医疗信息化条件下的防“统方”技术实现原理深度剖析

 

最全防统方技术研究!...



“统方”是医院对医生用药信息量,用药单据的统计,属于医院的正常业务操作范畴。所谓非法统方即基于商业目的“统方”行为,是指医院中个人或部门为医药营销人员提供医生或部门一定时期内临场用药量信息,供其发放药品回扣的行为,是医疗贿赂中的重要环节。

通过对“统方”行为的描述可知,“统方”行为本属于业务范畴,但其合法性取决于“统方”之目的。因此,我们在分析并采用何种防“统方”技术手段时,必须与业务结合考虑,才能采用恰当的技术手段,要在保证业务正常持续稳定运行的前提下,达到防“统方”效果,防止唯技术论,给医院正常业务造成不利影响,顾此失彼。

本文结合医院业务实际情况以及当前医院信息化发展中常用的“统方”途径,对防“统方”技术进行深度剖析,以便于构建更有针对性的防“统方”方案。

医院工作者:医院工作者,利用工作便利,可直接在医院HIS系统上进行“统方”行为;

开发或维护人员:开发维护人员需要对HIS系统进行开发调试、维护测试工作,往往拥有HIS系统最高权限,“统方”易如反掌;数据库管理员:数据库管理员拥有数据库最高权限,可以对整个数据库进行备份与恢复操作,也意味着数据库管理员具有最强大的“统方”能力。黑客:黑客往往通过利用医院数据库系统、业务系统漏洞,利用黑客攻击技术从外部医院网络外部进行统方,其技术难度、“统方”成本均最高。

以上是对有可能进行“非法统方”的人员,以及常见的“非法统方”行为的总结,以此为基础,将更容易理解不同的防“统方”技术的适用性。

一、主流防“统方”技术
当前主流的防“统方”技术,是在数据库审计技术基础之上,与医院业务系统(HIS系统)进行深度适配而成的专业防“统方”系统。

数据库审计技术主要是通过旁路镜像技术,将访问数据库的所有报文通过交换机镜像一份到数据库审计系统,审计系统通过DPI/DFI(深度包检测/动态流检测)技术将报文深度解析,再通过词法/语法解析器解析成可识别的数据库结构化查询语言(SQL),相应的再与“统方”规则进行匹配,对疑似“统方”行为实行告警。如:如某些非授权用户访问了用药信息;某些用户在一个时间周期内对用药信息持续查询;开发维护人员批量下载用药信息等。

其优点在于:

1、独立于第三方的独立审计平台,对于防“统方”工作具有公正性;

2、通过底层报文的解析,覆盖全面,难于逃过审计;

3、旁路部署,对数据库,对业务“零”影响。主流防“统方”技术实现的难点在于:

1、对医院业务流程必须深入了解,才能制定符合医院自身特点的防“统方”策略;

2、必须拥有针对不同医院不同类型HIS系统丰富的知识库,规则库,才能智能判断是否是“统方”行为,否则结果会是大量的误报,大大增加审计人员“统方”行为数据分析工作量。
二、基于数据库防火墙技术的防“统方”系统
基于数据库防火墙技术的“防统方”系统,从目前市场实际使用情况来看,用一句网络词形容特别贴切——“理想很丰满,现实很骨感”。其关键制约因素在于“性能”与“误拦截”问题。

就其性能而言,有UTM研发工作经验的从业人员理会最深刻,传统UTM的硬件架构一般都采用ASIC+X86架构搭配模式,对于底层简单的包过滤通过优化算法的专用芯片快速处理,而对于需要进行复杂运算的应用层分析数据将会转到CPU进行再次运算。通过测试你可以发现,当UTM开启全部策略后,测试其性能严重的下降率超过50%(X86架构性能不高)。

同理基于应用层语句级别分析的数据库防火墙,相较于基于应用特征分析匹配的传统防火墙所需求运算资源更大。作为串联于数据库前的安全产品,一旦性能成为瓶颈,对于业务的影响将是致命的。对于基于数据库防火墙技术的防“统方”系统的误拦截问题,对业务的影响同样是致命的。

“统方”有其自身特殊性,其本身属于医院业务的一部分,如:药剂科医生查询药品使用情况;住院医生对患者用药情况的查询;当然,可通过同类操作的频繁度来进行预判,但这个频率是必然无法准确计算的一个真实值。

这仅仅一个浅显的例子,在实际的使用过程中,由于各医院业务的复杂性,不同类型HIS系统的复杂性,特殊数据库类型/数据库协议的复杂性(如:三甲医院占有率很高的caché数据库),都会影响到数据库防火墙的准确识别,增加误拦截率,严重影响到业务的正常运行。
三、基于旁路阻断的独特防“统方”技术
昂楷科技长期务实,战斗在客户需求最前线,从用户的实际情况出发,推出基于旁路阻断的独特防“统方”技术,为用户最关心的阻断以及系统运行问题提供解决方案。

旁路阻断的技术优势明显:

其一、不会存在单点故障问题;

其二、系统性能问题不会成为业务访问的瓶颈。

当然,这种技术也有其不足之处,为了防止误判,对于模糊的非法统方行为放弃拦截,采用审计模式进行风险预警,引入人工干预分析模式,对于拖库、越权访问这种明显的非法统方行为,可以毫不犹豫进行阻断,这也是在现实条件下一种最佳的折中方案。

防“统方”技术不断发展,昂楷始终从用户实际需求出发,以务实的态度为医疗行业提供医疗防“统方”解决方案。旁路阻断的防“统方”技术在不影响医疗信息系统安全运行的的前提下,保障医疗数据安全,已成功在多家医疗机构中实施旁路阻断的防“统方”方案,并收获良好的用户反馈。
目前14000+人已关注加入我们















    关注 昂楷资讯


微信扫一扫关注公众号

0 个评论

要回复文章请先登录注册