昂楷与医院防统方不得不说的那些事

发布时间:2017-03-14

  医疗行业中对信息安全系统,存在以下几种需求——1、保护核心数据安全的需求。2、三甲级医院需要通过信息安全等级保护三级,为此需要部署数据库审计系统。3、为响应国家政策,二级以上医院需采购防统方系统。

  “非法统方”本质上是数据安全、信息安全问题,需要从管理和技术层面来防范。通过医院相关制度并配合防统方系统与数据库审计系统,从科技+制度来达到科技防腐的效果。

  •2015年3月福州市某医院信息科人员非法统方,被判有期徒刑5年

  •2014年11月广东省再掀医药反腐风暴,5家医院被通报批评

  •2013年01月广东高州市人民医院统方回扣焦点访谈连续曝光

  •2013年11月杭州某医院院长及副院长因统方事件被拉下马

  •2012年12月河南省统方事件利益链中相关人等被检察院查处

  •2012年6月湖南常德统方事件中相关责任人月入2万被当时检察院查处

  •2012年5月浙江温州中医院因统方事件引起“回扣门”

  •2011年6月浙江温州附一,附二医院“回扣门”

  •2010年11月浙江杭州中医院,第四人民医院出现统方 “回扣门”

  •2010年安徽某医院统方39万回扣被判刑

  ……

  1

  医院防统方的意义

  “统方”是医院对医生用药信息量的统计。

  但随着商业社会的一些不良现象的滋长繁衍,“统方”这个专有名词出现了词义的变异,成为某种特指。

  “统方”特指在医药灰色产业链中,为商业目的的“统方”,其主要指医院中个人或部门为医药营销人员提供医院或部门一定时期内临床用药量统计信息,供其作为发放药品回扣等不良违法行为的重要参考依据。

  非正常统方行为作为药耗回扣利益链条中的重要环节,既违反了《卫生部八项行业纪律》,同时触犯了中华人民共和国刑法第285条第2款,构成非法获取计算机信息系统数据、非法控制、计算机信息系统罪。

  近年来,从卫生部到各省卫生厅,各级主管单位陆续出台若干项法律法规,严格禁止商业非法“统方”。然而,上有政策,下有对策。“统方”事件频频发生,屡禁不止,有关医药代表与医生、信息科人员勾结,非法获取医疗统方数据的报道层出不穷。

  《央视暗访高回扣下的高药价:回扣高达50%》

  “在邵东县人民医院就发生这样一起案子,该院副院长兼神经内科主任通过医药代表,10年里收到药品回扣7万余元,为科室敛财近270万元。”

  “山东冠县一医院药剂科主任收受回扣44万元获刑3年,该药剂科主任在药品采购活动中,利用职务上的便利,收受回扣442650元,并在药品选购等方面为其谋取利益。”

  医院行风建设工作向来是医院纪委监察部门的重点工作,非法统方行为破坏了医院良好的公众形象,降低了医院的社会满意度,也加大了纪委监察工作难度。

  国家严打统方的力度越来越大,检查标准也越提越高。国家卫计委组织专家成立专家组跨省交叉大检查,专家组会要求医院进行实际统方告警演练测试。

  鉴于上述情况,各级各类医院迫切需要一套安全管理系统(防统方系统),来对敏感信息进行有效监控,对违规的统方行为进行审计和追责,防统方系统不再是应付检查的工具。

  防统方系统作为纪委监察部门管控医院行风建设的重要工具,不同于数据库审计系统,对界面翻译有着较高的要求。防统方系统可清楚的将技术语言翻译为何时、何人、使用何种方式操作,清晰明了、简洁易懂。

  2

  部署数据库审计系统的作用

  除了医药信息,医院中还存储着大量的敏感信息,如患者健康信息、电子病历等等,这些重要信息的泄露同样会给医院及社会带来不良影响。

  “2016年3月,深圳上千名孕产妇同样遭遇了产检信息被泄露,信息详细到孕周及预产期、居住地址、电话号码等。这些信息流入母婴护理及婴儿纪念品行业,让人不堪其扰,甚至遭受诈骗,损失钱财。”

  除此之外,特殊病种的研究信息也会成为不法分子的目标,当不法分子将特殊病种用药及治疗数据贩卖给非法研究机构,最终受害的将是无辜的患者。

  无论国外还是国内,都对医院保护病人隐私范围做过明确规定。

  相关法规

  美国早在1996年通过的HIPAA法案中,明确受保护健康信息(PROTECTED HEALTH INFORMATION,PHI)的概念和范围,PHI指的是由相关机构持有的任何形式个人健康信息,包括健康状况、诊疗记录和支付信息。

  《中华人民共和国侵权责任法》第七章第62条规定:医疗机构及其医务人员应当对患者的隐私保密。泄露患者隐私或者未经患者同意公开其病历资料,造成患者损害的,应当承担侵权责任。

  《医疗事故处理条例》《医疗机构病历管理规定》中的相关规定就体现了对患者隐私保护的内容,对于未死亡患者,如果未经其许可,即使是近亲属也无权查阅和复制相关的病历资料。

  《卫生行业信息安全等级保护工作的指导意见》指出,三级甲等医院的核心业务信息系统以及国家、省、地市三级卫生信息平台,新农合、卫生监督、妇幼保健院等国家级数据中心信息系统安全保护等级原则上不低于第三级(即监督保护级)。

