统方审批表
A. 【调查】究竟谁在为商业目的统方
“统方”是医院对医生用药信息量的统计。所谓为商业目的“统方”,是指医院中个人或部门为医药营销人员提供医生或部门一定时期内临床用药量信息,供其发放药品回扣的行为。 卫生部要求,各级卫生行政部门和各类医疗机构加强医院信息系统药品、高值耗材统计功能管理,避免为不正当商业目的统计医师个人和临床科室有关药品、高值耗材用量信息。要对医院信息系统中有关药品、高值耗材使用等信息实行专人负责、加密管理,严格“统方”权限和审批程序,未经批准不得“统方”,严禁为商业目的“统方”。各级卫生行政部门要加大对辖区内医疗机构“统方”行为的监督检查力度。对未落实“统方”管理要求的医疗机构,要责令其限期整改,尽快建立健全有关管理制度。 查看更多答案>>
求采纳
B. 我是医药公司的,现在需要做统方表,请问什么叫做“统方”,请说的详细一点,谢谢大家。
我先问你是那家医药公司的,这么不专业,你说统方是什么?问你老板啊、
C. 什么是统方,怎么统方
“统方”是医院对医生用药信息量,用药单据的统计。所谓为商业目的“统方”,是指医院中个人或部门为医药营销人员提供医生或部门一定时期内临床用药量信息,供其发放药品回扣的行为。
卫生部要求,各级卫生行政部门和各类医疗机构加强医院信息系统药品、高值耗材统计功能管理,避免为不正当商业目的统计医师个人和临床科室有关药品、高值耗材用量信息。要对医院信息系统中有关药品、高值耗材使用等信息实行专人负责、加密管理,严格“统方”权限和审批程序,未经批准不得“统方”,严禁为商业目的“统方”。
各级卫生行政部门要加大对辖区内医疗机构“统方”行为的监督检查力度。对未落实“统方”管理要求的医疗机构,要责令其限期整改,尽快建立健全有关管理制度,并且严肃追究责任
D. 感觉用审计产品来防统方效果不好,有防统方产品能够做到事先阻断吗
盗取统方数据的手段层出不穷,要保护统方数据就要从事先、事中、事后三个方面来进行全方位的防控。对于一些“高手”来说获取统方数据也就是几秒钟的事情,事后审计即使能够审计到,也无法阻止这些人偷盗行为,最终还是会给医院和相关的人员造成非常坏的影响。所以防统方还是要从事先预防和自动阻断入手,事先把包括处方表、药品数据表、患者信息表、临床诊疗过程相关数据表等敏感数据保护起来,把访问这些敏感数据的应用程序、人、终端(IP和MAC地址)等要素都保护起来,防止非法的人、终端、应用等访问到敏感数据。
而对于像药剂科这些业务科室,需要做合法统方时,主要利用“USBKEY”和“授权审批”相结合的手段来进行随时控制。要进行合法统方必须是具有“USBKEY”人,经过纪检部门或院领导的授权之后才可以执行,这样纪委对每次统方行为都能及时掌握并且可以随时阻断。
美创防统方系统会把“异常或敏感事件”通过短信、邮件等多种方式第一时间发给相关领导,同时根据威胁的程度进行不同级别的警告,防止误报。会发出短信或邮件警告的事件主要有:
1、 访问者身份非法,访问时间非法,接入的IP或MAC地址非法、访问的应用程序非法等等
2、 访问者执行了系统规则库中SQL白名单中的语句,不管是操作被阻断或者成功执行都会警告
美创防统方通过事先预防、自动阻断来真正防止统方数据泄露,而事后审计只能在数据被偷取,危害已经造成的情况下提供相应的证据。采用事先防范、自动阻断的方式来保护统方数据,因为非法统方行为会被自动阻断,统方数据不会被窃取,所以对于医院和医院内部人员来说也是一种保护。
E. 防统方软件记录什么样的数据在his系统中,有个药品报表模块,可以查
