浦东新区信息港
金融
当前位置:首页 > 金融

安恒信息医院信息系统安全解决方案

发布时间:2019-04-25 18:26:34 编辑:笔名

医院信息系统是支持医疗体系改革的“四梁八柱”之一,是计算机技术对医院管理、临床医学、医院信息管理长时间影响、渗透和相互结合的产物,它与医院建设和医学科学技术的发展同步。但是随着医院信息化的迅猛发展,信息的高度集中使得核心数据泄密的隐患也愈来愈突出,在利益的驱使下非正常的统方行为、患者信息泄密行动屡有产生,各级医疗机构急需采取“教育为先、制度为主、技术为辅”的综合管理手段,多管齐下,对敏感数据进行实时监控,对违规操作进行追根溯源和智能控制,全面提升信息系统安全管理水平,有效遏制违法、违纪活动的产生。

通过对医院信息系统的“业务层面、技术层面、管理层面”的安全需求分析,安恒信息提出内/外并重的安全解决方案(参见示意图),即:在现有的安全保障措施下,在互联接入区增设WEB运用防火墙,避免来自医院外部的信息盗取;在不影响HIS系统、PACS系统、EMR系统等应用系统的前提下,在核心业务服务区增设数据库审计设备,通过对络中的海量、无序的数据进行处理、关联分析,实时监控内部人员的越权、违规操作,避免患者信息、医院经营/财务/科研等敏感数据的外泄,构筑八大安全防线,保护院方的核心利益。

防非法“统方”

医药购销领域商业贿赂给临床医生带来很大负面影响,非法“统方”是医药代表事实定量贿赂的主要依据,医院信息科、药剂科、开发商是提供“统方”的重要来源。运用数据库操作监控审计装备,对来自HIS系统、EMR系统等业务系统的所有数据库操作行动保存操作痕迹,以便在追究法律或医疗纠纷时可提供回溯性认定;对来自保护人员的远程数据库操作进行实时监控,实时阻断正在产生的非法“统方”违纪、违法行为,使工作人员从技术上阔别“统方”禁区。

防歹意篡改

医院信息系统全面记录了患者的医疗活动,包括医嘱、病程记录、各种检查检验申请与结果、手术记录、影象、护理信息、费用信息等,信息的真实性、可靠性、保密性颇受关注。但是为满足提高医疗活动效力和质量的需求,不但医疗机构内部多个业务系统之间存在信息的流转,同时也不可或缺的需要开放一些对外的接口,比如:医院的门户站、患者服务平台、医疗保险接口、远程医疗咨询系统接口等,使得信息系统的安全风险剧增。部署WEB运用防火墙,可以实时检测异常入侵,有效辨认、阻挠各类运用层黑客攻击,阻断各类利用技术漏洞未授权修改综合业务、临床业务系统数据的行动,保障信息的真实性。

防隐私泄密

包括病历信息在内的海量级数据信息的保密关系到医院的信誉。患者信息如:亲属信息、社会保障信息、既往病史、医嘱、检验申请单及检验结果等均属于的个人隐私,对这些敏感信息的阅读、复制、打印均需要设置相应的权限,并记录使用记录。WEB运用防火墙的部署,可以抵抗外部利用技术漏洞的数据盗用、盗取、篡改行动,数据库审计装备的部署,可以从技术上监督医疗机构管理制度的落实情况,阻止患者信息、诊疗信息、费用信息的外泄。

防越权操作

为有效遏制“统方”行为,各医疗机构纷纷采取“角色分离、小授权”的安全管理制度,对系统管理员、数据库DBA、安全管理员分别给予不同的操作权限。数据库审计装备的应用,不但能够重点监控未通过业务系统(HIS、PACS等)进行的数据库操作(比如:误操作数据的纠正、应用程序BUG引发的数据调整),同时可以依据细粒度的审计规则(如:HIS系统中的价格数据保护,仅允许物价办公室专岗人员进行),发现越权操作行动并及时告警。

防权限滥用

安全不仅是技术问题,更多的是管理问题,人的因素才是关键。利益的驱使、法律意识的淡薄,导致部分人员利用职务之便,铤而走险,监守自盗,为自己及他人谋利益。数据库审计装备的部署,一方面给这些不法之徒建立了警示碑,另一方面从技术上对违规操作加大了监管力度,一旦发现疑似违规操作自动告警,为及时制止违法、违规行为赢得了时间

防事后抵赖

一旦产生安全事件,攻击者或内部人员常常否认自己的操作行动。职权分离的数据库审计设备的部署,不但满足了信息系统安全等级保护及企业内控的规范要求,同时,友好真实的操作回放功能使得攻击行为、违纪行为暴露无遗,为公安机关查处违法案件提供有力的证据。

防保险讹诈

病历信息(如:法定医学证明及报告、收费收据等)在医疗事故、交通事故、社会医疗保险、伤残鉴定、遗产继承等案件诉讼中的法律作用日趋重要,这些信息若被不法分子利用,可能造成保险诈骗。通过敏感表的细粒度访问控制规则及远程操作的监控,识别未授权操作,并实时短信告警或阻断操作。

防医疗纠纷

医闹事件不时见诸报端,很多患者家属认为医院的医疗鉴定不够客观,总是怀疑医院捏造、篡改病历。数据库审计设备能够公正、客观地记录所有的操作,真正实现4W全程审计(who谁、when什么时间段内、where通过什么途径、what对甚么(数据)进行了哪些操作、结果如何)。一旦出现医疗纠纷,完全清晰的操作回放为医疗纠纷的快速处理提供科学根据,保护医院信誉。

宝宝发烧咳嗽怎么办
尿酸高怎么治
见效的去色斑方法