“统方”是建立医药回扣黑链的重要一环,是国家和媒体关注的重要社会焦点问题。
“防统方”即是防止统方行为发生,根据医疗行业及其应用系统的特点,以操作行为的正常规律和规则为依据,对相关计算机系统进行的操作行为产生的动态或静态痕迹进行监测分析,发现和防范内部人员借助信息技术实施的违规和犯罪。对信息系统运行有影响的各种角色的行为过程进行实时监测,及时发现异常和可疑事件,避免内部人员的威胁而发生严重的后果。
防统方本身就是一个信息安全防范问题,政府机关、医院的信息系统属于三级,属于公安机关强制性信息安全防护要求等级。
信息安全等级保护管理办法》 要求组织对信息系统分等级实行安全保护,其中明确要求计算机信息系统创建和维护受保护客体的访问审计跟踪记录。
等级保护三级基本要求
应提供覆盖到每个用户的安全审计功能,对应用系统重要安全事件进行审计;
应保证无法单独中断审计进程,无法删除、修改或覆盖审计记录;
审计记录的内容至少应包括事件的日期、时间、发起者信息、类型、描述和结果等;
应提供对审计记录数据进行统计、查询、分析及生成审计报表的功能。
即国家信息安全等级保护主要从以下三方面来要求:
发现: 制定策略,审计覆盖每个用户,可实时报警
审计:有专门的审计工具
取证: 保护措施,安全事件
而满足这三个方面,需要部署数据库审计系统。在医疗卫生信息系统中,数据库是重中之重。数据库存储着病患的隐私信息、个人联系方式信息、统方、疫情等敏感信息,这些信息的泄密和篡改将会造成重大的纠纷、经济损失、甚至严重的不良社会影响。作为安全事件追踪分析和责任追究的数据库安全审计的运用是必要的,通过全方位对数据库操作的痕迹进行详细记录和审计,可使管理者全面掌握数据库的使用情况,使得各种渠道的数据库访问活动有据可查,威胁操作可实时预警及时发现并对管理者阻止,并针对存在的安全隐患,及时进行调整和优化。