[[198974]]

作為與人民生活福利密切相關(guān)的保障性設(shè)施，醫(yī)療行業(yè)單位，尤其是大中型醫(yī)院的信息化建設(shè)始終領(lǐng)先于社會(huì)同期平均水平，各業(yè)務(wù)環(huán)節(jié)幾乎已全部納入到IT信息鏈條中，并逐步呈現(xiàn)出自成體系的信息技術(shù)范疇。與之相應(yīng)的，醫(yī)療單位也面臨著其行業(yè)獨(dú)有的數(shù)據(jù)安全風(fēng)險(xiǎn)。

為解決以上問題，東軟推出了以數(shù)據(jù)庫審計(jì)系統(tǒng)(DBA)為依托的NetEye數(shù)據(jù)安全平臺(tái)，面向醫(yī)療行業(yè)數(shù)據(jù)安全需求，提供成熟、可靠的整體解決方案，并在各個(gè)領(lǐng)域均表現(xiàn)出鮮明的優(yōu)勢(shì)特點(diǎn)。

一、防范非法統(tǒng)方

通過內(nèi)置的專業(yè)防統(tǒng)方功能，東軟 DBA能夠?qū)崟r(shí)檢測(cè)針對(duì)HIS系統(tǒng)的非法統(tǒng)方行為，保護(hù)醫(yī)療單位合法權(quán)益，提高通過行業(yè)規(guī)章要求、等級(jí)保護(hù)等標(biāo)準(zhǔn)規(guī)范的能力。

(一) 準(zhǔn)確度***。東軟DBA了解HIS數(shù)據(jù)庫結(jié)構(gòu)，具備準(zhǔn)確的統(tǒng)方模型定義，具備制訂出業(yè)內(nèi)精確度領(lǐng)先的統(tǒng)方策略的能力，是東軟DBA在防統(tǒng)方領(lǐng)域***的先天優(yōu)勢(shì)。

(二) 誤報(bào)率低。東軟在醫(yī)療信息化領(lǐng)域?qū)徍硕嗄?，了解客戶需求，熟悉各醫(yī)療流程的運(yùn)維操作特點(diǎn)，如藥庫/藥房管理、藥品字典維護(hù)、藥品/非藥統(tǒng)計(jì)、就診信息查詢等，能夠準(zhǔn)確甄別誤判環(huán)節(jié)，將誤報(bào)率控制在可接受范圍內(nèi)。

(三) 漏報(bào)率優(yōu)異。東軟DBA不僅僅審計(jì)對(duì)指定數(shù)據(jù)對(duì)象的訪問，而且還將通過其它技術(shù)手段進(jìn)行輔助檢測(cè)，防范個(gè)別內(nèi)部人員通過數(shù)據(jù)庫內(nèi)部機(jī)制進(jìn)行間接統(tǒng)方，如數(shù)據(jù)轉(zhuǎn)存、設(shè)立視圖、調(diào)用存儲(chǔ)過程/函數(shù)等，截?cái)嗵颖鼙O(jiān)管的隱蔽通道，實(shí)現(xiàn)良好的審計(jì)覆蓋面。

(四) 層次化的檢測(cè)階梯。東軟DBA的防統(tǒng)方策略，不是簡(jiǎn)單幾條檢測(cè)策略配置的羅列，而是在充分理解HIS數(shù)據(jù)庫結(jié)構(gòu)和業(yè)務(wù)特征的基礎(chǔ)上，制訂出的層次化的檢測(cè)策略階梯，并根據(jù)***率、可疑度、防漏審/漏報(bào)、防誤報(bào)、執(zhí)行效率等因素綜合權(quán)衡，嚴(yán)謹(jǐn)選擇每條檢測(cè)規(guī)則的檢測(cè)粒度以及所處的階梯位置，從而使DBA防統(tǒng)方實(shí)現(xiàn)良好的檢測(cè)性能和效果。

(五) 開箱即用。為便于客戶對(duì)DBA防統(tǒng)方功能的高效運(yùn)用，東軟DBA將防統(tǒng)方功能單獨(dú)封裝為策略包和報(bào)表模塊，每個(gè)策略包均針對(duì)特定品牌、特定版本的HIS系統(tǒng)而專門打造，用戶可通過報(bào)表模塊自動(dòng)生成指定類型的防統(tǒng)方合規(guī)報(bào)表，降低部署難度，提高審計(jì)監(jiān)管力度。

