解決方案-杭州爲之科技有限公司

運維安全審計

醫(yī)療解決方案

醫(yī)療行業統一(yī)安全管理(lǐ)與運維審計解決方案

行業痛點及需求

随着我國信息化(huà)建設的飛速發展，醫(yī)療衛生(shēng)信息化(huà)發展也(yě)步入了(le)一(yī)個(gè)加速發展的時(shí)期。從早期的單機單用戶應用階段，到部門級和全院級管理(lǐ)信息系統應用；從以财務(wù)、藥品和管理(lǐ)為(wèi)中心，開始向以病人(rén)信息為(wèi)中心的臨床業務(wù)支持和電子(zǐ)病曆應用；從局限在醫(yī)院内部應用，發展到區域醫(yī)療信息化(huà)應用嘗試。多業務(wù)融合構建起醫(yī)療信息的複雜應用和數字化(huà)流程，随着HIS、RIS、LIS、CIS、PACS、CPR等系統的應用，為(wèi)醫(yī)療衛生(shēng)行業的高效、快(kuài)捷、便民(mín)提供了(le)信息化(huà)基礎，杜絕“三長一(yī)短”現(xiàn)象，有效解決了(le)群衆“看病難”問題。

信息的高度集中使數據的安全性越來(lái)越被重視(shì)，作(zuò)為(wèi)關(guān)乎民(mín)生(shēng)的重要行業，一(yī)旦數據洩露，必将對社會産生(shēng)不良影響，成為(wèi)輿論和媒體(tǐ)關(guān)注的熱點問題。在巨大商(shāng)業利益的驅使下(xià)，醫(yī)療行業的數據庫要面臨來(lái)自内部威脅和外部威脅的雙重包夾，特别是以商(shāng)業為(wèi)目的的非法“統方”行為(wèi)，不僅給醫(yī)院的公衆形象和權威信任帶來(lái)嚴重影響，甚至洩露個(gè)人(rén)信息損害患者的個(gè)人(rén)利益，使得原本就(jiù)緊張的醫(yī)患關(guān)系話(huà)題更進一(yī)步。

行業需求

通過對多家醫(yī)院的實際情況調研，目前醫(yī)院主要面臨以下(xià)問題：

1.能(néng)夠接觸到核心數據的人(rén)員(yuán)越來(lái)越多，既有内部IT運維人(rén)員(yuán)，醫(yī)護人(rén)員(yuán)、也(yě)有第三方外包運維公司和應用開發人(rén)員(yuán)，如(rú)何監管和審核針對核心資産的操作(zuò)，使合法的人(rén)做合法的事(shì)；

2.非法統方手段專業化(huà)，多樣化(huà)，從來(lái)源上(shàng)講，醫(yī)護人(rén)員(yuán)、藥房(fáng)、運維人(rén)員(yuán)都有機會完成統方，從手段上(shàng)來(lái)講，由早期的手工統方轉變成專業的統方軟件，隻需要一(yī)台終端上(shàng)運行程序，就(jiù)可以非常快(kuài)捷的完成統方，如(rú)何監管和審核針對核心資産的操作(zuò)，防止信息的外洩，是院方一(yī)直迫切解決的痛點。

以上(shàng)兩個(gè)問題無法通過現(xiàn)有的網絡層面的安全産品加以解決，從根源上(shàng)分(fēn)析，這(zhè)兩個(gè)問題實際上(shàng)與應用系統的數據以及管理(lǐ)制度有關(guān)，單純靠底層的網絡安全産品無法解決上(shàng)述問題，可以歸納為(wèi)以下(xià)幾個(gè)原因：

1. 企業的内部核心系統的各種用戶名和口令管理(lǐ)松散；

2. 出現(xiàn)安全事(shì)件後，無法快(kuài)速、準确地定位事(shì)件的源頭，更談不上(shàng)及時(shí)阻止；

3. 沒有任何操作(zuò)記錄可以進行事(shì)後審計審核。因此，也(yě)不知道該如(rú)何修補系統的安全漏洞；
4. 因為(wèi)缺乏一(yī)一(yī)對應的身(shēn)份認證，即使找到了(le)安全事(shì)件的源頭，也(yě)無法定位到自然人(rén)。

我們的方案

要徹底解決以上(shàng)兩個(gè)痛點問題，确保醫(yī)院臨床及藥品統方等核心信息的安全，杭州爲之科技有限公司自主研發了(le)“帕拉迪統一(yī)安全管理(lǐ)與綜合審計系統”，系統主要包含認證、賬号、授權、審核四大核心功能(néng)，使用該系統能(néng)夠輕易達成如(rú)下(xià)目的：

1. 對每位系統操作(zuò)人(rén)員(yuán)進行一(yī)對一(yī)賬号密碼驗證，通過登錄賬号可查具體(tǐ)操作(zuò)人(rén)；

2. 使用單點登錄模式，即：每位系統操作(zuò)人(rén)員(yuán)隻需使用他自己的用戶名、口令登錄，然後就(jiù)可以直接使用其權限内的各種後台系統，無需再次輸入各後台系統的用戶名、口令。這(zhè)就(jiù)最大程度地限制了(le)後台系統的各種用戶名、口令被散發出去；

3. 為(wèi)每位管理(lǐ)員(yuán)分(fēn)别設置使用權限，管理(lǐ)員(yuán)隻能(néng)在被允許的範圍内對設備進行管理(lǐ)，避免人(rén)為(wèi)原因帶來(lái)的錯誤操作(zuò)；

4. 對每位操作(zuò)人(rén)員(yuán)的在線情況、操作(zuò)情況、設備運行情況進行跟蹤、記錄，任何設備變動都處于可控狀态。

部署方式

客戶收益

建立了(le)統一(yī)運維接入與審計平台，提高系統運維管理(lǐ)水平，滿足相關(guān)法規标準要求，降低(dī)運維風(fēng)險，實現(xiàn)了(le)醫(yī)院業務(wù)操作(zuò)的規範化(huà)管理(lǐ)，有效的解決了(le)醫(yī)院核心業務(wù)違規操作(zuò)、數據外洩問題，杜絕了(le)非法統方；建立了(le)統一(yī)安全管控中心，對數據中心及IT設備及應用的日志進行集中管理(lǐ)和分(fēn)析，實現(xiàn)了(le)安全的可視(shì)化(huà)和集中化(huà)管理(lǐ)。

經典案例

航空總醫(yī)院
解放(fàng)軍三零二醫(yī)院
阜外華中心血管病醫(yī)院
華東醫(yī)院
上(shàng)海藥監局
中山醫(yī)院
瑞金(jīn)醫(yī)院
中國疫控中心
南(nán)昌大學附屬醫(yī)院
海軍總醫(yī)院
鄭州大學附屬醫(yī)院
瑞金(jīn)醫(yī)院
解放(fàng)軍101醫(yī)院
武漢大學中南(nán)醫(yī)院
和睦家醫(yī)療集團