在医疗行业,有一个专业名词,叫做“统方”。顾名思义,其含义是医院对医生用药信息量的统计。
而随着商业社会的一些不良现象的滋长繁衍,“统方”这个专有名词,和“同志”、“小姐”、 “八卦”等名词一样,出现了词义的变异,成为某种特指。“统方”现在出现频率最多的,就是特指在医药灰色产业链中,为商业目的的“统方”,其主要指医院中个人或部门为医药营销人员提供医生或部门一定时期内临床用药量统计信息,供其作为发放药品回扣等不良违法行为的重要参考依据。
由此显而易见,“统方”天然是建立医药回扣黑链的重要枢纽环节,已经成为国家和媒体关注的重要社会焦点问题。鉴于此,我国卫生部曾反复强调,对于违反规定,未经批准擅自“统方”或者为商业目的“统方”的,不仅要对当事人从严处理,还要严肃追究医院有关领导和科室负责人的责任。
尽管这种非法统方,已经成为主管部门、医院方面打击治理的重点,然而近年来,打击治理效果却并不十分理想。有业内专家分析其原因,认为现状下的非法统方手段,主要是源自信息化技术和系统而产生,仅仅以传统的管理和查处方法,如果不搭配以更合理的网络和信息安全技术手段,根本没法有效解决问题。
俗话说,魔高一尺,道高一丈。那么,非法统方这个产自于信息化系统下的“妖魔”,究竟应该用什么样的信息安全之“道”来降服呢?
统方泄密
医院信息安全遇挑战
作为传统的医药行业丑恶现象之一,医生拿医药代表回扣,然后给病人倾向性开药的现象,已经为社会所深恶痛绝。
药品回扣从药商发到开方者手上,需要经过一个必不可少的环节,就是“统方”。 统方就是将开出某种药品的医生名单及药品数量统计出来,药品提供商的医药代表们便依此“论功行赏”,给各个医生按照其开药多少进行付费。可以讲,统方清单是医药代表们做这项“回扣工作”的重要参考依据,因为医生数量众多,如果没有清晰的统方数据,每个医生的回扣费用,根本无从计算,那么,这条腐败丑恶的医药灰色链条,也就面临着断裂的结果。
因此,对非法统方的防范,成为医疗行业一直以来抵制医生回扣不良现象的重要措施。国家相关主管部门均高度重视防统方工作。卫生部多次要求,各级卫生行政部门和各类医疗机构加强医院信息系统药品、高值耗材统计功能管理,避免为不正当商业目的统计医师个人和临床科室有关药品、高值耗材用量信息。要对医院信息系统中有关药品、高值耗材使用等信息实行专人负责、加密管理,严格“统方”权限和审批程序,未经批准不得“统方”,严禁为商业目的“统方”。各级卫生行政部门要加大对辖区内医疗机构“统方”行为的监督检查力度。对未落实“统方”管理要求的医疗机构,要责令其限期整改,尽快建立健全有关管理制度。
近年来,从卫生部到各省卫生厅,各级主管单位陆续出台若干项法律法规,严格禁止商业非法“统方”。然而,上有政策,下有对策。“统方”事件频频发生,屡禁不止,有关医药代表与医生、信息科人员勾结,非法获取医疗统方数据的报道层出不穷。
2011年2月,某东部省会城市200多名医生回扣事件被爆光。网上公布了医药销售公司一月份的医疗回扣统计详单公布;医生回扣金额从几十元~几万元不等。
2011年6月10日, “温州两个三甲医院近百名医生受贿事件”被曝光。
……
2011年“统方”事件似乎仍在延续火热的势头。统方问题难以禁止,医院统方依然通过医院信息系统各种渠道传输给医药代表们,使得医生回扣这条灰色产业链继续通畅运行。
