統方審批表

A. 【調查】究竟誰在為商業目的統方

「統方」是醫院對醫生用葯信息量的統計。所謂為商業目的「統方」，是指醫院中個人或部門為醫葯營銷人員提供醫生或部門一定時期內臨床用葯量信息，供其發放葯品回扣的行為。 衛生部要求，各級衛生行政部門和各類醫療機構加強醫院信息系統葯品、高值耗材統計功能管理，避免為不正當商業目的統計醫師個人和臨床科室有關葯品、高值耗材用量信息。要對醫院信息系統中有關葯品、高值耗材使用等信息實行專人負責、加密管理，嚴格「統方」許可權和審批程序，未經批准不得「統方」，嚴禁為商業目的「統方」。各級衛生行政部門要加大對轄區內醫療機構「統方」行為的監督檢查力度。對未落實「統方」管理要求的醫療機構，要責令其限期整改，盡快建立健全有關管理制度。 查看更多答案>>

求採納

B. 我是醫葯公司的，現在需要做統方表，請問什麼叫做「統方」，請說的詳細一點，謝謝大家。

我先問你是那家醫葯公司的，這么不專業，你說統方是什麼？問你老闆啊、

C. 什麼是統方，怎麼統方

「統方」是醫院對醫生用葯信息量，用葯單據的統計。所謂為商業目的「統方」，是指醫院中個人或部門為醫葯營銷人員提供醫生或部門一定時期內臨床用葯量信息，供其發放葯品回扣的行為。
衛生部要求，各級衛生行政部門和各類醫療機構加強醫院信息系統葯品、高值耗材統計功能管理，避免為不正當商業目的統計醫師個人和臨床科室有關葯品、高值耗材用量信息。要對醫院信息系統中有關葯品、高值耗材使用等信息實行專人負責、加密管理，嚴格「統方」許可權和審批程序，未經批准不得「統方」，嚴禁為商業目的「統方」。
各級衛生行政部門要加大對轄區內醫療機構「統方」行為的監督檢查力度。對未落實「統方」管理要求的醫療機構，要責令其限期整改，盡快建立健全有關管理制度，並且嚴肅追究責任

D. 感覺用審計產品來防統方效果不好，有防統方產品能夠做到事先阻斷嗎

盜取統方數據的手段層出不窮，要保護統方數據就要從事先、事中、事後三個方面來進行全方位的防控。對於一些「高手」來說獲取統方數據也就是幾秒鍾的事情，事後審計即使能夠審計到，也無法阻止這些人偷盜行為，最終還是會給醫院和相關的人員造成非常壞的影響。所以防統方還是要從事先預防和自動阻斷入手，事先把包括處方表、葯品數據表、患者信息表、臨床診療過程相關數據表等敏感數據保護起來，把訪問這些敏感數據的應用程序、人、終端（IP和MAC地址）等要素都保護起來，防止非法的人、終端、應用等訪問到敏感數據。
而對於像葯劑科這些業務科室，需要做合法統方時，主要利用「USBKEY」和「授權審批」相結合的手段來進行隨時控制。要進行合法統方必須是具有「USBKEY」人，經過紀檢部門或院領導的授權之後才可以執行，這樣紀委對每次統方行為都能及時掌握並且可以隨時阻斷。
美創防統方系統會把「異常或敏感事件」通過簡訊、郵件等多種方式第一時間發給相關領導，同時根據威脅的程度進行不同級別的警告，防止誤報。會發出簡訊或郵件警告的事件主要有：
1、 訪問者身份非法，訪問時間非法，接入的IP或MAC地址非法、訪問的應用程序非法等等
2、 訪問者執行了系統規則庫中SQL白名單中的語句，不管是操作被阻斷或者成功執行都會警告
美創防統方通過事先預防、自動阻斷來真正防止統方數據泄露，而事後審計只能在數據被偷取，危害已經造成的情況下提供相應的證據。採用事先防範、自動阻斷的方式來保護統方數據，因為非法統方行為會被自動阻斷，統方數據不會被竊取，所以對於醫院和醫院內部人員來說也是一種保護。

