防统方系统只是应付检查的工具

[如何应付面试中的尴尬场面]不论面试的场面变得如何的古怪或是疯狂，保持冷静都会对你最有利。面试的过程是一种职业经历。你参加面试不是为了满足社会需求，而是为了争取一个可能得到的工作机会。有的时...+阅读

防统方系统只是应付检查的工具

应付检查，已经成为历史！近几年，国家严打统方的力度越来越大，检查标准也越提越高。国家卫计委组织专家成立专家组跨省交叉大检查，防统方也是被检查的一部分。专家组会要医院进行实际统方告警演练测试，检查标准之高，实属罕见。长期断电？ No way！使用防统方集中管理平台，防统方设备在线情况一目了然。针对大型区域医疗防统方系统所遇到的管理、监控、预警难的问题，昂楷科技提供了业界最为领先的防统方集中管理和技术手段，彻底解决了大型区域医疗防统方系统面临的部署、管理、监控、预警以及日志方面的问题。怎么才能使用好这把“利剑”

“统方”数据泄露途径众多，要想使用好防统方系统这把“利剑”，需要从根本去解决问题。“非法统方”本质上是数据安全、信息安全问题，需要从管理和技术层面来防范。通过医院防统方相关制度并配合防统方系统，科技+制度来达到科技防腐的效果。昂楷科技医院防统方系统在不影响医院HIS系统、PACS系统、LIS系统、 EMR系统等应用系统正常使用的前提下，在核心业务服务区增设防统方审计设备，通过对网络中的海量、无序的数据进行处理、分析，从数据安全角度去防范统方，一旦出现违规统方事件，系统能够准确描述何人、何时、何地、以何种方式进行违规统方，并提供操作过程回放，供相关人员分析。系统既满足了医院信息建设中的合规性审计要，又可以对越权操作、违规操作实时监控并追根溯源，实现了防统方手段从制度约束到技术限制的跨越，使工作人员从技术上远离统方禁区，有助于医院行风建设，树立良好公众形象。

防统方的防统方需分析

在医院HIS系统中，至少存在以下数据库安全漏洞，能导致非法“统方”行为发生：当前医院的HIS系统是一个统一的应用平台，集中了处方统计分析业务、处方查询（药剂科），以及挂号、病历、诊疗信息管理等核心业务模块，这些模块共用同一个数据库用户。这种方案存在三个问题：

(1)绕开应用系统直接访问数据库中的统方数据：该数据库用户由于未采用有效的保护措施，可以通过该用户直接访问数据库，从而造成数据库内统方信息的泄密；

(2)利用处方查询业务中的合法数据库用户身份，在应用中进行间接“统方”

对于药剂科的处方查询、处方打印操作，本身就需要具备查看处方中的药品、医生名称、药品数量等关键信息的权限。合法的业务操作是基于处方编号进行精确查询，仅能返回特定处方的信息。但如果应用系统的开发控制不严，被人为篡改查询语句或植入按时间范围、按医生及药品名称进行批量查询的报表，则能够迅速地获取批量处方信息，间接地完成“统方”。

(3)无法进行：由于不同模块公用同一数据库用户访问数据，无法有效的限定数据库用户的访问能力，特别是处方统计分析业务和处方查询的区别管理。 DBA及系统维护人员的权限过高，可以访问所有处方数据。

SYS等超级用户、DBA用户，以及维护人员的数据库用户，具备了访问所有数据的权限；从而使毫无业务需要的DBA及维护人员能够访问所有处方数据，具备“统方”的最佳途径。由于数据库中的数据是以明文的形式存储在数据库中，从网络中的文件处理层将数据库文件拷贝走，可以获得所有统方信息，完成“统方”。

存储设备丢失、数据文件被窃取都会引起的批量处方信息泄露。