最近几年,老百姓发现去正规大医院看病必须要先办张卡了,而且这张卡无比重要,不论是封号、看诊、化验、拿药、住院、复诊都要用到这张卡,虽然办卡时麻烦了一点点,但在后续的过程中这张卡可是发挥了巨大的作用,而这也是医院信息系统建设的重要表现。正是在这样高智能化高效率的运转中,医院的各种业务子系统,每天产生、流转和储存大量的数据信息,这些信息既包括了大量的医院内部数据机密,更包含了大量患者隐私信息,其重要性不言而喻,那么,如何进行有效地信息数据安全防护,成为当前各大中型医院迫在眉睫的问题。
但由于利益驱使,信息泄露的事件还是时有发生。王女士自2005年5月起到当地一妇幼保健医院进行孕产期诊断,2005年5月底开始陆续接到许多莫明电话,这些电话有向她推销保胎药品的,有向她推销产前保健的,也有推销制作婴儿血手脚印相册的。直至2006年4月初王女士顺利生下女儿,各种推销婴幼儿用品的电话更是不分昼夜打来,严重扰乱了她的正常生活秩序,造成长期的头痛和失眠……事后,王女士得知她的电话号码就是从她就诊的妇幼保健医院泄露出去的,且这些打电话者每月还要付给医院一定的信息提供费。在与医院反复交涉无果后,2006年9月19日王女士遂将妇幼保健医院诉至法院,要求赔偿医疗费2319元、精神损失费1600元。
医疗机构在提供医疗服务过程中侵犯患者隐私而引起的医患纠纷,是近几年来出现的一类新型医疗纠纷,医疗机构因其医务人员未较好遵守职业道德被人推上被告席的案件正呈逐年增多趋势。
除此之外,医院统方信息安全也正遭遇威胁。作为传统的医药行业丑恶现象之一,医生拿医药代表回扣,然后给病人倾向性开药的现象,已经为社会所深恶痛绝。“统方”是建立医药回扣黑链的重要一环,是国家和媒体关注的重要社会问题焦点。2010年6月21日颁发的《卫生部关于进一步深化治理医药购销领域商业贿赂工作的通知》中明确指出,“要对医院各个部门通过计算机网络查询医院信息的权限实行分级管理,对医院信息系统中有关药品、高值耗材使用等信息实行专人负责、加密管理,严格统方权限和审批程序,未经批准不得统方,严禁为商业目的统方。”
尽管上有政策,中有举措,但下依然有对策。“统方”事件频频发生,屡禁不止,有关医药代表与医生、信息科人员勾结,非法获取医疗统方数据的报道层出不穷。据其分析,目前,医院行业信息系统均采用专网互联,并采用了防火墙、杀毒软件等基本的安全防护软件,但仍然存在众多安全威胁和监管漏洞,导致非法“统方”行为的发生。
要彻底解决这个问题,我们就要根本入手,从了解医院统方途径开始。
一、HIS统方
HIS应用系统本身管理制度出现漏洞,或者有权限的医院内部人员出现问题,就会导致统方数据外泄的威胁。但这个途径逐步已经不成为非法统方的主要途径,这是因为尽管这是统方最直接和便捷的通道,但也是非法统方者最危险的通道,
二、技术人员后台统方
医院信息中心人员、数据库管理员(简称:DBA人员),他们本身对于信息系统的操作非常熟悉,又掌握着SYS、SYSTEM等超级用户,也可以直接查询数据库中的用户密码表,但是目前对于超级用户的技术审计比较薄弱,事实证明,这是目前比较主要的非法统方途径。
三、厂商或代维后台统方
医疗信息系统的开发和维护人员掌握着系统访问数据库的用户名和口令,这些人员经常需要在医院内部进行日常工作,完全可以使用该数据库用户直接登录数据库,构造统方SQL进行非法“统方”。
四、黑客通过入侵统方
在高额利益的驱使下,当前黑客窃取“统方”数据的问题已不容忽视。总结黑客的手段无外乎以下三种:1)利用HIS等医疗系统的Web漏洞入侵数据库;2)利用数据库漏洞直接入侵数据库;3)入侵数据库服务器主机直接窃取数据库文件、备份文件等。
要解决医院统方问题,就需要从以上四个方面下手,严格管理权限、控制操作权限、完善安全域管理,加强漏扫,防火墙等安全设备部署。瑞宁作为公司新研发的一款安全审计产品,能够完美的解决内网的安全和审计问题,同样也适用于医院的内网安全和防统方审计问题。
瑞宁堡垒机接入用户网络中的方式是旁路,切断了终端计算机对网络和服务器资源的直接访问,所有对网络设备和服务器的请求都要从堡垒机经过。因些,瑞宁堡垒机能够拦截非法访问,和恶意攻击,对不合法命令进行命令阻断,过滤掉所有对目标设备的非法访问行为。堡垒机技术主要帮助内网信息系统管理者,实现六大方面智能化支撑和高安全性防护,包括:单点登录、帐号管理、身份认证、资源授权、访问控制、操作审计。
针对医疗系统的难题,瑞宁堡垒机可以解决根本问题:锁定统方泄密源头,根本性解决“防统方”难题;全面监控预防:事前,事中,事后的全面控制手段,多方位解决统方问题;手段丰富高效:轻松运维,全面审计。降低风险,提高效率;瑞宁堡垒机不仅针对防统方问题,同时满足整个医院内网信息系统计算机“等级保护”要求。总而言之,瑞宁堡垒机从制度、流程、技术三个方面保护内部网络设备及服务器资源的安全性,确保各种服务器数据的安全保密、管理控制和操作审计,最终确保数据安全,全面而彻底地解决了目前医院防统方的难题和困境。
阅读(2449) | 评论(0) | 转发(0) |
