为防“统方黑手” 安徽14家医院将安装“回扣杀手”(转)

来自：http://news.hefei.cc/2011/0715/020066660.shtml

另一些信息参加：http://baike.baidu.com/view/5128820.htm

***     我在想现有的普通HIS很难在防统方面形成坚强的屏障。除非厂商针对统方进行特殊的保密设计。或许在过去的设计中，只是把他当做一个普通mis来设计的。

          1. 登录密码长期固定不变，以致恶意获取密码并能长期统方。

          2. 对客户端登录数据库没有限制，没有一个机制防止非厂商的client连接到数据去。

          3. 一些数据库允许从内网的电脑上通过安装数据库客户端或者web客户端进行登录。这是很大的漏洞。对于非厂商客户端的任何连接应该只允许在DB服务器上登录。

          4. 应该有个动态的认证和密码验证过程。不应该让人随便能静态地登录和执行一个语句。

          5. 应该中间层或者服务层和厂商客户端有个动态的互动的认证和加密过程。

          6. 数据库某些字段应该考虑较强的加密措施，而不应该像现在这样主要依靠varchar和fk-id来直接存放。

          7. 统计都是对表的select只读，可能日志方面欠缺记录，应该对敏感信息部分的select也要提供一个凭证或者协议好的processid。

          8. 如果厂商程序本身的模组被反编译利用，这是很难避免的。必须结合一些IP和登录时间，和一些异常日志来发现。

***

                 

           药品回扣的存在，久为社会诟病。回扣从药商发到开方医生手上，需要经过一个必不可少的环节——“统方”。记者14日从省卫生厅获悉，14家省级医院将全面推行“防统方”软件，通过在医院管理系统上安装“反腐慧眼”，达到“防统方”目的。安徽省卫生厅监察室主任金国文介绍，经过试点，“防统方”手段产生的震慑作用已经显现，医院内的“统方黑手”已有收敛。

“统方”是医院对医生用药信息量的统计。商业目的“统方”，则是将开出某种药品的医生名单及药品数量统计出来，药商依此“论功行赏”。因此，“统方”成为药品回扣从药商发到开方者手上一个必不可少的环节。近年来，随着各家医院相继开通HIS（医院信息管理系统），“黑手”只要登录相关数据库，即可获得精确的统计数字。因此，监控HIS成了“防统方”的关键。

根据卫生部要求，各级卫生行政部门和各类医疗机构必须加强医院信息系统药品、高值耗材统计功能管理，严格“统方”权限和审批程序，未经批准不得“统方”，严禁为商业目的“统方”。

借鉴相关经验，安徽省卫生厅在省级医院全面推行“防统方”软件。安徽省卫生厅有关负责人表示，“防统方”软件的工作原理，首先是将网络地址定位到每台电脑、每个使用者；再核定相关数据库授权登录者。如果是越权登录，或是在非正常时间登录，就会在网上留下作案的痕迹。

“我们已经完成了‘防统方’软件的招标，最近一周即可安装并运行该软件。”安医大二附院纪委副书记、监察审计部部长方增华介绍，“此次在省级医院推行的‘防统方’软件，可以说是科技防腐手段。它能增加‘统方’的难度，使药商很难拿到准确的医生开方记录。”方增华说，省级医院每天的开方量非常大，“防统方”软件能即时监控HIS中的操作行为，对越权登录、非正常时间段操作等行为，会自动生成“嫌疑”报告。“防统方软件其实是针对药品回扣的一种侦察手段，能产生明显的震慑作用。9月份左右，我们还将结合软件使用，出台明确的违规操作处理规定。”

作为试点单位，安徽省中医院还出台了《关于严格禁止工作人员非法“统方”的规定》，建立药品用量动态监测及超常预警制度，将“防统方”软件和严密监控院内销售前20位的药品、药品采购岗位人员定期轮岗等结合起来。

安徽省中医院表示，针对可能出现的医院工作人员为医药营销人员“统方”行为，一经发现和查实将严肃处理，情节严重者予以解聘；对由于教育不力、管理不严，造成医生用药信息泄漏，并为医药营销人员“回扣”提供方便的，除追究当事人责任外，还要追究当事人所在科室负责人的责任。（冯立中、马芹芹、郑慧、唐娜）