2005-2008年海寧某醫(yī)院信息科信息管理員王某,通過醫(yī)生用藥數(shù)據(jù)庫中的藥品及醫(yī)療設(shè)備的采購資料��、醫(yī)生用藥量等信息資料�,向藥品經(jīng)銷商沈某、方某等人出售“統(tǒng)方”信息�,非法獲利14萬元。
2008-2010年1月��,杭州某醫(yī)院計算機(jī)網(wǎng)絡(luò)中心副主任金某與職員林某�����,向藥品銷售商李某等人出售“統(tǒng)方”信息���,非法獲利13萬元。
當(dāng)前�,非法“統(tǒng)方”作為醫(yī)藥回扣黑鏈的重要一環(huán),受到國家、社會和媒體的廣泛關(guān)注�����。數(shù)據(jù)庫因存儲著大量的用藥和醫(yī)療設(shè)備采購信息�����,歷來是進(jìn)行非法“統(tǒng)方”的主要途徑和目標(biāo)�。近年來,諸如醫(yī)藥代表與醫(yī)院信息部門人員勾結(jié)�����、非法“統(tǒng)方”的案件頻發(fā)��,如何防范由此產(chǎn)生的數(shù)據(jù)安全風(fēng)險�����,已成為醫(yī)療行業(yè)信息化建設(shè)的重點工作之一�����。
非法“統(tǒng)方”場景分析
1�����、醫(yī)療系統(tǒng)使用者非法“統(tǒng)方”
HIS等醫(yī)療系統(tǒng),集中了處方統(tǒng)計分析業(yè)務(wù)����、處方查詢(藥劑科),及掛號���、病歷����、診療信息管理等核心業(yè)務(wù)模塊��,后臺涉及醫(yī)生��、藥品�、劑量、單價����、應(yīng)收金額等直接或間接可“統(tǒng)方”信息���,如果未對此類功能和數(shù)據(jù)進(jìn)行嚴(yán)格控制��,將為非法“統(tǒng)方”提供可乘之機(jī):
(1)利用處方統(tǒng)計分析業(yè)務(wù)功能��,在HIS中直接“統(tǒng)方”
一些醫(yī)院的藥劑科本身就兼具正?��!敖y(tǒng)方”的職責(zé)���,在一定時間藥劑科科長需要對醫(yī)生、藥品和劑量信息進(jìn)行統(tǒng)計���,以防止醫(yī)生用藥比例過高導(dǎo)致醫(yī)生停診�。但目前HIS系統(tǒng)對該權(quán)限的控制并不嚴(yán)格����,使得任何人員、任何時間�、任何機(jī)器均可能濫用“統(tǒng)方”功能。
(2)利用處方查詢業(yè)務(wù)功能����,在HIS中間接“統(tǒng)方”
藥劑科進(jìn)行處方查詢、處方打印操作����,本身就需要具備查看處方中藥品����、醫(yī)生名稱�、藥品數(shù)量等關(guān)鍵信息的權(quán)限。合法業(yè)務(wù)操作是基于處方編號進(jìn)行精確查詢��,僅能返回特定處方的信息���;但如果應(yīng)用系統(tǒng)的開發(fā)控制不嚴(yán)����,被人為篡改查詢語句或植入按時間范圍����、按醫(yī)生及藥品名稱進(jìn)行批量查詢的報表,則能夠迅速地獲取批量處方信息���,并在此基礎(chǔ)上間接完成“統(tǒng)方”�。
2�����、開發(fā)人員���、維護(hù)人員非法“統(tǒng)方”
醫(yī)療信息系統(tǒng)的開發(fā)和維護(hù)人員掌握著系統(tǒng)訪問數(shù)據(jù)庫的用戶名和口令��,他們經(jīng)常需要在醫(yī)院內(nèi)部開展日常工作�����,完全可以借此直接登錄數(shù)據(jù)庫��,構(gòu)造統(tǒng)方SQL進(jìn)行非法“統(tǒng)方”�����;同樣�,信息科人員掌握著SYS���、SYSTEM等超級用戶����,具備訪問所有數(shù)據(jù)的權(quán)限�。因此,毫無業(yè)務(wù)需要的DBA人員也能夠訪問所有處方數(shù)據(jù)�,具備“統(tǒng)方”的最佳途徑;此外��,DBA人員也可直接查詢數(shù)據(jù)庫中的用戶密碼表,使用具備統(tǒng)方權(quán)限的應(yīng)用用戶登錄到HIS系統(tǒng)直接進(jìn)行非法“統(tǒng)方”�����。
