《医院防统方解决方案》
医疗卫生信息监督管理平台
xx市医疗信息管理系统建设方案V1.0文档信息分发控制版本历史目录第一章概述 (4)1.1医疗信息与民生的关系 (4)1.2医疗信息管理的挑战 (5)1.3医疗信息的大数据处理 (6)1.4国家对于医疗卫生系统信息化的政策 (7)第二章医疗信息管理系统解决方案 (10)2.1医疗信息存在的问题及面临的风险 (11)2.1.1 医疗数据库现有问题 (11)2.1.2 面临的统方、大处方、偏方管理危险 (12)2.2医疗信息管理系统解决方案概述 (14)2.2.1 部署方式 (14)2.2.2 方案概述 (14)2.2.3 监管系统运维审计 (15)2.2.4 全面审计 (15)2.2.5 违规行为告警 (17)2.2.6 违规行为统计报表 (17)2.2.7 数据库运维 (18)2.2.8 单点登录 (19)2.2.9 身份认证与鉴别 (20)2.2.10 资源授权 (20)2.2.11 运维录屏回放 (20)2.2.12 多级部署、统一管理 (21)2.3方案特点 (21)2.3.1 满足合规性要求,顺利通过IT 审计 (21)2.3.2 有效减少核心信息资产的破坏和泄漏 (21)2.3.3 追踪溯源,便于事后追查原因与界定责任 (22)2.3.4 直观掌握业务系统运行状况,保障稳定运行 (22)2.3.5 彻底杜绝违规行为的发生 (22)第三章医疗信息大数据分析 (23)3.1医疗信息大数据分析涉及的技术 (24)3.2大数据分析在医疗行业中的应用方向 (24)第四章医疗信息管理系统的优势 (27)4.1 事前管理 (27)4.2过程监管 (27)4.3后期统计分析评价 (28)4.4医疗信息管理系统的展望 (29)第一章概述本方案是根据xx市整个医疗卫生系统的现状制作,主要关注于医疗卫生系统信息数据的管理及医疗信息数据的大数据分析等。
通过本方案可以了解:1,现阶段对医疗卫生系统信息管理的现状。
医院防统方解决方案
医院防统方解决方案作为医院防范统方工作的重要组成部分,防范统方解决方案的制定和实施是医院保障药品的安全质量的重要手段。
针对当前医院药品管理中可能存在的问题,本文提出了以下解决方案。
一、加强药品管理人员的培训和教育药品管理人员是防范统方的重要关键点,他们的素质和能力直接关系到药品管理的安全性和效率。
因此,在药品管理人员的教育和培训方面应做到以下几点:1.加强药品管理基础知识培训。
药品管理人员应了解药品的基础知识,如药品分类、药品质量控制、药品存储及运输等,以便更好地管理药品。
2.加强药品管理相关法律法规培训。
药品管理人员应熟悉《药品管理法》等相关法律法规,并掌握其实施、执行流程等要点。
3.加强药品管理技能培训。
药品管理人员应掌握药品安全控制技巧,如药品处方审核、药品出库审核和管理、药品采购审核和管理等,以便更好地防范统方行为。
二、加强药品信息化管理信息化管理是有效控制统方的重要手段之一。
医院应建立完善的药品信息化管理系统,做好以下几点:1.建立药品信息平台。
医院应建立一个全程可追溯的药品信息化平台,对药品进行全面记录和管理。
2.加强药品流程控制。
药品管理从采购到出库应有严格控制流程,通过信息化平台实现药品流程监控,及时发现并处理问题。
3.建立药品库存管理。
将药品存储信息同药品入库、出库信息完善记录在药品信息平台上,对药品库存进行实时、动态管理。
三、加强各环节的药品审核药品审核是医院药品管理的重要环节之一。
加强各环节的药品审核,能够有效地防范统方行为和药品管理事故的发生。
1.强化药品采购审核。
采购部门应严格考核药品供应商资质、药品标准、药品最新批准文号等信息,并将审核结果登记在药品信息平台上,对审核结果进行全面掌控。
2.严格实施处方审核。
处方审核是防范统方的重要关口,医院应严格执行处方审核制度,进行审核记录和归档,确保处方合理,避免出现统方现象。