二、保護(hù)病患信息

病患信息是醫(yī)療單位重點(diǎn)保護(hù)的數(shù)據(jù)資產(chǎn)，此類信息廣泛分布在HIS、EMR、CPR等系統(tǒng)的數(shù)據(jù)庫中。一方面，病患信息數(shù)據(jù)需要面向正常業(yè)務(wù)系統(tǒng)提供全面訪問服務(wù);另一方面，又需要向特定的臨時(shí)請(qǐng)求開放有限的訪問權(quán)限，如醫(yī)學(xué)科研課題研究、臨床案例樣本調(diào)查等。

東軟DBA數(shù)據(jù)安全平臺(tái)能夠提供完善的敏感數(shù)據(jù)保護(hù)機(jī)制，滿足客戶的多種需求。

(一)基于數(shù)十種條件來嚴(yán)格描述各類用途的業(yè)務(wù)訪問請(qǐng)求，為后續(xù)敏感數(shù)據(jù)保護(hù)提供訪問源定義。

(二)按照可操作記錄數(shù)量來約束數(shù)據(jù)擴(kuò)散速度。

(三)按照字段類別來控制可訪問數(shù)據(jù)范圍。

(四)在可訪問范圍內(nèi)，對(duì)其中的敏感數(shù)據(jù)進(jìn)行事前靜態(tài)、實(shí)時(shí)動(dòng)態(tài)脫敏處理和事前靜態(tài)加密處理。

東軟DBA數(shù)據(jù)安全平臺(tái)，妥善滿足了醫(yī)療行業(yè)敏感數(shù)據(jù)的彈性保護(hù)需求，把以往簡(jiǎn)單粗暴的“允許、禁止”二元制策略，進(jìn)一步優(yōu)化為“允許、禁止、允許但需少量、允許但需脫敏”多元制保護(hù)體系。

三、監(jiān)督IT服務(wù)

通常，在信息化建設(shè)過程中，醫(yī)療機(jī)構(gòu)與IT服務(wù)商將在約定的工作界面內(nèi)按照合同要求交付工作，保質(zhì)、保量。然而，在實(shí)際操作過程中，難免出現(xiàn)分工界面不清晰或使用混亂、交付成果不明確等情況，極易引發(fā)一系列的安全隱患，如數(shù)據(jù)泄露、后門預(yù)留等。針對(duì)此風(fēng)險(xiǎn)，東軟DBA數(shù)據(jù)安全平臺(tái)可將IT服務(wù)工作限定在一個(gè)可控、可審計(jì)的范圍內(nèi)。

(一) 提供數(shù)據(jù)訪問控制機(jī)制，約束IT服務(wù)人員的數(shù)據(jù)訪問范圍。

(二) 提供數(shù)據(jù)加密和脫敏機(jī)制，防止敏感數(shù)據(jù)泄露。

(三) 采用數(shù)據(jù)審計(jì)手段，監(jiān)督對(duì)核心數(shù)據(jù)資產(chǎn)的全部訪問。

(四) 采用運(yùn)維審計(jì)手段，監(jiān)控對(duì)核心系統(tǒng)的維護(hù)操作(NABH運(yùn)維審計(jì))。

(五) 設(shè)置審計(jì)報(bào)警策略，對(duì)高可疑度的訪問、操作進(jìn)行實(shí)時(shí)報(bào)警，及時(shí)通知安全管理員排查可疑行為。

東軟DBA數(shù)據(jù)安全平臺(tái)能夠?yàn)獒t(yī)療單位的信息化建設(shè)提供可靠的沙盒環(huán)境，監(jiān)督、約束IT服務(wù)有序交付，避免對(duì)現(xiàn)網(wǎng)系統(tǒng)造成安全威脅。

四、增加縱深防御

從安全層面上來看，醫(yī)療單位信息系統(tǒng)是近似平坦的結(jié)構(gòu)，幾乎所有的桌面系統(tǒng)都可以訪問所有的服務(wù)器資源，無論是應(yīng)用業(yè)務(wù)服務(wù)器還是數(shù)據(jù)服務(wù)器，尤其是在應(yīng)用層<->數(shù)據(jù)層之間，幾乎是全連通的。這對(duì)安全防護(hù)非常不利。

東軟DBA數(shù)據(jù)安全平臺(tái)可方便、高效地增加醫(yī)療單位信息系統(tǒng)的防御縱深。

東軟DBA數(shù)據(jù)安全平臺(tái)，兼具數(shù)據(jù)庫審計(jì)、數(shù)據(jù)庫防火墻、數(shù)據(jù)庫加密和數(shù)據(jù)庫評(píng)估掃描模塊功能，并內(nèi)置SOX、等級(jí)保護(hù)、防統(tǒng)方、PCI等報(bào)表模板，可有力促進(jìn)醫(yī)療單位進(jìn)行內(nèi)部監(jiān)管強(qiáng)化、安全評(píng)測(cè)申報(bào)以及切實(shí)提高數(shù)據(jù)安全水平等工作。