醫院防統方系統建設實踐

李享，殷海波，薛萬剛，張紅

中國中醫科學院廣安門醫院 計算機中心，北京 100053

醫院防統方系統建設實踐

李享，殷海波，薛萬剛，張紅

中國中醫科學院廣安門醫院 計算機中心，北京 100053

為滿足醫院防統方工作建設需要，介紹一種以事件告警和事件審計為主要功能的防統方系統的建設實踐過程。本文詳細介紹了醫院防統方系統的架構部署技巧與系統基礎設置功能。在部署系統架構的基礎上，合理劃分審計系統用戶權限，以保障數據庫的安全；利用FTP服務器將數據庫自身審計內容關聯到防統方告警信息中，最終以信息技術手段為防統方工作提供有力支持。

醫院防統方系統；數據審計；數據一致性；告警策略；醫藥管理

0 引言

“統方”是指醫院中個人或部門為醫藥營銷人員提供醫師或部門在一定時間段內的用藥量統計數據，即供醫藥購銷人員發放藥品回扣的數據[1]。如何在市場經濟深入發展過程中凈化醫療環境，是醫院管理的一個重大問題[2]。繼2010年6月21日頒發《衛生部關于進一步深化治理醫藥購銷領域商業賄賂工作的通知》后，2013年12月26日國家衛生計生委、國家中醫藥管理局提出嚴禁醫療衛生人員利用任何途徑和方式為商業目的統計醫師個人及臨床科室有關藥品、醫用耗材的用量信息，或為醫藥營銷人員統計提供便利[3-4]。為保障數據安全、改善醫患關系、樹立醫務人員良好形象，可在醫院部署數據庫審計系統[5]。廣安門醫院參考“制度+科技”規范醫療行為的管理模式[6]，除制定并下發一系列的管理規定外，依照“事先阻斷、事中通知、事后審計”的全方位、多層次防御體系[7]理念，部署了防統方系統，增強統方實時告警與事后回溯分析能力，加大了醫院對非法統方行為的打擊力度。本文主要介紹了我院防統方系統部署與策略調試過程的相關建設經驗。

1 系統架構部署

數據庫審計系統采用專門設計的軟硬一體化的設備，配置相應的數據過濾和解析規則，對從網絡中獲取的數據包進行處理、分析、存儲[8-9]。防統方系統是基于數據庫審計進行定制開發的系統，通過網絡鏡像方式抓取用戶訪問數據庫的信息進行解析。在此基礎上，利用1臺FTP服務器存儲數據庫內用戶登錄信息，并與防統方系統中的告警數據關聯匹配，進一步提升告警準確性。

我院的數據庫服務器和核心交換機均置于中心機房內，數據庫服務器通過雙鏈路與2臺核心交換機直連，因此在核心交換機上直接進行防統方系統和FTP服務器的旁路部署，將數據庫服務器所在端口鏡像到防統方系統進行存儲和分析，使核心業務運行與審計分析工作分步并行，互不影響。我院數據庫日均數據訪問量約8 GB，超過10萬條信息，選擇的防統方服務器應保證有足夠空間存儲海量數據，并能夠有較快的分析匹配數據的計算能力。為此，最終形成的拓撲圖，見圖1。以 B/S模式提供服務，終端用戶通過瀏覽器靈活訪問防統方系統。

圖1 防統方系統部署拓撲圖

2 防統方系統基礎設置

具有完整待審計時段的數據和數據一致性是審計的基礎，應嚴格區分不同用戶所具有的權限，避免系統內日志和告警被人為篡改、刪除，并保證防統方系統中存儲的數據量能夠滿足實時告警和歷史數據回溯審計需求。

2.1 系統用戶審計

根據系統運行和審計需求，劃分為超級管理員、系統管理員、策略管理員、審計管理員權限[10]。其中超級管理員非經授權不允許使用；系統管理員由計算機中心運維人員擔任，登錄后可對系統進行運維，但沒有業務權限；策略管理員由醫院計算機中心數據庫管理員擔任，能設置告警策略而無法查看到敏感的統方信息；審計管理員授權給紀監審辦公室等需要了解統方告警的業務部門人員，能看告警結果不能修改系統和策略參數。

