解決方案-杭州安存網絡科技有限公司

運維安全審計(jì)

醫(yī)療解決方案

醫(yī)療行業統一安全管理(lǐ)與運維審計(jì)解決方案

行業痛點及需求

随着我國信息化建設的飛(fēi)速發展，醫(yī)療衛生信息化發展也(yě)步入了(le)一個加速發展的時(shí)期。從(cóng)早期的單機單用(yòng)戶應用(yòng)階段，到(dào)部門(mén)級和(hé)全院級管理(lǐ)信息系統應用(yòng)；從(cóng)以财務、藥品和(hé)管理(lǐ)爲中心，開(kāi)始向以病人信息爲中心的臨床業務支持和(hé)電子病曆應用(yòng)；從(cóng)局限在醫(yī)院内部應用(yòng)，發展到(dào)區(qū)域醫(yī)療信息化應用(yòng)嘗試。多業務融合構建起醫(yī)療信息的複雜(zá)應用(yòng)和(hé)數字化流程，随着HIS、RIS、LIS、CIS、PACS、CPR等系統的應用(yòng)，爲醫(yī)療衛生行業的高(gāo)效、快(kuài)捷、便民提供了(le)信息化基礎，杜絕“三長一短”現(xiàn)象，有效解決了(le)群衆“看(kàn)病難”問題。

信息的高(gāo)度集中使數據的安全性越來(lái)越被重視(shì)，作(zuò)爲關乎民生的重要行業，一旦數據洩露，必将對(duì)社會(huì)産生不良影響，成爲輿論和(hé)媒體關注的熱點問題。在巨大(dà)商業利益的驅使下(xià)，醫(yī)療行業的數據庫要面臨來(lái)自(zì)内部威脅和(hé)外(wài)部威脅的雙重包夾，特别是以商業爲目的的非法“統方”行爲，不僅給醫(yī)院的公衆形象和(hé)權威信任帶來(lái)嚴重影響，甚至洩露個人信息損害患者的個人利益，使得原本就緊張的醫(yī)患關系話(huà)題更進一步。

行業需求

通過對(duì)多家醫(yī)院的實際情況調研，目前醫(yī)院主要面臨以下(xià)問題：

1.能(néng)夠接觸到(dào)核心數據的人員越來(lái)越多，既有内部IT運維人員，醫(yī)護人員、也(yě)有第三方外(wài)包運維公司和(hé)應用(yòng)開(kāi)發人員，如何監管和(hé)審核針對(duì)核心資産的操作(zuò)，使合法的人做合法的事(shì)；

2.非法統方手段專業化，多樣化，從(cóng)來(lái)源上(shàng)講，醫(yī)護人員、藥房、運維人員都有機會(huì)完成統方，從(cóng)手段上(shàng)來(lái)講，由早期的手工(gōng)統方轉變成專業的統方軟件，隻需要一台終端上(shàng)運行程序，就可以非常快(kuài)捷的完成統方，如何監管和(hé)審核針對(duì)核心資産的操作(zuò)，防止信息的外(wài)洩，是院方一直迫切解決的痛點。

以上(shàng)兩個問題無法通過現(xiàn)有的網絡層面的安全産品加以解決，從(cóng)根源上(shàng)分析，這(zhè)兩個問題實際上(shàng)與應用(yòng)系統的數據以及管理(lǐ)制度有關，單純靠底層的網絡安全産品無法解決上(shàng)述問題，可以歸納爲以下(xià)幾個原因：

1. 企業的内部核心系統的各種用(yòng)戶名和(hé)口令管理(lǐ)松散；

2. 出現(xiàn)安全事(shì)件後，無法快(kuài)速、準确地定位事(shì)件的源頭，更談不上(shàng)及時(shí)阻止；

3. 沒有任何操作(zuò)記錄可以進行事(shì)後審計(jì)審核。因此，也(yě)不知(zhī)道(dào)該如何修補系統的安全漏洞；
4. 因爲缺乏一一對(duì)應的身份認證，即使找到(dào)了(le)安全事(shì)件的源頭，也(yě)無法定位到(dào)自(zì)然人。

我們的方案

要徹底解決以上(shàng)兩個痛點問題，确保醫(yī)院臨床及藥品統方等核心信息的安全，杭州安存網絡科技有限公司自(zì)主研發了(le)“帕拉迪統一安全管理(lǐ)與綜合審計(jì)系統”，系統主要包含認證、賬号、授權、審核四大(dà)核心功能(néng)，使用(yòng)該系統能(néng)夠輕易達成如下(xià)目的：

1. 對(duì)每位系統操作(zuò)人員進行一對(duì)一賬号密碼驗證，通過登錄賬号可查具體操作(zuò)人；

2. 使用(yòng)單點登錄模式，即：每位系統操作(zuò)人員隻需使用(yòng)他(tā)自(zì)己的用(yòng)戶名、口令登錄，然後就可以直接使用(yòng)其權限内的各種後台系統，無需再次輸入各後台系統的用(yòng)戶名、口令。這(zhè)就最大(dà)程度地限制了(le)後台系統的各種用(yòng)戶名、口令被散發出去；

3. 爲每位管理(lǐ)員分别設置使用(yòng)權限，管理(lǐ)員隻能(néng)在被允許的範圍内對(duì)設備進行管理(lǐ)，避免人爲原因帶來(lái)的錯誤操作(zuò)；

4. 對(duì)每位操作(zuò)人員的在線情況、操作(zuò)情況、設備運行情況進行跟蹤、記錄，任何設備變動都處于可控狀态。

部署方式

客戶收益

建立了(le)統一運維接入與審計(jì)平台，提高(gāo)系統運維管理(lǐ)水(shuǐ)平，滿足相關法規标準要求，降低(dī)運維風(fēng)險，實現(xiàn)了(le)醫(yī)院業務操作(zuò)的規範化管理(lǐ)，有效的解決了(le)醫(yī)院核心業務違規操作(zuò)、數據外(wài)洩問題，杜絕了(le)非法統方；建立了(le)統一安全管控中心，對(duì)數據中心及IT設備及應用(yòng)的日志進行集中管理(lǐ)和(hé)分析，實現(xiàn)了(le)安全的可視(shì)化和(hé)集中化管理(lǐ)。

經典案例

航空(kōng)總醫(yī)院
解放(fàng)軍三零二醫(yī)院
阜外(wài)華中心血管病醫(yī)院
華東醫(yī)院
上(shàng)海藥監局
中山醫(yī)院
瑞金(jīn)醫(yī)院
中國疫控中心
南昌大(dà)學附屬醫(yī)院
海軍總醫(yī)院
鄭州大(dà)學附屬醫(yī)院
瑞金(jīn)醫(yī)院
解放(fàng)軍101醫(yī)院
武漢大(dà)學中南醫(yī)院
和(hé)睦家醫(yī)療集團