吳家春 秦新南 董曉紅
2010年6月衛生部頒發《關于進一步深化治理醫藥購銷領域商業賄賂工作的通知》中明確指出,“要對醫院各個部門通過計算機網絡查詢醫院信息的權限實行分級管理,對醫院信息系統中有關藥品、高值耗材使用等信息實行專人負責、加密管理,嚴格統方權限和審批程序,未經批準不得統方,嚴禁為商業目的統方。”
隨著醫院信息化建設與發展,醫院信息系統(HIS)已成為建設現代化醫院不可缺少的基礎設施和技術。醫院管理離不開信息,在“領導決策層、醫療、教學、科研、行政”等全程醫院運行管理中,信息數據化管理是掌管醫院信息管理的重要途徑。統方是醫療信息數據管理范疇部分,主要是為臨床醫療管理統計及提供醫療過程中所發生的數據。
統方是指醫院對醫生開出的處方用藥、使用醫療高值耗材總量的信息數據量的統計。醫院管理中的統方是指醫療過程中依靠信息數據化來集中反映階段時間臨床用藥和醫用高值耗材使用量,便于醫院管理部門掌握及控制醫療管理質量的目的。商業為目的的統方是指在醫院內部的個人或部門,為醫藥行業營銷人員利用信息技術提供醫院或部門一定時期內臨床用藥和醫用高值耗材使用量的統計數據,并作為醫藥行業營銷人員向醫院內部人員發放藥品、耗材等商業“回扣”參考依據。國家衛計委在2013年頒布“九不準”明確規定,違規統方已經認定屬于商業賄賂違法行為。
一、統方在大型醫院主要表現形式
(一)醫院信息HIS應用系統提供統方功能
醫院HIS等醫療信息系統,軟件應用設計集中了處方統計分析、處方查詢,以及掛號、病歷、診療信息管理等核心業務模塊。后臺涉及到醫生、藥品、劑量、單價、應收金額等直接或間接數據,能夠成為“統方”信息,這些功能本身提供詳盡的統方信息,顯示所有處方用藥情況和高值耗材使用量。HIS信息系統在后臺設置高權限用戶的應用系統,即擁有統方權限。
在醫院常規運行管理過程中,醫院藥劑科本身兼具正常“統方”的職責,其一,每天需要對醫生、藥品和劑量信息進行統計,干預醫生醫囑的適應癥及使用藥物劑量。其二,統計藥品進出庫量,達到對藥品管理的目的。因此,HIS應用系統本身管理制度一旦出現漏洞,信息管理權限被泄露,統方數據外泄將受到威脅。
(二)信息管理人員的違規“統方”
根據大型醫院信息化建設與管理的要求,信息中心組織架構使得信息中心人員隊伍在逐步擴大,信息中心日常IT網絡設備、數據庫等程序的維護,信息管理人員掌握administrator、SYSTEM等超級用戶,并具備訪問所有IT網絡設備、服務器、應用數據庫的權限,給信息安全防控管理帶來挑戰。如果不加強管理信息系統訪問數據庫的用戶名和口令,將會出現以下情況:(1)信息中心人員無業務需要能夠訪問所有處方數據,具備“統方”的最佳途徑。(2)由于目前供應商對于用戶密碼的管理方式過于簡單,造成直接查詢數據庫中的用戶密碼表,使用具備統方權限的應用用戶登錄到HIS系統直接進行違規“統方”。這將是目前醫院信息中心內部人員最常見的違規統方途徑。
(三)黑客入侵信息系統違規“統方”
在商業高額利益的驅使下,當前黑客竊取“統方”數據的手段隱蔽性、復雜性不容忽視。黑客的手段大致有以下4種:(1)利用HIS等系統的洞入侵數據庫。(2)利用數據庫漏洞直接入侵數據庫。(3)入侵數據庫服務器主機直接竊取數據庫文件、備份文件等。(4)利用終端管理不嚴格的漏洞,使用移動介質運行相關程序竊取數據。
二、大型醫院信息的安全系統構架
(一)醫院信息系統的安全現狀
目前醫院信息系統(HIS)硬件和系統軟件的配置已具有較高的安全級別。但是,HIS還存在著以下安全問題需要解決。
1.訪問口令限制不嚴。現有HIS一般采取用戶連接信息簡單加密的方式以限制其他非法用戶獲取數據庫口令。但在C/S模式下的客戶端仍然存放著直接訪問數據庫的用戶名和密碼,可以被簡單破解或偵聽到。
2.網絡訪問隨意性突顯。大型醫院網絡可隨意互訪,信息流通和共享暢通無阻,在任何一個網絡點,均可隨意訪問整個網絡的資源,數據易被非法竊取。