E. 防統方軟體記錄什麼樣的數據在his系統中，有個葯品報表模塊，可以查

應該是不會被記錄的。防統方軟體是針對醫院非法統方事件所研發出來的一款醫院核心數據泄密的專業軟體。傳統的防統方手段不直接，不直觀，審計日誌容易被篡改，管理難度比較大，會影響資料庫的性能，已經無法滿足醫院防統方建設的需要。但是據我所知防統方軟體的象徵性意義遠大於實用性意義。我們用的是帆軟報表軟體，它的保密性能也是相當不錯的，針對每一個報表都可以進行許可權設置。

F. 統方是什麼意思

「統方」是醫院對醫生用葯信息量的統計。所謂為商業目的「統方」，是指醫院中個人或部門為醫葯營銷人員提供醫生或部門一定時期內臨床用葯量信息，供其發放葯品回扣的行為。

衛生部要求，各級衛生行政部門和各類醫療機構加強醫院信息系統葯品、高值耗材統計功能管理，避免為不正當商業目的統計醫師個人和臨床科室有關葯品、高值耗材用量信息。要對醫院信息系統中有關葯品、高值耗材使用等信息實行專人負責、加密管理，嚴格「統方」許可權和審批程序，未經批准不得「統方」，嚴禁為商業目的「統方」。

各級衛生行政部門要加大對轄區內醫療機構「統方」行為的監督檢查力度。對未落實「統方」管理要求的醫療機構，要責令其限期整改，盡快建立健全有關管理制度。

G. 醫院防統方軟體是通過什麼手段防止統方泄漏的

我認為醫院防止統方數據泄漏關鍵在於實現 事先阻斷 。 杭州美創科技防統方軟體解決方案從 事先防範——事中審批——及時通知——事後審計 四個方面構建，來滿足醫院和衛生部門對防統方的安全要求。 美創科技防統方解決方案已經在華東地區多家大型醫院成功實施，並贏得了衛生局和醫院領導的贊譽。

H. 醫院防統方系統哪家好

1.國內昂楷科技首家全面支持cache資料庫的審計，能夠審計面向對象的M語言，具體表現為能夠審計其特有的工具Studio、Terminal、Portal、Sqlmanager、MedTrak等的審計。
2.資料庫零交互。整個審計過程不對資料庫有任何訪問。
3.資料庫支持行業內最豐富：支持Oracle、Sybase、DB2、Mysql、Mssql Server、Informix、Postgresql及Cache等。
4.國內首創的等級保護合規自檢引擎。
5.雙向無損審計：獨創的DPI技術、能夠准確識別嵌套語句、函數組合語句、返回結果，不損失主客體信息，從而實現精準定位，智能識別危險操作和正常訪問。
6.實時告警：針對敏感信息實時告警，可及時阻止違規行為。
7.報表加密：審計報表加密設置，防止非法許可權查看。
8.隱秘數據：關鍵數據在審計設備中做隱秘處理，防止二次泄密。
9.加密協議審計：支持對MS SQLServer加密協議的審計。
10.別名設置：對表名和欄位名進行轉譯，將抽象的字元映射為耳熟能詳的業務名詞，方便各角色管理員配置管理。
11.虛擬化和遠程桌面審計：能夠審計到源客戶端主機操作系統的用戶名等身份信息，從而區分不同的訪問者。

請參考採納...謝謝!

I. 什麼是統方，非法統方又是什麼

您好！
「統方」是醫院對醫生用葯信息量的統計。所謂為商業目的「統方」，是指醫院中個人或部門為醫葯營銷人員提供醫生或部門一定時期內臨床用葯量信息，供其發放葯品回扣的行為。
衛生部要求，各級衛生行政部門和各類醫療機構加強醫院信息系統葯品、高值耗材統計功能管理，避免為不正當商業目的統計醫師個人和臨床科室有關葯品、高值耗材用量信息。要對醫院信息系統中有關葯品、高值耗材使用等信息實行專人負責、加密管理，嚴格「統方」許可權和審批程序，未經批准不得「統方」，嚴禁為商業目的「統方」。
各級衛生行政部門要加大對轄區內醫療機構「統方」行為的監督檢查力度。對未落實「統方」管理要求的醫療機構，要責令其限期整改，盡快建立健全有關管理制度。
非統方就是沒有統計過的葯品使用數據。
謝謝閱讀！

