李享，殷海波，薛萬剛，張紅

中國中醫(yī)科學院廣安門醫(yī)院 計算機中心，北京 100053

醫(yī)院防統(tǒng)方系統(tǒng)建設實踐

李享，殷海波，薛萬剛，張紅

中國中醫(yī)科學院廣安門醫(yī)院 計算機中心，北京 100053

為滿足醫(yī)院防統(tǒng)方工作建設需要，介紹一種以事件告警和事件審計為主要功能的防統(tǒng)方系統(tǒng)的建設實踐過程。本文詳細介紹了醫(yī)院防統(tǒng)方系統(tǒng)的架構部署技巧與系統(tǒng)基礎設置功能。在部署系統(tǒng)架構的基礎上，合理劃分審計系統(tǒng)用戶權限，以保障數(shù)據(jù)庫的安全；利用FTP服務器將數(shù)據(jù)庫自身審計內(nèi)容關聯(lián)到防統(tǒng)方告警信息中，最終以信息技術手段為防統(tǒng)方工作提供有力支持。

醫(yī)院防統(tǒng)方系統(tǒng)；數(shù)據(jù)審計；數(shù)據(jù)一致性；告警策略；醫(yī)藥管理

0 引言

“統(tǒng)方”是指醫(yī)院中個人或部門為醫(yī)藥營銷人員提供醫(yī)師或部門在一定時間段內(nèi)的用藥量統(tǒng)計數(shù)據(jù)，即供醫(yī)藥購銷人員發(fā)放藥品回扣的數(shù)據(jù)[1]。如何在市場經(jīng)濟深入發(fā)展過程中凈化醫(yī)療環(huán)境，是醫(yī)院管理的一個重大問題[2]。繼2010年6月21日頒發(fā)《衛(wèi)生部關于進一步深化治理醫(yī)藥購銷領域商業(yè)賄賂工作的通知》后，2013年12月26日國家衛(wèi)生計生委、國家中醫(yī)藥管理局提出嚴禁醫(yī)療衛(wèi)生人員利用任何途徑和方式為商業(yè)目的統(tǒng)計醫(yī)師個人及臨床科室有關藥品、醫(yī)用耗材的用量信息，或為醫(yī)藥營銷人員統(tǒng)計提供便利[3-4]。為保障數(shù)據(jù)安全、改善醫(yī)患關系、樹立醫(yī)務人員良好形象，可在醫(yī)院部署數(shù)據(jù)庫審計系統(tǒng)[5]。廣安門醫(yī)院參考“制度+科技”規(guī)范醫(yī)療行為的管理模式[6]，除制定并下發(fā)一系列的管理規(guī)定外，依照“事先阻斷、事中通知、事后審計”的全方位、多層次防御體系[7]理念，部署了防統(tǒng)方系統(tǒng)，增強統(tǒng)方實時告警與事后回溯分析能力，加大了醫(yī)院對非法統(tǒng)方行為的打擊力度。本文主要介紹了我院防統(tǒng)方系統(tǒng)部署與策略調(diào)試過程的相關建設經(jīng)驗。

1 系統(tǒng)架構部署

數(shù)據(jù)庫審計系統(tǒng)采用專門設計的軟硬一體化的設備，配置相應的數(shù)據(jù)過濾和解析規(guī)則，對從網(wǎng)絡中獲取的數(shù)據(jù)包進行處理、分析、存儲[8-9]。防統(tǒng)方系統(tǒng)是基于數(shù)據(jù)庫審計進行定制開發(fā)的系統(tǒng)，通過網(wǎng)絡鏡像方式抓取用戶訪問數(shù)據(jù)庫的信息進行解析。在此基礎上，利用1臺FTP服務器存儲數(shù)據(jù)庫內(nèi)用戶登錄信息，并與防統(tǒng)方系統(tǒng)中的告警數(shù)據(jù)關聯(lián)匹配，進一步提升告警準確性。