3.加强出库审核。
对于药品的出库应进行严格审核,同药品信息平台上的记录对比,确保药品出库的准确率和合理性。
加强医疗卫生机构统方管理的规定
措施二:强化信息监督管理
医院对信息系统中有关药品、医用耗材用量等统计功能 实行专人负责、加密管理。对通过信息系统查询药品、 医用耗材用量等信息的权限实行严格的分级管理和审批 程序。信息系统中设置重要和敏感信息查询留痕功能, 建立查询日志并进行登记(包括计算机编号、操作者代 号、操作时间等),定期分析,发现异常情况及时处理。
措施三:加强实时在线监控
在信息系统中安装反统方软件,由监察室 对“统方”行为实施监控,及时发现并阻 止 “统方”行为。
医疗行业统方问题解决方案
North Pan-Commercial SE Team
Presenter’s Title Here
Symantec解决方案
终端 保护 • Anti-malware • Firewall • HIPS • App. Ctrl. • Device Ctrl
概念
统方,是指医疗卫生 机构及科室或医疗卫 生人员根据工作需要, 通过一定的方式和途 径,统计医疗卫生机 构、科室及医疗卫生 人员使用药品、医用 耗材的用量信息。
为不正当商业目的统方, 是指医疗卫生机构及科室 或医疗卫生人员出于不正 当商业目的,统计、提供 医疗卫生机构、科室及医 疗卫生人员使用有关药品、 医用耗材的用量信息,或 为医药营销人员统计提供 便利。
措施一:建立信息统计审批权限
信息科根据不同科室的职能,限定
各个科室通过计算机网络查询有关 信息的权限。各岗位根据岗位工作 需要设定权限,通过用户名和密码 登录使用。
措施一:建立信息统计审批权限
加强医院信息系统药品和耗材统计功能管理,信息中心采 取授权、加密、控制终端信息采集范围等有效措施,对各 科室信息查询权限实行分级管理,防止个别工作人员利用 统计、报告、分析等方式,取得医生或部门用药的有关信 息,透露给医药营销人员。确因工作需要查询药品、耗材 用量信息,可能涉及“统方”行为的,必须在履行审批备 案登记手续后,由信息科指定人员在信息科内实施查询, 同时上报监察室备案。
防统方解决方案介绍
防统方解决方案介绍防统方解决方案从事先防范——事中审批——及时通知——事后审计四个方面构建,来满足医院和卫生部门对防统方的安全要求。
防统方解决方案体系包含如下:以事先防范构筑“统方”防御体系禁止当前频繁发生的商业统方以及任意非法统方行为。
以事中授权和审批保障“统方”安全禁止非法统方,确保合法统方经过授权可以识别统方和操作人一一关联。
事中及时通知可疑“统方”行为针对统方数据的操作,不论统方是合法或非法,均在第一时间通过多种渠道发布通知,发现可疑“统方”行为。
全面的事后审计以事后审计追踪非法“统方”事件,不论统方是合法或非法,所有操作均记录在审计信息内,详尽的海量审计信息为惩戒提供了精细的证据。
覆盖商业”统方”多条通路获取统方的道路层出不穷,针对当前市场上流行的手段和通路进行有效控制。
防统方管理解决方案具有以下主要功能:事先防范基于“事先防范”的非法统方策略性管理是商业防统方的基础,在“事先防范”的策略性管理中,安全管理事先防范主要实现以下目标:把“统方”基础数据纳入保护体系“统方”基础数据主要包括处方表、药品数据表、患者信息表、临床诊疗过程相关数据表,它不仅是统方基础数据,也是整个系统的核心数据。
创造性的引入了“统方”基础数据拥有者这一概念,把“统方”数据拥有者赋给业务系统。
在该“统方”数据保护体系下,除了业务系统外,其他人员将无法访问统方数据,从而为防统方安全管理打下坚实基础。
职责分离是数据库管理员,不是“统方”数据管理员,所以不应该访问统方数据。
但是数据库却拥有超级权限。
创造性的把管理从“统方”数据中分离出来,使不再先天具有访问和管理“统方”数据的权限,从而实现职责分离,保护“统方”数据。
