昂楷科技下一代防统方软件系统_医疗防统方_数据库行为审计系统-云巴巴 -云巴巴

昂楷科技下一代防统方软件系统

统方行为全面审计监控，解决医疗行业社会焦点问题新一代的软硬件一体化审计产品，不依赖于HIS软件系统。系统采用了先进的信息安全防范技术，可事前主动预防、事中实时报警，安全阻断、事后定位取证，全方位对非法统方行为进行严密监控，满足卫计委防统方的政策需求。

立即咨询

首页

数字化产品

数据安全

应用场景

满足合规要求

系统提供国家相关标准的合规自检报表，内嵌20多种审计及管理需要的风险评估报表，支持符合用户管理需要的自定义报表，可以快速满足各种合规检测需求。

统方行为集中管控

实现卫健委对下属单位的统方行为集中管控。通过集中监控中心，将下辖所有医院的防统方设备统一管理起来，可以在集中监控中心统一制定防统方策略向各医院下发，并收集所有医院的统方日志。

统方行为监控

分析医院信息系统安全需求，在不影响HIS系统、PACS系统、EMR系统等正常使用的前提下，准确描述何人、何时、何地、以何种方式进行违规统方，并提供操作过程回放，供相关人员分析。

产品能力

追溯回放
通过提取历史数据对过去可疑事件进行回放，真实展现当时的完整操作过程，使得违纪行为暴露无遗，为政府机关查处违法案件提供有力的证据。

可疑行为告警
针对可疑统方行为进行实时告警、可视化展现，提前发现统方行为。

行为审计
实时监控来自各个层面的所有数据库活动，对数据库操作行为分析，提取关键要素进行审计，识别统方、违规等风险行为。

可疑精确定位
分析现有防统方策略设置的合理性，精确定位可疑对象;多种查询方式，多种报告输出。

重点监控
进行细粒度、双向、多层溯源分析，防止越权操作行为。将违法、违规行为扼杀在萌芽状态。

操作行为记录
记录所有的数据库操作行为，实时监控来自各个层面的所有数据库活动。

产品优势

超强适配，广泛兼容超省心

内置500+的防统方规则，支持东华、东软、天健、置业、杭创等20+HIS系统，兼容Caché DB、Oracle、SQLSever等20+关系型和非关系型数据库。快速适配客户的业务环境，提高部署效率，降低维护成本。

智能甄别，伸手统方必被捉

相比传统防统方需要后期纪委人工甄别大量高危数据，下一代防统方通过系统策略支撑，直接锁定统方人员；根据统方内容特点，对药品名称、数量、金额、耗材等字段进行智能规则配置，并可自定义规则，智能触发非法统方行为告警。

独立纪检委平台，方便非专业人员使用

纪检委检查平台由检查日历模块、统方信息检索模块、告警模块以及抗生素TOP统计、高耗材TOP统计模块，这些信息会以通俗易懂的语言进行展示，方便纪检委或者领导独立使用，无需信息科介入。

主动拦截，非法统方难得逞

在下一代防统方系统中，增加了对sql注入、暴力破解、撞库、拖库，APT攻击等攻击行为，还有非法统方的主动拦截功能，发现非法统方时除了告警还有阻断非法统方操作的能力。

深度检测，违规操作快准狠

独创的“六元组”解决了在复杂环境下难以定位到人的问题；支持函数、绑定变量、超长语句、嵌套、脚本等复杂SQL精准审计。

总体架构

昂楷防统方系统由基础层、引擎层、业务层和接口管理层组成。其中，基础层和引擎层共同构成了昂楷领先于同行产品的后台架构，该架构可概括为“一库”“二机制”、“三平台”、“四引擎”。

支持多种数据库类型

同时支Oracle 8/9/10/11、DB2、INFORMIX、SYBASE、Microsoft SQL Server；97/2000/2005/2008、MYSQL、POSTGRESQL、CACHE；国内唯一支持的厂商，cache正在成为高性能数据库应用场景的新宠等；同时支持多个系统数据库的审计；同时支持不同类型的防统方/数据库的审计。

