极地堡垒机的应用样稿样稿.doc

极地堡垒机应用
方案综述
极地数据内控堡垒机，是中国著名内网安全厂商极地安全，针对医药行业“防统方”现实需求，基于目前国际上最前沿主流内网信息系统后台高端保护技术——堡垒机技术，而研发全方面“防统方”处理方案。
该方案立足于智能主动、全程管控“防统方”理念，经过事前堡垒机集中账号和访问通道管控，事中单点登录、统一授权和访问控制，事后数据走向和行为审计等功效，含有在服务器及后台数据库关键设备层面数据保护、智能拦截和行为审计，实现了真正意义上智能管控和深度审计“防统方”目标。
经过极地数据内控堡垒机“防统方”处理方案（以下简称：“防统方”堡垒机），能够有效地预防和正确审计医院系统内外多种有权限访问内部各个关键系统人员统方操作，包含：医院HIS系统使用者管理者、医院信息设备管理者、外部技术维护人员，和外部黑客等。
极地“防统方”堡垒机关键价值在于：
(1) 治本：从根源处理“防统方”难题。
(2) 全程：融预警变事后追查为主动防御。
(3) 高效：产品便捷操作，智能防御和深度审计。
(4) 整体：产品方案高屋建瓴，不光针对防统方问题，同时对整个医院内网信息系统关键数据设备，构建了高效率运维支撑和高强度安全保障信息安全体系。
医院面临“防统方”困境
困境一：“统方”路径多，堵漏难度大
现在，卫生行业信息系统均采取专网互联，并采取了防火墙、杀毒软件等基础安全防护软件，但仍然存在众多安全威胁和监管漏洞，造成非法“统方”行为发生。通常而言，现在医院统方路径关键有四大方面，简单分析以下：
第一，HIS应用系统相关功效提供统方。
医院HIS等医疗系统，集中了处方统计分析业务、处方查询（药剂科），和挂号、病历、诊疗信息管理等关键业务模块，后台包含到医生、药品、剂量、单价、应收金额等直接或间接能够“统方”信息，这些功效本身提供详尽统方表格，同时该应用系统有部分高权限用户拥有统方权限，比如，部分医院药剂科本身就兼具正常“统方”职责，在一定时间药剂科科长需要对医生、药品和剂量信息进行统计，以预防医生用药百分比过高造成医生停诊。所以，假如HIS应用系统本身管理制度出现漏洞，或有权限医院内部人员出现问题，就会造成统方数据外泄威胁。但这个路径逐步已经不成为非法统方关键路径，这是因为尽管这是统方最直接和便捷通道，但也是非法统方者最危险通道，因为HIS系统本身对相关权限和开放权限人员，构建了严格管理和审计体制，对于目前主流HIS系统，极难钻到空子。
第二，内部信息资源管理人员非法“统方”
伴随信息化水平提升，医院信息中心人员也快速增加，她们负责医院信息化建设，和日常IT网络设备、数据库等程序维护工作，这些管理人员掌握着SYS、SYSTEM等超级用户，这些用户含有了访问全部IT网络设备、服务器、应用数据库权限；从而使毫无业务需要信息中心工作人员能够访问全部处方数据，含有
“统方”最好路径；另外，数据库管理员（简称：DBA人员）也能够直接查询数据库中用户密码表，使用含有统方权限应用用户登录到HIS系统直接进行非法“统方”。因为这个群体对于信息系统操作熟悉程度，和现在对于超级用户技术审计比较微弱，所以，事实证实，这是现在比较关键非法统方路径。
第三，开发人员、维护人员非法“统方”。
医疗信息系统开发和维护人员掌握着系统访问数据库用户名和口令，这些人员常常需要在医院内部进行日常工作，完全能够使用该数据库用户直接登录数据库，结构统方SQL进行非法“统方”。
第四，黑客入侵医疗系统非法“统方”。
在高额利益驱使下，目前黑客窃取“统方”数据问题已不容忽略。总结黑客手段无外乎以下三种：1）利用HIS等医疗系统Web漏洞入侵数据库；2）利用数据库漏洞直接入侵数据库；3）入侵数据库服务器主机直接窃取数据库文件、备份文件等。
总而言之，以上四大路径，除了HIS系统路径相对轻易防范，且技术管理架构清楚之外，其它三个路径，全部是需要从根本体系上进行信息安全保障建设才能根本堵住漏洞，自然，现在应用较广泛数据库审计软件等手段，难以起到根本作用。
困境二：政策“防统方”缺乏技术手段支撑
6月21日颁发《卫生部相关深入深化治理医药购销领域商业贿赂工作通知》中明确指出，“要对医院各个部门经过计算机网络查询医院信息权限实施分级管理，对医院信息系统中相关药品、高值耗材使用等信息实施专员负责、加密管理，严格统方权限和审批程序，未经同意不得统方，严禁为商业目标统方。”
福建省卫生厅近日发出《相关加强医院信息系统管理通知》，通常有可能包含对药品、医用耗材用量按医生进行查询统计模块或软件应给予卸除，而且要对信息系统中药品相关信息查询功效模块进行清理，删除通常科室功效模块中药品信息查询统计程序。不得授权其它科室和个人查询医生用药情况。