告警数据库审计

0引言"统方"是指医院中个人或部门为医药营销人员提供医师或部门在一定时间段内的用药量统计数据,即供医药购销人员发放药品回扣的数据[1].
如何在市场经济深入发展过程中净化医疗环境,是医院管理的一个重大问题[2].
继2010年6月21日颁发《卫生部关于进一步深化治理医药购销领域商业贿赂工作的通知》后,2013年12月26日国家卫生计生委、国家中医药管理局提出严禁医疗卫生人员利用任何途径和方式为商业目的统计医师个人及临床科室有关药品、医用耗材的用量信息,或为医药营销人员统计提供便利[3-4].
为保障数据安全、改善医患关系、树立医务人员良好形象,可在医院部署数据库审计系统[5].
广安门医院参考"制度+科技"规范医疗行为的管理模式[6],除制定并下发一系列的管理规定外,依照"事先阻断、事中通知、事后审计"的全方位、多层次防御体系[7]理念,部署了防统方系统,增强统方实时告警与事后回溯分析能力,加大了医院对非法统方行为的打击力度.
本文主要介绍了我院防统方系统部署与策略调试过程的相关建设经验.
1系统架构部署数据库审计系统采用专门设计的软硬一体化的设备,配置相应的数据过滤和解析规则,对从网络中获取的数据包进行处理、分析、存储[8-9].
防统方系统是基于数据库审计进行定制开发的系统,通过网络镜像方式抓取用户访问数据库的信息进行解析.
在此基础上,利用1台FTP服务器存储数据库内用户登录信息,并与防统方系统中的告警数据关联匹配,进一步提升告警准确性.
我院的数据库服务器和核心交换机均置于中心机房内,数据库服务器通过双链路与2台核心交换机直连,因此在核心交换机上直接进行防统方系统和FTP服务器的旁路部署,将数据库服务器所在端口镜像到防统方系统进行存储医院防统方系统建设实践ConstructionPracticeofHospitalPrescriptionStatisticsPreventingSystem[摘要]为满足医院防统方工作建设需要,介绍一种以事件告警和事件审计为主要功能的防统方系统的建设实践过程.
本文详细介绍了医院防统方系统的架构部署技巧与系统基础设置功能.
在部署系统架构的基础上,合理划分审计系统用户权限,以保障数据库的安全;利用FTP服务器将数据库自身审计内容关联到防统方告警信息中,最终以信息技术手段为防统方工作提供有力支持.
[关键词]医院防统方系统;数据审计;数据一致性;告警策略;医药管理Abstract:InordertofulfilltheneedsintheconstructionofHospitalPrescriptionStatisticsPreventingSystem,thepaperintroducedtheconstructionprocessofananti-statisticssystem,whichcanalarmandauditriskofdatabaseaccessevents.
ThepaperintroducedthetechniquesinvolvedinthearchitectingandarrangingoftheHospitalPrescriptionStatisticsPreventingSystemanddescribedthefoundationofthebasicsetupofthesystem.
Onthebasisofhardwarearchitecture,thesystemreasonablydividedandauditedtheuserspermissionssoastoensurethesecurityofdatastorageprocess,theoracledatabaseauditdatawasconnectedtotheanti-statisticssystemwiththeFTPserver,whichprovidesstrongsupportforthehospital'sprescriptionstatisticsprevention.
Keywords:hospitalprescriptionstatisticssystem;dataaudit;dataconsistency;alarmstrategy;medicalmanagement[中图分类号]TP319[文献标志码]Adoi:10.
3969/j.
issn.
1674-1633.
2016.
03.
024[文章编号]1674-1633(2016)03-0096-03李享,殷海波,薛万刚,张红中国中医科学院广安门医院计算机中心,北京100053LIXiang,YINHai-bo,XUEWan-gang,ZHANGHongComputerCenter,GuanganmenHospital,ChinaAcademyofChineseMedicalSciences,Beijing100053,China收稿日期:2015-08-25修回日期:2015-09-10作者邮箱:945112@163.
com2016年第31卷03期VOL.
31No.
03医院数字化DIGITALIZEDHOSPITAL96中国医疗设备2016年第31卷03期VOL.
31No.
0397和分析,使核心业务运行与审计分析工作分步并行,互不影响.
