欢迎来到天天文库
浏览记录
ID:11029401
大小:62.50 KB
页数:0页
时间:2018-07-09
《关于大型医院信息安全防统方预警防控工作的实践研究》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库。
1、关于大型医院信息安全防统方预警防控工作的实践研究吴家春秦新南董晓红2010年6月卫生部颁发《关于进一步深化治理医药购销领域商业贿赂工作的通知》中明确指出,“要对医院各个部门通过计算机X络查询医院信息的权限实行分级管理,对医院信息系统中有关药品、高值耗材使用等信息实行专人负责、加密管理,严格统方权限和审批程序,未经批准不得统方,严禁为商业目的统方。”随着医院信息化建设与发展,医院信息系统(HIS)已成为建设现代化医院不可缺少的基础设施和技术。医院管理离不开信息,在“领导决策层、医疗、教学、科研、行政”等全程医院运行管理中,信息
2、数据化管理是掌管医院信息管理的重要途径。统方是医疗信息数据管理范畴部分,主要是为临床医疗管理统计及提供医疗过程中所发生的数据。统方是指医院对医生开出的处方用药、使用医疗高值耗材总量的信息数据量的统计。医院管理中的统方是指医疗过程中依靠信息数据化来集中反映阶段时间临床用药和医用高值耗材使用量,便于医院管理部门掌握及控制医疗管理质量的目的。商业为目的的统方是指在医院内部的个人或部门,为医药行业营销人员利用信息技术提供医院或部门一定时期内临床用药和医用高值耗材使用量的统计数据,并作为医药行业营销人员向医院内部人员发放药品、耗材等商
3、业“回扣”参考依据。国家卫计委在2013年颁布“九不准”明确规定,违规统方已经认定属于商业贿赂违法行为。一、统方在大型医院主要表现形式(一)医院信息HIS应用系统提供统方功能医院HIS等医疗信息系统,软件应用设计集中了处方统计分析、处方查询,以及挂号、病历、诊疗信息管理等核心业务模块。后台涉及到医生、药品、剂量、单价、应收金额等直接或间接数据,能够成为“统方”信息,这些功能本身提供详尽的统方信息,显示所有处方用药情况和高值耗材使用量。HIS信息系统在后台设置高权限用户的应用系统,即拥有统方权限。在医院常规运行管理过程中,医院
4、药剂科本身兼具正常“统方”的职责,其一,每天需要对医生、药品和剂量信息进行统计,干预医生医嘱的适应症及使用药物剂量。其二,统计药品进出库量,达到对药品管理的目的。因此,HIS应用系统本身管理制度一旦出现漏洞,信息管理权限被泄露,统方数据外泄将受到威胁。(二)信息管理人员的违规“统方”根据大型医院信息化建设与管理的要求,信息中心组织架构使得信息中心人员队伍在逐步扩大,信息中心日常ITX络设备、数据库等程序的维护,信息管理人员掌握administrator、SYSTEM等超级用户,并具备访问所有ITX络设备、服务器、应用数据库的
5、权限,给信息安全防控管理带来挑战。如果不加强管理信息系统访问数据库的用户名和口令,将会出现以下情况:(1)信息中心人员无业务需要能够访问所有处方数据,具备“统方”的最佳途径。(2)由于目前供应商对于用户密码的管理方式过于简单,造成直接查询数据库中的用户密码表,使用具备统方权限的应用用户登录到HIS系统直接进行违规“统方”。这将是目前医院信息中心内部人员最常见的违规统方途径。(三)黑客入侵信息系统违规“统方”在商业高额利益的驱使下,当前黑客窃取“统方”数据的手段隐蔽性、复杂性不容忽视。黑客的手段大致有以下4种:(1)利用HIS
6、等系统的洞入侵数据库。(2)利用数据库漏洞直接入侵数据库。(3)入侵数据库服务器主机直接窃取数据库文件、备份文件等。(4)利用终端管理不严格的漏洞,使用移动介质运行相关程序窃取数据。二、大型医院信息的安全系统构架(一)医院信息系统的安全现状目前医院信息系统(HIS)硬件和系统软件的配置已具有较高的安全级别。但是,HIS还存在着以下安全问题需要解决。1.访问口令限制不严。现有HIS一般采取用户连接信息简单加密的方式以限制其他非法用户获取数据库口令。但在C/S模式下的客户端仍然存放着直接访问数据库的用户名和密码,可以被简单破解或
7、侦听到。2.X络访问随意性突显。大型医院X络可随意互访,信息流通和共享畅通无阻,在任何一个X络点,均可随意访问整个X络的资源,数据易被非法窃取。3.数据库访问实时监测报警系统薄弱。目前大型医院建立监测报警系统,即安装了防统方软件,但在实施过程中,很少有对数据库访问的用户进行监测、存档和登记、分析等管理手段,即使数据库的关键数据被窃取或破坏,信息中心管理人员的追查、审计需要投入时间较长,很难及时发现窃取数据的“黑客”。4.客户端的介质随意性访问的多样性。因大型医院信息化建设普及,医生护理工作站配备硬件设备齐全,各工作站端口均有
8、USB等硬件接口,由于管理不严随意接入移动硬盘等外部设备,带有病毒的软件极有可能流入医院内X,对医院信息安全带来威胁。5.数据库用户控制不严。由于历史原因,HIS数据库用户及其权限的管理薄弱,没有按照“最小权限”原则进行管理;且由于整个医院信息系统的数量在不断增加,业务日趋复杂,与HIS系
此文档下载收益归作者所有