我院的數(shù)據(jù)庫服務器和核心交換機均置于中心機房內(nèi)，數(shù)據(jù)庫服務器通過雙鏈路與2臺核心交換機直連，因此在核心交換機上直接進行防統(tǒng)方系統(tǒng)和FTP服務器的旁路部署，將數(shù)據(jù)庫服務器所在端口鏡像到防統(tǒng)方系統(tǒng)進行存儲和分析，使核心業(yè)務運行與審計分析工作分步并行，互不影響。我院數(shù)據(jù)庫日均數(shù)據(jù)訪問量約8 GB，超過10萬條信息，選擇的防統(tǒng)方服務器應保證有足夠空間存儲海量數(shù)據(jù)，并能夠有較快的分析匹配數(shù)據(jù)的計算能力。為此，最終形成的拓撲圖，見圖1。以 B/S模式提供服務，終端用戶通過瀏覽器靈活訪問防統(tǒng)方系統(tǒng)。

圖1 防統(tǒng)方系統(tǒng)部署拓撲圖

2 防統(tǒng)方系統(tǒng)基礎設置

具有完整待審計時段的數(shù)據(jù)和數(shù)據(jù)一致性是審計的基礎，應嚴格區(qū)分不同用戶所具有的權限，避免系統(tǒng)內(nèi)日志和告警被人為篡改、刪除，并保證防統(tǒng)方系統(tǒng)中存儲的數(shù)據(jù)量能夠滿足實時告警和歷史數(shù)據(jù)回溯審計需求。

2.1 系統(tǒng)用戶審計

根據(jù)系統(tǒng)運行和審計需求，劃分為超級管理員、系統(tǒng)管理員、策略管理員、審計管理員權限[10]。其中超級管理員非經(jīng)授權不允許使用；系統(tǒng)管理員由計算機中心運維人員擔任，登錄后可對系統(tǒng)進行運維，但沒有業(yè)務權限；策略管理員由醫(yī)院計算機中心數(shù)據(jù)庫管理員擔任，能設置告警策略而無法查看到敏感的統(tǒng)方信息；審計管理員授權給紀監(jiān)審辦公室等需要了解統(tǒng)方告警的業(yè)務部門人員，能看告警結果不能修改系統(tǒng)和策略參數(shù)。

在系統(tǒng)試運行階段，由多個管理員協(xié)同調(diào)試策略的可用性；系統(tǒng)正式運行后，非業(yè)務需求策略管理員不能擅自修改策略條件。此外，防統(tǒng)方系統(tǒng)還需要對自身用戶的行為進行審計[11]，日志中記錄每個系統(tǒng)管理員登錄、增刪查改防統(tǒng)方系統(tǒng)數(shù)據(jù)的信息，該數(shù)據(jù)無法刪除或修改，默認保存1年數(shù)據(jù)備查，避免系統(tǒng)的各個管理員對審計過程的惡意干擾。

2.2 數(shù)據(jù)存儲管理

審計過程要有盡量多的歷史數(shù)據(jù)可供篩查，而由于原始審計數(shù)據(jù)十分龐大，這需要很大的存儲空間，加大了運營成本。醫(yī)院通過在服務器上存儲最近3個月、在外設磁盤備份最近1年數(shù)據(jù)的方式，解決海量數(shù)據(jù)與有限存儲空間的矛盾。為避免磁盤空間滿而導致的系統(tǒng)宕機，設置服務器磁盤利用率超過85%時自動清空最舊1天備份數(shù)據(jù)。設置系統(tǒng)自動生成一個當天的原始審計數(shù)據(jù)壓縮文件包，系統(tǒng)管理員可通過手動或自動方式下載到FTP或外設存儲設備。該數(shù)據(jù)為壓縮格式數(shù)據(jù)，每一天數(shù)據(jù)為一個加密文件，導出后無法單獨解壓使用，不能增刪局部信息，防止惡意修改破壞數(shù)據(jù)一致性。在需要回溯歷史數(shù)據(jù)時，可將壓縮文件導回系統(tǒng)中重新使用。

3 系統(tǒng)設置與調(diào)試

防統(tǒng)方系統(tǒng)的主要目的是對醫(yī)院數(shù)據(jù)庫內(nèi)醫(yī)生開藥信息的統(tǒng)計和提取進行審計，是在應用數(shù)據(jù)庫審計的技術基礎之上，對醫(yī)生、藥品關聯(lián)數(shù)據(jù)進行統(tǒng)計的敏感信息過濾，需要結合醫(yī)院的業(yè)務，設置審計策略，從而達到針對性的審計。