3�、黑客入侵醫(yī)療系統(tǒng)非法“統(tǒng)方”
在利益的驅(qū)使下,黑客竊取“統(tǒng)方”數(shù)據(jù)的行為變得十分普遍��,手段無外乎三種:利用HIS等醫(yī)療系統(tǒng)的Web漏洞入侵?jǐn)?shù)據(jù)庫����;利用數(shù)據(jù)庫漏洞直接入侵?jǐn)?shù)據(jù)庫;入侵?jǐn)?shù)據(jù)庫服務(wù)器主機(jī)直接竊取數(shù)據(jù)庫文件��、備份文件等�����。
防“統(tǒng)方”難點
目前����,醫(yī)療行業(yè)尚未形成完善的防“統(tǒng)方”解決方案,而傳統(tǒng)的網(wǎng)絡(luò)安全產(chǎn)品在防“統(tǒng)方”過程中����,又常會遇到以下兩個技術(shù)壁壘:
1����、無法防護(hù)
數(shù)據(jù)庫內(nèi)部操作不明���,無法通過傳統(tǒng)的安全工具(如:網(wǎng)絡(luò)防火墻、IPS等)來阻止內(nèi)部用戶的惡意操作�、濫用資源和泄露醫(yī)院機(jī)密信息等行為。
2���、審計問題
核心數(shù)據(jù)庫暴露在外部HIS系統(tǒng)訪問和內(nèi)部運維人員的日常操作環(huán)境中�����。外部惡意攻擊和運維側(cè)的越權(quán)操作都會導(dǎo)致統(tǒng)方信息泄露�����,而傳統(tǒng)審計產(chǎn)品無法有效追溯應(yīng)用系統(tǒng)賬戶��。
真正做到防“統(tǒng)方”
較為常見的應(yīng)對方法多是利用數(shù)據(jù)庫自身審計產(chǎn)生的日志進(jìn)行統(tǒng)方分析��,但這種方式對數(shù)據(jù)庫的性能影響較大�,且分析工作繁瑣��、資源投入大,審計信息也容易被篡改或泄露��。如何真正做到防“統(tǒng)方”��?
傳統(tǒng)的防“統(tǒng)方”產(chǎn)品無法做到對非法“統(tǒng)方”行為的攔截��,另外由于統(tǒng)方路徑的多樣性�,傳統(tǒng)的防“統(tǒng)方”產(chǎn)品無法監(jiān)控特殊的非法“統(tǒng)方”場景,比如“內(nèi)鬼”和黑客勾結(jié)��,黑客通過“合法身份”進(jìn)入數(shù)據(jù)庫�,拷走處方數(shù)據(jù)后再進(jìn)行“統(tǒng)方”。因此�����,防止非法“統(tǒng)方”行為的發(fā)生��,必須尋求新的解決方案:
首先��,對于需要進(jìn)行合法“統(tǒng)方”工作的藥房管理人員/藥劑師的統(tǒng)方行為進(jìn)行敏感數(shù)據(jù)遮蔽�����,如遮蔽醫(yī)生編號/姓名,使其無法查看或找到開藥的具體醫(yī)生��;
其次��,在運維側(cè)對醫(yī)生姓名/編號�����、藥品數(shù)量等字段進(jìn)行脫敏�,對其他一切不需要進(jìn)行“統(tǒng)方”的醫(yī)護(hù)����、運維、開發(fā)測試人員的“統(tǒng)方”行為進(jìn)行“攔截+告警”���;
最后���,對于黑客入侵到數(shù)據(jù)庫實施的“統(tǒng)方”行為,對其入侵行為進(jìn)行“攔截+告警”���,并對藥品編號���、數(shù)量等進(jìn)行加密,即使黑客通過層層攔截到達(dá)數(shù)據(jù)庫內(nèi)部,或跟“內(nèi)鬼”勾結(jié)以“合法身份”接入數(shù)據(jù)庫�����,也無法進(jìn)行“統(tǒng)方”操作�,更無法通過對處方數(shù)據(jù)“拖庫”的方式進(jìn)行“統(tǒng)方”。
產(chǎn)品咨詢:4000 258 365 
