XXX医院防统方解决方案

XXX医院防统方控制系统解决方案 机密，未经许可不得扩散                                                   第 1页 共15页XXX医院防统方控制系统解决方案南京横渡科技有限公司2009年9月XXX医院防统方控制系统解决方案 机密，未经许可不得扩散                                                   第 2页 共15页目录一、概述.................................................3二、XXX医院应用现状.....................................52.1需求分析..........................................62.2防统方控制系统实现功能............................7三、应用部署............................................10四、应用效果............................................12五、服务承诺............................................13六、报价................................................15XXX医院防统方控制系统解决方案 机密，未经许可不得扩散                                                   第 3页 共15页一、概述“为医药营销人员‘统方’的人员，一经发现和查实即行解聘”，卫生部专门对卫生局和直属各医疗卫生单位下发了《关于严格禁止医院工作人员为医药营销人员“统方”的规定》，以期一举堵死医疗回扣赖以生存的途径。统方是指统计医院的医生或者部门在一定的时期内临床用药量的信息。医药代表按照统方上的用药数量给医生回扣，还可以根据统方的数量，确定其代理药品的销售额，以便向药品供应商领取报酬，而在这一过程中发生的“见不得光”的费用最终都会转嫁到病患身上，这种行为严重影响医院及医疗机构的社会形象。因此医院急需有效控制统方的手段。医院信息系统越来越庞大，各业务系统关联性越来越复杂，对核心资料的侵犯手段多种多样，目前医院防统方的手段只局限于依赖员工职业道德并以双密码的用户认证方式进行约束，在国内还没有任何单位能提供系统化、智能化的医院防统方服务，缺乏技术手段来杜绝医院内的统方行为。针对这一难题，南京横渡科技有限公司推出了目前国内唯一的医院防统方控制系统软件解决方案，实现对网络和本地的所有活动，包括用户、地址、程序和操作内容进行完整全面的监控和记录，对审计记录结果能够方便的保存，检索和查询，按需审计；同时还能够对危险行为如：删除表操作，进行报警甚至阻断，并提供对数据库访问进行统计和分析，对数据库性能改进提供参考依据，使防统方手段实现XXX医院防统方控制系统解决方案 机密，未经许可不得扩散                                                   第 4页 共15页了从制度约束到技术实现的跨越。为确保医药资金安全，防止利用数据库信息进行“统方”、擅自更改医院和病人信息数据等问题。横渡医院防统方控制系统将进一步为卫生医疗行业信息化应用保驾护航!!!XXX医院防统方控制系统解决方案 机密，未经许可不得扩散                                                   第 5页 共15页二、XXX医院应用现状(插入XXX医院运营状况基础资料)目前XXX医院应用系统庞大，其中重要的系统为医院HIS系统(Oracle数据库)和电子病历系统(Cache数据库)，院方为了HIS系统和电子病历系统之间的数据交互，部署了中间数据库(SQLServer数据库)服务器，通过中间数据库服务器，电子病历系统和HIS系统之间实现快速、安全的数据交换访问。XXX医院的HIS系统、电子病历系统以及中间数据库系统，分别使用的是三种不同类型的数据库系统。这样庞大复杂的应用系统环境下缺乏相应的技术手段来进行数据库监测和控制。目前关键应用系统采用多层架构交互层－业务层－中间件－数据库，真正的多层架构；其功能模块可以动态加载，是一个以信息机制为基础的，以结构化采集为方法的信息平台；并进行统一存储，形成电子病案室。XXX医院防统方控制系统解决方案 机密，未经许可不得扩散                                                   第 6页 共15页门诊病历CCUXML解析技术，所见即所得地书写所有医疗文书XML解析技术，所见即所得地书写所有医疗文书医嘱首页病历病程电子病历电子病历集成平台集成平台LIS病理学手术麻醉信息系统HIS•收费•ID•药品...胃镜图像系统影像学PACS，RIS危重病医学ICUICU心电图系统导管室系统门诊病历门诊病历CCUCCUXML解析技术，所见即所得地书写所有医疗文书XML解析技术，所见即所得地书写所有医疗文书医嘱首页病历病程XML解析技术，所见即所得地书写所有医疗文书XML解析技术，所见即所得地书写所有医疗文书XML解析技术，所见即所得地书写所有医疗文书XML解析技术，所见即所得地书写所有医疗文书医嘱首页病历病程医嘱首页病历病程电子病历电子病历集成平台集成平台电子病历电子病历集成平台集成平台LISLIS病理学病理学手术麻醉信息系统手术麻醉信息系统HIS•收费•ID•药品...HIS•收费•ID•药品...胃镜图像系统胃镜图像系统影像学PACS，RIS危重病医学ICUICU心电图系统ICUICU心电图系统导管室系统导管室系统中间件，消息机制2.1需求分析     1.合规性只要是正规的企业，都无法回避自身的数据安全问题。