J. 防統方的防統方解決方案介紹

基於防統方解決方案從事先防範——事中審批——及時通知——事後審計四個方面構建，來滿足醫院和衛生部門對防統方的安全要求，防統方解決方案已經在華東地區多家大型醫院成功實施，並贏得了衛生局和醫院領導的贊譽。
防統方解決方案體系包含如下：
以事先防範構築「統方」防禦體系
禁止當前頻繁發生的商業統方以及任意非法統方行為。
以事中授權和審批保障「統方」安全
禁止非法統方，確保合法統方經過USB授權可以識別統方和操作人一一關聯。
事中及時通知可疑「統方」行為
針對統方數據的操作，不論統方是合法或非法，均在第一時間通過多種渠道發布通知，發現可疑「統方」行為。
全面的事後審計
以事後審計追蹤非法「統方」事件，不論統方是合法或非法，所有操作均記錄在審計信息內，詳盡的海量審計信息為懲戒提供了精細的證據。
覆蓋商業」統方」多條通路
獲取統方的道路層出不窮，針對當前市場上流行的手段和通路進行有效控制。 基於「事先防範」的非法統方策略性管理是商業防統方的基礎，在「事先防範」的策略性管理中，安全管理事先防範主要實現以下目標：
把「統方」基礎數據納入保護體系
「統方」基礎數據主要包括處方表、葯品數據表、患者信息表、臨床診療過程相關數據表,它不僅是統方基礎數據，也是整個HIS系統的核心數據。創造性的引入了「統方」基礎數據擁有者這一概念，把「統方」數據擁有者賦給HIS業務系統。在該「統方」數據保護體系下，除了HIS業務系統外，其他人員將無法訪問統方數據，從而為防統方安全管理打下堅實基礎。
DBA職責分離DBA是資料庫管理員，不是「統方」數據管理員，所以DBA不應該訪問統方數據。但是資料庫DBA卻擁有超級許可權。創造性的把DBA管理從「統方」數據中分離出來，使DBA不再先天具有訪問和管理「統方」數據的許可權，從而實現DBA職責分離，保護「統方」數據。
限制特權用戶訪問統方
除了DBA之外，資料庫中包含其他特權用戶，這些用戶都具有訪問「統方」的許可權，採用類似DBA職責分離的方式，使「統方」數據從這些用戶中分離出來，實現「統方」數據保護。
限制Schema訪問統方
資料庫內Schema是「統方」數據的擁有者，天然具有隨時統方的許可權，通過轉移「統方」數據的擁有者為His業務系統，使Schema不再具有「統方」的先天訪問能力，實現「統方」數據保護。
限制流動人員訪問統方
流動人員具有流動性和不受醫院約束等特徵，導致流動人員管理更具有難度。通過USB Key或臨時授權等方式，實現開發商和合作夥伴等流動人員的管理，限制流動人員對「統方」的訪問。
限制工具型應用訪問統方
在防統方實踐中，相當多的商業統方都是通過工具型應用獲得，對工具型應用嚴格管理，使工具型應用不具備訪問「統方」數據的能力，從而實現「統方」數據保護。
嚴格遵循統方授權和審批管理
對於合法的「統方」，為了不至於統方數據從合法統方渠道泄露，需要嚴格遵循衛生部要求的統方授權和審批，建立合法統方授權機制，實現統方的實時審批和監控。通過USB Key授權的方式來實現授權和審批，甚至可以實現在USB Key使用過程實現類似於銀行櫃台的雙重授權機制，從而使統方數據泄露的可能性降到最低。
統方白名單和統方特徵化使Trust可以精確的識別His系統中包含的統方操作，在識別到統方操作之後進行授權和審批驗證，只有通過了授權和驗證才可以獲得統方。 安全管理通過「事先防範」機制，建立了商業統方的策略性管理之後，一旦發現不滿足預定義策略的任何統方行為，將被實時阻斷，統方竊取行為將被拒絕。
事前阻斷是防統方管理體系的核心，只有在統方竊取階段事前阻斷，防統方才真正生效。 安全管理通過事先策略性管理，對於可識別的統方操作，引入嚴格授權和審批流程，只有通過USB-KEY
驗證之後才可以訪問統方操作。事中授權和審批是實現防統方管理的重要步驟，不論是非法統方和合法統方，統一納入統方管理，使統方安全進一步得到保障。 針對可疑統方行為可以在第一時間通知管理者，使管理者可以快速掌握現場。