我院数据库日均数据访问量约8GB,超过10万条信息,选择的防统方服务器应保证有足够空间存储海量数据,并能够有较快的分析匹配数据的计算能力.
为此,最终形成的拓扑图,见图1.
以B/S模式提供服务,终端用户通过浏览器灵活访问防统方系统.
2防统方系统基础设置具有完整待审计时段的数据和数据一致性是审计的基础,应严格区分不同用户所具有的权限,避免系统内日志和告警被人为篡改、删除,并保证防统方系统中存储的数据量能够满足实时告警和历史数据回溯审计需求.
2.
1系统用户审计根据系统运行和审计需求,划分为超级管理员、系统管理员、策略管理员、审计管理员权限[10].
其中超级管理员非经授权不允许使用;系统管理员由计算机中心运维人员担任,登录后可对系统进行运维,但没有业务权限;策略管理员由医院计算机中心数据库管理员担任,能设置告警策略而无法查看到敏感的统方信息;审计管理员授权给纪监审办公室等需要了解统方告警的业务部门人员,能看告警结果不能修改系统和策略参数.
在系统试运行阶段,由多个管理员协同调试策略的可用性;系统正式运行后,非业务需求策略管理员不能擅自修改策略条件.
此外,防统方系统还需要对自身用户的行为进行审计[11],日志中记录每个系统管理员登录、增删查改防统方系统数据的信息,该数据无法删除或修改,默认保存1年数据备查,避免系统的各个管理员对审计过程的恶意干扰.
2.
2数据存储管理审计过程要有尽量多的历史数据可供筛查,而由于原始审计数据十分庞大,这需要很大的存储空间,加大了运营成本.
医院通过在服务器上存储最近3个月、在外设磁盘备份最近1年数据的方式,解决海量数据与有限存储空间的矛盾.
为避免磁盘空间满而导致的系统宕机,设置服务器磁盘利用率超过85%时自动清空最旧1天备份数据.
设置系统自动生成一个当天的原始审计数据压缩文件包,系统管理员可通过手动或自动方式下载到FTP或外设存储设备.
该数据为压缩格式数据,每一天数据为一个加密文件,导出后无法单独解压使用,不能增删局部信息,防止恶意修改破坏数据一致性.
在需要回溯历史数据时,可将压缩文件导回系统中重新使用.
3系统设置与调试防统方系统的主要目的是对医院数据库内医生开药信息的统计和提取进行审计,是在应用数据库审计的技术基础之上,对医生、药品关联数据进行统计的敏感信息过滤,需要结合医院的业务,设置审计策略,从而达到针对性的审计.
3.
1告警策略配置防统方系统设置审计策略时,对统方行为涉及的关键字段、常见操作进行分析,通过在策略设置模块中输入自定义条件和逻辑判断关系,展现出准确的过滤结果.
策略设置模块的主要步骤及数据采集方法见表1,最终在系统中生成策略列表见图2.
图1防统方系统部署拓扑图数据库服务器数据库服务器核心服务区终端接入区核心交换机核心交换机FTP服务器接入交换机接入交换机接入交换机防统方服务器表1防统方系统策略设置模块的主要步骤序号步骤设置方法解决问题1添加策略名称及告警级别输入策略名称,选择告警级别区别策略及告警级别,以便快速发现高危行为2添加待审计数据库IP地址输入该策略审计的数据库IP地址当存在多个数据库均可进行查询操作时,该步骤可定位到危险操作对应的数据库3添加数据库表及字段每添加一个数据表后,添加该表对应的各个待审计字段在一个审计策略中涉及多个数据表的多字段时,可将不同数据表中具有相同名称的字段关联到正确数据表中4添加操作类别勾选出select、delete等常见SQL操作;或手工填入特殊操作名称数据库操作和审计是基于SQL语言中的操作进行分割,能够更快速定位数据库操作5添加复杂信息字段添加SQL语言的特定审计内容用于添加药品名称、药品代码、求和操作(sum)、分组操作(groupby)等SQL语句中特定的过滤内容6设置信任列表对于审计结果中的可信任IP地址进行标记在显示审计结果时,快捷过滤信任IP的操作;出现问题时,也可根据该IP回溯查找相应操作中国医疗设备2016年第31卷03期VOL.
31No.
03983.
2告警信息设置策略列表中的审计策略生效后,可对镜像数据进行实时审计.