应该是不会被记录的。防统方软件是针对医院非法统方事件所研发出来的一款医院核心数据泄密的专业软件。传统的防统方手段不直接,不直观,审计日志容易被篡改,管理难度比较大,会影响数据库的性能,已经无法满足医院防统方建设的需要。但是据我所知防统方软件的象征性意义远大于实用性意义。我们用的是帆软报表软件,它的保密性能也是相当不错的,针对每一个报表都可以进行权限设置。
F. 统方是什么意思
“统方”是医院对医生用药信息量的统计。所谓为商业目的“统方”,是指医院中个人或部门为医药营销人员提供医生或部门一定时期内临床用药量信息,供其发放药品回扣的行为。
卫生部要求,各级卫生行政部门和各类医疗机构加强医院信息系统药品、高值耗材统计功能管理,避免为不正当商业目的统计医师个人和临床科室有关药品、高值耗材用量信息。要对医院信息系统中有关药品、高值耗材使用等信息实行专人负责、加密管理,严格“统方”权限和审批程序,未经批准不得“统方”,严禁为商业目的“统方”。
各级卫生行政部门要加大对辖区内医疗机构“统方”行为的监督检查力度。对未落实“统方”管理要求的医疗机构,要责令其限期整改,尽快建立健全有关管理制度。
G. 医院防统方软件是通过什么手段防止统方泄漏的
我认为医院防止统方数据泄漏关键在于实现 事先阻断 。 杭州美创科技防统方软件解决方案从 事先防范——事中审批——及时通知——事后审计 四个方面构建,来满足医院和卫生部门对防统方的安全要求。 美创科技防统方解决方案已经在华东地区多家大型医院成功实施,并赢得了卫生局和医院领导的赞誉。
H. 医院防统方系统哪家好
1.国内昂楷科技首家全面支持cache数据库的审计,能够审计面向对象的M语言,具体表现为能够审计其特有的工具Studio、Terminal、Portal、Sqlmanager、MedTrak等的审计。
2.数据库零交互。整个审计过程不对数据库有任何访问。
3.数据库支持行业内最丰富:支持Oracle、Sybase、DB2、Mysql、Mssql Server、Informix、Postgresql及Cache等。
4.国内首创的等级保护合规自检引擎。
5.双向无损审计:独创的DPI技术、能够准确识别嵌套语句、函数组合语句、返回结果,不损失主客体信息,从而实现精准定位,智能识别危险操作和正常访问。
6.实时告警:针对敏感信息实时告警,可及时阻止违规行为。
7.报表加密:审计报表加密设置,防止非法权限查看。
8.隐秘数据:关键数据在审计设备中做隐秘处理,防止二次泄密。
9.加密协议审计:支持对MS SQLServer加密协议的审计。
10.别名设置:对表名和字段名进行转译,将抽象的字符映射为耳熟能详的业务名词,方便各角色管理员配置管理。
11.虚拟化和远程桌面审计:能够审计到源客户端主机操作系统的用户名等身份信息,从而区分不同的访问者。
请参考采纳...谢谢!
I. 什么是统方,非法统方又是什么
您好!
“统方”是医院对医生用药信息量的统计。所谓为商业目的“统方”,是指医院中个人或部门为医药营销人员提供医生或部门一定时期内临床用药量信息,供其发放药品回扣的行为。
卫生部要求,各级卫生行政部门和各类医疗机构加强医院信息系统药品、高值耗材统计功能管理,避免为不正当商业目的统计医师个人和临床科室有关药品、高值耗材用量信息。要对医院信息系统中有关药品、高值耗材使用等信息实行专人负责、加密管理,严格“统方”权限和审批程序,未经批准不得“统方”,严禁为商业目的“统方”。
各级卫生行政部门要加大对辖区内医疗机构“统方”行为的监督检查力度。对未落实“统方”管理要求的医疗机构,要责令其限期整改,尽快建立健全有关管理制度。
非统方就是没有统计过的药品使用数据。
谢谢阅读!
