新农合是我国农村卫生改革发展的一项重大制度创新,是现阶段我国农民基本医疗保障的一个重要实现形式。新农合在减轻农民医疗负担、缓解因病致贫和返贫状况、保障农民健康方面发挥了重要作用。那么如何保证新农合数据库安全?
一、新农合信息化管理系统介绍
新农合是农村医疗保险系统,涉及人、财、物三方面的综合信息平台。
其主要涉及的功能有:转诊管理:申请单;基金管理:缴费管理、基金管理、基金分配管理、缴费标准设置等;免费体检:免费体检人员管理、免费体检费用结算等;统计分析:参合人综合查询、基金支出明细及统计、报销统计、各种补偿汇总等,药品明细,住院费用明细等。
全国新农合信息系统建设要逐步建成以两级平台(国家级、省级)为主,多级业务网络(国家、省、市、县)并存的模式。
其系统平台应用复杂、功能繁多,主要特点如下:
1、跨系统平台数据库。
2、支持国家级医疗险种。
3、第三方接口开放,支持财务接口,医院管理系统接口,医疗目录价格监管接口,以及其他接口。
5、支持时时结算模式与脱机或半脱机结算模式接口,可扩展性强,可随时满足医保及新农合业务模式的更改。
6、具有多重数据备份,数据中心自动备份数据及日志。
二、新农合信息化管理风险分析
通过对新农合信息化管理的分析研究,其信息化管理平台可能存在的数据风险有:
一、拥有庞大的数据量,其中涉及重要个人隐私信息,有可能导致信息泄露。
二、新农合信息系统支持国家医疗险种,但只要授权,即可对参合信息进行修改,且无法进行追责。
三、新农合信息系统支持多种开放接口,若与医院医药信息对接,可能引发统方行为。
四、只要授权进入新农合信息系统,即可进行信息档案管理、报销结算、会计数据查询,易导致重要信息泄露。
新农合信息管理系统囊括方方面面、大量的重要内容,且功能繁多,信息化管理漏洞可能被不法分子利用:
(一)不法分子伪造就诊资料骗取新农合基金。
2015年以来,福建省漳州市检察机关共审查起诉诈骗新农合资金案件10件28人,均为犯罪分子通过网购虚假省外住院发票等材料,利用医疗信息联网漏洞,团伙化、专业化骗取医保金的新型犯罪。
(二)个别医疗机构套取新农合基金。
根据《新华每日电讯》报道,近日南宁市邕宁区蒲庙镇卫生院被举报通过“分解住院”等方式套取新农合资金,仅2015年12月份就有200多人出现“一次住院、两次记录”的情况。因当地合管办及时发现,未造成新农合基金损失。
(三)基层村组干部侵吞农民医保费用。
四川省崇州市江源镇石鱼村17、18、20组组长谢志明,在收取本村村民2014年新农合个人缴费资金后进行截留,导致村民漏保或降档参保,涉及33人,金额5310元。
以上案例反映出新农合制度中仍然存在监管体系有待加强、制度建设有待完善、信息化建设滞后、对违法人员打击不到位等问题。
作为国家发展的重要方针及宝贵财富,我们必须清晰认识到新农合引入信息化的同时也必须把好数据安全的关口,否则不仅影响国家政策的推动,更会影响民生。
三、新农合信息化数据库安全解决方案
第一、精准定位,降低重要数据被修改可能
由于新农合信息系统中授权限制控制功能不科学,岗位授权不分离,造成人员可以随意出入系统,造成个人参合信息不安全。
任何进入系统的人员都可以更改个人参合信息,信息被篡改且不留任何痕迹,对参合信息的保密和监控难度加大。
昂楷数据库审计系统支持应用层账号、数据库账号、操作系统用户名、客户端主机名、客户端IP、客户端MAC定位,准确定位到人,加强监管力度。
第二、深度检测、双向审计,全面防范各种危险操作
新农合信息系统平台应用复杂, 功能繁多,为数据库审计带来困难。
昂楷数据库审计系统支持嵌套、函数、绑定变量、长语句、返回结果、脚本等复杂操作和隐秘操作的审计,深度识别,不漏审、不误审,准确防范各种危险操作行为。
第三、三层架构审计,准确定位访问者
三层架构导致信息割裂,让准确定位到访问者的身份成了行业难题。昂楷数据库审计系统支持应用http审计、B/S及C/S方式的COM组件审计,特别是针对采取“COM/DCOM/COM+”等组件的三层架构体系,昂楷科技独创组件穿透技术,可提取工号(账号),能准确定位到人。
第四、分布式部署,集中管理,省市县统一监管
卫生部出台的新农合医疗信息系统建设指导意见指出,提倡按照省级建立信息平台,县级建立业务操作网络,市级通过省级平台建立辖区虚拟信息管理网络的方式建立省以下新农合信息系统。
昂楷数据库审计集中管理平台能够高效管理区域内的昂楷数据库审计系统,提升区域内各机构的数据安全整体应急能力,第一时间响应处理紧急情况,能够快速了解区域节点安全审计落实情况,汇总各节点数据提供有效的报表,为管理部门制定相关信息化政策提供依据。
第五、满足合规性要求
按照国家信息安全等级保护要求,新农合网络定级为三级,三级网络在网络结构、访问控制、安全审计、边界完整性检查、入侵防范等方面都做了严格要求,如要求在网络边界部署访问控制设备,对进出网络的信息内容进行过滤,对用户访问进行身份认证,对非授权设备私自联到网络的行为进行检查等,以确保网络稳定运行。
昂楷数据库审计系统,在不影响新农合业务系统及医疗单位HIS系统等应用系统正常使用的前提下,在新农合系统核心业务服务区增设数据库审计系统,一旦出现异常违规事件,系统能够准确描述何人、何时、何地、以何种方式进行操作,并提供操作过程回放,供相关人员分析。
关于昂楷:
深圳昂楷科技有限公司是数据安全领域顶级的研发企业,公司的核心团队是来自华为、华赛等国内外知名厂商的高管及技术骨干。昂楷科技是国家工程实验室合作单位、国家涉密信息系统产品供货单位、企业信用评价AAA级信用企业、深圳智慧城市数据安全标准制定单位、中央政府协议采购供货商、中直机关协议采购供货商。
已成功研制出云数据库审计系统(首个在线服役公有云数据库安全引擎)、数据库审计系统、医疗防统方系统、集中监控管理平台等一系列数据库安全产品,其中有两项发明填补了行业空白。