帕拉迪數(shù)據(jù)庫審計(jì)產(chǎn)品技術(shù)研究方案

《帕拉迪數(shù)據(jù)庫審計(jì)產(chǎn)品技術(shù)研究方案》由會(huì)員上傳分享，免費(fèi)在線閱讀，更多相關(guān)內(nèi)容在行業(yè)資料-天天文庫。

1、完美WORD格式二、技術(shù)方案1、產(chǎn)品簡介帕拉迪數(shù)據(jù)庫風(fēng)險(xiǎn)分析與安全監(jiān)控審計(jì)系統(tǒng)(簡稱：DbXpert)作為國內(nèi)外“流技術(shù)”數(shù)據(jù)庫審計(jì)產(chǎn)品第一品牌，結(jié)合各類法案法規(guī)（如等級保護(hù)、企業(yè)內(nèi)控管理、SOX法案、PCI等）對數(shù)據(jù)庫審計(jì)的要求，運(yùn)用當(dāng)今最先進(jìn)的流技術(shù)加以全協(xié)議解碼，完成海量數(shù)據(jù)的完整審計(jì)與精準(zhǔn)分析。DbXpert以獨(dú)立硬件審計(jì)、旁路監(jiān)聽的工作模式，完整的協(xié)議解析，靈活的審計(jì)策略配置，智能的建模白名單自學(xué)習(xí)機(jī)制，完整的數(shù)據(jù)庫審計(jì)與操作回溯，實(shí)時(shí)的性能監(jiān)控和快速精確的全文檢索，解決各行業(yè)核心數(shù)據(jù)庫所面臨的“完整

2、數(shù)據(jù)審計(jì)、越權(quán)使用、權(quán)限濫用、異常接入”等安全威脅，滿足合規(guī)性要求。廣泛適用于“金融、運(yùn)營商、能源、醫(yī)療、教育、政府、稅務(wù)、工商、社保、交通、企業(yè)及上市公司”等所有使用數(shù)據(jù)庫的各個(gè)行業(yè)。2、需求分析（1）醫(yī)院信息化建設(shè)遇到的挑戰(zhàn)和需求隨著醫(yī)療衛(wèi)生建設(shè)的重點(diǎn)逐漸轉(zhuǎn)向信息化和數(shù)字化，國內(nèi)越來越多的醫(yī)院正加速實(shí)施基于信息化平臺(tái)和醫(yī)療信息系統(tǒng)(HIS)的業(yè)務(wù)體系建設(shè)，以提高醫(yī)院的服務(wù)水平與核心競爭力。我們可以明顯的感受到，以電子病歷為基礎(chǔ)的醫(yī)院信息平臺(tái)的建立，以及一卡通的使用，提高了醫(yī)務(wù)人員的工作效率，加快了病人就診的

3、速度，有效解決了群眾看病難的問題。在醫(yī)院信息化的過程中，開發(fā)了大量業(yè)務(wù)系統(tǒng)例如HIS、PACS、LIS、EMR及RIS，配置了大量的服務(wù)器、網(wǎng)絡(luò)設(shè)備，而針對這些設(shè)備的使用、維護(hù)和安全保護(hù)等管理問題，直接影響到系統(tǒng)能否可靠持續(xù)運(yùn)行，醫(yī)院的醫(yī)療活動(dòng)能否正常運(yùn)作，事關(guān)重大。醫(yī)院信息系統(tǒng)(HospitalInformationSystem專業(yè)整理知識(shí)分享完美WORD格式HIS)是醫(yī)院重要的醫(yī)療信息基礎(chǔ)設(shè)施，HIS系統(tǒng)一般以大型數(shù)據(jù)庫（如Oracle數(shù)據(jù)庫）系統(tǒng)為基礎(chǔ)平臺(tái)，由門診掛號(hào)管理系統(tǒng)、醫(yī)療診治系統(tǒng)、住院管理系統(tǒng)、

4、計(jì)價(jià)收費(fèi)管理系統(tǒng)、醫(yī)療器械管理系統(tǒng)、藥房管理系統(tǒng)、病案管理系統(tǒng)、醫(yī)療科研系統(tǒng)以及OA系統(tǒng)等構(gòu)成。HIS系統(tǒng)是總醫(yī)院各項(xiàng)業(yè)務(wù)運(yùn)行的重要支撐系統(tǒng)，它的特殊性決定了安全性要求極高，特別是HIS系統(tǒng)的核心——數(shù)據(jù)安全性的威脅體現(xiàn)在實(shí)際應(yīng)用中，重點(diǎn)要考慮來自二個(gè)方面的安全風(fēng)險(xiǎn)：一是來自外部安全風(fēng)險(xiǎn)，利用弱口令設(shè)置、數(shù)據(jù)庫系統(tǒng)漏洞，非授權(quán)進(jìn)入HIS系統(tǒng)訪問、拷貝和修改數(shù)據(jù)內(nèi)容，甚至可以采用SQL注入，攻擊數(shù)據(jù)庫系統(tǒng)；另一個(gè)是內(nèi)部安全風(fēng)險(xiǎn)，以合法授權(quán)身份進(jìn)入HIS系統(tǒng)對數(shù)據(jù)進(jìn)行非法的訪問和操作。由于HIS系統(tǒng)龐大，系統(tǒng)的部分

