严防非法统方 维护医院信息安全

金华兵

严防非法统方维护医院信息安全

金华兵①

非法统方严重扰乱医疗秩序，损坏医院社会形象。建设防统方系统可以有效防范统方等不良行为的发生，保护医院的信息安全。

信息安全 统计 医院信息系统

非法统方是指以商业为目的对医生用药信息量的统计，我院对此采取措施，严格监管。

1 加强医院信息安全 防止非法统方行为

1.1 严格“统方”权限和审批程序 对HIS中因财务核算、统计等工作需要而产生的具有统方功能的报表(例如抗生素排名)进行全面筛选，严格使用人员的操作权限。操作人员使用该类报表，必须事先向院纪检部门备案，未经批准不得操作。

1.2 加强密码管理和机房管理 操作人员密码应定期更改，防止密码泄漏被非法使用。信息部门应加强对机房、服务器的管理，服务器密码也应定期更改，任何人未经批准不得进入机房在服务器端操作。

1.3 对内网电脑实行准入控制 外来电脑未经批准不能接入内网。同时，对内网电脑的IP地址、MAC地址绑定，防止非法接入。

1.4 安装防统方系统 全面监控统方行为 在加强管理的同时，通过和软件公司合作，安装防统方软件，全面监控统方行为，从而彻底防止非法统方行为。

2 防统方系统架构

我院目前使用的防统方系统，所面向的对象是纪委审计部门。因此，采用比较流行的B/S三层结构(见图1)。

图1 B/S三层结构图

B/S体系结构与C/S体系结构相比不仅具有其全部的优点，而且简化了网站的开发和维护，并且特别适用于网上信息发布。(1)开放的标准：B/S所采用的标准都是开放的、非专用的，是经过标准化组织所确定而非单一厂商所制定，保证了其应用的通用性和跨平台性。(2)较低的开发和维护成本：B/S的应用只需在客户端安装通用的浏览器即可，维护和升级工作都在服务器端进行，不需对客户端进行任何改变，故而大大降低了开发和维护的成本。(3)用户使用简单，界面友好：B/S用户的界面都在统一的浏览器上，浏览器易于使用、界面友好，又因为它不再负责数据的存取和复杂数据计算等任务，只需要进行显示，因而大大降低了对客户端的要求。

3 防统方系统与HIS的关系

防统方系统与HIS各自独立运行，防统方系统通过旁路方式(交换机端口镜像)捕获所有访问HIS数据库的命令，根据系统设定的规则，筛选出有嫌疑的语句。当该语句具有统方可疑行为时，系统会实时在后台显示，并自动发送短信告警到纪委绑定的手机上，以达到全面监控统方行为的目的(见图2)。

在核心交换机上做端口镜像，HIS服务器的端口为源端口，防统方设备的端口为目的端口。即把HIS服务器端口的流量复制1份到防统方设备的端口，从而保证所有访问HIS服务器的命令都能被防统方软件捕获到。不论是医院内网中的哪台电脑进行统方，防统方系统都能及时捕捉、全面监控。

4 数据库管理

防统方系统为一个独立系统，系统自带数据库，只记录统方相关数据，所有记录数据保留在自己系统硬件内，不再HIS上有任何驻留，对正常HIS工作的数据不进行任何干扰。

图2 反统方系统接入示意图

5 触发机制

系统通过端口镜像捕获数据，再根据系统内部的规则，凡是满足系统规则的即刻报警。系统规则分为固定规则和自定义规则。(1)固定规则为系统内部默认报警规则如：创建存储过程、表、视图时使用了关键表，疑似度为紧急；SQL语句满足了实时报警条件，疑似度为紧急等。(2)自定义规则为用户自行确定，根据医院实际情况，将需要报警的语句或者满足指定条件的语句进行报警。

6 对系统运行是否有影响

系统通过端口镜像捕获数据，完全独立运行，不会对HIS有任何影响。(1)不在HIS数据库上驻留任何程序，不会影响HIS的正常运行。(2)不在客户端安装任何程序，不影响业务系统的运行速度，也可预防外来维护人员侵入。(3)只对非法统方行为进行处理，对工作需要的正常统方不做任何干扰。

7 硬件配置

系统自带硬件服务器(2U设备)具体参数：CPU:Xeon E5-2650;内存容量：8GB;硬盘:1TB×2 Raid 1。

8 防统方系统的功能

8.1 实现对使用后台数据库管理工具统方行为的实时监控 防统方系统对HIS中所有涉及医生开方数据、病人明细费用的关键表实时监控。即使维护人员使用后台管理工具命令方式，对数据库中关键表中数据进行统方时，系统实时记录统方人的IP地址、统方时间、统计的药品、统计的时间段等信息，并实时通知管理人员。

8.2 实现对数据库临时创建新表、新存储过程后再统方行为的实时监控 当创建新表使用到关键表时，防统方系统实时监控报警。防止有人创建新表，然后把原始数据导入到新表中再统方。当创建新存储过程时使用到关键表时，防统方系统实时监控报警。防止有人在数据库中创建新的具有统方功能的存储过程，利用新的存储过程统方。

8.3 实时对大规模导出数据行为的监控 监控从关键表中读取明细记录超过2 000条的命令。监控所有执行时间超过8秒的命令，并记录在独立的文件中以便查询。对远程登录服务器的行为，防统方系统实时记录登录IP、登录时间。

8.4 对防统方系统的自身运行状态实时监控 当监控数据采集线被拔掉时，系统会实时发短信通知管理人员，同时记录采集线断开和恢复时间。防统方系统还保存设备的开关机时间记录，对任何破坏防统方系统的行为都有据可查。

·本文编校 朱 毅·

2013-09-29；

2013-12-28)

①江苏省中西医结合医院 南京市 210028