低非法統(tǒng)方發(fā)生概率，從而滿(mǎn)足醫(yī)院“教育為先、制度為主、技術(shù)為輔”多管齊下的管理要求。

　　2.1 防統(tǒng)方系統(tǒng)的部署

　　醫(yī)院防統(tǒng)方系統(tǒng)采用旁路部署方式，只需連接在醫(yī)院網(wǎng)絡(luò)核心交換機(jī)的數(shù)據(jù)鏡像端口上，不改變醫(yī)院原有網(wǎng)絡(luò)配置，針對(duì)主機(jī)的Telnet、FTP、SSH等訪問(wèn)行為進(jìn)行詳細(xì)記錄監(jiān)控;針對(duì)特定的應(yīng)用及客戶(hù)端主機(jī)，實(shí)現(xiàn)訪問(wèn)控制，禁止其訪問(wèn)敏感資源，從而保護(hù)醫(yī)院HIS系統(tǒng)，電子病歷系統(tǒng)等。

　　2.2 事前權(quán)限管理防范

　　為加強(qiáng)醫(yī)院信息系統(tǒng)藥品和耗材統(tǒng)計(jì)功能管理，信息科采取授權(quán)、加密、控制終端信息采集范圍等有效措施，對(duì)各個(gè)部門(mén)通過(guò)計(jì)算機(jī)網(wǎng)絡(luò)查詢(xún)醫(yī)院信息的權(quán)限實(shí)行分級(jí)管理。未獲授權(quán)和備案，任何部門(mén)和個(gè)人不得調(diào)用醫(yī)院信息系統(tǒng)與藥品有關(guān)的功能菜單。

　　2.3 實(shí)時(shí)監(jiān)控報(bào)警和審計(jì)追蹤

　　根據(jù)統(tǒng)方操作常用語(yǔ)句和行為方式，制訂相應(yīng)識(shí)別規(guī)則，對(duì)醫(yī)院應(yīng)用系統(tǒng)中海量、無(wú)序的數(shù)據(jù)進(jìn)行整理分析，還原所有工作人員的操作，包括業(yè)務(wù)訪問(wèn)、系統(tǒng)維護(hù)、策略配置等。同時(shí)，建立一套HIS系統(tǒng)(醫(yī)院信息系統(tǒng))數(shù)據(jù)庫(kù)的用戶(hù)訪問(wèn)行為模型，包括帳號(hào)、IP地址、客戶(hù)端工具、SQL語(yǔ)句、返回結(jié)果等成千上萬(wàn)的動(dòng)態(tài)元素，再結(jié)合管理員的設(shè)置，篩選記錄統(tǒng)方行為，并針對(duì)可疑統(tǒng)方行為在第一時(shí)間報(bào)警，并以短信、郵件、閃爍、網(wǎng)頁(yè)等多種形式加以提醒和警示。讓管理者在第一時(shí)間掌握誰(shuí)(who)在什么時(shí)刻(when)在哪里(where)使用什么工具(way)對(duì)數(shù)據(jù)庫(kù)進(jìn)行了哪些操作，拿走了哪些數(shù)據(jù)(what)。在一定條件下，防統(tǒng)方系統(tǒng)可以根據(jù)源/目的IP地址、源/目的MAC地址、訪問(wèn)時(shí)間、訪問(wèn)內(nèi)容等條件對(duì)系統(tǒng)訪問(wèn)進(jìn)行阻斷操作，從而達(dá)到控制客戶(hù)端對(duì)非授權(quán)應(yīng)用系統(tǒng)的訪問(wèn)。

　　3 防統(tǒng)方的應(yīng)用成效

　　通過(guò)采取技術(shù)手段防統(tǒng)方系統(tǒng)來(lái)杜絕醫(yī)院內(nèi)的統(tǒng)方行為，不僅實(shí)現(xiàn)了對(duì)各級(jí)管理員操作行為的審計(jì)，有效防止管理員的權(quán)限濫用，還為統(tǒng)方行為的溯源提供保證，降低了系統(tǒng)維護(hù)人員的安全隱患;不僅完整記錄、分析對(duì)敏感數(shù)據(jù)的查詢(xún)、變更、刪除等操作，保護(hù)重要數(shù)據(jù)的安全，還能控制非法終端對(duì)系統(tǒng)的訪問(wèn)，保障業(yè)務(wù)的連續(xù)性。

　　4 結(jié) 語(yǔ)

　　醫(yī)院信息安全的建設(shè)是醫(yī)院信息化建設(shè)的重要一環(huán)，對(duì)患者隱私、醫(yī)生用藥信息、財(cái)務(wù)信息等重要數(shù)據(jù)的保護(hù)，都是醫(yī)院安全運(yùn)營(yíng)的保障。通過(guò)各種管理制度，技術(shù)手段對(duì)醫(yī)院的信息進(jìn)行保護(hù)，特別是防統(tǒng)方系統(tǒng)及利用審核機(jī)制事后對(duì)統(tǒng)方記錄進(jìn)行追查，是醫(yī)院信息安全建設(shè)的重要內(nèi)容。

　　參考文獻(xiàn)

　　[1]賴(lài)煒,辛小霞,吳汝明,等.區(qū)域醫(yī)療信息共享平臺(tái)的數(shù)據(jù)審計(jì)研究[J].醫(yī)學(xué)信息學(xué)雜志,2010,31(12):14-17.

　　[2]綠盟科技.重新定位運(yùn)維安全審計(jì)[J].網(wǎng)管員世界,2012(24):48-49.

　　[3]力竟成.醫(yī)院信息安全建設(shè)[J].計(jì)算機(jī)光盤(pán)軟件與應(yīng)用,2012(15):14-15.

【醫(yī)院信息系統(tǒng)防統(tǒng)方技術(shù)策略論文】相關(guān)文章：

畜牧養(yǎng)殖動(dòng)物疫病病因及控防策略論文04-24

情感策略英語(yǔ)教學(xué)的論文03-21

營(yíng)銷(xiāo)策略論文參考文獻(xiàn)04-13

基于物聯(lián)網(wǎng)技術(shù)的物流信息系統(tǒng)促進(jìn)物流企業(yè)發(fā)展研究論文04-18

民族聲樂(lè)演唱當(dāng)中的共鳴的策略分析論文04-27

企業(yè)凝聚力提升策略探究論文04-19

企業(yè)知識(shí)營(yíng)銷(xiāo)的特征與發(fā)展策略論文04-19

企業(yè)稅收籌劃風(fēng)險(xiǎn)防范策略論文04-22

激發(fā)學(xué)生英語(yǔ)學(xué)習(xí)興趣的策略論文08-21

高校聲樂(lè)教學(xué)質(zhì)量提升策略探析的論文04-11