5、運(yùn)行維護(hù)工作由軟件開發(fā)商和系統(tǒng)集成商負(fù)責(zé)完成，因此該類維護(hù)人員通常具有系統(tǒng)權(quán)限，能夠進(jìn)入HIS系統(tǒng)，對系統(tǒng)的數(shù)據(jù)進(jìn)行訪問和操作。以上安全風(fēng)險(xiǎn)會(huì)引發(fā)HIS系統(tǒng)癱瘓、各種內(nèi)部數(shù)據(jù)信息被泄露和篡改、涉密數(shù)據(jù)信息被竊取和失泄等信息安全事件發(fā)生。（2）目前醫(yī)院普遍存在的問題：1.各個(gè)業(yè)務(wù)系統(tǒng)的核心數(shù)據(jù)維護(hù)人員越來越多，既有本院相關(guān)業(yè)務(wù)科室信息維護(hù)人員，也有系統(tǒng)開發(fā)商、第三方運(yùn)維外包公司，安全管理難度比較大；2.非法統(tǒng)方手段專業(yè)化，由早期的手工統(tǒng)方轉(zhuǎn)變成專業(yè)的統(tǒng)方軟件，只需要在醫(yī)院任何一臺(tái)電腦上運(yùn)行程序，就可以非常快捷的完

6、成統(tǒng)方；3.非法統(tǒng)方手段多樣化，醫(yī)生統(tǒng)方、藥房統(tǒng)方、護(hù)士統(tǒng)方、信息科統(tǒng)方、開發(fā)商外包人員統(tǒng)方等多種手段并存，且隱蔽性越來越強(qiáng)；4.操作安全缺少技術(shù)監(jiān)管手段，醫(yī)院管理制度難以落實(shí)，過分依賴于人員的“自覺性、道德水平”；5.因?yàn)樵S多防統(tǒng)方產(chǎn)品專業(yè)性太強(qiáng)，無法滿足非IT專業(yè)人員對統(tǒng)方監(jiān)管工具的易用性、直觀性的要求，使醫(yī)院的管理層醫(yī)院和監(jiān)察部門不易及時(shí)、準(zhǔn)確地監(jiān)管同方行為。隨著藥物統(tǒng)方商業(yè)違法行為造成的社會(huì)影響越來越被關(guān)注，國家主管部門出臺(tái)了反商業(yè)統(tǒng)方的相關(guān)法律和制度，對醫(yī)療系統(tǒng)提出明確管理責(zé)任要求：★2007年《關(guān)于

7、加強(qiáng)醫(yī)院信息系統(tǒng)藥品、高值耗材統(tǒng)計(jì)功能管理的通知》（衛(wèi)辦醫(yī)發(fā)[2007]163號(hào)）★2010年《衛(wèi)生部關(guān)于進(jìn)一步深化治理醫(yī)藥購銷領(lǐng)域商業(yè)賄賂工作的通知》----專業(yè)整理知識(shí)分享完美WORD格式要對醫(yī)院各個(gè)部門通過計(jì)算機(jī)網(wǎng)絡(luò)查詢醫(yī)院信息的權(quán)限實(shí)行分級管理----對醫(yī)院信息系統(tǒng)中有關(guān)藥品、高值耗材使用等信息實(shí)行專人負(fù)責(zé)、加密管理，嚴(yán)格統(tǒng)方權(quán)限和審批程序，未經(jīng)批準(zhǔn)不得統(tǒng)方，嚴(yán)禁為商業(yè)目的統(tǒng)方?！?、解決的問題n滿足法案法規(guī)要求，順利通過IT審計(jì)。隨著信息化的建設(shè)，安全性和標(biāo)準(zhǔn)化越來越被重視。特別來自監(jiān)管部門，通過頒布

8、各種法案法規(guī)以及相關(guān)指引，來加強(qiáng)企業(yè)內(nèi)控。比如：政府行政事業(yè)單位或者是國有企業(yè)需要滿足《信息系統(tǒng)安全等級保護(hù)基本要求》，國內(nèi)上市公司需要執(zhí)行《企業(yè)內(nèi)部控制基本規(guī)范》，各行業(yè)合規(guī)性滿足《銀行業(yè)信息科技風(fēng)險(xiǎn)管理指引》、《證券公司內(nèi)部控制指引》、《電力二次系統(tǒng)安全防護(hù)規(guī)定》等。n完整審計(jì)業(yè)務(wù)信息，重溯業(yè)務(wù)準(zhǔn)確定責(zé)。審計(jì)數(shù)據(jù)是否完整直接決定審計(jì)的成敗，0.01%數(shù)據(jù)的丟失也不能完整重溯業(yè)務(wù)流。