J. 防统方的防统方解决方案介绍
基于防统方解决方案从事先防范——事中审批——及时通知——事后审计四个方面构建,来满足医院和卫生部门对防统方的安全要求,防统方解决方案已经在华东地区多家大型医院成功实施,并赢得了卫生局和医院领导的赞誉。
防统方解决方案体系包含如下:
以事先防范构筑“统方”防御体系
禁止当前频繁发生的商业统方以及任意非法统方行为。
以事中授权和审批保障“统方”安全
禁止非法统方,确保合法统方经过USB授权可以识别统方和操作人一一关联。
事中及时通知可疑“统方”行为
针对统方数据的操作,不论统方是合法或非法,均在第一时间通过多种渠道发布通知,发现可疑“统方”行为。
全面的事后审计
以事后审计追踪非法“统方”事件,不论统方是合法或非法,所有操作均记录在审计信息内,详尽的海量审计信息为惩戒提供了精细的证据。
覆盖商业”统方”多条通路
获取统方的道路层出不穷,针对当前市场上流行的手段和通路进行有效控制。 基于“事先防范”的非法统方策略性管理是商业防统方的基础,在“事先防范”的策略性管理中,安全管理事先防范主要实现以下目标:
把“统方”基础数据纳入保护体系
“统方”基础数据主要包括处方表、药品数据表、患者信息表、临床诊疗过程相关数据表,它不仅是统方基础数据,也是整个HIS系统的核心数据。创造性的引入了“统方”基础数据拥有者这一概念,把“统方”数据拥有者赋给HIS业务系统。在该“统方”数据保护体系下,除了HIS业务系统外,其他人员将无法访问统方数据,从而为防统方安全管理打下坚实基础。
DBA职责分离DBA是数据库管理员,不是“统方”数据管理员,所以DBA不应该访问统方数据。但是数据库DBA却拥有超级权限。创造性的把DBA管理从“统方”数据中分离出来,使DBA不再先天具有访问和管理“统方”数据的权限,从而实现DBA职责分离,保护“统方”数据。
限制特权用户访问统方
除了DBA之外,数据库中包含其他特权用户,这些用户都具有访问“统方”的权限,采用类似DBA职责分离的方式,使“统方”数据从这些用户中分离出来,实现“统方”数据保护。
限制Schema访问统方
数据库内Schema是“统方”数据的拥有者,天然具有随时统方的权限,通过转移“统方”数据的拥有者为His业务系统,使Schema不再具有“统方”的先天访问能力,实现“统方”数据保护。
限制流动人员访问统方
流动人员具有流动性和不受医院约束等特征,导致流动人员管理更具有难度。通过USB Key或临时授权等方式,实现开发商和合作伙伴等流动人员的管理,限制流动人员对“统方”的访问。
限制工具型应用访问统方
在防统方实践中,相当多的商业统方都是通过工具型应用获得,对工具型应用严格管理,使工具型应用不具备访问“统方”数据的能力,从而实现“统方”数据保护。
严格遵循统方授权和审批管理
对于合法的“统方”,为了不至于统方数据从合法统方渠道泄露,需要严格遵循卫生部要求的统方授权和审批,建立合法统方授权机制,实现统方的实时审批和监控。通过USB Key授权的方式来实现授权和审批,甚至可以实现在USB Key使用过程实现类似于银行柜台的双重授权机制,从而使统方数据泄露的可能性降到最低。
统方白名单和统方特征化使Trust可以精确的识别His系统中包含的统方操作,在识别到统方操作之后进行授权和审批验证,只有通过了授权和验证才可以获得统方。 安全管理通过“事先防范”机制,建立了商业统方的策略性管理之后,一旦发现不满足预定义策略的任何统方行为,将被实时阻断,统方窃取行为将被拒绝。
事前阻断是防统方管理体系的核心,只有在统方窃取阶段事前阻断,防统方才真正生效。 安全管理通过事先策略性管理,对于可识别的统方操作,引入严格授权和审批流程,只有通过USB-KEY
验证之后才可以访问统方操作。事中授权和审批是实现防统方管理的重要步骤,不论是非法统方和合法统方,统一纳入统方管理,使统方安全进一步得到保障。 针对可疑统方行为可以在第一时间通知管理者,使管理者可以快速掌握现场。
