-
-
[转载] 如何有效预防非法窃取“统方”数据
-
发表于: 2013-6-13 21:46 2049
-
新闻链接:http://www.365master.com/news/yunwei/20130613/70532.shtml
新闻时间:2013-06-13
新闻正文:
随着信息化技术的日新月异,我国医疗机构,尤其是集医疗、教学、科研为一体的大型综合三级甲等医院的信息化建设也取得了飞速发展,将信息化科技与现代化医疗技术相结合,大量信息化技术成为医院医、教、研决策的工具,极大的提高了医院的医疗、管理水平及竞争力。
国内大部分医院信息化建设道路基本一致。最开始建设的是以人、财、物为中心的医院信息管理系统。随后将病人信息、药品、经费为主线,涵盖医生、护理、药房、设备、器材等所有科室纳入到信息化管理范围。为了能进行所有科室信息的有效、准确的采集,各医院先后建设了临床信息系统(CIS)、医院信息管理系统(HMIS)等信息化系统。信息化技术手段已经成为了各医院日常行政工作的有力支撑和医院管理者的决策依据,医院领导和相关管理部门能够实时获取医院的病床收容率及收入信息,并能通过质量监控软件获得的数据监督、指导医生、护士的工作。
然而随着医院信息化的迅猛发展,信息的高度集中使得核心数据泄密的隐患也越来越突出,在利益的驱使下非正常的统方行为、患者信息泄密行为屡有发生,同时卫生部印发了关于《卫生行业信息安全等级保护工作的指导意见》的通知(卫办发〔2011〕85号)、《卫生部关于进一步深化治理医药购销领域商业贿赂工作的通知》等红头文件。但是,尽管上有政策,中有举措,但下依然有对策。“统方”事件频频发生,屡禁不止,有关医药代表与医生、信息科人员勾结,非法获取医疗统方数据的报道层出不穷。各级医疗机构急需采取“教育为先、制度为主、技术为辅”的综合管理手段,多管齐下,对敏感数据进行实时监控,对违规操作进行追根溯源和智能控制,全面提升信息系统安全管理水平,有效遏制违法、违纪活动的发生。
行业指导意见
1. 防恶意篡改
医院信息系统全面记录了患者的医疗活动,包括医嘱、病程记录、各种检查检验申请与结果、手术记录、影像、护理信息、费用信息等,信息的真实性、可靠性、保密性颇受关注。然而为满足提高医疗活动效率和质量的需求,不仅医疗机构内部多个业务系统之间存在信息的流转,同时也不可或缺的需要开放一些对外的接口,比如:医院的门户网站、患者服务平台、医疗保险接口、远程医疗咨询系统接口等,使得信息系统的安全风险剧增。部署WEB应用防火墙,可以实时检测异常入侵,有效识别、阻止各类应用层黑客攻击,阻断各类利用技术漏洞未授权修改综合业务、临床业务系统数据的行为,保障信息的真实性。
2. 防隐私泄密
包括病历信息在内的海量级数据信息的保密关系到医院的信誉。患者信息如:亲属信息、社会保障信息、既往病史、医嘱、检验申请单及检验结果等均属于绝对的个人隐私,对这些敏感信息的阅读、复制、打印均需要设置相应的权限,并记录使用记录。WEB应用防火墙和网页防篡改系统的部署,可以抵御外部利用技术漏洞的数据盗用、窃取、篡改行为,运维安全审计系统设备的部署,可以从技术上监督医疗机构管理制度的落实情况,阻止患者信息、诊疗信息、费用信息的外泄。
3. 防越权操作
为有效遏制“统方”行为,各医疗机构纷纷采取“角色分离、最小授权”的安全管理制度,对系统管理员、数据库DBA、安全管理员分别给予不同的操作权限。运维安全审计系统设备的应用,不仅能够重点监控未通过业务系统(HIS、PACS等)进行的数据库操作(比如:误操作数据的纠正、应用程序BUG引起的数据调整),同时可以依据细粒度的审计规则(如:HIS系统中的价格数据维护,仅允许物价办公室专岗人员进行),发现越权操作行为并及时告警。
4. 防权限滥用
安全不仅是技术问题,更多的是管理问题,人的因素才是关键。利益的驱使、法律意识的淡薄,导致部分人员利用职务之便,铤而走险,监守自盗,为自己及他人谋利益。运维安全审计系统设备的部署,一方面给这些不法之徒树立了警示碑,另一方面从技术上对违规操作加大了监管力度,一旦发现疑似违规操作自动告警,为及时制止违法、违规行为赢得了时间。
5. 防事后抵赖
一旦发生安全事件,攻击者或内部人员往往否认自己的操作行为。职权分离的维安全审计系统设备的部署,不仅满足了信息系统安全等级保护及企业内控的规范要求,同时,友好真实的操作回放功能使得攻击行为、违纪行为暴露无遗,为公安机关查处违法案件提供有力的证据。
6. 防保险欺诈
病历信息(如:法定医学证明及报告、收费收据等)在医疗事故、交通事故、社会医疗保险、伤残鉴定、遗产继承等案件诉讼中的法律作用日趋重要,这些信息若被不法分子利用,可能造成保险诈骗。通过敏感表的细粒度访问控制规则及远程操作的监控,识别未授权操作,并实时短信告警或阻断操作。
7. 防医疗纠纷
医闹事件不时见诸报端,不少患者家属认为医院的医疗鉴定不够客观,总是怀疑医院伪造、篡改病历。运维安全审计系统设备能够公正、客观地记录所有的操作,真正实现4W全程审计(who谁、when什么时间段内、where通过什么途径、what对什么(数据)进行了哪些操作、结果如何)。一旦出现医疗纠纷,完整清晰的操作回放为医疗纠纷的快速处理提供科学依据,维护医院信誉。
