資源描述:
《帕拉迪數(shù)據(jù)庫審計產(chǎn)品技術方案設計》由會員上傳分享��,免費在線閱讀�����,更多相關內(nèi)容在工程資料-天天文庫。
1��、WORD文檔可編輯二���、技術方案1�����、產(chǎn)品簡介帕拉迪數(shù)據(jù)庫風險分析與安全監(jiān)控審計系統(tǒng)(簡稱:DbXpert)作為國內(nèi)外“流技術”數(shù)據(jù)庫審計產(chǎn)品第一品牌�����,結合各類法案法規(guī)(如等級保護��、企業(yè)內(nèi)控管理��、SOX法案����、PCI等)對數(shù)據(jù)庫審計的要求,運用當今最先進的流技術加以全協(xié)議解碼���,完成海量數(shù)據(jù)的完整審計與精準分析����。DbXpert以獨立硬件審計��、旁路監(jiān)聽的工作模式��,完整的協(xié)議解析�,靈活的審計策略配置,智能的建模白名單自學習機制��,完整的數(shù)據(jù)庫審計與操作回溯�,實時的性能監(jiān)控和快速精確的全文檢索,解決各行業(yè)核心數(shù)據(jù)庫所面臨的“完整
2���、數(shù)據(jù)審計�、越權使用�、權限濫用、異常接入”等安全威脅�����,滿足合規(guī)性要求。廣泛適用于“金融�����、運營商�、能源、醫(yī)療����、教育��、政府��、稅務�、工商、社保�����、交通��、企業(yè)及上市公司”等所有使用數(shù)據(jù)庫的各個行業(yè)�����。2、需求分析(1)醫(yī)院信息化建設遇到的挑戰(zhàn)和需求隨著醫(yī)療衛(wèi)生建設的重點逐漸轉向信息化和數(shù)字化�����,國內(nèi)越來越多的醫(yī)院正加速實施基于信息化平臺和醫(yī)療信息系統(tǒng)(HIS)的業(yè)務體系建設�����,以提高醫(yī)院的服務水平與核心競爭力��。我們可以明顯的感受到���,以電子病歷為基礎的醫(yī)院信息平臺的建立���,以及一卡通的使用,提高了醫(yī)務人員的工作效率����,加快了病人就診的速
3、度�,有效解決了群眾看病難的問題。在醫(yī)院信息化的過程中��,開發(fā)了大量業(yè)務系統(tǒng)例如HIS、PACS�、LIS、EMR及RIS�,配置了大量的服務器、網(wǎng)絡設備����,而針對這些設備的使用、維護和安全保護等管理問題��,直接影響到系統(tǒng)能否可靠持續(xù)運行����,醫(yī)院的醫(yī)療活動能否正常運作����,事關重大。醫(yī)院信息系統(tǒng)(HospitalInformationSystem技術資料專業(yè)分享WORD文檔可編輯HIS)是醫(yī)院重要的醫(yī)療信息基礎設施���,HIS系統(tǒng)一般以大型數(shù)據(jù)庫(如Oracle數(shù)據(jù)庫)系統(tǒng)為基礎平臺�,由門診掛號管理系統(tǒng)��、醫(yī)療診治系統(tǒng)���、住院管理系統(tǒng)���、計
4�、價收費管理系統(tǒng)���、醫(yī)療器械管理系統(tǒng)����、藥房管理系統(tǒng)���、病案管理系統(tǒng)�、醫(yī)療科研系統(tǒng)以及OA系統(tǒng)等構成��。HIS系統(tǒng)是總醫(yī)院各項業(yè)務運行的重要支撐系統(tǒng)�����,它的特殊性決定了安全性要求極高���,特別是HIS系統(tǒng)的核心——數(shù)據(jù)安全性的威脅體現(xiàn)在實際應用中����,重點要考慮來自二個方面的安全風險:一是來自外部安全風險,利用弱口令設置�����、數(shù)據(jù)庫系統(tǒng)漏洞��,非授權進入HIS系統(tǒng)訪問�、拷貝和修改數(shù)據(jù)內(nèi)容,甚至可以采用SQL注入���,攻擊數(shù)據(jù)庫系統(tǒng)�;另一個是內(nèi)部安全風險����,以合法授權身份進入HIS系統(tǒng)對數(shù)據(jù)進行非法的訪問和操作。由于HIS系統(tǒng)龐大��,系統(tǒng)的部分運行
