Q医疗

需求分析

统方是医院对医生用药量信息的统计，统方活动是医院了解医生用药情况必须采取的活动；另一方面，为商业目的的统方也就是非法统方可能导致患者利益受到损害，滋生医疗行业收受回扣等不良风气，因此卫生部严格要求控制商业目的统方。 

非法的“统方”行为是形成医药回扣黑链的重要一环，是国家和媒体关注的重要社会焦点问题。非法的“统方”行为既违反了《卫生部八项行业纪律》，同时触犯了中华人民共和国刑法第285条第2款，将构成非法获取计算机信息系统数据、非法控制、计算机信息系统罪。破坏了医院良好的公众形象，减低了医院的社会满意度。

随着近年来国内数字化建设的快速进程，医疗系统日常工作对信息系统的依赖度越来越高，新建的医疗信息系统体系不断庞大、结构越来越复杂，管理难度剧增，因此核心敏感数据的泄密问题也逐渐显露出来。现在"统方"的方式众多，院内人员、数据维护人员、软件供应商、服务外包商都会对医疗敏感数据构成威胁。

毕方科技通过对医院信息系统的“业务层面、技术层面、管理层面”的安全需求分析，成功的将毕方数据库审计系统经过针对性的改进达到了专业的防统方系统的使用效果。

防统方解决方案

为了有效监管商业目的统方也就是非法统方，需要首先准确识别“统计医师个人和临床科室有关药品、高值耗材用量信息”的行为，其次需要分析主体权限、活动是否审批授权等做出综合分析，最后针对是否商业目的统方得出判断结论。

在医疗信息系统中，全部的敏感数据最终都保存在数据库中，任何形式的"统方"操作都是对数据库的访问，毕方数据库审计系统从这一点出发从数据库级对系统进行保护，从而实现从根源上的保护： 

系统采用旁路方式接入用户网络中，通过监测及采集数据库系统中的安全事件、用户登录行为、用户操作行为、及所有对数据库的使用情况等各类信息，经过规范化、过滤、还原、归并和告警分析等处理后，以统一格式的日志形式进行集中存储和管理，结合丰富的日志汇总、分析、统计、排名等关联分析功能，实现对数据库系统状况的全面记录、分析告警。

系统可实现： 

全面监测数据库超级账户、一般账户、临时账户等各用户对数据库的所有访问，让管理者全面了解全院对数据库的应用情况； 

可以定义统方事件、疑似统方事件、恶意统方事件，并通过配置不同的策略描述各类事件的特征及影响。从而实现：旦具有策略所描述特征的某个事件发生时，系统发出告警，通知相关人员及时做出响应； 

可以就关注的数据，建立资产组进行专门的监测和管理。比如，在医院信息系统中，必然有专门的数据表用于存储有关药品、高值耗材信息，如果发生商业目的统方，必须访问这些数据库表才能得到有价值的医疗用药信息数据；

可以通过指定策略的应用对象，实现持续监测对重要资产的特殊访问。比如，监测医院内部人员对用药数据表实施了哪些操作，是否进行了用药量的统计；

通过合理配置审计策略，甚至可以监测事件的细节信息，比如，涉嫌统方人员对多长时间的用药量进行了相关统计等等。

一旦当统方操作发生时，毕方数据库审计系统可立即向管理员发出告警，并详细记录操作详细信息，在事发时给管理员提供准确的操作人员定位，在事件发生后为管理员提供确凿的证据。

实现效果

在医院信息系统环境中部署毕方数据库审计系统，可以帮助医疗机构及时发现、控制甚至防范“统方”行为，追究相关责任，从而满足卫生行政部门对医疗机构“统方”行为的监督检查要求。