基本介紹
- 中文名:安恆信息醫院信息系統
- 相關措施:在網際網路接入區設WEB套用防火牆
- 目的:防止來自醫院外部的信息竊取
- 作用:支撐醫療體系改革
背景,簡介,防非法“統方”,防惡意篡改,防隱私泄密,防越權操作,防許可權濫用,防事後抵賴,防保險欺詐,防醫療糾紛,
背景
醫院信息系統是支撐醫療體系改革的“四梁八柱”之一,是計算機技術對醫院管理、臨床醫學、醫院信息管理長期影響、滲透以及相互結合的產物,它與醫院建設和醫學科學技術的發展同步。然而隨著醫院信息化的迅猛發展,信息的高度集中使得核心數據泄密的隱患也越來越突出,在利益的驅使下非正常的統方行為、患者信息泄密行為屢有發生,各級醫療機構急需採取“教育為先、制度為主、技術為輔”的綜合管理手段,多管齊下,對敏感數據進行實時監控,對違規操作進行追根溯源和智慧型控制,全面提升信息系統安全管理水平,有效遏制違法、違紀活動的發生。
簡介
通過對網路中的海量、無序的數據進行處理、關聯分析,實時監控內部人員的越權、違規操作,防止患者信息、醫院經營/財務/科研等敏感數據的外泄,構築八大安全防線,保護院方的核心利益。
防非法“統方”
醫藥購銷領域商業賄賂給臨床醫生帶來很大負面影響,非法“統方”是醫藥代表事實定量賄賂的主要依據,醫院信息科、藥劑科、開發商是提供“統方”的重要來源。套用資料庫操作監控審計設備,對於來自HIS系統、EMR系統等業務系統的所有資料庫操作行為保留操作痕跡,以便在追究法律責任或醫療糾紛時可提供回溯性認定;對於來自維護人員的遠程資料庫操作進行實時監控,實時阻斷正在發生的非法“統方”違紀、違法行為,使工作人員從技術上遠離“統方”禁區。
防惡意篡改
醫院信息系統全面記錄了患者的醫療活動,包括醫囑、病程記錄、各種檢查檢驗申請與結果、手術記錄、影像、護理信息、費用信息等,信息的真實性、可靠性、保密性頗受關注。然而為滿足提高醫療活動效率和質量的需求,不僅醫療機構內部多個業務系統之間存在信息的流轉,同時也不可或缺的需要開放一些對外的接口,比如:醫院的入口網站、患者服務平台、醫療保險接口、遠程醫療諮詢系統接口等,使得信息系統的安全風險劇增。部署WEB套用防火牆,可以實時檢測異常入侵,有效識別、阻止各類套用層黑客攻擊,阻斷各類利用技術漏洞未授權修改綜合業務、臨床業務系統數據的行為,保障信息的真實性。
防隱私泄密
包括病歷信息在內的海量級數據信息的保密關係到醫院的信譽。患者信息如:親屬信息、社會保障信息、既往病史、醫囑、檢驗申請單及檢驗結果等均屬於絕對的個人隱私,對這些敏感信息的閱讀、複製、列印均需要設定相應的許可權,並記錄使用記錄。WEB套用防火牆的部署,可以抵禦外部利用技術漏洞的數據盜用、竊取、篡改行為,資料庫審計設備的部署,可以從技術上監督醫療機構管理制度的落實情況,阻止患者信息、診療信息、費用信息的外泄。
防越權操作
為有效遏制“統方”行為,各醫療機構紛紛採取“角色分離、最小授權”的安全管理制度,對系統管理員、資料庫DBA、安全管理員分別給予不同的操作許可權。資料庫審計設備的套用,不僅能夠重點監控未通過業務系統(HIS、PACS等)進行的資料庫操作(比如:誤運算元據的糾正、應用程式BUG引起的數據調整),同時可以依據細粒度的審計規則(如:HIS系統中的價格數據維護,僅允許物價辦公室專崗人員進行),發現越權操作行為並及時告警。
防許可權濫用
安全不僅是技術問題,更多的是管理問題,人的因素才是關鍵。利益的驅使、法律意識的淡薄,導致部分人員利用職務之便,鋌而走險,監守自盜,為自己及他人謀利益。資料庫審計設備的部署,一方面給這些不法之徒樹立了警示碑,另一方面從技術上對違規操作加大了監管力度,一旦發現疑似違規操作自動告警,為及時制止違法、違規行為贏得了時間
防事後抵賴
一旦發生安全事件,攻擊者或內部人員往往否認自己的操作行為。職權分離的資料庫審計設備的部署,不僅滿足了信息系統安全等級保護及企業內控的規範要求,同時,友好真實的操作回放功能使得攻擊行為、違紀行為暴露無遺,為公安機關查處違法案件提供有力的證據。
防保險欺詐
病歷信息(如:法定醫學證明及報告、收費收據等)在醫療事故、交通事故、社會醫療保險、傷殘鑑定、遺產繼承等案件訴訟中的法律作用日趨重要,這些信息若被不法分子利用,可能造成保險詐欺。通過敏感表的細粒度訪問控制規則及遠程操作的監控,識別未授權操作,並實時簡訊告警或阻斷操作。
防醫療糾紛
醫鬧事件不時見諸報端,不少患者家屬認為醫院的醫療鑑定不夠客觀,總是懷疑醫院偽造、篡改病歷。資料庫審計設備能夠公正、客觀地記錄所有的操作,真正實現4W全程審計(who誰、when什麼時間段內、where通過什麼途徑、what對什麼(數據)進行了哪些操作、結果如何)。一旦出現醫療糾紛,完整清晰的操作回放為醫療糾紛的快速處理提供科學依據,維護醫院信譽。