新闻时间:2013-06-13
新闻正文:
随着信息化技术的日新月异,我国医疗机构,尤其是集医疗、教学、科研为一体的大型综合三级甲等医院的信息化建设也取得了飞速发展,将信息化科技与现代化医疗技术相结合,大量信息化技术成为医院医、教、研决策的工具,极大的提高了医院的医疗、管理水平及竞争力。
国内大部分医院信息化建设道路基本一致。最开始建设的是以人、财、物为中心的医院信息管理系统。随后将病人信息、药品、经费为主线,涵盖医生、护理、药房、设备、器材等所有科室纳入到信息化管理范围。为了能进行所有科室信息的有效、准确的采集,各医院先后建设了临床信息系统(CIS)、医院信息管理系统(HMIS)等信息化系统。信息化技术手段已经成为了各医院日常行政工作的有力支撑和医院管理者的决策依据,医院领导和相关管理部门能够实时获取医院的病床收容率及收入信息,并能通过质量监控软件获得的数据监督、指导医生、护士的工作。
然而随着医院信息化的迅猛发展,信息的高度集中使得核心数据泄密的隐患也越来越突出,在利益的驱使下非正常的统方行为、患者信息泄密行为屡有发生,同时卫生部印发了关于《卫生行业信息安全等级保护工作的指导意见》的通知(卫办发〔2011〕85号)、《卫生部关于进一步深化治理医药购销领域商业贿赂工作的通知》等红头文件。但是,尽管上有政策,中有举措,但下依然有对策。“统方”事件频频发生,屡禁不止,有关医药代表与医生、信息科人员勾结,非法获取医疗统方数据的报道层出不穷。各级医疗机构急需采取“教育为先、制度为主、技术为辅”的综合管理手段,多管齐下,对敏感数据进行实时监控,对违规操作进行追根溯源和智能控制,全面提升信息系统安全管理水平,有效遏制违法、违纪活动的发生。
行业指导意见
1. 防恶意篡改
医院信息系统全面记录了患者的医疗活动,包括医嘱、病程记录、各种检查检验申请与结果、手术记录、影像、护理信息、费用信息等,信息的真实性、可靠性、保密性颇受关注。然而为满足提高医疗活动效率和质量的需求,不仅医疗机构内部多个业务系统之间存在信息的流转,同时也不可或缺的需要开放一些对外的接口,比如:医院的门户网站、患者服务平台、医疗保险接口、远程医疗咨询系统接口等,使得信息系统的安全风险剧增。部署WEB应用防火墙,可以实时检测异常入侵,有效识别、阻止各类应用层黑客攻击,阻断各类利用技术漏洞未授权修改综合业务、临床业务系统数据的行为,保障信息的真实性。
2. 防隐私泄密
包括病历信息在内的海量级数据信息的保密关系到医院的信誉。患者信息如:亲属信息、社会保障信息、既往病史、医嘱、检验申请单及检验结果等均属于绝对的个人隐私,对这些敏感信息的阅读、复制、打印均需要设置相应的权限,并记录使用记录。WEB应用防火墙和网页防篡改系统的部署,可以抵御外部利用技术漏洞的数据盗用、窃取、篡改行为,运维安全审计系统设备的部署,可以从技术上监督医疗机构管理制度的落实情况,阻止患者信息、诊疗信息、费用信息的外泄。
3. 防越权操作
为有效遏制“统方”行为,各医疗机构纷纷采取“角色分离、最小授权”的安全管理制度,对系统管理员、数据库DBA、安全管理员分别给予不同的操作权限。运维安全审计系统设备的应用,不仅能够重点监控未通过业务系统(HIS、PACS等)进行的数据库操作(比如:误操作数据的纠正、应用程序BUG引起的数据调整),同时可以依据细粒度的审计规则(如:HIS系统中的价格数据维护,仅允许物价办公室专岗人员进行),发现越权操作行为并及时告警。
4. 防权限滥用
安全不仅是技术问题,更多的是管理问题,人的因素才是关键。利益的驱使、法律意识的淡薄,导致部分人员利用职务之便,铤而走险,监守自盗,为自己及他人谋利益。运维安全审计系统设备的部署,一方面给这些不法之徒树立了警示碑,另一方面从技术上对违规操作加大了监管力度,一旦发现疑似违规操作自动告警,为及时制止违法、违规行为赢得了时间。
5. 防事后抵赖
一旦发生安全事件,攻击者或内部人员往往否认自己的操作行为。职权分离的维安全审计系统设备的部署,不仅满足了信息系统安全等级保护及企业内控的规范要求,同时,友好真实的操作回放功能使得攻击行为、违纪行为暴露无遗,为公安机关查处违法案件提供有力的证据。
6. 防保险欺诈
病历信息(如:法定医学证明及报告、收费收据等)在医疗事故、交通事故、社会医疗保险、伤残鉴定、遗产继承等案件诉讼中的法律作用日趋重要,这些信息若被不法分子利用,可能造成保险诈骗。通过敏感表的细粒度访问控制规则及远程操作的监控,识别未授权操作,并实时短信告警或阻断操作。
7. 防医疗纠纷
医闹事件不时见诸报端,不少患者家属认为医院的医疗鉴定不够客观,总是怀疑医院伪造、篡改病历。运维安全审计系统设备能够公正、客观地记录所有的操作,真正实现4W全程审计(who谁、when什么时间段内、where通过什么途径、what对什么(数据)进行了哪些操作、结果如何)。一旦出现医疗纠纷,完整清晰的操作回放为医疗纠纷的快速处理提供科学依据,维护医院信誉。
赞赏
看原图
赞赏
雪币:
留言: