魯慧哲

摘要：上自國家衛(wèi)計委、下至具體醫(yī)院，均明令禁止非法統(tǒng)方行為，但由于目前信息化的不斷發(fā)展，統(tǒng)方途徑多種多樣、而且無法將具體操作聯(lián)系到具體操作人員，因此無法徹底的監(jiān)控及杜絕非法統(tǒng)方行為。該文研究和應(yīng)用了一種防統(tǒng)方系統(tǒng)，通過旁路部署設(shè)備的方式，全面記錄數(shù)據(jù)庫操作，最終實現(xiàn)數(shù)據(jù)庫非法統(tǒng)方行為的監(jiān)控和告警及數(shù)據(jù)庫審計的功能，加強了醫(yī)院信息安全的管理。

關(guān)鍵詞：防統(tǒng)方；旁路部署；數(shù)據(jù)庫審計；醫(yī)院信息安全

中圖分類號：TP393 文獻標識碼：A 文章編號：1009-3044（2016）23-0013-02

Abstract： From the National Health Planning Commission to the specific hospital， illegal prescription statistic is prohibited. But due to the development of the information technology， there are a variety ways for prescription statistic， and prescription statistic cant be linked to specific operators， so we can't completely monitor and put an end to illegal prescription statistic. In this paper， we propose and realize a prevent prescription statistic system， which has a comprehensive record of the operation of the database through the bypass deployment of equipment. Finally， we achieve monitoring and alarm of database illegal prescription statistic and database audit， to strengthen the management of hospital information security.

Key words： prevent prescription statistic； bypass deployment； database audit； hospital information security

1 引言

作為傳統(tǒng)的醫(yī)藥行業(yè)丑惡現(xiàn)象之一，醫(yī)務(wù)人員拿醫(yī)藥代表回扣，然后給病人傾向性開藥的現(xiàn)象，已經(jīng)為社會所深惡痛絕。而商業(yè)統(tǒng)方是建立醫(yī)藥回扣黑鏈的重要一環(huán)[1]，是國家和媒體關(guān)注的重要社會焦點問題。而商業(yè)統(tǒng)方損壞醫(yī)院聲譽，令醫(yī)院苦不堪言，也造成了廣大患者“看病難、看病貴”的問題，因此，國家衛(wèi)計委明令要求，禁止任何非正常工作需要的商業(yè)統(tǒng)方工作。

為制止這種非法商業(yè)統(tǒng)方行為，上自國家衛(wèi)計委、下至具體醫(yī)院出臺了以下一系列的政策及管理方法：加強醫(yī)院信息系統(tǒng)、高值耗材統(tǒng)計功能管理；如發(fā)現(xiàn)醫(yī)院工作人員有商業(yè)統(tǒng)方行為，解除聘用合同，并上報至檢察機關(guān)；對計算機網(wǎng)絡(luò)信息嚴格授權(quán)、加密，控制終端信息采集范圍；當醫(yī)院有部門需要進行正常統(tǒng)方的行為時需要向醫(yī)院紀檢部門申報，待批準后，方可由信息部門進行統(tǒng)計等。這些措施不可謂不嚴格，也不可謂不明確，但在醫(yī)院實行信息化建設(shè)管理的背景下，仍不能完全堵住商業(yè)統(tǒng)方的渠道。因而，醫(yī)院需要采用更科學(xué)的方法來杜絕非法統(tǒng)方的行為。

2 現(xiàn)狀分析

如今，醫(yī)院不能完全堵住商業(yè)統(tǒng)方的渠道的原因具體如下：

1）如今醫(yī)院實行信息化管理，醫(yī)院正常的業(yè)務(wù)通過信息系統(tǒng)來處理，統(tǒng)方的途徑變得多種多樣，藥房、科室、信息中心中任何一個能進入信息系統(tǒng)的終端都可能成為統(tǒng)方的途徑。

2）傳統(tǒng)的防統(tǒng)方方法，在信息化管理的環(huán)境下，不能將任何非法統(tǒng)方的行為與具體的操作人員相聯(lián)系，無法抓住非法統(tǒng)方的具體個人，任何具有操作權(quán)限的操作人員都能進行統(tǒng)方，但無法認定由其操作。

3）作為行風建設(shè)的具體主管者及對商業(yè)統(tǒng)方行為的主要監(jiān)管部門，紀檢監(jiān)察部門缺乏有力的工具和手段來行使其管理監(jiān)察職能。

3 系統(tǒng)實施和功能實現(xiàn)

3.1 系統(tǒng)部署方式

防統(tǒng)方系統(tǒng)需全面記錄數(shù)據(jù)庫訪問行為、識別越權(quán)操作等違規(guī)行為，并完成追蹤溯源，因此將防統(tǒng)方設(shè)備部署在網(wǎng)絡(luò)邊緣，無縫連接現(xiàn)有網(wǎng)絡(luò)，無須改變和增加現(xiàn)有網(wǎng)絡(luò)架構(gòu)和設(shè)備，不占用數(shù)據(jù)庫服務(wù)器資源及不影響數(shù)據(jù)庫性能[2]。醫(yī)院防統(tǒng)方系統(tǒng)設(shè)備采用旁路鏡像的模式部署，部署方式圖如圖1所示。

3.2 初始信息維護

1）在安裝防統(tǒng)方軟件之后，需要將醫(yī)院的藥品信息及醫(yī)院的職工信息導(dǎo)入軟件中，從而對用戶的操作行為記錄時，可以將相關(guān)的藥品信息及職工信息翻譯成通俗易懂的語言。并在防統(tǒng)方軟件中，對數(shù)據(jù)庫中與統(tǒng)方相關(guān)的關(guān)鍵表信息進行設(shè)置。