在系統試運行階段，由多個管理員協同調試策略的可用性；系統正式運行后，非業務需求策略管理員不能擅自修改策略條件。此外，防統方系統還需要對自身用戶的行為進行審計[11]，日志中記錄每個系統管理員登錄、增刪查改防統方系統數據的信息，該數據無法刪除或修改，默認保存1年數據備查，避免系統的各個管理員對審計過程的惡意干擾。

2.2 數據存儲管理

審計過程要有盡量多的歷史數據可供篩查，而由于原始審計數據十分龐大，這需要很大的存儲空間，加大了運營成本。醫院通過在服務器上存儲最近3個月、在外設磁盤備份最近1年數據的方式，解決海量數據與有限存儲空間的矛盾。為避免磁盤空間滿而導致的系統宕機，設置服務器磁盤利用率超過85%時自動清空最舊1天備份數據。設置系統自動生成一個當天的原始審計數據壓縮文件包，系統管理員可通過手動或自動方式下載到FTP或外設存儲設備。該數據為壓縮格式數據，每一天數據為一個加密文件，導出后無法單獨解壓使用，不能增刪局部信息，防止惡意修改破壞數據一致性。在需要回溯歷史數據時，可將壓縮文件導回系統中重新使用。

3 系統設置與調試

防統方系統的主要目的是對醫院數據庫內醫生開藥信息的統計和提取進行審計，是在應用數據庫審計的技術基礎之上，對醫生、藥品關聯數據進行統計的敏感信息過濾，需要結合醫院的業務，設置審計策略，從而達到針對性的審計。

3.1 告警策略配置

防統方系統設置審計策略時，對統方行為涉及的關鍵字段、常見操作進行分析，通過在策略設置模塊中輸入自定義條件和邏輯判斷關系，展現出準確的過濾結果。策略設置模塊的主要步驟及數據采集方法見表1，最終在系統中生成策略列表見圖2。

表1 防統方系統策略設置模塊的主要步驟

圖2 防統方系統策略列表截圖

3.2 告警信息設置

策略列表中的審計策略生效后，可對鏡像數據進行實時審計。通過告警信息顯示內容的調整，使告警界面清晰直觀。

（1）過濾冗余信息。防統方系統獲得的原始數據包中存在大量冗余字段，但防統方排查過程中最重要的數據只是“誰”、“在哪里”、“統計了什么數據”。用戶可在告警界面手動增加或刪除顯示的字段，再進行篩選排序，滿足不同的查詢需求，便捷直觀的發現危險行為。

（2）補全缺失信息。通過網絡監聽的數據包可知具體SQL語句，但由于醫院采用ORACLE 11g數據庫并進行安全配置，數據庫用戶、客戶端主機信息等關鍵字段在網絡傳輸中被加密[11]。在數據庫中設置觸發器，當用戶訪問數據庫時，記錄其訪問時間、用戶名、使用的程序名稱、主機名稱、IP地址等信息；設置每天0點將前一天的觸發數據生成一個文件并推送到FTP服務器中，防統方服務器自動下載該文件，并通過訪問時間、IP地址對存在風險的告警數據進行關聯匹配，最終展示出用戶所需的告警信息。

3.3 策略命中的測試與調整

完成告警策略的設置后運行生效的策略，觀察策略命中的覆蓋性和準確性。

（1）命中覆蓋率測試。命中覆蓋率測試，是指設置并生效一條策略后，運行任何滿足該策略篩選條件的操作都能被篩選出來并告警。例如，策略中關聯“開單醫生”、“藥品名稱”字段，當進行聯合查詢時，任何同時包含以上兩個字段的查詢都將顯示告警。當運行查詢而未出現告警情況時，應檢查策略模塊是否正常運行、策略設置的邏輯是否正確。當該策略能夠完全覆蓋待篩選操作時，認為其通過命中覆蓋率測試，可避免由于策略設置導致的告警信息遺漏風險。