目前,卫生行业信息系统均采用专网互联,并采用了防火墙、杀毒软件等基本的安全防护软件,但仍然存在众多安全威胁和监管漏洞,导致非法“统方”行为的发生。一般而言,现在医院统方途径主要有四大方面,简单分析如下:
第一,HIS应用系统相关功能提供的统方。
医院的HIS等医疗系统,集中了处方统计分析业务、处方查询(药剂科),以及挂号、病历、诊疗信息管理等核心业务模块,后台涉及到医生、药品、剂量、单价、应收金额等直接或间接能够“统方”的信息,这些功能本身提供详尽的统方表格,同时该应用系统有部分高权限用户拥有统方权限,例如,一些医院的药剂科本身就兼具正常“统方”的职责,在一定的时间药剂科科长需要对医生、药品和剂量信息进行统计,以防止医生用药比例过高导致医生停诊。因此,如果HIS应用系统本身管理制度出现漏洞,或者有权限的医院内部人员出现问题,就会导致统方数据外泄的威胁。但这个途径逐步已经不成为非法统方的主要途径,这是因为尽管这是统方最直接和便捷的通道,但也是非法统方者最危险的通道,因为HIS系统本身对相关权限和开放权限的人员,构建了严格的管理和审计体制,对于当前主流HIS系统,很难钻到空子。
第二,内部信息资源管理人员非法“统方”
随着信息化水平提升,医院信息中心人员也迅速增加,他们负责医院信息化建设,以及日常IT网络设备、数据库等程序的维护工作,这些管理人员掌握着SYS、SYSTEM等超级用户,这些用户具备了访问所有IT网络设备、服务器、应用数据库的权限;从而使毫无业务需要的信息中心工作人员能够访问所有处方数据,具备“统方”的最佳途径;另外,数据库管理员(简称:DBA人员)也可以直接查询数据库中的用户密码表,使用具备统方权限的应用用户登录到HIS系统直接进行非法“统方”。由于这个群体对于信息系统的操作熟悉程度,以及目前对于超级用户的技术审计比较薄弱,因此,事实证明,这是目前比较主要的非法统方途径。
第三,开发人员、维护人员非法“统方”。
医疗信息系统的开发和维护人员掌握着系统访问数据库的用户名和口令,这些人员经常需要在医院内部进行日常工作,完全可以使用该数据库用户直接登录数据库,构造统方SQL进行非法“统方”。
第四,黑客入侵医疗系统非法“统方”。
在高额利益的驱使下,当前黑客窃取“统方”数据的问题已不容忽视。总结黑客的手段无外乎以下三种:1)利用HIS等医疗系统的Web漏洞入侵数据库;2)利用数据库漏洞直接入侵数据库;3)入侵数据库服务器主机直接窃取数据库文件、备份文件等。
综上所述,以上四大途径,除了HIS系统途径相对容易防范,且技术管理架构清晰之外,其他三个途径,都是需要从根本体系上进行信息安全保障建设才能彻底堵住漏洞,自然,目前应用较广泛的数据库审计软件等手段,难以起到根本的作用。
审计乏力
堡垒机重构防统方阵地
在早期出现防统方需求时,市场普遍采用的初级方法,就是采用审计软件,通过对HIS应用系统、数据库等后台系统中的操作痕迹适时监控,对越权登录、非正常时间段的违规操作等行为,审计软件会记录操作轨迹,并自动报警并生成“嫌疑”报告。
然而,随着以上四大通道漏洞的逐步大开,对于很多医院信息中心工作人员来说,要有效防统方,借用一句网络热词来说:审计软件真是hold不住了啊。
那么,审计软件究竟有哪些先天不足和后天软肋,还没有普遍应用,就已经精疲力竭、有心无力地准备退出防统方的技术舞台了。
总的来说,当前部分省市医院普遍采用的“防统方”审计软件,面临3大致命缺陷:
1)事后分析,无法主动阻止内部人员非法统方行为的发生;审计软件一般在很专注地担当记录摄像头的职责,却基本上没有哨兵的功能,即当明显的非法统方行为发生时,不能有任何智能拦截作用。
2)难以准确地定位统方发生的具体操作人员,因此无法辨别非法统方和正常统方,不能起到震慑的作用;
3)在实际运行中,由于普通数据库审计软件,没法进行深度智能的、对统方有针对性的审计和记录,因此会出现日志量太大等问题,严重影响防统方工作效率和实际效果;
4)可以伪造IP、用户名,只能审计不能拦截,无法阻止来自于外部黑客的攻击和存储层的数据泄密。
从上面几个“硬伤”可以看出,审计软件对于防统方现实需求量来说,就像一个橡皮塞,它只能塞住一个尺寸的漏洞,对于新的大小不一逐步发现的漏洞和需求,它已经无能为力。而对于整体内网安全系统来讲,防统方审计软件,则更像一贴膏药,为了防统方问题而临时贴上来,结果与其他后台内网安全体系形成了一些无意义的重叠和冲突。
那么,如何真正意义上加固企业内网堡垒的“内防”,有效防范打击“内鬼”,确保内网数据安全?成为包括医疗行业在内的大部分行业的迫切需求,更成为近年内国际信息安全业界在内网安全领域的新课题。
堡垒机技术,就是在这样的时代呼唤下,成为内网安全舞台新星。所谓堡垒机,其全称为“内控堡垒主机”,它综合了运维管理和安全性的融合,切断了终端计算机对网络和服务器资源的直接访问,而是采用协议代理的方式,接管了终端计算机对网络和服务器的访问。形象地说,终端计算机对目标的访问,均需要经过堡垒主机的翻译。打了一个比方,内控堡垒主机扮演着看门者的工作,所有对网络设备和服务器的请求都要从这扇大门经过。因此堡垒机能够拦截非法访问,和恶意攻击,对不合法命令进行命令阻断,过滤掉所有对目标设备的非法访问行为。堡垒机技术主要帮助内网信息系统管理者,实现六大方面智能化支撑和高安全性防护,包括:单点登录、帐号管理、身份认证、资源授权、访问控制、操作审计。
显然,堡垒机技术是目前内网安全最前沿、最核心和最全面的技术趋势,它不是为防统方而诞生,但它却仿佛一张更大更结实的安全之网,完全覆盖了防统方这个小漏洞,几乎完全解决了审计软件在防统方问题上面所暴露的漏洞,几乎完全堵住了目前从技术上非法统方的几大途径,同时,它的本职工作,又给医院其他内网数据安全问题,提供了最全米的保护,例如对医院信息中心的核心服务器、数据库、交换机、HIS系统等设备资源,提供了最核心的监控和保护。
那么,堡垒机技术具体如何达到防统方的需求呢?以下通过我国堡垒机技术领航者——极地安全(www.jidisec.com),在内控堡垒主机技术的基础上,专门针对医疗行业防统方推出的“极地数据内控堡垒机”产品为例。
极地数据内控堡垒机,是国内知名的内网安全厂商极地安全,针对医药行业“防统方”现实需求,基于当前国际上最前沿主流的内网信息系统后台高端保护技术——堡垒机技术,而研发的全面“防统方”解决方案。
该方案立足于智能主动、全程管控的“防统方”理念,通过事前的堡垒机集中账号和访问通道管控,事中的单点登录、统一授权和访问控制,事后的数据走向与行为审计等功能,具备在服务器及后台数据库的核心设备层面的数据保护、智能拦截和行为审计,实现了真正意义上的智能管控和深度审计“防统方”的目的。
通过极地数据内控堡垒机“防统方”解决方案(以下简称:“防统方”堡垒机),能够有效地防止和精确审计医院系统内外的各种有权限访问内部各个核心系统的人员的统方操作,包括:医院HIS系统使用者管理者、医院信息设备管理者、外部技术维护人员,以及外部黑客等。