任何被成功阻断的统方行为,认定为可疑的统方行为,都需要在第一时间得到通知,通知以短信、邮件、闪烁、网页等多种方式加以提醒和警示;认定为合法统方的操作行为也会在网页得到明显提示,让管理者在第一时间掌握谁(who)于什么时刻(when)在哪里(where)用什么应用(app)进行的统方行为。
及时通知信息量是经过过滤的,数量少而精,若通知信息太多,会造成管理者对统方管理的麻木性,所以告警可以进行个性化订阅,从而掌控收到的信息严重程度和数量。 “商业”统方是医疗回扣腐败利益链的核心所在,存在着巨大的商业利益。正是因为巨大商业利益的存在,利益相关人员会采用各种手段去获得统方数据。一旦存在着某个获取统方的方式,该方式将会迅速传播,从而击破统方防御。基于此考虑,统方防御必须是全方位的,至少不能给不法者提供低成本的获取方式存在。“商业统方”的基本通路主要有两大类:
来自于非HIS业务系统软件的统方威胁
高权限用户越权访问高权限用户越权访问使统方数据泄露的主要威胁之一。在数据库中,至少会拥有一个DBA,除了DBA之外还存在着很多先天有能力访问统方数据的数据库的用户。这些用户广泛的被IT管理人员,开发商以及合作伙伴所拥有,特别是相当多的高权限用户可能还存在着共享使用问题,比如system等用户。从业务性质来说,任何高权限用户都是为了管理数据库,而不是管理数据,其本身并无访问统方数据的要求。
盗用Schema User以及其他共享用户密码
软件系统开发和运行存在着一个广为人知的事实,就是Schema User,也就是业务系统访问数据库的用户密码无法保密。同时这个开放的用户又是统方数据和代码的缺省拥有者,使其成为统方数据泄露的最大威胁所在。特别是Schema User被盗用之后,其可以部署各种统方代理来完成统方数据的获取。
通过exp,expdb等合法数据备份程序访问几乎任何业务系统都存在exp和expdb应用,这是任何业务系统灾难保障的一部分。Exp和expdp具有获取处方表等表哥全部数据的能力,也使其成为统方数据获取的一个可能来源。
通过exp,expdb生成的备份文件访问备份文件离线保存,可以在数据库外获得统方数据。虽然备份文件一般保留在数据库服务器之上,相当比较安全。也需要一定的方式加以保护。
代理式访问
代理式访问相当比较隐蔽,部署一段代码在数据库或者主机之上。通过该代码运行来获取统方数据。需要注意的是代理式访问并不需要访问者具有直接访问统方数据能力,而是通过代理者的权限来获得统方数据。从数据库角度而言,代理访问都是通过any权限进行的。
代码注入式访问
代码注入式访问和代理式访问类似,但其过程更加隐秘,通过使自己代码运行在业务系统的外衣之下进行。比如注入视图,注入触发器,注入其他业务系统代码来完成获取统方数据。
利用Oracle安全漏洞访问
Oracle安全漏洞是获取统方数据的一条途径,只有通过持续的进行Oracle补丁解决。但绝大部分Oracle安全漏洞为提升权限,从而在完成权限管理的基础之上可以很好的解决Oracle安全漏洞所带来的统方威胁问题。
来自于合法HIS业务系统软件统方威胁
在很好的解决非业务系统访问统方途径之后,业务系统访问统方途径导致的商业统方可能会成为未来主要的统方泄露途径。
具有统方权限人员的泄露
统方是医疗卫生机构为完成特定医疗分析所需要的功能之一,并不能完全从业务系统进行屏蔽。如何不让合法的统方用作非法的商业统方是统方管理的主要挑战之一。通过事中授权和审批是解决合法同法非法化的有效手段,也符合卫生部关于统方管理的需求。
盗用统方权限人员密码一旦统方权限人员的密码被盗用,统方数据自然就泄露了。我们在安全实践中可以知道,希望相关人员设置复杂密码并且经常变更很难实现。我们需要解决的是在密码被盗用之后如何防止统方数据泄露。
假冒合法业务系统在C/S体系结构,业务系统相对比较容易被假冒。如何防止假冒的业务系统也是统方安全管理的主要内容。
业务系统漏洞导致的统方查询只要是软件系统,就必然存在着漏洞。事实上业务系统存在的最大问题还在于注入的漏洞或者后门。