在医疗行业，有一个专业名词，叫做“统方”。顾名思义，其含义是医院对医生用药信息量的统计。

　　而随着商业社会的一些不良现象的滋长繁衍，“统方”这个专有名词，和“同志”、“小姐”、 “八卦”等名词一样，出现了词义的变异，成为某种特指。“统方”现在出现频率最多的，就是特指在医药灰色产业链中，为商业目的的“统方”，其主要指医院中个人或部门为医药营销人员提供医生或部门一定时期内临床用药量统计信息，供其作为发放药品回扣等不良违法行为的重要参考依据。

　　由此显而易见，“统方”天然是建立医药回扣黑链的重要枢纽环节，已经成为国家和媒体关注的重要社会焦点问题。鉴于此，我国卫生部曾反复强调，对于违反规定，未经批准擅自“统方”或者为商业目的“统方”的，不仅要对当事人从严处理，还要严肃追究医院有关领导和科室负责人的责任。

　　尽管这种非法统方，已经成为主管部门、医院方面打击治理的重点，然而近年来，打击治理效果却并不十分理想。有业内专家分析其原因，认为现状下的非法统方手段，主要是源自信息化技术和系统而产生，仅仅以传统的管理和查处方法，如果不搭配以更合理的网络和信息安全技术手段，根本没法有效解决问题。

　　俗话说，魔高一尺，道高一丈。那么，非法统方这个产自于信息化系统下的“妖魔”，究竟应该用什么样的信息安全之“道”来降服呢？

　　统方泄密

　　医院信息安全遇挑战

　　作为传统的医药行业丑恶现象之一，医生拿医药代表回扣，然后给病人倾向性开药的现象，已经为社会所深恶痛绝。

　　药品回扣从药商发到开方者手上，需要经过一个必不可少的环节，就是“统方”。 统方就是将开出某种药品的医生名单及药品数量统计出来，药品提供商的医药代表们便依此“论功行赏”，给各个医生按照其开药多少进行付费。可以讲，统方清单是医药代表们做这项“回扣工作”的重要参考依据，因为医生数量众多，如果没有清晰的统方数据，每个医生的回扣费用，根本无从计算，那么，这条腐败丑恶的医药灰色链条，也就面临着断裂的结果。

　　因此，对非法统方的防范，成为医疗行业一直以来抵制医生回扣不良现象的重要措施。国家相关主管部门均高度重视防统方工作。卫生部多次要求，各级卫生行政部门和各类医疗机构加强医院信息系统药品、高值耗材统计功能管理，避免为不正当商业目的统计医师个人和临床科室有关药品、高值耗材用量信息。要对医院信息系统中有关药品、高值耗材使用等信息实行专人负责、加密管理，严格“统方”权限和审批程序，未经批准不得“统方”，严禁为商业目的“统方”。各级卫生行政部门要加大对辖区内医疗机构“统方”行为的监督检查力度。对未落实“统方”管理要求的医疗机构，要责令其限期整改，尽快建立健全有关管理制度。

　　近年来，从卫生部到各省卫生厅，各级主管单位陆续出台若干项法律法规，严格禁止商业非法“统方”。然而，上有政策，下有对策。“统方”事件频频发生，屡禁不止，有关医药代表与医生、信息科人员勾结，非法获取医疗统方数据的报道层出不穷。

　　2011年2月，某东部省会城市200多名医生回扣事件被爆光。网上公布了医药销售公司一月份的医疗回扣统计详单公布;医生回扣金额从几十元~几万元不等。

　　2011年6月10日， “温州两个三甲医院近百名医生受贿事件”被曝光。

　　……

　　2011年“统方”事件似乎仍在延续火热的势头。统方问题难以禁止，医院统方依然通过医院信息系统各种渠道传输给医药代表们，使得医生回扣这条灰色产业链继续通畅运行。

　　目前，卫生行业信息系统均采用专网互联，并采用了防火墙、杀毒软件等基本的安全防护软件，但仍然存在众多安全威胁和监管漏洞，导致非法“统方”行为的发生。一般而言，现在医院统方途径主要有四大方面，简单分析如下：

　　第一，his应用系统相关功能提供的统方。

　　医院的his等医疗系统，集中了处方统计分析业务、处方查询(药剂科)，以及挂号、病历、诊疗信息管理等核心业务模块，后台涉及到医生、药品、剂量、单价、应收金额等直接或间接能够“统方”的信息，这些功能本身提供详尽的统方表格，同时该应用系统有部分高权限用户拥有统方权限，例如，一些医院的药剂科本身就兼具正常“统方”的职责，在一定的时间药剂科科长需要对医生、药品和剂量信息进行统计，以防止医生用药比例过高导致医生停诊。因此，如果his应用系统本身管理制度出现漏洞，或者有权限的医院内部人员出现问题，就会导致统方数据外泄的威胁。但这个途径逐步已经不成为非法统方的主要途径，这是因为尽管这是统方最直接和便捷的通道，但也是非法统方者最危险的通道，因为his系统本身对相关权限和开放权限的人员，构建了严格的管理和审计体制，对于当前主流his系统，很难钻到空子。

　　第二，内部信息资源管理人员非法“统方”

　　随着信息化水平提升，医院信息中心人员也迅速增加，他们负责医院信息化建设，以及日常it网络设备、数据库等程序的维护工作，这些管理人员掌握着sys、system等超级用户，这些用户具备了访问所有it网络设备、服务器、应用数据库的权限;从而使毫无业务需要的信息中心工作人员能够访问所有处方数据，具备“统方”的最佳途径;另外，数据库管理员(简称：dba人员)也可以直接查询数据库中的用户密码表，使用具备统方权限的应用用户登录到his系统直接进行非法“统方”。由于这个群体对于信息系统的操作熟悉程度，以及目前对于超级用户的技术审计比较薄弱，因此，事实证明，这是目前比较主要的非法统方途径。

　　第三，开发人员、维护人员非法“统方”。

　　医疗信息系统的开发和维护人员掌握着系统访问数据库的用户名和口令，这些人员经常需要在医院内部进行日常工作，完全可以使用该数据库用户直接登录数据库，构造统方sql进行非法“统方”。

　　第四，黑客入侵医疗系统非法“统方”。

　　在高额利益的驱使下，当前黑客窃取“统方”数据的问题已不容忽视。总结黑客的手段无外乎以下三种：1)利用his等医疗系统的web漏洞入侵数据库;2)利用数据库漏洞直接入侵数据库;3)入侵数据库服务器主机直接窃取数据库文件、备份文件等。