3.數據庫訪問實時監測報警系統薄弱。目前大型醫院建立監測報警系統,即安裝了防統方軟件,但在實施過程中,很少有對數據庫訪問的用戶進行監測、存檔和登記、分析等管理手段,即使數據庫的關鍵數據被竊取或破壞,信息中心管理人員的追查、審計需要投入時間較長,很難及時發現竊取數據的“黑客”。
4.客戶端的介質隨意性訪問的多樣性。因大型醫院信息化建設普及,醫生護理工作站配備硬件設備齊全,各工作站端口均有USB等硬件接口,由于管理不嚴隨意接入移動硬盤等外部設備,帶有病毒的軟件極有可能流入醫院內網,對醫院信息安全帶來威脅。
5.數據庫用戶控制不嚴。由于歷史原因,HIS數據庫用戶及其權限的管理薄弱,沒有按照“最小權限”原則進行管理;且由于整個醫院信息系統的數量在不斷增加,業務日趨復雜,與HIS系統的信息交換變得更加頻繁,如果對于HIS系統的數據庫賬戶的管理不嚴格,將對醫院的信息安全帶來威脅。
(二)單純信息數據跟蹤審計(簡稱:防統方軟件)現狀
目前,部分大型醫院采用“防統方”審計軟件,但無法控制違規統方。實踐一年來,違規統方還繼續存在,以商業為目的的統方愈演愈烈,極大地造成醫院經濟利益損失、人員誠信丟失,給社會帶來負面影響。
1.“防統方”軟件系跟蹤報警監測系統,屬于竊取數據的事后收集分析數據功能,其作用無法主動阻止違規統方行為的發生。
2.“防統方”軟件難以準確定位,鎖定及控制統方操作人員需要用其他方法進行偵查,因此,無法辨別違規統方和正常統方,軟件的報警不能起到震懾作用。
3.在實際運行中,由于普通數據庫審計軟件沒法進行深度智能的、對統方有針對性的審計和記錄,因此,出現審計日志量大等現象,影響防統方報警的工作效率和效果。
4.違規統方者變換IP地址及用戶名進入數據庫,防統方軟件不能攔截阻止違規盜竊數據。
(三)管理制度的因素
1政策懲罰措施、懲罰力度限制問題
最高法院、最高檢察院聯合發布的《關于辦理商業賄賂刑事案件適用法律若干問題的意見》規定,“醫務人員利用開處方的職務便利,以各種名義非法收受醫藥產品銷售方財物,數額較大的,以非國家工作人員受賄罪定罪處罰”。法律頒布十多年來,還有人抱僥幸“法不責眾”的心理,違規統方獲取商業“回扣”盛行。單位發現了違規統方人員,但司法部門對違規違法認定需要證據鏈的難度突顯,給違規統方人員有逃脫的機會可能。
2.缺乏有效的“防統方”技術措施及軟件產品
“統方”發生的手段多樣、隱蔽性及高回報率,使得各類人員(包括信息技術人員、公司開發維護人員)利用職務便利,從信息服務器應用系統、甚至直接從數據庫中獲得“統方”數據。根據現有“防統方”軟件,是以被動防御性報警方式進行監督。是對統方進行分析、排查,準確定位統方數據訪問時間、端口,但是難以準確地定位具體操作人員,因此,難以及時追查到違規統方人員。
所以,醫院需要建立“主動防御型”防統方軟件。軟件應該實現對數據庫數據加密存儲、訪問權限增強、應用訪問安全、安全審計以及三權分立等迅速高效能準確區分違規統方的功能。
醫院信息系統在“業務層面、技術層面、管理層面”的安全防范力度上,即:在現有的安全保障措施,在互聯網接入區增設應用防火墻,防止來自醫院外部的信息竊取,在不影響HIS系統、PACS系統、EMR系統等醫院應用系統前提下,在核心業務服務區增設數據庫審計設備,通過對網絡中的海量、無序的數據進行處理、關聯分析,實時監控內部人員的越權、違規操作,防止患者信息、醫院運行、財務、科研等敏感數據的外泄,構筑安全防線。
三、大型醫院防統方信息安全預警防控的手段
為進一步推進大型醫院懲治和預防腐敗體系建設,促進廉政建設和行風建設,培養醫院內部人員良好的職業情操,采取制度加科技手段,杜絕以商業為目的統方。
(一)技術路徑
建立信息安全的盾構,即構筑信息系統的控制能力。在對醫院信息安全統方防控的基礎上,凡是有可能涉及對藥品、醫用耗材用量按醫生進行查詢統計的軟件模塊或軟件應予以卸除,并且要對信息系統中的藥品相關信息查詢功能模塊進行清理,刪除一般科室人員操作信息功能模塊,包括藥品信息查詢統計程序。設置高級權限及口令,控制掌握進入數據庫人員的數量,不得任意授權相關科室個人查詢醫生用藥情況。