限制特权用户访问统方除了之外,数据库中包含其他特权用户,这些用户都具有访问“统方”的权限,采用类似职责分离的方式,使“统方”数据从这些用户中分离出来,实现“统方”数据保护。
限制访问统方数据库内是“统方”数据的拥有者,天然具有随时统方的权限,通过转移“统方”数据的拥有者为业务系统,使不再具有“统方”的先天访问能力,实现“统方”数据保护。
如何有效预防非法窃取“统方”数据
如何有效预防非法窃取“统方”数据随着信息化技术的日新月异,我国医疗机构,尤其是集医疗、教学、科研为一体的大型综合三级甲等医院的信息化建设也取得了飞速发展,将信息化科技与现代化医疗技术相结合,大量信息化技术成为医院医、教、研决策的工具,极大的提高了医院的医疗、管理水平及竞争力。
国内大部分医院信息化建设道路基本一致。
最开始建设的是以人、财、物为中心的医院信息管理系统。
随后将病人信息、药品、经费为主线,涵盖医生、护理、药房、设备、器材等所有科室纳入到信息化管理范围。
为了能进行所有科室信息的有效、准确的采集,各医院先后建设了临床信息系统(CIS)、医院信息管理系统(HMIS)等信息化系统。
信息化技术手段已经成为了各医院日常行政工作的有力支撑和医院管理者的决策依据,医院领导和相关管理部门能够实时获取医院的病床收容率及收入信息,并能通过质量监控软件获得的数据监督、指导医生、护士的工作。
然而随着医院信息化的迅猛发展,信息的高度集中使得核心数据泄密的隐患也越来越突出,在利益的驱使下非正常的统方行为、患者信息泄密行为屡有发生,同时卫生部印发了关于《卫生行业信息安全等级保护工作的指导意见》的通知(卫办发〔2011〕85号)、《卫生部关于进一步深化治理医药购销领域商业贿赂工作的通知》等红头文件。
但是,尽管上有政策,中有举措,但下依然有对策。
“统方”事件频频发生,屡禁不止,有关医药代表与医生、信息科人员勾结,非法获取医疗统方数据的报道层出不穷。
各级医疗机构急需采取“教育为先、制度为主、技术为辅”的综合管理手段,多管齐下,对敏感数据进行实时监控,对违规操作进行追根溯源和智能控制,全面提升信息系统安全管理水平,有效遏制违法、违纪活动的发生。
行业指导意见1.防恶意篡改医院信息系统全面记录了患者的医疗活动,包括医嘱、病程记录、各种检查检验申请与结果、手术记录、影像、护理信息、费用信息等,信息的真实性、可靠性、保密性颇受关注。
然而为满足提高医疗活动效率和质量的需求,不仅医疗机构内部多个业务系统之间存在信息的流转,同时也不可或缺的需要开放一些对外的接口,比如:医院的门户网站、患者服务平台、医疗保险接口、远程医疗咨询系统接口等,使得信息系统的安全风险剧增。
医院防统方解决方案
医院防统方解决方案随着社会的不断进步和人类生活水平的提高,医疗科技和医疗条件得到了极大的发展和进步,但是医院安全管理至今仍是社会所关注的焦点。
医院的防控工作面临着很多问题,如门诊拥堵、护士医生急症医疗技能不足、交接班疏漏、患者安全风险、医疗器械管理混乱等问题。
在医院防统方面,应建立科学的医院纪检工作体系,加强对医院内部管理的监督力度,同时提供专业的预防措施以及紧急应对措施,有效预防和应对突发事件。
本文将从管理制度、环境安全、医疗器械、安全事件、危机公关五个方面给出医院防统解决方案。
一、管理制度1.强化职责落实,完善管理职责制。
制定管理人员职责、岗位职责、标准操作程序等制度,明确各级管理人员应承担的职责,规范工作流程。
建立医疗工作质量考核机制,加强对医护人员的培训和监督。
2.健全党委领导下的纪检委员会工作机制,定期开展安全生产、医疗质量和行风建设的考核评估工作,并将评估结果作为医院工作的重要指标。
3.建立健全医院本地管理规范,加强对医院外部的监督及管理,严格执行医院卫生行政部门和市场监管部门的主管部门的政策和要求。
