文档介绍:TRUST CAPAA
商业目的”统方”,是指医院内外的个人或部门为医药营销人员提供医生或部门一定时期内临床用药量信息,供其发放药品回扣的行为。
商业”统方”是目前医疗回扣***的核心环节,只要避免或者降低商业”统方”,就可以中断医疗***体系的顺利运转,抬高医疗***成本,降低医疗***的可能性。
商业“统方”
统方行为,其本质是中性的,只有统方成为利益结算依据的时候才表现出伤害性和非法性。
审计无法阻止“非法统方”事件一而再的发生。
统方数据被非法获取后,无法追回。
美创防统方与审计区别
统方
数据
事中通知
事后审计
事中审批
事先防范
追踪和发现提供 进一步的证据
授权、审批保障统方
安全
构筑商业统方防御体系,第一时间发现并阻断
发现可疑统方,及时通知
全方位”防统方”措施
统方威胁
来自于非业务系统的威胁
统方
数据
代码注入式访问
访问通过exp,expdp等生成的备份文件
通过exp,expdb等合法数据备份程序访问
高权限用户越权访问
盗用HIS系统用户(Schema User)密码
HIS库主机访问
HIS库内部JOB访问
统方
威胁
统方威胁
来自于业务系统的威胁
假冒合法业务系统
HIS业务系统漏洞
盗用统方人员密码
合法统方人员泄露
合法统方、不合法统方或统方信息相关操作,都加以追踪、定位和审计。
详尽的海量审计信息提供了精细的证据;
可疑统方不仅可定位至终端IP地址,机器名,甚至能定位到具体的人【安装USB-KEY验证模块即可】。
审计信息内的SQL语句,可进行详细审计,包括SQL操作内容,SQL执行结果,执行时间等。
给监察部门提供审计报告
统方定位准确
以事先阻断构筑防御体系
统方数据保护
DBA职责分离
限制特权用户权限
Schema User访问控制
防止旁路应用程序
1
2
3
4
5
阻断有效性:
根据终端进行阻断;
根据终端应用进行阻断;
根据真实人进行阻断;
根据访问对象进行阻断;
根据SQL进行阻断。。。
阻断防火墙
阻断防火墙
阻断防火墙
SQL解析层
数据访问
SQL结果返回
与“统方相关”人员管理
业务开发人员
IT维护人员
服务厂商
合法统方人员
监察人员、纪委书记
非法统方人员
客户端
统方数据
“统方”相关人员
识别“合法统方”操作,比如药剂科统计等任务。
“统方”操作,严格执行授权,并授权到人。
监察部门(包括书记),既能监视,又能控制。
合法统方管理
以事中授权和统方流程审批保障“统方数据”访问安全
客户端
敏感数据
合法统方人员
授权
监察
(书记)