3.1 告警策略配置

防統(tǒng)方系統(tǒng)設置審計策略時，對統(tǒng)方行為涉及的關鍵字段、常見操作進行分析，通過在策略設置模塊中輸入自定義條件和邏輯判斷關系，展現(xiàn)出準確的過濾結果。策略設置模塊的主要步驟及數(shù)據(jù)采集方法見表1，最終在系統(tǒng)中生成策略列表見圖2。

表1 防統(tǒng)方系統(tǒng)策略設置模塊的主要步驟

圖2 防統(tǒng)方系統(tǒng)策略列表截圖

3.2 告警信息設置

策略列表中的審計策略生效后，可對鏡像數(shù)據(jù)進行實時審計。通過告警信息顯示內(nèi)容的調(diào)整，使告警界面清晰直觀。

（1）過濾冗余信息。防統(tǒng)方系統(tǒng)獲得的原始數(shù)據(jù)包中存在大量冗余字段，但防統(tǒng)方排查過程中最重要的數(shù)據(jù)只是“誰”、“在哪里”、“統(tǒng)計了什么數(shù)據(jù)”。用戶可在告警界面手動增加或刪除顯示的字段，再進行篩選排序，滿足不同的查詢需求，便捷直觀的發(fā)現(xiàn)危險行為。

（2）補全缺失信息。通過網(wǎng)絡監(jiān)聽的數(shù)據(jù)包可知具體SQL語句，但由于醫(yī)院采用ORACLE 11g數(shù)據(jù)庫并進行安全配置，數(shù)據(jù)庫用戶、客戶端主機信息等關鍵字段在網(wǎng)絡傳輸中被加密[11]。在數(shù)據(jù)庫中設置觸發(fā)器，當用戶訪問數(shù)據(jù)庫時，記錄其訪問時間、用戶名、使用的程序名稱、主機名稱、IP地址等信息；設置每天0點將前一天的觸發(fā)數(shù)據(jù)生成一個文件并推送到FTP服務器中，防統(tǒng)方服務器自動下載該文件，并通過訪問時間、IP地址對存在風險的告警數(shù)據(jù)進行關聯(lián)匹配，最終展示出用戶所需的告警信息。

3.3 策略命中的測試與調(diào)整

完成告警策略的設置后運行生效的策略，觀察策略命中的覆蓋性和準確性。

（1）命中覆蓋率測試。命中覆蓋率測試，是指設置并生效一條策略后，運行任何滿足該策略篩選條件的操作都能被篩選出來并告警。例如，策略中關聯(lián)“開單醫(yī)生”、“藥品名稱”字段，當進行聯(lián)合查詢時，任何同時包含以上兩個字段的查詢都將顯示告警。當運行查詢而未出現(xiàn)告警情況時，應檢查策略模塊是否正常運行、策略設置的邏輯是否正確。當該策略能夠完全覆蓋待篩選操作時，認為其通過命中覆蓋率測試，可避免由于策略設置導致的告警信息遺漏風險。

（2） 命中準確性測試。策略通過命中覆蓋率測試后，可能存在告警信息過多的情況。例如，策略中關聯(lián)“開單醫(yī)生”、“藥品名稱”字段，當進行聯(lián)合查詢時，任何同時包含以上兩個字段的查詢都將顯示告警。但醫(yī)院收費系統(tǒng)提取病人交費信息時都會提取這兩個字段的數(shù)據(jù)，每一次正常的收費操作都會被作為告警信息顯示。我院日均門診量約1萬人次，此時大量無用的告警會淹沒真正的統(tǒng)方風險，因此策略的過濾條件需要進一步收縮，如增加字段對應表名、增加匯總求和操作關鍵字等，以提高策略命中的準確性。分析命中的告警語句，在策略中增加數(shù)據(jù)表、關聯(lián)規(guī)則、字段或特定操作后再次測試。