二、环境安全1.建立完善的院内基础设施管理制度,完善与环境安全相关的管理制度标准,认真落实制度中的各项要求。
2.定期开展医院环境卫生检查,加强医院环境卫生的整治工作,并制订完备的应急预案,建立环境突发事件应急预案,严格执行。
3.对医疗废物的收集、运输、处置等环节进行严格管理,加强对废弃医疗器械、病人用品、药品等物品的处置,规范化医疗废物管理工作,确保无害化、环保化处理。
三、医疗器械1.建立科学的医疗器械配置、循环使用和保养维修制度,核实医疗器械的使用状态,严格遵照设备安全、质量、规范使用的标准,不得随意更换或使用过期等废弃医疗器械。
2.加强对医疗器械的使用、维修、保养的监管,建立完善的医疗器械使用登记管理制度。
3.购买医疗器械时应选购符合标准、有品牌、有保障的优质产品,确保医疗器械的安全可靠,减少病人用药不当的出现。
医院反统方方案
启明星辰医疗防统方解决方案
统方是医院对医生用药信息量的统计。
所谓为商业目的统方,是指医院中个人或部门为医药营销人员提供医生或部门一定时期内临床用药量信息,供其发放药品回扣的行为。
医院HIS系统数据库中由于存储着大量的用药和医疗设备采购信息。
对数据库的非法查询,历来是医药代表进行统方的有效途径。
在医疗行业已经发生多起医药代表与医院信息科人员勾结,实现统方的案件。
启明星辰通过对医疗用户需求的深度调研,结合自身在数据库审计领域的深厚技术积累。
适时推出防统方解决方案。
方案采用天玥网络审计系统医疗防统方专用版 (以下简称“防统方系统”)为核心,结合医院管理制度,为医疗用户提供了全方位的解决方案。
如下图所示:防统方系统通过网络捕包分析的方式,对通过网络进行的针对数据库的操作进行全方位、细粒度分析。
在医院业务网服务器区交换机上,采用镜像的方式将流量镜像到审计系统中汇总分析。
防统方系统可以对数据库非法登录进行记录;可以检测和发现授权用户的反常的数据库查询行为并迅速定位;可实现细化审计并持续实时监控所有数据操作;可为医院提供每个事务处理的详细审计追踪信息。
比如“谁、做了什么、何时、何处和如何操作、有何影响”;并可根据以上条件灵活配置防统方业务策略。
启明星辰防统方解决方案的推出,获得医疗用户的高度认可。
目前已在数十家三甲级医院实际使用。
真正的解决了医疗系统普遍面临的严峻问题,得到了用户的一致好评。
医院防统方解决方案
安全性评估
总结词
安全性是防统方实施效果评估的重要指 标之一,保障数据的安全性是防统方系 统的基本要求。
VS
详细描述
安全性评估主要从数据的保密性、完整性 、可用性和抗攻击性四个方面进行考量。 保密性是指数据是否被妥善保护,避免泄 露;完整性是指数据是否被篡改或破坏; 可用性是指数据是否可被授权用户正常使 用;抗攻击性是指系统是否能够抵御外部 攻击,保证数据的安全性。
02
参考文献2
医院防统方系统的设计与实现,作者:XXX,出版日期:XXXX年X月。
03
参考文献3
利用大数据技术实现医院防统方管理,作者:XXX,出版日期:XXXX
年X月。
THANKS 感谢观看
医院可以使用统方数据来 管理药品的库存、使用情 况等。
临床决策支持
医生可以利用统方数据辅 助临床决策,例如根据药 品使用情况调整治疗方案 。
科研与教学
统方数据还可以用于科研 和教学,例如分析药品使 用情况和治疗效果等。
统方原因分析
医疗质量考核
医院将统方数据作为医疗质量考 核的指标之一,以评估医生的治
疗效果和药品使用情况。
患者隐私保护
为了保护患者隐私,医院需要采取 措施防止统方数据泄露。
利益驱动
部分医生可能会为了获取更多的统 方数据而进行不必要的检查和治疗 ,以获取更多的提成和回扣。
03 防统方技术方案
硬件设备方案
加密技术
采用硬件加密技术,对医生的统 方行为进行实时监测和防范。
访问控制
通过设置特定的访问权限,限制 医生对统方数据的访问。
网络架构方案
隔离网络