2）在安裝防統(tǒng)方軟件之后，還需要對醫(yī)院的電腦IP地址及物理MAC地址進行綁定，記錄下每個IP對應(yīng)的電腦，并將這些數(shù)據(jù)導(dǎo)入到防統(tǒng)方軟件中，從而在發(fā)現(xiàn)非法統(tǒng)方行為時，可以查到進行操作的電腦，進一步查到進行統(tǒng)方的個人，實現(xiàn)對統(tǒng)方行為的及時追責。

3）防統(tǒng)方部署狀態(tài)初期，將包含醫(yī)生、藥品和日期的統(tǒng)計語句判定為疑似統(tǒng)方語句[3-4]，需要系統(tǒng)管理人員對這些語句進行維護，將其中的非統(tǒng)方行為設(shè)置成安全級別，從而減少系統(tǒng)對統(tǒng)方行為的錯判，提高系統(tǒng)的準確率。

4）防統(tǒng)方軟件系統(tǒng)支持短信告警，支持短信貓，數(shù)據(jù)庫及短信平臺等多種短信接入方式，具體如圖2所示。

3.3 系統(tǒng)內(nèi)部功能實現(xiàn)

1）防統(tǒng)方系統(tǒng)可生成統(tǒng)方語句報表（其中包括疑似統(tǒng)方語句，可查看其中的語句執(zhí)行相關(guān)信息，具體如圖3所示，示例語句為系統(tǒng)規(guī)則生成的疑似統(tǒng)方語句，如判定為正常語句，點擊“設(shè)為安全”之后不會提示；如判定為統(tǒng)方語句，點擊“設(shè)為危險”之后出現(xiàn)會高危提示并短信告警：

2）防統(tǒng)方系統(tǒng)可對具有相同關(guān)鍵字的語句進行查詢，并對語句進行分析設(shè)置，具體如圖4所示。

3）因防統(tǒng)方設(shè)備采取旁路部署的方式，可記錄所有的數(shù)據(jù)庫操作，從而實現(xiàn)數(shù)據(jù)庫審計功能，如下圖5所示，記錄了一個數(shù)據(jù)庫賦權(quán)操作。

3.4 注意事項

1）對語句進行維護時，系統(tǒng)能夠自動識別語句的規(guī)則，同時完成對同類語句的維護。

2）只有在用戶運行事先維護的統(tǒng)方危險語句及使用危險的數(shù)據(jù)庫操作工具時，才進行短信告警，對其他未設(shè)置成危險級別的疑似統(tǒng)方行為并不告警，這一點需要系統(tǒng)管理人員的不斷維護，避免短信告警的漏報[5]。

3）防統(tǒng)方軟件支持白名單設(shè)置，可對正常的文件傳輸和統(tǒng)計進行過濾，避免不必要的告警。

4 總結(jié)

該防統(tǒng)方系統(tǒng)主要具有以下特點：

1）該防統(tǒng)方系統(tǒng)全面記錄數(shù)據(jù)庫訪問行為，識別越權(quán)操作等違規(guī)行為，并完成追蹤溯源。

2）通過對系統(tǒng)的初始化操作，該系統(tǒng)能將專業(yè)的非法統(tǒng)方語句翻譯成通俗易懂的語言，當非法統(tǒng)方發(fā)生時，紀委監(jiān)察部門也能了解到進行的是何種統(tǒng)方行為，從而更好地行使監(jiān)察職能。

3）該軟件同時能夠?qū)?shù)據(jù)庫操作進行完整的記錄，能夠準確提供何人、何時、何工具、做了哪些數(shù)據(jù)庫操作行為的最原始的數(shù)據(jù)，也能對之前的操作進行回溯，使醫(yī)院能夠更好的管理及監(jiān)控數(shù)據(jù)庫操作行為，實現(xiàn)數(shù)據(jù)庫審計功能。

因而，該防統(tǒng)方系統(tǒng)符合醫(yī)院信息化安全建設(shè)要求，能夠行之有效的阻止統(tǒng)方行為，也能進一步的提高醫(yī)院信息安全管理水平，但是在語句維護還需較多的人工干預(yù)，還有一定的改進空間。

參考文獻：

[1] 郭旭升，王磊. 信息化背景下醫(yī)院反統(tǒng)方工作的難點及應(yīng)對策[J].中華醫(yī)院管理雜志，2015，31（1）：59-61.

[2] 計遠. 淺談旁路監(jiān)聽在醫(yī)院防統(tǒng)方系統(tǒng)中的應(yīng)用效果[J]. 當代醫(yī)藥論叢， 2013， 11（9）：328-328.

[3] 賴煒，辛小霞，吳汝明，等. 區(qū)域醫(yī)療信息共享平臺的數(shù)據(jù)審計研究[J]. 醫(yī)學(xué)信息學(xué)雜志，2010，31（12）：14-17.

[4] 劉逸敏，程傳苗，邢茂迎. 數(shù)據(jù)庫安全與隱私保護數(shù)據(jù)庫技術(shù)應(yīng)用研討[J]. 中國數(shù)字醫(yī)學(xué)，2008，3（1）：43-47.

[5] 常建國，郭凌玲，官彥婷，等. 數(shù)據(jù)庫審計與防統(tǒng)方系統(tǒng)的實現(xiàn)[J]. 中國醫(yī)療設(shè)備，2013，28（4）：52-54