支持多家HIS厂商应用系统审计

东华、方正、杭州创业、中天、天健、金蝶（慧通）、巨龙、用友、中软、东软、郑州新益华、南京德朗诺、厦门智业、新星、伟正…等

部署方案

为了完全不影响数据库系统自身运行与性能，数据库安全审计系统应支持采用旁路监听或模式，具体可分为核心交换机网络监听模式、网桥模式和数据库系统主机上实施监听模式。

交换机网络监听模式

通过在核心交换机上设置端口镜像模式或采用TAP分流监听模式，使安全审计引擎能够监听到所有用户通过交换机与数据库进行通讯的全部操作。具体部署结构如图所示。

集中管理平台部署模式

过去在大型审计项目及医疗机构防统方集中管理中，无法实现对数据库审计设备或防统方系统的集中管理、维护，监控、预警，审计中心很难得到有效的汇总报告，设备出现故障无法及时准确定位、权限分散的管理模式使管理维护成本居高不下等问题，昂楷科技提供了业界最为领先的数据库审计或防统方集中管理和技术手段，彻底解决了大型数据库审计项目或大型区域医疗防统方系统面临的部署、管理、监控、预警以及日志方面的问题。

产品功能

独立的审计模式

在数据安全时代，独立的审计模式符合相关标准和法规的要求。昂楷防统方系统采用独立的安全结构，通过交换机镜像完成数据的采集，不需要在应用系统、终端安装任何插件，其部署与运维不影响原有网络及应用。同时，昂楷防统方系统采用三权分立的模式，这使得数据库维护或开发小组，安全审计小组的工作进行适当的分离。而且，审计工作不影响数据库的性能、稳定性或日常管理流程。审计结果独立存储于昂楷防统方系统自带的存储空间中，避免了数据库特权用户或恶意入侵数据库服务器用户，干扰审计信息的公正性。

审计细腻度更深

全面性：针对业务层、应用层、数据库等各个层面的操作进行跟踪定位，包括数据库SQL执行情况、数据库返回值等。细粒度：精确到表、对象、记录内容的细粒度审计策略，实现对敏感信息的精细监控；独立性：基于独立监控审计的工作模式，实现了数据库管理与审计的分离，保证了审计结果的真实性、完整性、公正性。审计语句分析和翻译在实际项目中，有些单位有专门负责审计的机构，如在医院中，昂楷防统方系统权限由医院纪委监察室和信息科分别掌握，因数据库SQL语言及其它数据库语言如M语言的抽象性，非专业技术人员很难看懂语句的真实信息以及蕴含的风险，而专业技术人员不存在该问题，为更好的方便客户使用，昂楷防统方系统提供了专业的数据分析和翻译界面。通过在配置中设置表和字段的中文别名，在翻译中以直观和易懂的语言显示审计的结果及语意关系，方便非专业技术人员的查看。

防二次泄密

在对数据库查询操作返回结果的审计中，返回信息包含了重要的敏感的信息，一旦被审计人员看到会造成信息的二次泄密，同时也会增加审计人员泄密敏感信息的可疑性。对审计结果中敏感字段进行系统级隐秘设置，可减少审计人员自身泄露敏感信息的可能性，同时也增加了数据的安全性和保密性。

分权管理

安全法规要求审计设备具有一定的权限控制，昂楷防统方系统设置了权限角色分离，如系统管理员负责设备的运行设置；审计员负责查看相关审计记录及规则违反情况；规则配置员负责数据库审计安全规则的配置等。

