“統(tǒng)方”行為是醫(yī)療行業(yè)的黑暗交易中最重要的一環(huán)����,通過(guò)對(duì)醫(yī)生處方數(shù)據(jù)進(jìn)行統(tǒng)計(jì),供醫(yī)藥營(yíng)銷人員對(duì)醫(yī)生發(fā)放藥品“回扣”����。由于醫(yī)生用藥量數(shù)據(jù)存儲(chǔ)在核心數(shù)據(jù)庫(kù)系統(tǒng)中,那么“防統(tǒng)方”的著手點(diǎn)自然應(yīng)當(dāng)從數(shù)據(jù)庫(kù)的安全防護(hù)角度出發(fā)���,首先我們對(duì)于醫(yī)療信息系統(tǒng)進(jìn)行了分析����,對(duì)于內(nèi)網(wǎng)中的核心信息系統(tǒng)��,敏感數(shù)據(jù)的泄露風(fēng)險(xiǎn)點(diǎn)聚焦在內(nèi)部及第三方外包人員:
內(nèi)部數(shù)據(jù)庫(kù)備份管理人員�����、網(wǎng)管人員或服務(wù)器管理員:
可將數(shù)據(jù)庫(kù)存儲(chǔ)文件或備份文件拷貝�����,異地恢復(fù)還原后����,直接獲得所有數(shù)據(jù)��;
信息中心數(shù)據(jù)庫(kù)管理員DBA:
有權(quán)限直接訪問(wèn)數(shù)據(jù)庫(kù),隨時(shí)導(dǎo)出所有敏感數(shù)據(jù)�,目前沒(méi)有任何安全措施限制管理員訪問(wèn)敏感信息,一旦發(fā)生泄密事件���,DBA無(wú)法免除責(zé)任����;
開發(fā)商實(shí)施人員/開發(fā)人員:
可通過(guò)掌握的數(shù)據(jù)庫(kù)賬戶口令��,繞開業(yè)務(wù)應(yīng)用系統(tǒng)��,直接訪問(wèn)醫(yī)療核心信息系統(tǒng)數(shù)據(jù)庫(kù)���;
測(cè)試人員:
訪問(wèn)測(cè)試庫(kù)�����,同樣可以看到所有真實(shí)的敏感數(shù)據(jù)����;
內(nèi)網(wǎng)中其他業(yè)務(wù)處室人員:
現(xiàn)有醫(yī)療系統(tǒng)仍然有c/s架構(gòu)的客戶端直接連數(shù)據(jù)庫(kù)�����,同時(shí)數(shù)據(jù)庫(kù)服務(wù)器沒(méi)有安全手段,確保只接受來(lái)自于應(yīng)用服務(wù)器等固定IP地址的數(shù)據(jù)訪問(wèn)����,在知道數(shù)據(jù)庫(kù)賬戶后,通過(guò)其他計(jì)算機(jī)的數(shù)據(jù)庫(kù)客戶端訪問(wèn)數(shù)據(jù)庫(kù)導(dǎo)致數(shù)據(jù)泄密�。
分析對(duì)HIS系統(tǒng)的后臺(tái)數(shù)據(jù)庫(kù)系統(tǒng)進(jìn)行實(shí)時(shí)的安全防護(hù),能夠有效避免“統(tǒng)方”行為的發(fā)生��。我們將在后文中介紹相應(yīng)的數(shù)據(jù)庫(kù)安全防護(hù)思路����。
產(chǎn)品咨詢:4000 258 365 