当然，综合性三级甲等医院就更加需要重视。事实上，对于部分敏感的数据或者做合规性审查时发现的重大嫌疑对象，必须要记录SQL语句，体现数据源的安全。  XXX医院防统方控制系统解决方案 机密，未经许可不得扩散                                                   第 7页 共15页      2.数据完整数据库是每个企业数据管理的基础，尽管系统的数据完整性和安全性是相当重要的。许多非法访问，误配置、未被察觉的系统后门等使数据库数据安整存在巨大隐患。3.违规操作监控对于数据库合法用户的违规操作，以及内部用户对数据资源的故意泄露或破坏等问题，对医院带来的危害会更加严重，损失也会相当巨大。4.追查溯源当产生数据安全问题时，为了寻找事件线索，需要从网络上寻找嫌疑人的活动和留下的痕迹并获取可靠的证据，对于侦查事件，维护医院形象具有十分重要的意义。针对以上分析，横渡医院防统方系统软件通过对医院应用系统中的海量、无序的数据进行整理及分析，还原所有工作人员的操作行为，提供丰富的检索和关联分析，输出完整的事件报告，供相关人员分析；系统既可以阻止正在发生的统方行为，也可以监控某些人员利用其特权对敏感数据进行非法复制。2.2防统方控制系统实现功能防统方控制系统可为Oracle、MS-SQL、DB2、MYSQL、CACHEDB、POSTGRESQL和Sybase数据库提供自动化评估、审计和保护功能。动态建模技术可自动创建数据库使用业务模型，和细化到访问系统数据XXX医院防统方控制系统解决方案 机密，未经许可不得扩散                                                   第 8页 共15页库的每个用户的查询级别的安全策略。详细的数据库操作和报告功能使得查询更方便，且不会对数据库性能产生任何影响。独特的业务活动分析和相关性技术可将真正的攻击与无害的用户行为变化分离开来，从而提供实时保护。系统数据库安全的一个重要组成部分就是准确的提供用户的行为的信息，包括用户与数据库之间发生的每个交互活动（事务）的信息。例如，用户需要记录数据的每一个变化以及相应的实行操作的人员的具体信息。不幸的是，应用系统的用户在只是登录到应用系统，而不是数据库。而大量的数据库访问是通过一个、或少量数据库连接（连接池）完成的。这意味着，单个最终用户对系统的数据库是不可见的。防统方控制系统的全局用户跟踪技术使得基于单个用户的跟踪成为可能，防统方控制系统提供了专用的监控功能来监视应用系统用户的活动，并且将其与数据库的每个交互活动对应起来。防统方控制系统的集成入侵防御系统可使数据库体系结构免受以数据库平台和操作系统软件（如Oracle、MS-SQLServer、Linux、Windows2000）中的已知漏洞为目标的蠕虫和其他攻击的威胁。防统方控制系统可使用户免受未授权用户、危险协议、公共网络层攻击以及蠕虫感染的威胁。访问控制策略支持IP/MAC地址组合的黑名单，以消除数据中心暴露给非必要或危险协议（如Telnet）的风险。本系统的部署不会影响医院现有的HIS、电子病历、中间数据库等应用系统，并能实现以下功能。XXX医院防统方控制系统解决方案 机密，未经许可不得扩散                                                   第 9页 共15页1.可以准确的定位数据库操作的真正访问者定位一个数据库操作的真正访问者有如下元素：IP地址、MAC地址、数据库用户、机器名,终端、访问数据库所使用的应用程序等。以上这些元素都可以被基于网络的防统方控制系统定位、解析并记录下来。2.提供丰富的防统方支撑性查询工具提供丰富的防统方支撑性查询工具:统计、排名、报警、综合查询、SQL语句解析、敏感数据过滤规则设置等。还可以提供telnet、FTP、SSH等协议的内容记录功能，将通过这些协议访问数据库服务器的行为记录下来，更好的维护数据库的安全。3.综合监测和关联分析基于网络技术的数据库审计可以实现“客户端─中间件(应用)服务器─数据库服务器”的综合监测和关联分析。XXX医院防统方控制系统解决方案 机密，未经许可不得扩散                                                   第 10页 共15页三、应用部署XXX医院的核心网络中使用两台核心交换机做冗余备份，防统方控制系统部署在医院网络的核心层，两台核心交换机分别打开一个数据镜像端口和防统方控制系统进行连接，防统方控制系统接收交换机发送过来的流向各个系统的数据，进行解析、筛选、记录。通过防统方控制系统的解析引擎，针对所有的数据进行深度的挖掘并解析，同时结合管理员的设置，筛选记录疑似统方行为，提供访问关键系统的IP地址、MAC地址、访问时间、针对系统的操作行为详细的操作内容，在一定的条件下，防统方控制系统可以根据源/目XXX医院防统方控制系统解决方案 机密，未经许可不得扩散                                                   第 11页 共15页的IP地址、源/目的MAC地址、访问时间、访问内容等条件对系统访问进行阻断操作，从而达到控制客户端对非授权应用系统的访问。XXX医院的电子病历系统使用B/S架构，为了实现对数据的精确控制，可以在应用服务器所在的交换机上部署数据监控系统软件，配合防统方控制系统，不但可以准确分析客户端的操作行为，还可以对所有的客户端进行精确定位，从而实现访问控制。XXX医院防统方控制系统解决方案 机密，未经许可不得扩散                                                   第 12页 共15页四、应用效果1、防止管理员权限滥用能够对各级管理员的操作行为进行审计并还原出与操作相关的各项信息，且能够提供多角度、全方位报警策略制定与响应机制。2、降低维护人员的安全隐患监测维护人员的操作行为，对其操