任何被成功阻斷的統方行為，認定為可疑的統方行為，都需要在第一時間得到通知，通知以簡訊、郵件、閃爍、網頁等多種方式加以提醒和警示；認定為合法統方的操作行為也會在網頁得到明顯提示，讓管理者在第一時間掌握誰(who)於什麼時刻（when）在哪裡(where)用什麼應用(app)進行的統方行為。
及時通知信息量是經過過濾的，數量少而精，若通知信息太多，會造成管理者對統方管理的麻木性，所以告警可以進行個性化訂閱，從而掌控收到的信息嚴重程度和數量。 「商業」統方是醫療回扣腐敗利益鏈的核心所在，存在著巨大的商業利益。正是因為巨大商業利益的存在，利益相關人員會採用各種手段去獲得統方數據。一旦存在著某個獲取統方的方式，該方式將會迅速傳播，從而擊破統方防禦。基於此考慮，統方防禦必須是全方位的，至少不能給不法者提供低成本的獲取方式存在。「商業統方」的基本通路主要有兩大類：
來自於非HIS業務系統軟體的統方威脅
高許可權用戶越權訪問高許可權用戶越權訪問使統方數據泄露的主要威脅之一。在資料庫中，至少會擁有一個DBA，除了DBA之外還存在著很多先天有能力訪問統方數據的資料庫的用戶。這些用戶廣泛的被IT管理人員，開發商以及合作夥伴所擁有，特別是相當多的高許可權用戶可能還存在著共享使用問題，比如system等用戶。從業務性質來說，任何高許可權用戶都是為了管理資料庫，而不是管理數據，其本身並無訪問統方數據的要求。
盜用Schema User以及其他共享用戶密碼
軟體系統開發和運行存在著一個廣為人知的事實，就是Schema User，也就是業務系統訪問資料庫的用戶密碼無法保密。同時這個開放的用戶又是統方數據和代碼的預設擁有者，使其成為統方數據泄露的最大威脅所在。特別是Schema User被盜用之後，其可以部署各種統方代理來完成統方數據的獲取。
通過exp,expdb等合法數據備份程序訪問幾乎任何業務系統都存在exp和expdb應用，這是任何業務系統災難保障的一部分。Exp和expdp具有獲取處方表等表哥全部數據的能力，也使其成為統方數據獲取的一個可能來源。
通過exp,expdb生成的備份文件訪問備份文件離線保存，可以在資料庫外獲得統方數據。雖然備份文件一般保留在資料庫服務器之上，相當比較安全。也需要一定的方式加以保護。
代理式訪問
代理式訪問相當比較隱蔽，部署一段代碼在資料庫或者主機之上。通過該代碼運行來獲取統方數據。需要注意的是代理式訪問並不需要訪問者具有直接訪問統方數據能力，而是通過代理者的許可權來獲得統方數據。從資料庫角度而言，代理訪問都是通過any許可權進行的。
代碼注入式訪問
代碼注入式訪問和代理式訪問類似，但其過程更加隱秘，通過使自己代碼運行在業務系統的外衣之下進行。比如注入視圖，注入觸發器，注入其他業務系統代碼來完成獲取統方數據。
利用Oracle安全漏洞訪問
Oracle安全漏洞是獲取統方數據的一條途徑，只有通過持續的進行Oracle補丁解決。但絕大部分Oracle安全漏洞為提升許可權，從而在完成許可權管理的基礎之上可以很好的解決Oracle安全漏洞所帶來的統方威脅問題。
來自於合法HIS業務系統軟體統方威脅
在很好的解決非業務系統訪問統方途徑之後，業務系統訪問統方途徑導致的商業統方可能會成為未來主要的統方泄露途徑。
具有統方許可權人員的泄露
統方是醫療衛生機構為完成特定醫療分析所需要的功能之一，並不能完全從業務系統進行屏蔽。如何不讓合法的統方用作非法的商業統方是統方管理的主要挑戰之一。通過事中授權和審批是解決合法同法非法化的有效手段，也符合衛生部關於統方管理的需求。
盜用統方許可權人員密碼一旦統方許可權人員的密碼被盜用，統方數據自然就泄露了。我們在安全實踐中可以知道，希望相關人員設置復雜密碼並且經常變更很難實現。我們需要解決的是在密碼被盜用之後如何防止統方數據泄露。
假冒合法業務系統在C/S體系結構，業務系統相對比較容易被假冒。如何防止假冒的業務系統也是統方安全管理的主要內容。
業務系統漏洞導致的統方查詢只要是軟體系統，就必然存在著漏洞。事實上業務系統存在的最大問題還在於注入的漏洞或者後門。