医院防统方系统建设实践

李享,殷海波,薛万刚,张红

中国中医科学院广安门医院 计算机中心,北京 100053

[摘 要]为满足医院防统方工作建设需要,介绍一种以事件告警和事件审计为主要功能的防统方系统的建设实践过程。本文详细介绍了医院防统方系统的架构部署技巧与系统基础设置功能。在部署系统架构的基础上,合理划分审计系统用户权限,以保障数据库的安全;利用FTP服务器将数据库自身审计内容关联到防统方告警信息中,最终以信息技术手段为防统方工作提供有力支持。

[关键词]医院防统方系统;数据审计;数据一致性;告警策略;医药管理

0 引言

“统方”是指医院中个人或部门为医药营销人员提供医师或部门在一定时间段内的用药量统计数据,即供医药购销人员发放药品回扣的数据[1]。如何在市场经济深入发展过程中净化医疗环境,是医院管理的一个重大问题[2]。继2010年6月21日颁发《卫生部关于进一步深化治理医药购销领域商业贿赂工作的通知》后,2013年12月26日国家卫生计生委、国家中医药管理局提出严禁医疗卫生人员利用任何途径和方式为商业目的统计医师个人及临床科室有关药品、医用耗材的用量信息,或为医药营销人员统计提供便利[3-4]。为保障数据安全、改善医患关系、树立医务人员良好形象,可在医院部署数据库审计系统[5]。广安门医院参考“制度+科技”规范医疗行为的管理模式[6],除制定并下发一系列的管理规定外,依照“事先阻断、事中通知、事后审计”的全方位、多层次防御体系[7]理念,部署了防统方系统,增强统方实时告警与事后回溯分析能力,加大了医院对非法统方行为的打击力度。本文主要介绍了我院防统方系统部署与策略调试过程的相关建设经验。

1 系统架构部署

数据库审计系统采用专门设计的软硬一体化的设备,配置相应的数据过滤和解析规则,对从网络中获取的数据包进行处理、分析、存储[8-9]。防统方系统是基于数据库审计进行定制开发的系统,通过网络镜像方式抓取用户访问数据库的信息进行解析。在此基础上,利用1台FTP服务器存储数据库内用户登录信息,并与防统方系统中的告警数据关联匹配,进一步提升告警准确性。

我院的数据库服务器和核心交换机均置于中心机房内,数据库服务器通过双链路与2台核心交换机直连,因此在核心交换机上直接进行防统方系统和FTP服务器的旁路部署,将数据库服务器所在端口镜像到防统方系统进行存储和分析,使核心业务运行与审计分析工作分步并行,互不影响。我院数据库日均数据访问量约8 GB,超过10万条信息,选择的防统方服务器应保证有足够空间存储海量数据,并能够有较快的分析匹配数据的计算能力。为此,最终形成的拓扑图,见图1。以 B/S模式提供服务,终端用户通过浏览器灵活访问防统方系统。

图1 防统方系统部署拓扑图

2 防统方系统基础设置

具有完整待审计时段的数据和数据一致性是审计的基础,应严格区分不同用户所具有的权限,避免系统内日志和告警被人为篡改、删除,并保证防统方系统中存储的数据量能够满足实时告警和历史数据回溯审计需求。

2.1 系统用户审计

根据系统运行和审计需求,划分为超级管理员、系统管理员、策略管理员、审计管理员权限[10]。其中超级管理员非经授权不允许使用;系统管理员由计算机中心运维人员担任,登录后可对系统进行运维,但没有业务权限;策略管理员由医院计算机中心数据库管理员担任,能设置告警策略而无法查看到敏感的统方信息;审计管理员授权给纪监审办公室等需要了解统方告警的业务部门人员,能看告警结果不能修改系统和策略参数。

在系统试运行阶段,由多个管理员协同调试策略的可用性;系统正式运行后,非业务需求策略管理员不能擅自修改策略条件。此外,防统方系统还需要对自身用户的行为进行审计[11],日志中记录每个系统管理员登录、增删查改防统方系统数据的信息,该数据无法删除或修改,默认保存1年数据备查,避免系统的各个管理员对审计过程的恶意干扰。

2.2 数据存储管理

审计过程要有尽量多的历史数据可供筛查,而由于原始审计数据十分庞大,这需要很大的存储空间,加大了运营成本。医院通过在服务器上存储最近3个月、在外设磁盘备份最近1年数据的方式,解决海量数据与有限存储空间的矛盾。为避免磁盘空间满而导致的系统宕机,设置服务器磁盘利用率超过85%时自动清空最旧1天备份数据。设置系统自动生成一个当天的原始审计数据压缩文件包,系统管理员可通过手动或自动方式下载到FTP或外设存储设备。该数据为压缩格式数据,每一天数据为一个加密文件,导出后无法单独解压使用,不能增删局部信息,防止恶意修改破坏数据一致性。在需要回溯历史数据时,可将压缩文件导回系统中重新使用。

3 系统设置与调试

防统方系统的主要目的是对医院数据库内医生开药信息的统计和提取进行审计,是在应用数据库审计的技术基础之上,对医生、药品关联数据进行统计的敏感信息过滤,需要结合医院的业务,设置审计策略,从而达到针对性的审计。

3.1 告警策略配置

防统方系统设置审计策略时,对统方行为涉及的关键字段、常见操作进行分析,通过在策略设置模块中输入自定义条件和逻辑判断关系,展现出准确的过滤结果。策略设置模块的主要步骤及数据采集方法见表1,最终在系统中生成策略列表见图2。

