嚴防非法統方 維護醫院信息安全

金華兵

嚴防非法統方維護醫院信息安全

金華兵①

非法統方嚴重擾亂醫療秩序，損壞醫院社會形象。建設防統方系統可以有效防范統方等不良行為的發生，保護醫院的信息安全。

信息安全 統計 醫院信息系統

非法統方是指以商業為目的對醫生用藥信息量的統計，我院對此采取措施，嚴格監管。

1 加強醫院信息安全 防止非法統方行為

1.1 嚴格“統方”權限和審批程序 對HIS中因財務核算、統計等工作需要而產生的具有統方功能的報表(例如抗生素排名)進行全面篩選，嚴格使用人員的操作權限。操作人員使用該類報表，必須事先向院紀檢部門備案，未經批準不得操作。

1.2 加強密碼管理和機房管理 操作人員密碼應定期更改，防止密碼泄漏被非法使用。信息部門應加強對機房、服務器的管理，服務器密碼也應定期更改，任何人未經批準不得進入機房在服務器端操作。

1.3 對內網電腦實行準入控制 外來電腦未經批準不能接入內網。同時，對內網電腦的IP地址、MAC地址綁定，防止非法接入。

1.4 安裝防統方系統 全面監控統方行為 在加強管理的同時，通過和軟件公司合作，安裝防統方軟件，全面監控統方行為，從而徹底防止非法統方行為。

2 防統方系統架構

我院目前使用的防統方系統，所面向的對象是紀委審計部門。因此，采用比較流行的B/S三層結構(見圖1)。

圖1 B/S三層結構圖

B/S體系結構與C/S體系結構相比不僅具有其全部的優點，而且簡化了網站的開發和維護，并且特別適用于網上信息發布。(1)開放的標準：B/S所采用的標準都是開放的、非專用的，是經過標準化組織所確定而非單一廠商所制定，保證了其應用的通用性和跨平臺性。(2)較低的開發和維護成本：B/S的應用只需在客戶端安裝通用的瀏覽器即可，維護和升級工作都在服務器端進行，不需對客戶端進行任何改變，故而大大降低了開發和維護的成本。(3)用戶使用簡單，界面友好：B/S用戶的界面都在統一的瀏覽器上，瀏覽器易于使用、界面友好，又因為它不再負責數據的存取和復雜數據計算等任務，只需要進行顯示，因而大大降低了對客戶端的要求。

3 防統方系統與HIS的關系

防統方系統與HIS各自獨立運行，防統方系統通過旁路方式(交換機端口鏡像)捕獲所有訪問HIS數據庫的命令，根據系統設定的規則，篩選出有嫌疑的語句。當該語句具有統方可疑行為時，系統會實時在后臺顯示，并自動發送短信告警到紀委綁定的手機上，以達到全面監控統方行為的目的(見圖2)。

在核心交換機上做端口鏡像，HIS服務器的端口為源端口，防統方設備的端口為目的端口。即把HIS服務器端口的流量復制1份到防統方設備的端口，從而保證所有訪問HIS服務器的命令都能被防統方軟件捕獲到。不論是醫院內網中的哪臺電腦進行統方，防統方系統都能及時捕捉、全面監控。

4 數據庫管理

防統方系統為一個獨立系統，系統自帶數據庫，只記錄統方相關數據，所有記錄數據保留在自己系統硬件內，不再HIS上有任何駐留，對正常HIS工作的數據不進行任何干擾。

圖2 反統方系統接入示意圖

5 觸發機制

系統通過端口鏡像捕獲數據，再根據系統內部的規則，凡是滿足系統規則的即刻報警。系統規則分為固定規則和自定義規則。(1)固定規則為系統內部默認報警規則如：創建存儲過程、表、視圖時使用了關鍵表，疑似度為緊急；SQL語句滿足了實時報警條件，疑似度為緊急等。(2)自定義規則為用戶自行確定，根據醫院實際情況，將需要報警的語句或者滿足指定條件的語句進行報警。

6 對系統運行是否有影響

系統通過端口鏡像捕獲數據，完全獨立運行，不會對HIS有任何影響。(1)不在HIS數據庫上駐留任何程序，不會影響HIS的正常運行。(2)不在客戶端安裝任何程序，不影響業務系統的運行速度，也可預防外來維護人員侵入。(3)只對非法統方行為進行處理，對工作需要的正常統方不做任何干擾。

7 硬件配置

系統自帶硬件服務器(2U設備)具體參數：CPU:Xeon E5-2650;內存容量：8GB;硬盤:1TB×2 Raid 1。

8 防統方系統的功能

8.1 實現對使用后臺數據庫管理工具統方行為的實時監控 防統方系統對HIS中所有涉及醫生開方數據、病人明細費用的關鍵表實時監控。即使維護人員使用后臺管理工具命令方式，對數據庫中關鍵表中數據進行統方時，系統實時記錄統方人的IP地址、統方時間、統計的藥品、統計的時間段等信息，并實時通知管理人員。

8.2 實現對數據庫臨時創建新表、新存儲過程后再統方行為的實時監控 當創建新表使用到關鍵表時，防統方系統實時監控報警。防止有人創建新表，然后把原始數據導入到新表中再統方。當創建新存儲過程時使用到關鍵表時，防統方系統實時監控報警。防止有人在數據庫中創建新的具有統方功能的存儲過程，利用新的存儲過程統方。

8.3 實時對大規模導出數據行為的監控 監控從關鍵表中讀取明細記錄超過2 000條的命令。監控所有執行時間超過8秒的命令，并記錄在獨立的文件中以便查詢。對遠程登錄服務器的行為，防統方系統實時記錄登錄IP、登錄時間。

8.4 對防統方系統的自身運行狀態實時監控 當監控數據采集線被拔掉時，系統會實時發短信通知管理人員，同時記錄采集線斷開和恢復時間。防統方系統還保存設備的開關機時間記錄，對任何破壞防統方系統的行為都有據可查。

·本文編校 朱 毅·

2013-09-29；

2013-12-28)

①江蘇省中西醫結合醫院 南京市 210028