資源描述:
《帕拉迪數(shù)據(jù)庫審計產(chǎn)品技術(shù)設(shè)計方案》由會員上傳分享�,免費在線閱讀�����,更多相關(guān)內(nèi)容在工程資料-天天文庫�。
1、Word下載可編輯資源共享二����、技術(shù)方案1�、產(chǎn)品簡介帕拉迪數(shù)據(jù)庫風(fēng)險分析與安全監(jiān)控審計系統(tǒng)(簡稱:DbXpert)作為國內(nèi)外“流技術(shù)”數(shù)據(jù)庫審計產(chǎn)品第一品牌�,結(jié)合各類法案法規(guī)(如等級保護(hù)、企業(yè)內(nèi)控管理���、SOX法案、PCI等)對數(shù)據(jù)庫審計的要求�����,運用當(dāng)今最先進(jìn)的流技術(shù)加以全協(xié)議解碼�����,完成海量數(shù)據(jù)的完整審計與精準(zhǔn)分析�����。DbXpert以獨立硬件審計���、旁路監(jiān)聽的工作模式�,完整的協(xié)議解析����,靈活的審計策略配置���,智能的建模白名單自學(xué)習(xí)機制,完整的數(shù)據(jù)庫審計與操作回溯���,實時的性能監(jiān)控和快速精確的全文檢索����,解決各行業(yè)核心數(shù)據(jù)庫所面臨的“完整數(shù)據(jù)審計���、越權(quán)使用���、權(quán)限濫用、異常接入”等安全威脅�,滿
2、足合規(guī)性要求���。廣泛適用于“金融���、運營商、能源����、醫(yī)療���、教育、政府���、稅務(wù)��、工商、社保����、交通、企業(yè)及上市公司”等所有使用數(shù)據(jù)庫的各個行業(yè)��。2����、需求分析(1)醫(yī)院信息化建設(shè)遇到的挑戰(zhàn)和需求隨著醫(yī)療衛(wèi)生建設(shè)的重點逐漸轉(zhuǎn)向信息化和數(shù)字化,國內(nèi)越來越多的醫(yī)院正加速實施基于信息化平臺和醫(yī)療信息系統(tǒng)(HIS)的業(yè)務(wù)體系建設(shè)��,以提高醫(yī)院的服務(wù)水平與核心競爭力�����。我們可以明顯的感受到,以電子病歷為基礎(chǔ)的醫(yī)院信息平臺的建立���,以及一卡通的使用��,提高了醫(yī)務(wù)人員的工作效率����,加快了病人就診的速度��,有效解決了群眾看病難的問題��。在醫(yī)院信息化的過程中����,開發(fā)了大量業(yè)務(wù)系統(tǒng)例如HIS、PACS����、LIS、EMR及RIS
3���、�����,配置了大量的服務(wù)器��、網(wǎng)絡(luò)設(shè)備����,而針對這些設(shè)備的使用、維護(hù)和安全保護(hù)等管理問題�,直接影響到系統(tǒng)能否可靠持續(xù)運行,醫(yī)院的醫(yī)療活動能否正常運作�����,事關(guān)重大����。醫(yī)院信息系統(tǒng)(HospitalInformationSystem專業(yè)資料資源共享Word下載可編輯資源共享HIS)是醫(yī)院重要的醫(yī)療信息基礎(chǔ)設(shè)施���,HIS系統(tǒng)一般以大型數(shù)據(jù)庫(如Oracle數(shù)據(jù)庫)系統(tǒng)為基礎(chǔ)平臺�,由門診掛號管理系統(tǒng)����、醫(yī)療診治系統(tǒng)、住院管理系統(tǒng)、計價收費管理系統(tǒng)�����、醫(yī)療器械管理系統(tǒng)����、藥房管理系統(tǒng)、病案管理系統(tǒng)���、醫(yī)療科研系統(tǒng)以及OA系統(tǒng)等構(gòu)成��。HIS系統(tǒng)是總醫(yī)院各項業(yè)務(wù)運行的重要支撐系統(tǒng)��,它的特殊性決定了安全性要求極高