  医院信息中心是维护医院信息系统的主要人员,也是医院信息安全事件中第一责任人,当信息泄露事件出现时,常常被怀疑。

  某医院曾出现过非人为的信息泄露事件,医院发现系统中有窃取数据的行为,但一直没有查到泄露源头,医院领导为此很生气。信息科人员也一直不能找出证据,为自己辩白。通过部署数据库审计系统,经过现场重建,再现信息泄露过程发现,问题是出在医院信息系统自身出现的漏洞,导致系统在特定的时间自动窃取数据,到此,造成信息科和医院困扰的原因就被调查清楚了。

  数据库审计系统满足了医院信息系统安全等级保护要求,并且能够做到事中告警、事后溯源,为医院追查信息泄露源头提供有力证据。

  3

  昂楷数据库审计与防统方系统实现效果

  昂楷科技通过防统方系统和数据库审计系统的组合,以成功案例证明系统的真实效果,为减少医疗行业信息泄露事件提供支持。

  1、旁路部署,对业务系统零影响

  无需在被审计数据库服务器上安装任何软件代理或插件;无需提供被审计数据库服务器的任何管理账号和密码;在运行中审计产品无需访问被审计数据库,真正零交互;无需重启被审计系统及服务,拒绝业务中断;对原有网络不造成影响,审计产品的故障不影响业务的正常运行。

  2、独创六元组技术,实现三层架构审计

  医院信息化发展过程中,Caché数据库逐渐成为医疗界的首选数据库,其能够真正意义上实现三层架构,加大了数据库的审计难度。

  昂楷数据库审计系统区别于常见的对三层架构模糊关联的做法,独创六元组定位技术,同时支持应用层帐号、数据库帐号、操作系统用户名、客户端主机名、客户端IP、客户端MAC,无需安装业内普遍采用的探针插件,对用户的服务器及业务系统资源零占用无影响,即可真正定位到“人”。

  3、支持云平台架构审计

  智慧医疗应用虚拟化环境或者云平台越来越广泛,但由于云平台架构内部的虚拟交换机流量很难镜像或者无法镜像,因此传统的数据库审计解决方案无法满足云数据库审计需要。

  昂楷云数据库审计系统解决了“看不到”报文的问题,率先攻克了对云平台架构的数据库审计技术,为医院建设云平台提供安全保障。

  4、支持多家医院系统厂商

  昂楷数据库审计系统集成了杭创、东华、巨龙、方正、天健、东软、厦门智业、重庆中联等医疗行业常见业务系统的规则经验。

  4

  昂楷产品在医疗行业的应用

  昂楷科技的数据安全产品目前已广泛应用于政府、金融、证券、教育、电力、能源、交通、医疗卫生、企业等诸多行业,得到客户的普遍认可及好评。

  昂楷科技已成功服务全国多家重要医疗机构,如首都医科大学附属北京安贞医院、中国中医科学院望京医院、中国医科大学航空总医院、中国人民解放军第四一一医院等知名医院及深圳南山卫生局、河南濮阳卫生局、广东东莞卫生局等多个卫生局系统,在全国十多个省市有800多家用户(其中20多家医院使用“后关系型数据库”Caché)。

昂楷医疗防统方项目部分客户名单:

  ● 濮阳市卫生局● 东莞市卫生局● 深圳市南山区卫生局● 连州市卫生局● 首都医科大学附属北京安贞医院● 首都医科大学附属北京友谊医院● 首都医科大学附属北京宣武医院● 首都医科大学附属北京中医医院● 中国医科大学航空总医院● 中国中医科学院望京医院● 中国人民解放军第169医院● 解放军第一八八医院● 中国解放军第208医院● 上海第411医院● 兵器工业五二一医院● 陕西省核工业二一五医院● 河北北方学院附属第一医院● 秦皇岛市第一人民医院● 湖北省中医院● 武汉市新洲区人民医院● 河南省人民医院● 郑州大学第一附属医院● 广东省第二中医院● 广东省中医院珠海医院● 汕头市中心医院● 深圳市宝安妇幼保健院● 深圳市龙岗中心医院耳鼻咽喉科医院● 清远市人民医院● 东莞莞城人民医院● 珠海市第五人民医院● 西安交通大学第二附属医院● 宝鸡市中医医院● 中山大学附属第三医院● 牡丹江市第一人民医院● 郑州市第七人民医院● 益阳市第一中医医院● 湖南省永州市第三人民医院● 普宁市妇幼保健院● 梅州市人民医院

  深圳昂楷科技有限公司是数据安全领域顶级的研发企业,公司的核心团队是来自华为、华赛等国内外知名厂商的高管及技术骨干。昂楷科技是国家工程实验室合作单位、国家涉密信息系统产品供货单位、企业信用评价AAA级信用企业、国家信息安全产品供货单位、军用信息安全产品供货单位、深圳智慧城市数据安全标准制定单位、中央政府协议采购供货商、中直机关协议采购供货商。

  已成功研制出云数据库审计系统(首个在线服役公有云数据库安全引擎)、数据库审计系统、医疗防统方系统、集中监控管理平台等一系列数据库安全产品。有两项发明填补了行业空白。

返回上一级

400-622-8990