建立独立的医疗信息网络,将医疗信息系统与其他网络隔离,防 止外部攻击和非法访问。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
《医院防统方解决方案》背景情况什么是统方“统方”是医院对医生用药信息量的统计。
所谓为商业目的“统方”,是指为医药营销人员提供医生或部门一定时期内临床用药量信息,供其发放药品回扣的行为。
在医院全面信息化的今天,“统方”常采用入侵医院信息系统,对数据库进行窃取的方式进行。
统方的严重危害违规统方的危害非常大。
医药企业的营销人员通过统方掌握医院药品使用信息,并以此为依据向有关人员送“回扣”,促销自己代理销售的产品。
医药“回扣”腐蚀医务人员及相关管理人员,其后果是严重扰乱医院医疗秩序,败坏医德医风,进一步造成病人“看病难、看病贵”等问题。
防止统方的相关文件、法规卫生部《关于进一步深化治理医药购销领域商业贿赂工作的通知》(卫办发[xx]59号)要求:“各级卫生行政部门和各类医疗机构要结合本地区本单位实际,研究制订贯彻落实卫生部《关于加强医院信息系统药品、高值耗材统计功能管理的通知》(卫办医发[xx]163号)的具体办法,采取切实有效措施,加强医院信息系统药品、高值耗材统计功能管理,避免为不正当商业目的统计医师个人和临床科室有关药品、高值耗材用量信息。
要对医院各个部门通过计算机网络查询医院信息的权限实行分级管理,对医院信息系统中有关药品、高值耗材使用等信息实行专人负责、加密管理,严格统方权限和审批程序,未经批准不得统方,严禁为商业目的统方。
各级卫生行政部门要加大对辖区内医疗机构统方行为的监督检查力度。
对未落实统方管理要求的医疗机构,要责令其限期整改,尽快建立健全有关管理制度。
对于违反规定,未经批准擅自统方或者为商业目的统方的,不仅要对当事人从严处理,而且还要严肃追究医院有关领导和科室负责人的责任。
”xx年福建省卫生厅发布《关于进一步强化医院信息系统安全防护措施的通知》中则强调:“要加强我省各级医疗机构信息系统安全管理,消除隐患,堵塞漏洞,化解风险,确保我省医疗机构信息系统安全可靠,医疗秩序稳定有序;”需求分析“统方”可能的来源分为三部分,包括:(一)院外人员非法接入医院网络后,入侵数据库,对数据库中的药品表等关键表进行窃取;(二)院内人员通过药房、医生工作站等终端,利用职权进行违规操作,对统方数据进行窃取;(三)第三方开发人员由于长期驻点医院,且其熟悉应用系统架构,可利用其优势对数据库系统进行越权操作,盗取统方数据;上述非法统方行为能够成功,主要因为医院信息系统在多个层面存在诸多“弱点”,给提供了可乘之机,例如:网络权限不合理,未对网络中各区域的权限进行明确定义和对跨区域的访问进行控制,导致进入网络后能够访问网络中的几乎所有资源,为其进行攻击、入侵、窃取等黑客行为提供了条件。
网络接入无控制,导致任意人员、终端都可通过网络接口接入网络。
数据库操作权限不合理。
目前,医院信息系统的运维行为、权限多采用粗放式管理的方式,导致对数据库等重要系统的运维操作存在帐号共用、权限过大等问题。
缺少对数据库操作行为进行审计的技术手段,导致在“统方”行为出现时,无法在第一时间了解情况,也无法知道是何人在“非法统方”。
解决方案可以看到,黑客能够成功入侵医院信息系统进行“统方”,是信息系统多个层面的问题、漏洞导致的,因此医院在进行防“统方”建设时也必须从多个层面对医院网络进行设计、改造。
运维管理区核心服务器区核心数据库服务器运维人员……黑盾安全审计数据中心黑盾堡垒机黑盾安全审计系统接入交换机黑盾准入安全控制系统黑盾防火墙黑盾防火墙核心交换机应用开发区黑盾防火墙黑盾防火墙……骨干网络区……医保网、政务外网等专网业务终端终端接入区合法终端方可接入通过黑盾准入安全控制系统,对终端的合法性、安全性进行核准和检查,将非法终端阻挡在网络边缘。