事件准确定位

在信息安全及虚拟化背景时代下，单靠某一个信息去定位违规操作者已经成为不可能，如内网用户大多采用DHCP分配IP地址，没有做IP-MAC绑定及相应的准入规则，用户可通过更改操作系统名、IP地址、MAC地址等方式逃避追踪，传统的数据库审计定位往往局限于IP地址和MAC地址，很多时候不具备可信性。因此只有通过关联尽可能多的身份定位信息进行定位以及做一定的准入权限设置，其审计结果才具有可靠性，才能作为电子证据。昂楷防统方系统可以对IP、MAC、操作系统用户名、使用的工具、应用系统账号等一系列进行关联分析，从而追踪到具体人。

返回结果

返回结果就是指某个查询操作所返回的数据，审计过程中可根据返回数据的内容、返回行数去直观的判断操作的危险性。昂楷防统方系统可审计到双向数据，从客户端请求到服务器端的响应，做到双向审计。

事件关联性分析

昂楷防统方系统可对响应事件进行关联，如根据IP关联出某段时间内该IP所触发的告警数量等；根据一段时间内的数据库或应用系统登录失败次数判断出暴力破解密码的可能性；根据账号的多次登录判断账号信息泄密或共享账号的可能性；相似SQL语句执行时间过长从而判断该语句设计的合理性等。根据事件关联性分析，自动涌现一批对客户具有实用价值的信息，帮助客户管理和维护好现有应用。

字符型协议审计

除支持对各种数据库访问审计外，昂楷防统方系统还支持TELNET、FTP等各种字符型协议对数据库服务器的访问，并可对其设置告警条件，如发现移动或下载数据备份文件时触发告警。

风险处理电子化

昂楷防统方系统同其它应用系统一样，支持流程的标准化，当发生数据库安全事件后，昂楷防统方系统将事件关键信息通过电邮、短信等风险发送给安全审计相关人员，在调查取证确认合法性后通过昂楷防统方系统给出处置意见信息，以确定事件的结束。审计管理员日后可通过追溯安全事件处置信息确定有无包庇及不作为行为。

访问工具监控

昂楷防统方系统自动扫描连接数据库的访问工具。从访问数据库的源头进行分析，应用系统和客户端工具根据不同的数据库类型可通过ODBC、JDBC、直连等方式连接数据库，直接连接工具如Winsql，Plsql及CS架构的客户端工具等。如发现审计记录中出现未知的数据库连接工具或出现规定之外的连接工具，审计员可根据工具监控记录分析出使用过该工具的IP及关联的操作记录，进而取证使用该工具的源头及操作的合法性。事件场景还原

昂楷防统方系统可根据审计日志，通过事件、端口、端口等因素构建出事件的关联性及现场，通过模拟回放，模拟出整个事件的行动轨迹，通过大屏幕显示可方便分析人员及技术人员通过回放线索，直观的追溯事件的前后关联性及风险蕴含较深的操作行为。

黑白名单审计

昂楷防统方系统可根据客户意见及实际审计情况，将IP、操作语句、账号登相关信息加入黑白名单。同时，在应用系统中，因应用系统对应后台的SQL语句固定，一旦发现其中含有危险信息则可将对应的SQl加入黑名单，而一旦应用系统中有某些语句疑似风险操作但其实际并不产生危害则可加入白名单。

丰富的策略库

昂楷防统方系统根据不同的行业应用提供了不同的策略库，如在医疗行业，根据不同HIS厂家的表和字段结构信息制定了符合不同HIS厂家的防统方策略库。如根据drop、delete、alter等危险操作行为制订了数据库危险操作策略，有如根据不同工具的数据库备份信息制定了数据库备份策略库等。

变量审计

在不同数据库及应用系统中，很多值得传递都是通过变量进行，如在oracle数据库中有绑定变量，在其它数据库中也有变量一说。如审计不到变量则无法对SQL指令的危险性进行判断。昂楷防统方系统可对不同数据库的不同变量进行审计。

关注字段值提取

昂楷防统方系统可根据配置，自动提取SQL指令中某关键字段的值，如查询语句中涉及的时间范围、查询的条件。由其是在金融、高值耗材等信息中，可通过查询条件查询出财产、费用、联系人等敏感信息，通过提取关注字段的值，并通过该值设置规则，则可更精确的对数据库访问操作进行精确审计。