5�����、維護工作由軟件開發(fā)商和系統(tǒng)集成商負責完成�,因此該類維護人員通常具有系統(tǒng)權限�,能夠進入HIS系統(tǒng)��,對系統(tǒng)的數(shù)據(jù)進行訪問和操作��。以上安全風險會引發(fā)HIS系統(tǒng)癱瘓���、各種內(nèi)部數(shù)據(jù)信息被泄露和篡改、涉密數(shù)據(jù)信息被竊取和失泄等信息安全事件發(fā)生�。(2)目前醫(yī)院普遍存在的問題:1.各個業(yè)務系統(tǒng)的核心數(shù)據(jù)維護人員越來越多,既有本院相關業(yè)務科室信息維護人員�,也有系統(tǒng)開發(fā)商、第三方運維外包公司��,安全管理難度比較大����;2.非法統(tǒng)方手段專業(yè)化,由早期的手工統(tǒng)方轉變成專業(yè)的統(tǒng)方軟件���,只需要在醫(yī)院任何一臺電腦上運行程序�,就可以非?�?旖莸耐瓿山y(tǒng)方
6�����、;3.非法統(tǒng)方手段多樣化���,醫(yī)生統(tǒng)方��、藥房統(tǒng)方���、護士統(tǒng)方、信息科統(tǒng)方�����、開發(fā)商外包人員統(tǒng)方等多種手段并存���,且隱蔽性越來越強�;4.操作安全缺少技術監(jiān)管手段�����,醫(yī)院管理制度難以落實�,過分依賴于人員的“自覺性�����、道德水平”;5.因為許多防統(tǒng)方產(chǎn)品專業(yè)性太強�,無法滿足非IT專業(yè)人員對統(tǒng)方監(jiān)管工具的易用性、直觀性的要求�,使醫(yī)院的管理層醫(yī)院和監(jiān)察部門不易及時、準確地監(jiān)管同方行為�����。隨著藥物統(tǒng)方商業(yè)違法行為造成的社會影響越來越被關注�,國家主管部門出臺了反商業(yè)統(tǒng)方的相關法律和制度,對醫(yī)療系統(tǒng)提出明確管理責任要求:★2007年《關于加強醫(yī)院
7����、信息系統(tǒng)藥品、高值耗材統(tǒng)計功能管理的通知》(衛(wèi)辦醫(yī)發(fā)[2007]163號)★2010年《衛(wèi)生部關于進一步深化治理醫(yī)藥購銷領域商業(yè)賄賂工作的通知》----技術資料專業(yè)分享WORD文檔可編輯要對醫(yī)院各個部門通過計算機網(wǎng)絡查詢醫(yī)院信息的權限實行分級管理----對醫(yī)院信息系統(tǒng)中有關藥品����、高值耗材使用等信息實行專人負責、加密管理���,嚴格統(tǒng)方權限和審批程序����,未經(jīng)批準不得統(tǒng)方�����,嚴禁為商業(yè)目的統(tǒng)方?���!?、解決的問題n滿足法案法規(guī)要求���,順利通過IT審計�����。隨著信息化的建設��,安全性和標準化越來越被重視�����。特別來自監(jiān)管部門�,通過頒布各種法案
8�、法規(guī)以及相關指引,來加強企業(yè)內(nèi)控�����。比如:政府行政事業(yè)單位或者是國有企業(yè)需要滿足《信息系統(tǒng)安全等級保護基本要求》��,國內(nèi)上市公司需要執(zhí)行《企業(yè)內(nèi)部控制基本規(guī)范》�,各行業(yè)合規(guī)性滿足《銀行業(yè)信息科技風險管理指引》、《證券公司內(nèi)部控制指引》���、《電力二次系統(tǒng)安全防護規(guī)定》等�����。n完整審計業(yè)務信息��,重溯業(yè)務準確定責����。審計數(shù)據(jù)是否完整直接決定審計的成敗�,0.01%數(shù)據(jù)的丟失也不能完整重溯業(yè)
