[[198974]]

作為與人民生活福利密切相關(guān)的保障性設(shè)施，醫(yī)療行業(yè)單位，尤其是大中型醫(yī)院的信息化建設(shè)始終領(lǐng)先于社會同期平均水平，各業(yè)務(wù)環(huán)節(jié)幾乎已全部納入到IT信息鏈條中，并逐步呈現(xiàn)出自成體系的信息技術(shù)范疇。與之相應(yīng)的，醫(yī)療單位也面臨著其行業(yè)獨有的數(shù)據(jù)安全風險。

為解決以上問題，東軟推出了以數(shù)據(jù)庫審計系統(tǒng)(DBA)為依托的NetEye數(shù)據(jù)安全平臺，面向醫(yī)療行業(yè)數(shù)據(jù)安全需求，提供成熟、可靠的整體解決方案，并在各個領(lǐng)域均表現(xiàn)出鮮明的優(yōu)勢特點。

一、防范非法統(tǒng)方

通過內(nèi)置的專業(yè)防統(tǒng)方功能，東軟 DBA能夠?qū)崟r檢測針對HIS系統(tǒng)的非法統(tǒng)方行為，保護醫(yī)療單位合法權(quán)益，提高通過行業(yè)規(guī)章要求、等級保護等標準規(guī)范的能力。

(一) 準確度***。東軟DBA了解HIS數(shù)據(jù)庫結(jié)構(gòu)，具備準確的統(tǒng)方模型定義，具備制訂出業(yè)內(nèi)精確度領(lǐng)先的統(tǒng)方策略的能力，是東軟DBA在防統(tǒng)方領(lǐng)域***的先天優(yōu)勢。

(二) 誤報率低。東軟在醫(yī)療信息化領(lǐng)域?qū)徍硕嗄?，了解客戶需求，熟悉各醫(yī)療流程的運維操作特點，如藥庫/藥房管理、藥品字典維護、藥品/非藥統(tǒng)計、就診信息查詢等，能夠準確甄別誤判環(huán)節(jié)，將誤報率控制在可接受范圍內(nèi)。

(三) 漏報率優(yōu)異。東軟DBA不僅僅審計對指定數(shù)據(jù)對象的訪問，而且還將通過其它技術(shù)手段進行輔助檢測，防范個別內(nèi)部人員通過數(shù)據(jù)庫內(nèi)部機制進行間接統(tǒng)方，如數(shù)據(jù)轉(zhuǎn)存、設(shè)立視圖、調(diào)用存儲過程/函數(shù)等，截斷逃避監(jiān)管的隱蔽通道，實現(xiàn)良好的審計覆蓋面。

(四) 層次化的檢測階梯。東軟DBA的防統(tǒng)方策略，不是簡單幾條檢測策略配置的羅列，而是在充分理解HIS數(shù)據(jù)庫結(jié)構(gòu)和業(yè)務(wù)特征的基礎(chǔ)上，制訂出的層次化的檢測策略階梯，并根據(jù)***率、可疑度、防漏審/漏報、防誤報、執(zhí)行效率等因素綜合權(quán)衡，嚴謹選擇每條檢測規(guī)則的檢測粒度以及所處的階梯位置，從而使DBA防統(tǒng)方實現(xiàn)良好的檢測性能和效果。

(五) 開箱即用。為便于客戶對DBA防統(tǒng)方功能的高效運用，東軟DBA將防統(tǒng)方功能單獨封裝為策略包和報表模塊，每個策略包均針對特定品牌、特定版本的HIS系統(tǒng)而專門打造，用戶可通過報表模塊自動生成指定類型的防統(tǒng)方合規(guī)報表，降低部署難度，提高審計監(jiān)管力度。

二、保護病患信息

病患信息是醫(yī)療單位重點保護的數(shù)據(jù)資產(chǎn)，此類信息廣泛分布在HIS、EMR、CPR等系統(tǒng)的數(shù)據(jù)庫中。一方面，病患信息數(shù)據(jù)需要面向正常業(yè)務(wù)系統(tǒng)提供全面訪問服務(wù);另一方面，又需要向特定的臨時請求開放有限的訪問權(quán)限，如醫(yī)學科研課題研究、臨床案例樣本調(diào)查等。