(二)建立安全保護框架體系(圖1)
大型醫院信息系統安全整體保障框架的路徑:
1.從信息安全角度來看,HIS有以下幾個層次:數據庫層:監控數據庫的運行狀況;網絡層:限制用戶的網絡訪問;桌面層:確定客戶端的程序執行范圍;應用層:在應用程序端控制用戶對數據庫的訪問。
2.數據庫層安全對策:目前很多HIS的單一用戶就可訪問整個數據庫,為了改變這個情況,可對數據庫用戶劃分為超級用戶、門診用戶、住院用戶、接口用戶和管理用戶。
3.超級用戶可以訪問整個數據庫的內容,因此,必須嚴加管理,一般只允許醫院信息科主管1~2人掌握。除非進行系統級的維護需要使用外,一般不允許其他任何人員使用。
4.建立門診用戶、住院用戶分別只能訪問自用數據的設置,并且對該用戶及口令的連接配置信息進行二進制級別加密,用戶口令保密級別與超級用戶相同。
5.對于接口用戶如LIS ,PACS , RIS,則只能訪問有限的幾張接口表。管理用戶可以根據管理性質來設定一些相應的權限,如備份數據庫、數據庫鎖管理、訪問數據庫中需要的表式等。如醫院有多個管理員,則可在設定基本用戶的基礎上,再給每個管理員建立一個自用用戶。使用技術手段,建立用戶操作跟蹤和記錄,有良好的審核制度。
(三)大型醫院建立安全技術防護體系及安全管理制度
1.安全管理制度體系(圖2)
W建立安全管理機構。在醫院原有部門設置條件基礎上,增設紀檢、信息中心、保衛科等多部門進行合署辦公,由分管領導負責,建立信息安全管理制度,保障信息安全預警防控工作落實到位。
(2)建立安全管理制度。對有條件統方的崗位,建立監督制度,定期召開工作例會,收集數據、定期分析排查、跟蹤嫌疑目標及人員,掌握違規統方數據。
(3)建立與醫藥企業簽定廉潔協議的制度。明確醫藥企業、供應商不向醫院及工作人員行賄、提成“回扣”,對違反協議的,應停止采購該企業的產品,列入“黑名單”,向上級主管部門備案。建立藥企人員院內活動暗訪排查制度。組建暗訪隊調查取證,對證據確鑿的,列入企業不良記錄,并向司法機關舉報。
(4)建立人員安全管理制度。加強對工作人員的警示教育、日常教育。加強醫療行為內控制度。完善醫務人員醫德考評制度。
(5)建立完善醫院內部藥品、耗材、設備及其他物資的零差價采購制度,對藥品使用的管理和監督,嚴格規范醫生處方行為,完善處方管理和處方點評制度,實行藥品用量動態監測和超常預警等制度,糾正不合理用藥,形成監督制約機制。
2.安全技術防護體系
(1)建立信息系統建設管理體系
從根本上來說,反統方工作也是信息安全建設工作的一個重要組成部分。因此,在信息系統建設過程中,應當考慮信息安全的三個基本要素:機密性、完整性和可用性。信息安全應與信息系統建設同步規劃、同步實施,在安全中求發展,以發展保安全。在新建信息系統時,我們不僅要考慮信息系統的功能符合性,更要厘清系統邊界之間的關系、考慮數據的安全存儲和傳輸,防止非授權的訪問。分區分級的一種解決方案見圖3,從網絡、主機、數據庫、應用及數據的各個層面進行控制,按照最小授權原則、增加應用系統的審計日志管理,使得對系統數據的訪問全程可以追溯。
(2)建立信息系統運維管理體系
醫院的業務目標實現越來越依賴于信息,信息系統也成為醫院生存和發展的關鍵因素,成為醫院提升戰略競爭力的核心支撐力,信息系統的安全風險也就成為組織風險的一部分。信息安全保障不僅僅是一種項目性的暫時行為,更應融入信息系統生命周期的全過程,它不僅僅是保障信息系統本身,而是通過保障信息系統從而保障運行于信息系統之上的業務系統、保障醫院的業務使命和運營目標。因此,也應該秉承持續改進的理念,在信息系統的整個生命周期中,對信息系統進行定期的風險分析、制定并執行相應的安全保障策略,從技術、管理、工程和人員等方面進行部署,確保信息系統的安全性,把安全風險降低到可接受的程度,從而保障信息系統實現醫院的愿景和使命。
