解決方案-杭州帕拉迪網絡科(kē)技有(yǒu)限公司

運維安全審計

醫療解決方案

醫療行(xíng)業統一(yī)安全管理(lǐ)與運維審計解決方案

行(xíng)業痛點及需求

随着我國(guó)信息化建設的(de)飛(fēi)速發展，醫療衛生信息化發展也步入了一(yī)個加速發展的(de)時期。從早期的(de)單機(jī)單用戶應用階段，到部門級和(hé)全院級管理(lǐ)信息系統應用；從以财務、藥品和(hé)管理(lǐ)為(wèi)中心，開始向以病人信息為(wèi)中心的(de)臨床業務支持和(hé)電子(zǐ)病曆應用；從局限在醫院內(nèi)部應用，發展到區域醫療信息化應用嘗試。多業務融合構建起醫療信息的(de)複雜應用和(hé)數字化流程，随着HIS、RIS、LIS、CIS、PACS、CPR等系統的(de)應用，為(wèi)醫療衛生行(xíng)業的(de)高(gāo)效、快捷、便民提供了信息化基礎，杜絕“三長(cháng)一(yī)短(duǎn)”現象，有(yǒu)效解決了群衆“看病難”問題。

信息的(de)高(gāo)度集中使數據的(de)安全性越來越被重視(shì)，作為(wèi)關乎民生的(de)重要行(xíng)業，一(yī)旦數據洩露，必将對社會産生不良影響，成為(wèi)輿論和(hé)媒體關注的(de)熱點問題。在巨大商(shāng)業利益的(de)驅使下，醫療行(xíng)業的(de)數據庫要面臨來自(zì)內(nèi)部威脅和(hé)外部威脅的(de)雙重包夾，特别是以商(shāng)業為(wèi)目的(de)的(de)非法“統方”行(xíng)為(wèi)，不僅給醫院的(de)公衆形象和(hé)權威信任帶來嚴重影響，甚至洩露個人信息損害患者的(de)個人利益，使得原本就緊張的(de)醫患關系話題更進一(yī)步。

行(xíng)業需求

通過對多家醫院的(de)實際情況調研，目前醫院主要面臨以下問題：

1.能夠接觸到核心數據的(de)人員越來越多，既有(yǒu)內(nèi)部IT運維人員，醫護人員、也有(yǒu)第三方外包運維公司和(hé)應用開發人員，如(rú)何監管和(hé)審核針對核心資産的(de)操作，使合法的(de)人做(zuò)合法的(de)事；

2.非法統方手段專業化，多樣化，從來源上講，醫護人員、藥房、運維人員都有(yǒu)機(jī)會完成統方，從手段上來講，由早期的(de)手工統方轉變成專業的(de)統方軟件，隻需要一(yī)台終端上運行(xíng)程序，就可(kě)以非常快捷的(de)完成統方，如(rú)何監管和(hé)審核針對核心資産的(de)操作，防止信息的(de)外洩，是院方一(yī)直迫切解決的(de)痛點。

以上兩個問題無法通過現有(yǒu)的(de)網絡層面的(de)安全産品加以解決，從根源上分析，這兩個問題實際上與應用系統的(de)數據以及管理(lǐ)制度有(yǒu)關，單純靠底層的(de)網絡安全産品無法解決上述問題，可(kě)以歸納為(wèi)以下幾個原因：

1. 企業的(de)內(nèi)部核心系統的(de)各種用戶名和(hé)口令管理(lǐ)松散；

2. 出現安全事件後，無法快速、準确地(dì)定位事件的(de)源頭，更談不上及時阻止；

3. 沒有(yǒu)任何操作記錄可(kě)以進行(xíng)事後審計審核。因此，也不知道(dào)該如(rú)何修補系統的(de)安全漏洞；
4. 因為(wèi)缺乏一(yī)一(yī)對應的(de)身份認證，即使找到了安全事件的(de)源頭，也無法定位到自(zì)然人。

我們(men)的(de)方案

要徹底解決以上兩個痛點問題，确保醫院臨床及藥品統方等核心信息的(de)安全，杭州帕拉迪網絡科(kē)技有(yǒu)限公司自(zì)主研發了“帕拉迪統一(yī)安全管理(lǐ)與綜合審計系統”，系統主要包含認證、賬号、授權、審核四大核心功能，使用該系統能夠輕易達成如(rú)下目的(de)：

1. 對每位系統操作人員進行(xíng)一(yī)對一(yī)賬号密碼驗證，通過登錄賬号可(kě)查具體操作人；

2. 使用單點登錄模式，即：每位系統操作人員隻需使用他自(zì)己的(de)用戶名、口令登錄，然後就可(kě)以直接使用其權限內(nèi)的(de)各種後台系統，無需再次輸入各後台系統的(de)用戶名、口令。這就最大程度地(dì)限制了後台系統的(de)各種用戶名、口令被散發出去(qù)；

3. 為(wèi)每位管理(lǐ)員分别設置使用權限，管理(lǐ)員隻能在被允許的(de)範圍內(nèi)對設備進行(xíng)管理(lǐ)，避免人為(wèi)原因帶來的(de)錯誤操作；

4. 對每位操作人員的(de)在線情況、操作情況、設備運行(xíng)情況進行(xíng)跟蹤、記錄，任何設備變動都處于可(kě)控狀态。

部署方式

客戶收益

建立了統一(yī)運維接入與審計平台，提高(gāo)系統運維管理(lǐ)水平，滿足相關法規标準要求，降低(dī)運維風險，實現了醫院業務操作的(de)規範化管理(lǐ)，有(yǒu)效的(de)解決了醫院核心業務違規操作、數據外洩問題，杜絕了非法統方；建立了統一(yī)安全管控中心，對數據中心及IT設備及應用的(de)日志進行(xíng)集中管理(lǐ)和(hé)分析，實現了安全的(de)可(kě)視(shì)化和(hé)集中化管理(lǐ)。

經典案例

航空總醫院
解放軍三零二醫院
阜外華中心血管病醫院
華東醫院
上海藥監局
中山醫院
瑞金醫院
中國(guó)疫控中心
南昌大學(xué)附屬醫院
海軍總醫院
鄭州大學(xué)附屬醫院
瑞金醫院
解放軍101醫院
武漢大學(xué)中南醫院
和(hé)睦家醫療集團