网络资源分级开放采用黑盾防火墙对网络安全域进行划分,并通过访问控制策略细致的控制各区域的网络访问权限,杜绝对数据库系统的非法连接、攻击等行为。
重要行为准确记录利用黑盾安全审计系统——医疗专版对数据库的审计功能,实现对“统方”行为的准确判断和记录,并对“统方”源进行定位。
运维操作精细管理黑盾堡垒机通过对数据库系统运维权限的接管,能够对数据库系统的运维权限精细化管理、操作行为全面记录审计,规范对数据库系统的运维行为。
产品与服务清单黑盾安全审计系统——医疗专版黑盾堡垒机黑盾防火墙黑盾准入安全控制系统用户价值采用海峡信息防“统方”安全解决方案,能为您带来以下价值:1.保护核心数据库和统方数据;2.对非法统方操作进行准确判断、记录和来源定位;3.满足相关法规审计要求;4.简化数据库系统安全管理;成功案例福建省立医院福建医科大学附属第一医院福建省妇幼保健院……第二篇:xx医院防统方解决方案-医院等级保护解决方案_图文(精)xx医院防统方解决方案目录第1章xx医院业务现状及威胁分析(1第2章xx医院防统方方案介绍(12.1方案部署(12.2方案设计(2第3章防统方设备选型(43.1产品选型(43.2产品功能列表(4第4章防统方价值优势(8第5章深信服科技介绍(9第1章xx医院业务现状及威胁分析东莞市xx医院是一所集预防、医疗、保健、康复、科研、教学为一体的综合性二级甲等公立医院。
医院拥有编制病床510张,占地面积2.64万㎡,建筑面积达5.26万㎡;更拥有一支作风优秀、技术过硬的医疗队伍,全院共有职工723人,其中各级各类卫生技术人员628人(其中高级职称57人,中级职称119人。
近年来通过打造“院有优势、科有特色、人有专长”的发展模式,医院逐步在普外科、骨外科、妇产科、儿科等方面形成了自身特色。
而在信息化建设方面,xx医院领导重视信息股的it建设对医疗业务的推动作用,建立起以his系统、pacs系统、lis系统、电子病历系统、医生工作站、护士工作站、移动查房系统、敏感服务器等支撑的集中业务资源访问平台,以及oa系统、邮件服务器、文件服务器等办公系统访问平台,大大提高了医护人员在日常办公和医疗事务处理的工作绩效与水平。
然而,近年来统方信息泄露的行为屡有发生,越来越多的医院都面临着药品、耗材等使用信息、患者信息等的外发与泄露,给医院的管理和病患个人都造成了极大的困扰。
无论是医护人员本身、第三方运维人员还是外部黑客入侵,面对规模之重的业务系统平台,统方的防泄漏难度可想而知。
我们相信,xx医院要想继续打造高优医院品牌,理应对防统方大加重视,防患于未然。
第2章xx医院防统方方案介绍2.1方案部署根据与xx医院信息股同事的交流沟通,考虑到贵单位既有的网络架构和防统方需求,我们推荐采用深信服为其设计的防统方解决方案,通过在集中业务资源访问平台前端部署深信服vsp设备,来达到防统方的良好效果。
下图为xx医院防统方方案的部署拓扑图,对于需要进行防统方的服务器进行区域隔离,而其他如oa和邮件等可以直接放通用户访问。
在his等系统服务器区前的交换机上旁路部署一台深信服vsp防统方网关设备,并在交换机上做访问控制,禁止直接的服务器访问请求,而只能由vsp设备做代理转发,对医护人员、维护人员和外部黑客等各种可能的统方泄密对象进行统一安全防护。
2.2方案设计●服务器的安全隔离在his等业务系统前端部署深信服vsp防统方网关设备,配合交换机的端口访问控制列表,xx医院可实现对业务系统的隔离。
所有用户只能通过vsp设备发布的443端口去间接访问后端的服务器业务系统,避免此类系统直接暴露在用户面前所带来的安全风险。
当vsp设备因意外事故出现运行故障时,xx医院可根据自身需要,放通acl列表保证系统的正常访问;或者出于安全性考虑,即便无法通过vsp访问业务系统,也要保证数据的不泄露。