4��、�,特別是HIS系統(tǒng)的核心——數(shù)據(jù)安全性的威脅體現(xiàn)在實際應(yīng)用中�����,重點要考慮來自二個方面的安全風(fēng)險:一是來自外部安全風(fēng)險�����,利用弱口令設(shè)置、數(shù)據(jù)庫系統(tǒng)漏洞���,非授權(quán)進(jìn)入HIS系統(tǒng)訪問���、拷貝和修改數(shù)據(jù)內(nèi)容,甚至可以采用SQL注入�,攻擊數(shù)據(jù)庫系統(tǒng);另一個是內(nèi)部安全風(fēng)險����,以合法授權(quán)身份進(jìn)入HIS系統(tǒng)對數(shù)據(jù)進(jìn)行非法的訪問和操作。由于HIS系統(tǒng)龐大��,系統(tǒng)的部分運行維護(hù)工作由軟件開發(fā)商和系統(tǒng)集成商負(fù)責(zé)完成���,因此該類維護(hù)人員通常具有系統(tǒng)權(quán)限����,能夠進(jìn)入HIS系統(tǒng)��,對系統(tǒng)的數(shù)據(jù)進(jìn)行訪問和操作���。以上安全風(fēng)險會引發(fā)HIS系統(tǒng)癱瘓、各種內(nèi)部數(shù)據(jù)信息被泄露和篡改、涉密數(shù)據(jù)信息被竊取和失泄等信息安全事件發(fā)生����。
5、(2)目前醫(yī)院普遍存在的問題:1.各個業(yè)務(wù)系統(tǒng)的核心數(shù)據(jù)維護(hù)人員越來越多��,既有本院相關(guān)業(yè)務(wù)科室信息維護(hù)人員�����,也有系統(tǒng)開發(fā)商�、第三方運維外包公司,安全管理難度比較大��;2.非法統(tǒng)方手段專業(yè)化���,由早期的手工統(tǒng)方轉(zhuǎn)變成專業(yè)的統(tǒng)方軟件����,只需要在醫(yī)院任何一臺電腦上運行程序����,就可以非常快捷的完成統(tǒng)方����;3.非法統(tǒng)方手段多樣化�,醫(yī)生統(tǒng)方����、藥房統(tǒng)方、護(hù)士統(tǒng)方���、信息科統(tǒng)方����、開發(fā)商外包人員統(tǒng)方等多種手段并存��,且隱蔽性越來越強�����;4.操作安全缺少技術(shù)監(jiān)管手段�,醫(yī)院管理制度難以落實,過分依賴于人員的“自覺性��、道德水平”�����;5.因為許多防統(tǒng)方產(chǎn)品專業(yè)性太強��,無法滿足非IT專業(yè)人員對統(tǒng)方監(jiān)管工具的易用性�、直觀
6、性的要求����,使醫(yī)院的管理層醫(yī)院和監(jiān)察部門不易及時、準(zhǔn)確地監(jiān)管同方行為���。隨著藥物統(tǒng)方商業(yè)違法行為造成的社會影響越來越被關(guān)注����,國家主管部門出臺了反商業(yè)統(tǒng)方的相關(guān)法律和制度����,對醫(yī)療系統(tǒng)提出明確管理責(zé)任要求:★2007年《關(guān)于加強醫(yī)院信息系統(tǒng)藥品、高值耗材統(tǒng)計功能管理的通知》(衛(wèi)辦醫(yī)發(fā)[2007]163號)★2010年《衛(wèi)生部關(guān)于進(jìn)一步深化治理醫(yī)藥購銷領(lǐng)域商業(yè)賄賂工作的通知》----專業(yè)資料資源共享Word下載可編輯資源共享要對醫(yī)院各個部門通過計算機網(wǎng)絡(luò)查詢醫(yī)院信息的權(quán)限實行分級管理----對醫(yī)院信息系統(tǒng)中有關(guān)藥品�����、高值耗材使用等信息實行專人負(fù)責(zé)��、加密管理����,嚴(yán)格統(tǒng)方權(quán)限和審批程序�,未
7�����、經(jīng)批準(zhǔn)不得統(tǒng)方�����,嚴(yán)禁為商業(yè)目的統(tǒng)方�����?��!?���、解決的問題n滿足法案法規(guī)要求,順利通過IT審計���。隨著信息化的建設(shè)���,安全性和標(biāo)準(zhǔn)化越來越被重視��。特別來自監(jiān)管部門,通過頒布各種法案法規(guī)以及相關(guān)指引����,來加強企業(yè)內(nèi)控。比如:政府行政事業(yè)單位或者是國有企業(yè)需要滿足《信息系統(tǒng)安全等級保護(hù)基本要求》�����,國內(nèi)上市公司需要執(zhí)行《企業(yè)內(nèi)部控制基本規(guī)范》�,各行業(yè)合規(guī)性滿足《銀行業(yè)信息科技風(fēng)險管理指引》、《證券公司內(nèi)部控制指引》�����、《電力二次系統(tǒng)安全防護(hù)規(guī)定》等�。n完整審計業(yè)務(wù)信息,重溯業(yè)務(wù)準(zhǔn)確定責(zé)����。審計數(shù)據(jù)是否完整直接決定審計的成敗,0.01%數(shù)
