行心防统方系统▲通过对医院信息系统的“业务层面、技术层面、管理层面”的安全需求分析，在不影响HIS系统、PACS系统、EMR系统等应用系统正常使用的前提下，在核心业务服务区增设防统方审计设备，通过对网络中的海量、无序的数据进行处理、分析，一旦出现违规统方事件，系统能够准确描述何人、何时、何地、以何种方式进行违规统方，并提供操作过程回放，供相关人员分析。

统方：指的是医院对医生用药信息的统计。

非法统方：指的是医院中个人或部门为医药营销人员提供医生或部门一定时期内临床用药量信息，供其发放药品回扣∮的行为。非法统方是医药回扣黑链中重要的一环。

防统方：指的是防止非法统方的发生。

二、医疗行业需求

1. 医疗防腐所面临的统方威胁

医药购销领域商业贿赂给临床医生带来很大负面影响，违规统方是医药代表事实定量贿赂的主要依据，而“统方”数据的来源就来自于医院信息系统中的核心数据库，主要体现←在如下三个层面：

1) 管理层面：

人员职责、流程有待完善，安全事件发生时，无法追溯并定位真实的操作者。

2) 技术层面：

数据库内部操作不明，无法通过外部的任何安全工具(比如：防火墙、IDS、IPS等)来阻止内部用户的恶意操作、滥用资源和泄露医院机密信息等行为。

3) 审计层面：

伴随着数据库信息价值以及可访问性提升，使得数据库面对来自内部和外部的安全风险大大增加，如违规越权操作、恶意入侵导致机密信息及统方信息窃取泄漏，但事后却无法有效追溯和审计。

2. 国家政策严肃要求高度重视

1) 国家卫生部/卫生厅的要求

医院信息化系统近几年取得很大发展，已经成为医院运营的重要组成部分，例如，中医药管理局发布了联合制定的《加强医疗卫生行风建设“九不准”》第六条”不准为商业目的统方”。

2) 信息安全等级保护要求

《信息安全等级保护管理办法》 要求组织对信息系统分等级实行安全保护，其中明确要求计算机信息系统创建和维护受保护客体的访问审计跟踪记录。

3. 传统防护手段捉襟见肘

目前医疗行业还没有很好的防统方措施来防范统方，而是通过传统的手段，通过数据库自身审计产生的日志来分析，但是核心数据库自身的审计功能对数据库性能影响较大，审计权限和操作权限也没有分离，对这种数据库自身审计产生的日志，分析工作繁琐、人力投入大、审计信息易被篡改或泄漏等。

三、系统介绍

1、用户登录HIS系统后，进入主界面，在主界面的一级菜单中找到【防统方系统】菜单，“点击”打开【HIS界面统方查询】界面。

2、通过“查询条件”可以查询到一段时间内的详细统方记录，统方记录显示在右边的网格中。

网格显示的信息分别有“用户”，“日期”，“类型”，“详细消息”。通过查看“详细消息”，可以看到详细的统方记录，相关工作人员可以根据其进行记录和分析。

3、【后台统方监控查询】内容包括：

IP：跟踪到的IP地址；

计算机名：根据IP地址获取到用户的计算机名称；

警报等级：获取后台判断的等级；

查询时间：输入的查询时间；

数据库用户名：查询登录的数据库用户名；

查询工具：获取查询工具的软件版本；

查询内容：后台跟踪的监控内容。

4、防统方维护：如果用户登记的信息有变动的，可以对其进行修改或删除。

5、防统方应用程序维护，可以增加应用程序信息，信息包括：应用程序名称和用户ID。如果用户登记的应用程序信息有变动的，可以对其进行修改或删除。

根据我们的防统方系统以及相关的审计报表，能够帮助医院防止医院患者，医院职工和交易记录等信息泄露，满足了医院信息建设中的国家等级保护、医院等级等合规性审计要求。

四、系统特色及作用　  

通过上述解决方案，有效解决了医疗行业在数★据安全管理方面的需求：防止非法统方，审计记录操作行为并输出完整报告等等；行心数据库审计解决方案给医疗行业用户带来的价值具体如下：

1) 对医院的统方行为进〖行监控，防止医院患者、医院职工、交易记录等信息泄露，防止医院在经营、财务、科研、办公等方面的数据外泄，保护院方的核心利益。

2) 满足了医院信息建设中的国家等级保护、医院定级等合规性审计要求。

3) 可对越权操作、违规操作实时监控并追根溯源。

4) 实现了防统方手段从制度约束到技术限制的跨越，使工作人员从技术上远离统方禁区，有助于医院行风建设，树良好公众形象。

5) 监控病患隐私信息、医保卡、市民卡等储值信息的异动，防止恶意充值、逃避缴费等，起到数据防泄密的多重效果，真正起到一次投资、重复利用的目的。