2021数据安全“护脸”样板工程｜东华反统方系统保障某三甲医院核心业务数据安全

“统方”是医院对医生用药信息量的统计行为。所谓商业目的“统方”是指医院中个人或单位为医药营销人员提供医生或部门一定时期内临床用药量信息，供其发放药品回扣的行为。作为医药回扣利益链条中的重要环节，非法获取计算机信息系统数据、非法控制医药信息系统的“统方”行为，既违反了相关法律规定，也威胁了卫生行业的正常工作秩序，严重影响了医院及医疗机构的社会形象，损害了人民群众的利益。因此，医院急需有效控制统方的手段，以解决非法统方的问题。

对此，原国家卫生计生委印发了《关于加强医疗卫生机构统方管理的规定》，文件明确要求各级卫生行政部门和各类医疗机构加强医院信息系统药品、高值耗材统计功能管理，避免为不正当商业目的统计医师个人和临床科室有关药品、高值耗材用量信息。要对医院信息系统中有关药品、高值耗材使用等信息实行专人负责、加密管理，严格“统方”权限和审批程序，未经批准不得“统方”，严禁为商业目的“统方”。

医院信息系统越来越庞大，各业务系统关联性越来越复杂，对核心资料的侵犯手段多种多样，目前医院反统方的手段只局限于依赖员工职业道德并以双密码的用户认证方式进行约束，缺乏技术手段来杜绝医院内的统方行为。

为了满足国家卫生健康委关于加强统方管理的相关要求，国内某三甲医院开展了反统方项目。东华反统方系统凭借优异的技术指标在两轮的招标测试中脱颖而出，成功中标。此项目在全国医疗行业具有很强的代表性。东华软件有实力也有信心助力更多的医疗客户，保障敏感数据安全。

国内某三甲医院采用Cache数据库作为医疗信息系统基础数据库，该数据库被国际医疗界公认为首选数据库。Cache数据库数据库为后关系型数据库，所以同等条件下查询相同数据比Oracle等普通数据库要快。

该院部署两台主-副核心数据库，同时部署14台ECP服务器作为应用支撑。Cache支持Web、ODBC等方式访问数据库，同时具备集成开发环境STUDIO和数据库系统管理PORTAL。开发人员可通过编写类、程序，来创建、删除和查询数据库，管理员则可通过系统管理PORTAL图形化方式直接管理数据库，通过Terminal方式查询数据库或者执行开发人员编写的查询程序。ECP服务器承载医院HIS系统提供给医护人员完成日常的业务类操作。除上述Cache配套服务器外，该院还部署有报表服务器、BI服务器、FTP服务器。

院方选择旁路部署单台反统方系统，监控2台核心数据库、14台ECP服务器（部署有HIS服务、Terminal、Portal）、3台报表服务器、1台BI服务器、4台FTP服务器。东华反统方系统通过旁路部署的方式独立部署在网络之中。旁路部署方式采用核心交换机上设置端口镜像方法，使反统方系统能够监听到所有用户通过交换机与各个应用服务器通讯的全部操作。这种方式接入基本不会更改网络结构。

东华反统方系统的系统架构分为数据处理框架和业务展示框架两部分。数据处理框架由系统底层的高效报文捕获模块、应用识别模块、监听报文解析模块、行为数据记录分析模块构成，主要完成底层的数据获取、数据解析、数据存储、数据分析等工作，为业务展示提供数据基础；业务展示框架由数据展现、审计策略、规则库管理、告警策略、实时告警、报表报告、系统管理等功能模块组成，使其对医院HIS系统数据和用户数据库操作行为做综合分析和汇总，并及时告警和定期生成报表。

系统采集核心交换机镜像双向数据，镜像数据分为四条链路接入反统方系统，系统即时显示各服务器流量活跃概况；系统根据配置的审计策略，记录各个应用服务器的访问操作信息；后台通过内置和添加的告警规则对记录进行告警判定和告警推送，告警模块与短信平台或邮件服务器实现平滑对接，及时推送告警信息给用户；配置专业名词解释库（医生名表、医生工号表、普通药品表、贵重药材表、耗材表等），并可实时和院方进行数据同步，保证告警的准确性。

根据院方要求，对于驻场工程师采用“开发手段”查询数据库的一系列行为进行追溯查询。例如，一个工程师写了一段M语言的程序，该程序查询了数据库中医生、药品、等相关信息，此类数据不一定为统方数据但也是很敏感数据，并且这些数据通过文件导出的形式可能外流。

对于这一系列的行为，系统的解决方案为：

1. 完整记录工程师操作studio的过程，该过程中包含对代码的保存和编译过程。

2. 同时监控Terminal操作及查询结果（有可能没有结果而是直接导入文件），该部分为执行前面所编写程序的终端。

3. 监控所有FTP服务，记录导出文件信息，通过关联查找的方法追溯到执行人。

告警规则的制定需要根据用户的使用要求做特殊配置，系统可以自定义统方行为规则列表。告警系统根据内置规则和自定义规则对数据进行告警判定，根据命中级别不同产生不同等级的告警信息，告警信息推送给用户进行审核。

该方案不仅对数据库本身的数据进行了监控，同时监控了很多和统方有关系的第三方服务或者客户端，这些服务和应用通过间接的方式可以查询到数据库的数据。反统方系统通过对服务器的定制监控，可以做到无死角、无盲区监控。

此次医院反统方项目，具有以下优势特色：

• 大容量、高并发环境；

• 采用高速网络数据捕获技术，并进行数据还原；

• 数据审计全面，包括人员、位置、时间、工具、行为等元素；

• 结合大数据技术进行精准的分析；

• 具备全面的统方特征库，统方告警准；

• 智能搜索功能，能够快速检索所需数据；

• 定期出具统方数据报告；

• 预留集中管理接口，可扩展性强。

东华反统方系统通过对医院核心数据库数据的实时监控，依据配置的反统方告警规则对访问数据库的各类操作行为进行双向数据还原和告警分析，能够对操作数据进行精准溯源，使得对于数据库的使用人员甚至是管理员的行为清晰可见，并且根据预设的告警级别对敏感、可疑“统方”数据做无遗漏告警，并通过短信平台发送告警提示。反统方系统充分做到了以下四点：

1. 以保障重要数据的安全为出发点，完整记录和分析对关键数据的查询、变更、删除等操作。

2. 对医院监测系统业务操作行为，分析业务操作流程，评估业务操作风险。

3. 对各级管理员的操作行为进行审计并还原出与操作相关的各项信息，提供多角度、全方位的报警与相应机制。

4. 监测人员的操作行为，对其操作内容进行详细记录，为“统方”行为的溯源提供依据 。

反统方系统不仅仅针对医院核心数据库数据进行实时监控，对医院某些特殊的数据库衍生应用系统无监管的情况，反统方系统同样可以提供相同监控和溯源服务。例如，某些第三方的报表系统同样可以进行“统方”行为,但不是直接通过数据库的查询操作，此类系统通过第三方私有协议传输进行数据的交互，形成了监控的“盲区”。反统方系统开发人员通过对私有协议的解析，完成了对于衍生类应用的操作行为的追踪和溯源，真正做到了无死角、无盲区的监控，也为今后其他项目提供了很好的范例。