（2） 命中準確性測試。策略通過命中覆蓋率測試后，可能存在告警信息過多的情況。例如，策略中關聯“開單醫生”、“藥品名稱”字段，當進行聯合查詢時，任何同時包含以上兩個字段的查詢都將顯示告警。但醫院收費系統提取病人交費信息時都會提取這兩個字段的數據，每一次正常的收費操作都會被作為告警信息顯示。我院日均門診量約1萬人次，此時大量無用的告警會淹沒真正的統方風險，因此策略的過濾條件需要進一步收縮，如增加字段對應表名、增加匯總求和操作關鍵字等，以提高策略命中的準確性。分析命中的告警語句，在策略中增加數據表、關聯規則、字段或特定操作后再次測試。

經過多輪測試，在滿足策略有效、不會漏掉目標查詢語句的基礎上盡量減少垃圾告警信息，并定期由審計管理員根據業務提出或調整審計需求，策略管理員對審計策略進行增刪調整。

4 結論

防統方系統正式運行后，策略穩定不需要經常調整測試；審計管理員能夠第一時間獲得告警信息并進行風險排查；系統管理員除定期數據備份外無需過多運維工作。系統滿足健壯性及可用性需求。

防統方系統實施上線后，從數據庫中進行統方查詢和匯總的操作都會第一時間產生告警提示，通過記錄到的統方時間、使用主機和操作人員信息，與醫院監控系統聯動，可以及時發現可疑人員及行為。防統方系統也為紀檢監察部門對非法統方行為的監督管理工作提供數據支持，最終提升管理部門的工作效率。

[1] 王玉玨.國有醫院“拉統方”行為的刑法性質[J].法學,2012(6): 152-159.

[2] 李景波.加強醫德醫風建設,構建和諧醫患關系[J].中華醫院管理雜志,2006,22(9):607-608.

[3] 國衛辦發[2013]49號.關于印發加強醫療衛生行風建設“九不準”的通知[S].

[4] 國衛糾發[2014]1號.關于加強醫療衛生機構統方管理的規定[S].

[5] 劉丹丹,劉同波.數據庫安全審計系統在醫院的部署與應用[J].中國醫療設備,2013(5):42-44.

[6] 郭麗娟.用“制度+ 科技”規范醫療行為的探索與實踐[J].西部中醫院,2013,26(3):43-44.

[7] 劉海林,陳道翔.多管齊下,杜絕醫院非法統方行為的實踐[J].中國醫學教育技術,2013,27(6):691-693.

[8] 常建國,郭凌玲,宮彥婷,等.數據庫審計與防統方系統的實現[J].中國醫療設備 2013,28(4):52-54,138.

[9] 沈輝,張龍.基于WinPcap的網絡數據監測及分析[J].計算機科學,2012,39(10):15-18.

[10] 蔡小偉,劉強.Oracle數據庫安全及安全策略研究[J].福建電腦,2014(5):76-77,96.

[11] 何子龍.Oracle數據庫安全及安全策略研究[J].現代計算機,2015(1):22-26.

Construction Practice of Hospital Prescription Statistics Preventing System

LI Xiang, YIN Hai-bo, XUE Wan-gang, ZHANG Hong
Computer Center, Guanganmen Hospital, China Academy of Chinese Medical Sciences, Beijing 100053, China

In order to fulfill the needs in the construction of Hospital Prescription Statistics Preventing System, the paper introduced the construction process of an anti-statistics system, which can alarm and audit risk of database access events. The paper introduced the techniques involved in the architecting and arranging of the Hospital Prescription Statistics Preventing System and described the foundation of the basic setup of the system. On the basis of hardware architecture, the system reasonably divided and audited the users permissions so as to ensure the security of data storage process, the oracle database audit data was connected to the anti-statistics system with the FTP server, which provides strong support for the hospital’s prescription statistics prevention.

hospital prescription statistics system; data audit; data consistency; alarm strategy; medical management

TP319

A

10.3969/j.issn.1674-1633.2016.03.024

1674-1633(2016)03-0096-03

2015-08-25

2015-09-10

作者郵箱：945112@163.com