●高强度身份认证信息股的同事可以根据医院的需要,对不同级别的医护工作人员和第三方维护人员设定不同强度的认证方式,如用户名密码认证、usb-key认证、与第三方服务器的结合认证、短信认证、动态令牌认证、硬件特征码认证等,并且可以将不同的认证方式加以组合,避免单一身份认证带来的密码泄露风险。
vsp设备还可以支持设备登录账户与系统访问账户的定向绑定,避免系统的越权访问带来的风险,进一步提升身份鉴别的可靠性。
●资源划分与权限控制vsp设备可以将xx医院各个医护及其他工作人员,配置其各自相应的资源访问权限。
如医生会通过tcp的方式和安全桌面组合在一起进行访问医生工作站,护士通过tcp的方式和安全桌面组合在一起进行访问护士工作站,系统维护人员只能通过应用发布的方式进行访问和系统维护等。
通过独特的角色管理功能,vsp设备可为xx医院提供细致到每个url和不同应用的权限划分。
通过给不同用户设置不同角色来分配访问授权,一个用户可以赋予多个角色以适合各种复杂的组织结构。
同时,vsp系统基于角色的授权机制可结合对客户端安全检查结果的准入和授权,做到根据用户所属角色、用户登录时间、登录终端、终端安全检查结果的细致应用访问授权。
●虚拟安全桌面的使用控制xx医院的工作人员在成功登录vsp设备后,会由设备自动下发一个安全桌面控件到客户端,该客户端生成一个与本地桌面相同的却又相互独立的安全桌面。
安全桌面会自动检测业务系统访问是否在安全桌面下进行,禁止本地桌面的直接访问;而在安全桌面下发起的访问,通过禁止与本地计算机的通信、与外设和第三方设备的通信、与外网的通信等,到达统方防泄漏的效果。
在安全桌面内可做到:禁止与本计算机通讯:禁止安全桌面与默认桌面通信禁止与本地网络通讯:安全桌面内禁止与内网内其他计算机通信。
禁止与外网通讯:安全桌面内禁止使用网络应用或将数据通过网络通信泄漏禁止使用外设拷贝(usb,打印机,,cd-rw等●传输加密与访问审计客户端与业务系统的交互过程通过vsp设备进行ssl的传输隧道加密,可有效避免不法人员对传输线路监听嗅探等造成的数据泄露,保证传输的完整保密性。
而所有人员对业务系统的访问,都将被记录在独立的日志中心上。
用户的访问日志(用户ip地址、认证方式、访问资源和时间、用户的活跃程度和流量趋势等、资源的访问日志(资源的活跃程度、资源的无效统计、资源流量排行及查询等、管理员日志、安全日志和系统日志等,便于xx医院管理人员的详细追查。
第3章防统方设备选型3.1产品选型根据xx医院的用户数目及医疗业务系统访问量,考虑到后期xx 医院的发展规划,我们推荐使用深信服vsp-4050设备,具体性能和功能列表如下所示。
项目细节设备型号vsp-4050ssl最大加密流量400mssl并发用户数2600每秒新建ssl用户数280千兆电口wan4个千兆电口lan1个千兆dmz口1个千兆sfp光口2个冗余电源可选3.2产品功能列表安全桌面启动、使用及注销控制台管理员可配置安全桌面名称管理员可上传默认安全桌面壁纸(1张1mb以内的jpg格式壁纸,使用压缩上传管理员可下载查看当前上传的壁纸管理员可配置是否允许客户端自定义壁纸管理员可配置是否使用干净桌面导航条默认桌面、sd和vsp安全桌面都有导航条,sd与vsp同时运行时默认桌面只有一个导航条在任一个桌面的导航条上都支持切换到另外两个桌面支持收缩锁定安全桌面导航条功能安全桌面导航条提供导出文件功能sd和vsp安全桌面内的导航条分别可以注销各自的安全桌面,默认桌面导航条可以注销指定的安全桌面,或同时注销sd和vsp安全桌面自定义壁纸客户端可选择自定义本地壁纸(jpg或者bmp格式客户端未自定义壁纸、服务端未上传或壁纸不存在,支持使用安全桌面默认壁纸客户端支持下载自定义壁纸安全桌面使用自定义壁纸使用干净桌面策略配置“使用干净桌面”功能后,安全桌面只显示与默认桌面一致的系统相关图标沙盒数据加控制台控制台可配置退出安全桌面数据处理方式“保留数据”密保存或“删除数据”。