經(jīng)過多輪測試，在滿足策略有效、不會漏掉目標查詢語句的基礎上盡量減少垃圾告警信息，并定期由審計管理員根據(jù)業(yè)務提出或調(diào)整審計需求，策略管理員對審計策略進行增刪調(diào)整。

4 結論

防統(tǒng)方系統(tǒng)正式運行后，策略穩(wěn)定不需要經(jīng)常調(diào)整測試；審計管理員能夠第一時間獲得告警信息并進行風險排查；系統(tǒng)管理員除定期數(shù)據(jù)備份外無需過多運維工作。系統(tǒng)滿足健壯性及可用性需求。

防統(tǒng)方系統(tǒng)實施上線后，從數(shù)據(jù)庫中進行統(tǒng)方查詢和匯總的操作都會第一時間產(chǎn)生告警提示，通過記錄到的統(tǒng)方時間、使用主機和操作人員信息，與醫(yī)院監(jiān)控系統(tǒng)聯(lián)動，可以及時發(fā)現(xiàn)可疑人員及行為。防統(tǒng)方系統(tǒng)也為紀檢監(jiān)察部門對非法統(tǒng)方行為的監(jiān)督管理工作提供數(shù)據(jù)支持，最終提升管理部門的工作效率。

[1] 王玉玨.國有醫(yī)院“拉統(tǒng)方”行為的刑法性質(zhì)[J].法學,2012(6): 152-159.

[2] 李景波.加強醫(yī)德醫(yī)風建設,構建和諧醫(yī)患關系[J].中華醫(yī)院管理雜志,2006,22(9):607-608.

[3] 國衛(wèi)辦發(fā)[2013]49號.關于印發(fā)加強醫(yī)療衛(wèi)生行風建設“九不準”的通知[S].

[4] 國衛(wèi)糾發(fā)[2014]1號.關于加強醫(yī)療衛(wèi)生機構統(tǒng)方管理的規(guī)定[S].

[5] 劉丹丹,劉同波.數(shù)據(jù)庫安全審計系統(tǒng)在醫(yī)院的部署與應用[J].中國醫(yī)療設備,2013(5):42-44.

[6] 郭麗娟.用“制度+ 科技”規(guī)范醫(yī)療行為的探索與實踐[J].西部中醫(yī)院,2013,26(3):43-44.

[7] 劉海林,陳道翔.多管齊下,杜絕醫(yī)院非法統(tǒng)方行為的實踐[J].中國醫(yī)學教育技術,2013,27(6):691-693.

[8] 常建國,郭凌玲,宮彥婷,等.數(shù)據(jù)庫審計與防統(tǒng)方系統(tǒng)的實現(xiàn)[J].中國醫(yī)療設備 2013,28(4):52-54,138.

[9] 沈輝,張龍.基于WinPcap的網(wǎng)絡數(shù)據(jù)監(jiān)測及分析[J].計算機科學,2012,39(10):15-18.

[10] 蔡小偉,劉強.Oracle數(shù)據(jù)庫安全及安全策略研究[J].福建電腦,2014(5):76-77,96.

[11] 何子龍.Oracle數(shù)據(jù)庫安全及安全策略研究[J].現(xiàn)代計算機,2015(1):22-26.

Construction Practice of Hospital Prescription Statistics Preventing System

LI Xiang, YIN Hai-bo, XUE Wan-gang, ZHANG Hong
Computer Center, Guanganmen Hospital, China Academy of Chinese Medical Sciences, Beijing 100053, China

In order to fulfill the needs in the construction of Hospital Prescription Statistics Preventing System, the paper introduced the construction process of an anti-statistics system, which can alarm and audit risk of database access events. The paper introduced the techniques involved in the architecting and arranging of the Hospital Prescription Statistics Preventing System and described the foundation of the basic setup of the system. On the basis of hardware architecture, the system reasonably divided and audited the users permissions so as to ensure the security of data storage process, the oracle database audit data was connected to the anti-statistics system with the FTP server, which provides strong support for the hospital’s prescription statistics prevention.

hospital prescription statistics system; data audit; data consistency; alarm strategy; medical management

TP319

A

10.3969/j.issn.1674-1633.2016.03.024

1674-1633(2016)03-0096-03

2015-08-25

2015-09-10

作者郵箱：945112@163.com