极地“防统方”堡垒机的核心价值在于:
(1) 治本:从根源解决“防统方”难题。
(2) 全程:融预警变事后追查为主动防御。
(3) 高效:产品便捷操作,智能防御和深度审计。
(4) 整体:产品方案高屋建瓴,不光针对防统方问题,同时对整个医院内网信息系统核心数据设备,构建了高效率运维支撑和高强度安全保障的信息安全体系。
总而言之,堡垒机技术能够极大的保护单位内部网络设备及服务器资源的安全性,确保各种服务器数据的安全保密、管理控制和操作审计,最终确保数据安全,全面而彻底地解决了目前医院防统方的难题和困境。
相关链接1:医院“内鬼”非法统方被刑拘案例
以下案例摘自新疆自治区卫生厅《关于赖晓军、杨建刚严重违纪违法案件的通报》——赖晓军,原系新疆医科大学附属肿瘤医院医学工程部计算机网络工程师。经查,赖晓军在新疆医科大学附属肿瘤医院医学工程部工作期间,利用职务之便,将本医院禁止泄漏的医生使用药品数量的统计信息(即统方数据),分别提供给北京京都医药有限公司泰德新抗生素注射液医药销售代表易某和贵州益佰药业有限公司艾迪注射液医药销售代表刘某,为医药公司牟取利益,并非法收受人民币16000元和32000元。乌鲁木齐市新市区人民法院以犯非国家工作人员受贿罪判处赖晓军有期徒刑三年,缓刑三年(〔2010〕新刑初字第387号)。
杨建刚,原系新疆医科大学附属肿瘤医院医学工程部计算机室科员。经查,杨建刚利用职务之便,将本医院禁止泄漏的医生使用药品数量的统计信息(即统方数据),提供给北京红太阳医药有限公司阿奇霉素医药销售代表庄某,并非法收受人民币8000元。乌鲁木齐市新市区人民法院以犯非国家工作人员受贿罪判处杨建刚拘役六个月,缓刑六个月(〔2010〕新刑初字第442号)。
赖晓军、杨建刚身为医院涉密部门工作人员,无视国家法律条规,利用职务便利获取不正当利益,为请托人牟取利益,性质极其恶劣,影响极坏,受到国法严惩完全是咎由自取。全区各级卫生行政部门和医疗卫生机构一定要从赖晓军、杨建刚案件中汲取深刻教训,以此为戒,警钟长鸣。
相关链接2:暨大附属第一医院防统方综合举措
近期,中央纪委驻卫生部纪检组下发了《关于转发新疆自治区卫生厅<关于赖晓军、杨建刚严重违纪违法案件的通报>的通报》,暨南大学附属第一医院全体院领导及纪监审办、药学部、信息中心负责人传阅了文件。
信息中心组织全科人员召开了专题会议对统方违纪违法行为进行讨论,进一步认识了统方行为的恶劣性质及严重后果,并且就如何防患提出了意见和建议。为加强对相关工作人员的统方管理,在科室人员互相监督的基础上,信息中心安装了堡垒机,对所有人员在服务器、数据库的操作都进行了记录;还安装了数据库审计软件,对统计处方情况进行实时监控,保留所有数据库的操作痕迹,对应用软件中功能模块进行了清理,封堵软件漏洞杜绝敏感数据的统计功能,并及时予以跟踪和回溯追查。此外,信息中心还进一步完善了机房管理制度、信息中心工作指引等制度和规范。
暨南大学附属第一医院一直以来十分重视统方管理工作,信息中心、纪监审办、医务部、药学部专门对统方情况进行了排查,不断加强对相关工作人员的教育。医院还建立了防止违规统方制度,专门出台了严禁医院工作人员为医药营销人员统方的规定。对有条件统方的岗位,要求定期交流轮岗,并建立风险岗位廉洁监督制度,加强廉洁自律的宣传和教育,由纪检监察部门进行不定时诫勉谈话,对于查实有违规统方行为的将予以开除。