查询细腻度

昂楷防统方系统拥有丰富的查询条件，用户可基于IP地址、会话端口、关键字、涉及的关键表、符合的规则名、操作系统的用户名、计算机名、使用的工具名、语句的长度、语句的执行时间等设置查询和统计分析条件，细腻度越高，就越容易进行精确查询，在大数据量的背景下查询出所需要的精准信息。

独特报表功能

合规性报表：昂楷防统方系统报表和根据合规性要求，输出不同类型的报表。例如，可根据等级保护三级要求，输出符合等保相关项目满足的度的报表。策略定制化报表：根据审计人员关系的主要稳定，定制符合需求的策略规则输出报告，使审计人员能够迅速的得到自己需要去审计信息。定时报表：根据时间及报表内容定制自动报表发送策略，管理人员可定时定期收到昂楷防统方系统自动发送的报表。报表加密：昂楷防统方系统可针对报表进行加密，防止非法权限用户查看审计报表。

自身安全

昂楷防统方系统全方位确保设备本身的高可用性，主要包括：硬件级安全冗余、系统级防攻击策略、告警措施等。

非法操作协同阻断

阻断即中断正在进行的数据库访问会话，在数据库审计的过程中，当发生一些非法操作如：恶意备份、恶意查询敏感数据、查询时间过长导致数据库服务性能缓慢时都需要及时的终端该操作行为，昂楷防统方系统可与堡垒机等安全设备联动，实现对风险会话操作的实时阻断做到事中控制。

集中管理平台的技术特点

昂楷集中管理平台的部署将解决私自隐瞒、处理统方风险日志，不上报；缺少指导，风险规则设置不规范，风险数太多，疲于处理风险；风险不及时处理或很少上线查看防统方系统审计情况；设置白名单、规则等，规避数据库审计或防统方系统对自身的审计；数据库审计或防统方系统处于闲置状态，为应付上级检查才上线等问题。快速部署，集中管理：审计中心、卫计委或医院总部监察科可通过集中管理平台，实时的监控各分支医院防统方系统的运行、在线情况；实时监控各点风险告警情况：在集中管理平台下发告警策略给各分支节点，一旦有风险操作发生，集中管理平台可同时收到告警信息，了解实情；各审计点或医院防统方系统管理员只能查看不允许修改上级下发的告警策略，避免下级不报、瞒报风险告警情况；查看各审计点设置的数据库审计或防统方规则应用情况；监控各审计点的数据库审计或防统方规则设置是否合规，是否排除了对管理者本身的审计；指导下级审计点或医院的风险规则设置。监控各审计点对风险的处理情况：查看已处理和未处理的告警，根据风险发生时间、风险处理时间判断医院对风险处理的及时介入情况，尽早的介入对非法统方风险事故的处理可以将风险导致的损失降到最低；上级不监督，责任人不重视，防统方系统很容易成为摆设，监控医院风险处理的及时性可预防不作为、走形式的不良风气；监控各审计点的的白名单设置：昂楷防统方系统设置了访问者白名单，可对访问者IP、数据库用户、操作语句等作为白名单的条件，其目的是排除一些属于正常操作的疑似统方行为。通过集中管理平台对各医院白名单的监控，可避免防统方系统管理者通过白名单功能规避防统方系统的审计而进行风险操作。各审计点状态管理：监控各节点医院防统方系统的设备运行状态，如CPU、内存使用情况，运行时间等，一旦设备不受控即可发出告警；监控各节点医院审计程序运行情况。如审计口有无数据，是否停止审计等；添加、修改节点的防统方系统信息；报表集中管理：通过获取各节点防统方系统关键信息汇总生成各种报表；预留接口：可与上级医疗卫生系系统进行互联，如阳光用药系统；可与其它医疗信息化平台进行互联；