醫院建設三權分離的防統方系統實踐

王小瓊

（綿陽市中醫醫院，四川　綿陽 621000）

醫院建設三權分離的防統方系統實踐

王小瓊

（綿陽市中醫醫院，四川綿陽 621000）

現有數據庫審計方式的防統方系統，由于未把系統管理、規劃配置與數據審計分開，讓防統方系統流于形式，未達到監督審查效果。采用系統管理、規劃配置與數據審計分開的方法，能夠有效監督對敏感數據的訪問，防止非法訪問。

三權分離；防統方系統；實踐

1　防統方系統應用現狀

在醫院，紀檢監察部門是防商業目的統方工作的管理部門，很多的監督工作不能細化和落實，僅停留在教育和完善制度方面，對商業目的統方行為的監控、查處和懲戒力量不足，手段不多［1］。

醫院主要通過數據庫審計產生的日志來分析統方情況。多數防統方系統對核心數據庫的審計、配置與系統管理權限未分離。這樣造成，審計人員不能監管配置日志變化，系統管理人員又配置又維護，可能還對各系統數據庫的直接訪問、修改［2］。安全法規要求審計設備具有一定的權限控制，防統方系統設置權限角色分離，如系統管理員負責設備的運行設置；審計員負責查看相關審計記錄及規則違反情況；規則配置員負責數據庫審計安全規則的配置等；信息安全人員負責配置規則合理性審查。

2　系統建設思路

建設好防統方系統需要各部門及各角色人員各施其責，明確分工，流程通暢。具體做法如下：

建設流程。首先紀檢監察部門提出對防統方系統的建設需求；其次采購部門發布公告，信息與紀檢監察部門對產品測試，測試后完成招標參數；采購部門公開招標采購；信息、采購與紀檢監察部門參與簽定合同及產品安裝、測試、驗收；最后防統方系統進入運行階段。

產品測試。選擇產品最為重要的過程就是測試，這一點往往醫院信息部門不太重視。有些產品功能描述，技術參數很好，但在應用過程中，會存在這樣那樣的問題，不適合醫院。

分工協作。防統方系統是否起作用，主要還是看是否應用得好。應用好防統方系統，需要各個部門明確的分工，流暢的協作流程。系統管理員由信息中心運維人員擔任，登錄后可對系統進行運維，但沒有業務權限；配置人員由醫院信息中心數據庫管理員擔任，能設置告警策略而無法查看到敏感的統方信息；審計管理員授權給紀監審辦公室等需要了解統方告警的業務部門人員，能看告警結果不能修改系統和策略參數。在系統試運行階段，由多個管理員協同調試策略的可用性；系統正式運行后，非業務需求配置人員不能擅自修改策略條件［3］。

（1）系統管理人員：①設備狀態管理。監控防統方系統的設備運行狀態，如CPU、內存使用情況，運行時間等，一旦設備不受控即可發出告警。②預留接口。可與上級醫療衛生系統進行互聯，如陽光用藥系統。③身份認證。系統中，首先IP－MAC綁定，最好采用域用戶登錄，系統客戶電子簽名或身份認證，盡可能多的身份定位信息。這樣，其審計結果才具有可靠性，才能作為電子證據。

（2）配置人員：①規則配置。可對規則的增刪改，提交保存后系統自動起作用，同時對規則操作記錄在“系統日志”文檔。②白名單設置。可對訪問者IP、數據庫用戶、操作語句等作為白名單的條件，其目的是排除一些屬于正常操作的疑似統方行為。

（3）審計人員：①查看審計報表。定期查看防統方系統關鍵信息匯總生成各種報表。②監控告警信息。及時查看風險告警信息，根據風險發生時間、執行的操作，產生原因分析，盡早發現非法統方風險行為。③處理事故責任人。高危級別的告警信息，要及時處理。處理時，選擇某條信息，寫上處理描述。

（4）信息安全員：審查防統方規則配置。主要查看防統方規則應用情況，監控防統方規則設置是否合規，是否排除了對管理者本身的審計，并指導配置人員作好風險規則設置。

處理流程。防統方系統同其他應用系統一樣，要支持流程的標準化。當發生安全事件后，防統方系統將事件關鍵信息通過電郵、短信等方式發送給審計人員，在調查取證確認合法性后通過防統方系統給出處置意見信息，后結束流程。

3　應用效果

通過三權分離的防統方系統，紀檢監察部門以時時監控的方式，對內部用戶對關鍵、敏感數據資源的查詢行為進行監控，及時通報敏感數據訪問次數，有效防范醫療行業不正之風，遏止醫藥腐敗，杜絕以商業目的進行統方的行為。

主要參考文獻

［1］陳日蘭，朱衛紅，劉建航，等.醫療機構以商業目的統方現象的成因分析及對策［J］.教育教學論壇，2015（7）：5－7.

［2］常建國，郭凌玲，宮彥婷，等.數據庫審計與防統方系統的實現［J］.中國醫療設備，2013（4）：52－54.

［3］李享，殷海波，薛萬剛，等.醫療防統方系統建設實踐［J］.中國醫療設備，2016（3）：96－98.

10.3969/j.issn.1673-0194.2016.19.119

R197.32

A

1673-0194（2016）19-0207-01

2016-07-11

王小瓊（1974-），女，高級工程師，主要研究方向：信息系統項目管理。