東軟DBA數(shù)據(jù)安全平臺能夠提供完善的敏感數(shù)據(jù)保護機制，滿足客戶的多種需求。

(一)基于數(shù)十種條件來嚴格描述各類用途的業(yè)務(wù)訪問請求，為后續(xù)敏感數(shù)據(jù)保護提供訪問源定義。

(二)按照可操作記錄數(shù)量來約束數(shù)據(jù)擴散速度。

(三)按照字段類別來控制可訪問數(shù)據(jù)范圍。

(四)在可訪問范圍內(nèi)，對其中的敏感數(shù)據(jù)進行事前靜態(tài)、實時動態(tài)脫敏處理和事前靜態(tài)加密處理。

東軟DBA數(shù)據(jù)安全平臺，妥善滿足了醫(yī)療行業(yè)敏感數(shù)據(jù)的彈性保護需求，把以往簡單粗暴的“允許、禁止”二元制策略，進一步優(yōu)化為“允許、禁止、允許但需少量、允許但需脫敏”多元制保護體系。

三、監(jiān)督IT服務(wù)

通常，在信息化建設(shè)過程中，醫(yī)療機構(gòu)與IT服務(wù)商將在約定的工作界面內(nèi)按照合同要求交付工作，保質(zhì)、保量。然而，在實際操作過程中，難免出現(xiàn)分工界面不清晰或使用混亂、交付成果不明確等情況，極易引發(fā)一系列的安全隱患，如數(shù)據(jù)泄露、后門預(yù)留等。針對此風險，東軟DBA數(shù)據(jù)安全平臺可將IT服務(wù)工作限定在一個可控、可審計的范圍內(nèi)。

(一) 提供數(shù)據(jù)訪問控制機制，約束IT服務(wù)人員的數(shù)據(jù)訪問范圍。

(二) 提供數(shù)據(jù)加密和脫敏機制，防止敏感數(shù)據(jù)泄露。

(三) 采用數(shù)據(jù)審計手段，監(jiān)督對核心數(shù)據(jù)資產(chǎn)的全部訪問。

(四) 采用運維審計手段，監(jiān)控對核心系統(tǒng)的維護操作(NABH運維審計)。

(五) 設(shè)置審計報警策略，對高可疑度的訪問、操作進行實時報警，及時通知安全管理員排查可疑行為。

東軟DBA數(shù)據(jù)安全平臺能夠為醫(yī)療單位的信息化建設(shè)提供可靠的沙盒環(huán)境，監(jiān)督、約束IT服務(wù)有序交付，避免對現(xiàn)網(wǎng)系統(tǒng)造成安全威脅。

四、增加縱深防御

從安全層面上來看，醫(yī)療單位信息系統(tǒng)是近似平坦的結(jié)構(gòu)，幾乎所有的桌面系統(tǒng)都可以訪問所有的服務(wù)器資源，無論是應(yīng)用業(yè)務(wù)服務(wù)器還是數(shù)據(jù)服務(wù)器，尤其是在應(yīng)用層<->數(shù)據(jù)層之間，幾乎是全連通的。這對安全防護非常不利。

東軟DBA數(shù)據(jù)安全平臺可方便、高效地增加醫(yī)療單位信息系統(tǒng)的防御縱深。

東軟DBA數(shù)據(jù)安全平臺，兼具數(shù)據(jù)庫審計、數(shù)據(jù)庫防火墻、數(shù)據(jù)庫加密和數(shù)據(jù)庫評估掃描模塊功能，并內(nèi)置SOX、等級保護、防統(tǒng)方、PCI等報表模板，可有力促進醫(yī)療單位進行內(nèi)部監(jiān)管強化、安全評測申報以及切實提高數(shù)據(jù)安全水平等工作。