表1 防统方系统策略设置模块的主要步骤

图2 防统方系统策略列表截图

3.2 告警信息设置

策略列表中的审计策略生效后,可对镜像数据进行实时审计。通过告警信息显示内容的调整,使告警界面清晰直观。

(1)过滤冗余信息。防统方系统获得的原始数据包中存在大量冗余字段,但防统方排查过程中最重要的数据只是“谁”、“在哪里”、“统计了什么数据”。用户可在告警界面手动增加或删除显示的字段,再进行筛选排序,满足不同的查询需求,便捷直观的发现危险行为。

(2)补全缺失信息。通过网络监听的数据包可知具体SQL语句,但由于医院采用ORACLE 11g数据库并进行安全配置,数据库用户、客户端主机信息等关键字段在网络传输中被加密[11]。在数据库中设置触发器,当用户访问数据库时,记录其访问时间、用户名、使用的程序名称、主机名称、IP地址等信息;设置每天0点将前一天的触发数据生成一个文件并推送到FTP服务器中,防统方服务器自动下载该文件,并通过访问时间、IP地址对存在风险的告警数据进行关联匹配,最终展示出用户所需的告警信息。

3.3 策略命中的测试与调整

完成告警策略的设置后运行生效的策略,观察策略命中的覆盖性和准确性。

(1)命中覆盖率测试。命中覆盖率测试,是指设置并生效一条策略后,运行任何满足该策略筛选条件的操作都能被筛选出来并告警。例如,策略中关联“开单医生”、“药品名称”字段,当进行联合查询时,任何同时包含以上两个字段的查询都将显示告警。当运行查询而未出现告警情况时,应检查策略模块是否正常运行、策略设置的逻辑是否正确。当该策略能够完全覆盖待筛选操作时,认为其通过命中覆盖率测试,可避免由于策略设置导致的告警信息遗漏风险。

(2) 命中准确性测试。策略通过命中覆盖率测试后,可能存在告警信息过多的情况。例如,策略中关联“开单医生”、“药品名称”字段,当进行联合查询时,任何同时包含以上两个字段的查询都将显示告警。但医院收费系统提取病人交费信息时都会提取这两个字段的数据,每一次正常的收费操作都会被作为告警信息显示。我院日均门诊量约1万人次,此时大量无用的告警会淹没真正的统方风险,因此策略的过滤条件需要进一步收缩,如增加字段对应表名、增加汇总求和操作关键字等,以提高策略命中的准确性。分析命中的告警语句,在策略中增加数据表、关联规则、字段或特定操作后再次测试。

经过多轮测试,在满足策略有效、不会漏掉目标查询语句的基础上尽量减少垃圾告警信息,并定期由审计管理员根据业务提出或调整审计需求,策略管理员对审计策略进行增删调整。

4 结论

防统方系统正式运行后,策略稳定不需要经常调整测试;审计管理员能够第一时间获得告警信息并进行风险排查;系统管理员除定期数据备份外无需过多运维工作。系统满足健壮性及可用性需求。

防统方系统实施上线后,从数据库中进行统方查询和汇总的操作都会第一时间产生告警提示,通过记录到的统方时间、使用主机和操作人员信息,与医院监控系统联动,可以及时发现可疑人员及行为。防统方系统也为纪检监察部门对非法统方行为的监督管理工作提供数据支持,最终提升管理部门的工作效率。

[参考文献]

[1] 王玉珏.国有医院“拉统方”行为的刑法性质[J].法学,2012(6): 152-159.

[2] 李景波.加强医德医风建设,构建和谐医患关系[J].中华医院管理杂志,2006,22(9):607-608.

[3] 国卫办发[2013]49号.关于印发加强医疗卫生行风建设“九不准”的通知[S].

[4] 国卫纠发[2014]1号.关于加强医疗卫生机构统方管理的规定[S].

[5] 刘丹丹,刘同波.数据库安全审计系统在医院的部署与应用[J].中国医疗设备,2013(5):42-44.

[6] 郭丽娟.用“制度+ 科技”规范医疗行为的探索与实践[J].西部中医院,2013,26(3):43-44.

[7] 刘海林,陈道翔.多管齐下,杜绝医院非法统方行为的实践[J].中国医学教育技术,2013,27(6):691-693.

[8] 常建国,郭凌玲,宫彦婷,等.数据库审计与防统方系统的实现[J].中国医疗设备 2013,28(4):52-54,138.

[9] 沈辉,张龙.基于WinPcap的网络数据监测及分析[J].计算机科学,2012,39(10):15-18.

[10] 蔡小伟,刘强.Oracle数据库安全及安全策略研究[J].福建电脑,2014(5):76-77,96.

[11] 何子龙.Oracle数据库安全及安全策略研究[J].现代计算机,2015(1):22-26.

Construction Practice of Hospital Prescription Statistics Preventing System

LI Xiang, YIN Hai-bo, XUE Wan-gang, ZHANG Hong
Computer Center, Guanganmen Hospital, China Academy of Chinese Medical Sciences, Beijing 100053, China

Abstract:In order to fulfill the needs in the construction of Hospital Prescription Statistics Preventing System, the paper introduced the construction process of an anti-statistics system, which can alarm and audit risk of database access events. The paper introduced the techniques involved in the architecting and arranging of the Hospital Prescription Statistics Preventing System and described the foundation of the basic setup of the system. On the basis of hardware architecture, the system reasonably divided and audited the users permissions so as to ensure the security of data storage process, the oracle database audit data was connected to the anti-statistics system with the FTP server, which provides strong support for the hospital’s prescription statistics prevention.

Key words:hospital prescription statistics system; data audit; data consistency; alarm strategy; medical management

[中图分类号]TP319

[文献标志码]A

doi:10.3969/j.issn.1674-1633.2016.03.024

[文章编号]1674-1633(2016)03-0096-03

收稿日期:2015-08-25

修回日期:2015-09-10