通过告警信息显示内容的调整,使告警界面清晰直观.
(1)过滤冗余信息.
防统方系统获得的原始数据包中存在大量冗余字段,但防统方排查过程中最重要的数据只是"谁"、"在哪里"、"统计了什么数据".
用户可在告警界面手动增加或删除显示的字段,再进行筛选排序,满足不同的查询需求,便捷直观的发现危险行为.
(2)补全缺失信息.
通过网络监听的数据包可知具体SQL语句,但由于医院采用ORACLE11g数据库并进行安全配置,数据库用户、客户端主机信息等关键字段在网络传输中被加密[11].
在数据库中设置触发器,当用户访问数据库时,记录其访问时间、用户名、使用的程序名称、主机名称、IP地址等信息;设置每天0点将前一天的触发数据生成一个文件并推送到FTP服务器中,防统方服务器自动下载该文件,并通过访问时间、IP地址对存在风险的告警数据进行关联匹配,最终展示出用户所需的告警信息.
3.
3策略命中的测试与调整完成告警策略的设置后运行生效的策略,观察策略命中的覆盖性和准确性.
(1)命中覆盖率测试.
命中覆盖率测试,是指设置并生效一条策略后,运行任何满足该策略筛选条件的操作都能被筛选出来并告警.
例如,策略中关联"开单医生"、"药品名称"字段,当进行联合查询时,任何同时包含以上两个字段的查询都将显示告警.
当运行查询而未出现告警情况时,应检查策略模块是否正常运行、策略设置的逻辑是否正确.
当该策略能够完全覆盖待筛选操作时,认为其通过命中覆盖率测试,可避免由于策略设置导致的告警信息遗漏风险.
(2)命中准确性测试.
策略通过命中覆盖率测试后,可能存在告警信息过多的情况.
例如,策略中关联"开单医生"、"药品名称"字段,当进行联合查询时,任何同时包含以上两个字段的查询都将显示告警.
但医院收费系统提取病人交费信息时都会提取这两个字段的数据,每一次正常的收费操作都会被作为告警信息显示.
我院日均门诊量约1万人次,此时大量无用的告警会淹没真正的统方风险,因此策略的过滤条件需要进一步收缩,如增加字段对应表名、增加汇总求和操作关键字等,以提高策略命中的准确性.
分析命中的告警语句,在策略中增加数据表、关联规则、字段或特定操作后再次测试.
经过多轮测试,在满足策略有效、不会漏掉目标查询语句的基础上尽量减少垃圾告警信息,并定期由审计管理员根据业务提出或调整审计需求,策略管理员对审计策略进行增删调整.
4结论防统方系统正式运行后,策略稳定不需要经常调整测试;审计管理员能够第一时间获得告警信息并进行风险排查;系统管理员除定期数据备份外无需过多运维工作.
系统满足健壮性及可用性需求.
防统方系统实施上线后,从数据库中进行统方查询和汇总的操作都会第一时间产生告警提示,通过记录到的统方时间、使用主机和操作人员信息,与医院监控系统联动,可以及时发现可疑人员及行为.
防统方系统也为纪检监察部门对非法统方行为的监督管理工作提供数据支持,最终提升管理部门的工作效率.
[参考文献][1]王玉珏.
国有医院"拉统方"行为的刑法性质[J].
法学,2012(6):152-159.
[2]李景波.
加强医德医风建设,构建和谐医患关系[J].
中华医院管理杂志,2006,22(9):607-608.
[3]国卫办发[2013]49号.
关于印发加强医疗卫生行风建设"九不准"的通知[S].
[4]国卫纠发[2014]1号.
关于加强医疗卫生机构统方管理的规定[S].
[5]刘丹丹,刘同波.
数据库安全审计系统在医院的部署与应用[J].
中国医疗设备,2013(5):42-44.
[6]郭丽娟.
用"制度+科技"规范医疗行为的探索与实践[J].
西部中医院,2013,26(3):43-44.
[7]刘海林,陈道翔.
多管齐下,杜绝医院非法统方行为的实践[J].
中国医学教育技术,2013,27(6):691-693.
[8]常建国,郭凌玲,宫彦婷,等.
数据库审计与防统方系统的实现[J].
中国医疗设备2013,28(4):52-54,138.
图2防统方系统策略列表截图下转第73页