非法统方是指以商业为目的对医生用药信息量的统计,我院对此采取措施,严格监管。
1 加强医院信息安全 防止非法统方行为
1. 1 严格“统方”权限和审批程序 对 HIS 中因财务核算、统计等工作需要而产生的具有统方功能的报表( 例如抗生素排名) 进行全面筛选,严格使用人员的操作权限。操作人员使用该类报表,必须事先向院纪检部门备案,未经批准不得操作。
1. 2 加强密码管理和机房管理 操作人员密码应定期更改,防止密码泄漏被非法使用。信息部门应加强对机房、服务器的管理,服务器密码也应定期更改,任何人未经批准不得进入机房在服务器端操作。
1. 3 对内网电脑实行准入控制 外来电脑未经批准不能接入内网。同时,对内网电脑的 IP 地址、MAC 地址绑定,防止非法接入。
1. 4 安装防统方系统 全面监控统方行为 在加强管理的同时,通过和软件公司合作,安装防统方软件,全面监控统方行为,从而彻底防止非法统方行为。
2 防统方系统架构
我院目前使用的防统方系统,所面向的对象是纪委审计部门。因此,采用比较流行的 B/S 三层结构( 见图 1) 。【图1】
B / S 体系结构与 C / S 体系结构相比不仅具有其全部的优点,而且简化了网站的开发和维护,并且特别适用于网上信息发布。( 1) 开放的标准: B/S 所采用的标准都是开放的、非专用的,是经过标准化组织所确定而非单一厂商所制定,保证了其应用的通用性和跨平台性。( 2) 较低的开发和维护成本: B/S的应用只需在客户端安装通用的浏览器即可,维护和升级工作都在服务器端进行,不需对客户端进行任何改变,故而大大降低了开发和维护的成本。
( 3) 用户使用简单,界面友好: B/S 用户的界面都在统一的浏览器上,浏览器易于使用、界面友好,又因为它不再负责数据的存取和复杂数据计算等任务,只需要进行显示,因而大大降低了对客户端的要求。
3 防统方系统与 HIS 的关系
防统方系统与 HIS 各自独立运行,防统方系统通过旁路方式( 交换机端口镜像) 捕获所有访问 HIS数据库的命令,根据系统设定的规则,筛选出有嫌疑的语句。当该语句具有统方可疑行为时,系统会实时在后台显示,并自动发送短信告警到纪委绑定的手机上,以达到全面监控统方行为的目的( 见图 2) 。【图2】
在核心交换机上做端口镜像,HIS 服务器的端口为源端口,防统方设备的端口为目的端口。即把HIS 服务器端口的流量复制 1 份到防统方设备的端口,从而保证所有访问 HIS 服务器的命令都能被防统方软件捕获到。不论是医院内网中的哪台电脑进行统方,防统方系统都能及时捕捉、全面监控。
4 数据库管理
防统方系统为一个独立系统,系统自带数据库,只记录统方相关数据,所有记录数据保留在自己系统硬件内,不再 HIS 上有任何驻留,对正常 HIS 工作的数据不进行任何干扰。
5 触发机制
系统通过端口镜像捕获数据,再根据系统内部的规则,凡是满足系统规则的即刻报警。系统规则分为固定规则和自定义规则。( 1) 固定规则为系统内部默认报警规则如: 创建存储过程、表、视图时使用了关键表,疑似度为紧急; SQL 语句满足了实时报警条件,疑似度为紧急等。( 2) 自定义规则为用户自行确定,根据医院实际情况,将需要报警的语句或者满足指定条件的语句进行报警。
6 对系统运行是否有影响
系统通过端口镜像捕获数据,完全独立运行,不会对 HIS 有任何影响。( 1) 不在 HIS 数据库上驻留任何程序,不会影响 HIS 的正常运行。( 2) 不在客户端安装任何程序,不影响业务系统的运行速度,也可预防外来维护人员侵入。( 3) 只对非法统方行为进行处理,对工作需要的正常统方不做任何干扰。
7 硬件配置
系统自带硬件服务器( 2U 设备) 具体参数:CPU: Xeon E5 - 2650; 内存容量: 8GB; 硬盘: 1TB × 2Raid 1。
8 防统方系统的功能
8. 1 实现对使用后台数据库管理工具统方行为的实时监控 防统方系统对 HIS 中所有涉及医生开方数据、病人明细费用的关键表实时监控。即使维护人员使用后台管理工具命令方式,对数据库中关键表中数据进行统方时,系统实时记录统方人的 IP 地址、统方时间、统计的药品、统计的时间段等信息,并实时通知管理人员。
8. 2 实现对数据库临时创建新表、新存储过程后再统方行为的实时监控 当创建新表使用到关键表时,防统方系统实时监控报警。防止有人创建新表,然后把原始数据导入到新表中再统方。当创建新存储过程时使用到关键表时,防统方系统实时监控报警。防止有人在数据库中创建新的具有统方功能的存储过程,利用新的存储过程统方。
8. 3 实时对大规模导出数据行为的监控 监控从关键表中读取明细记录超过 2 000 条的命令。监控所有执行时间超过 8 秒的命令,并记录在独立的文件中以便查询。对远程登录服务器的行为,防统方系统实时记录登录 IP、登录时间。
8. 4 对防统方系统的自身运行状态实时监控 当监控数据采集线被拔掉时,系统会实时发短信通知管理人员,同时记录采集线断开和恢复时间。防统方系统还保存设备的开关机时间记录,对任何破坏防统方系统的行为都有据可查。