医者，讲求对症下药。然而近年来，医疗行业却面临着愈演愈烈的数据安全问题，究其原因，是各行业对医疗数据价值认知的不断提升。当前，市面上的数据库审计产品种类繁多，其中不乏经网络审计“换皮”的产物，医疗机构如何为自己做出选择？本文从“针对性”的角度出发，谈谈医疗数据安全审计的“对症下药”。

医疗数据安全不仅影响着医院的正常运转，更关乎医生、患者的个人隐私安全，这些重要敏感信息一旦泄露，将造成难以估量的经济损失、声誉损害乃至生命安全问题。因此，医疗数据安全审计工作须对“想当然”和“大概齐”等思想和做法“Say no”；通过有针对性的系统防护手段，做到“对症下药”，才能“药到病除”：

对症下药1：满足合规要求

《网络安全法》、等保2.0、《信息安全技术 个人信息安全规范》均有对数据在采集、处理、分析和挖掘等过程中进行安全审计（跟踪、监测、记录、留存）的相关要求；《信息安全技术 健康医疗信息安全指南》中，更针对医疗数据安全提出具体要求：

1、统方行为事前分析

系统可建立“学习期”，将HIS、LIS、CIS、PACS、EMR 等系统执行的SQL 语句归类成模板，并结合访问来源、访问工具、应用系统访问行为等，实现数据库行为建模。对可能发生的统方行为、外部攻击行为以及新型语句进行归类，提供趋势分析。

2、统方行为事中预警

系统提供实时告警功能，对正在发生的统方行为、外部攻击行为告警通知，告警方式包括：短信告警、微信告警、邮件告警、SNMP trap、Syslog 等。

3、统方行为事后追溯

系统提供多维度的统计、分析能力，包括：对象统计、风险统计、行为统计、访问会话统计等，其中对象统计功能，可对敏感对象的访问行为、操作行为做统计、分析，可定向追溯风险访问来源。

1、处方数据访问行为追溯

系统面向处方数据的SQL 操作提供丰富的检测查询功能，定向追溯每一条SQL 语句的访问来源、操作过程、执行结果以及风险命中情况。

2、个人信息对象级监控

为强化医疗系统对“个人信息”的保护理念，系统提供面向敏感对象（个人信息）的统计分析和深度追溯。可清晰展现敏感对象被执行了哪些操作以及操作的频次和来源。

3、医疗系统业务行为分析

系统提供医疗系统的默认规则及信息参数，用户可快速添加数据库并结合医疗系统信息综合分析，实现系统登录账户追溯、非法系统追溯、违规系统行为追溯等。

此外，本系统采用开放性战略，已同业内主流堡垒主机厂商完成产品联调及信息联动，通过强强携手，共建医疗信息安全体系。传送门：详情点击《安华金和与圣博润正式签署核心产品战略合作协议》。

医疗行业数据安全审计选择【医疗专版】；安华金和，让数据使用更安全。