2005-2008年海寧某醫(yī)院信息科信息管理員王某�����,通過(guò)醫(yī)生用藥數(shù)據(jù)庫(kù)中的藥品及醫(yī)療設(shè)備的采購(gòu)資料���、醫(yī)生用藥量等信息資料���,向藥品經(jīng)銷商沈某、方某等人出售“統(tǒng)方”信息����,非法獲利14萬(wàn)元。
2008-2010年1月,杭州某醫(yī)院計(jì)算機(jī)網(wǎng)絡(luò)中心副主任金某與職員林某�����,向藥品銷售商李某等人出售“統(tǒng)方”信息�����,非法獲利13萬(wàn)元�����。
當(dāng)前�,非法“統(tǒng)方”作為醫(yī)藥回扣黑鏈的重要一環(huán),受到國(guó)家����、社會(huì)和媒體的廣泛關(guān)注。數(shù)據(jù)庫(kù)因存儲(chǔ)著大量的用藥和醫(yī)療設(shè)備采購(gòu)信息�,歷來(lái)是進(jìn)行非法“統(tǒng)方”的主要途徑和目標(biāo)。近年來(lái)����,諸如醫(yī)藥代表與醫(yī)院信息部門人員勾結(jié)、非法“統(tǒng)方”的案件頻發(fā)����,如何防范由此產(chǎn)生的數(shù)據(jù)安全風(fēng)險(xiǎn)��,已成為醫(yī)療行業(yè)信息化建設(shè)的重點(diǎn)工作之一�����。
非法“統(tǒng)方”場(chǎng)景分析
1�����、醫(yī)療系統(tǒng)使用者非法“統(tǒng)方”
HIS等醫(yī)療系統(tǒng)���,集中了處方統(tǒng)計(jì)分析業(yè)務(wù)、處方查詢(藥劑科)��,及掛號(hào)��、病歷�����、診療信息管理等核心業(yè)務(wù)模塊����,后臺(tái)涉及醫(yī)生、藥品�����、劑量��、單價(jià)���、應(yīng)收金額等直接或間接可“統(tǒng)方”信息��,如果未對(duì)此類功能和數(shù)據(jù)進(jìn)行嚴(yán)格控制����,將為非法“統(tǒng)方”提供可乘之機(jī):
(1)利用處方統(tǒng)計(jì)分析業(yè)務(wù)功能�����,在HIS中直接“統(tǒng)方”
一些醫(yī)院的藥劑科本身就兼具正?���!敖y(tǒng)方”的職責(zé),在一定時(shí)間藥劑科科長(zhǎng)需要對(duì)醫(yī)生�、藥品和劑量信息進(jìn)行統(tǒng)計(jì),以防止醫(yī)生用藥比例過(guò)高導(dǎo)致醫(yī)生停診���。但目前HIS系統(tǒng)對(duì)該權(quán)限的控制并不嚴(yán)格����,使得任何人員、任何時(shí)間����、任何機(jī)器均可能濫用“統(tǒng)方”功能。
(2)利用處方查詢業(yè)務(wù)功能����,在HIS中間接“統(tǒng)方”
藥劑科進(jìn)行處方查詢、處方打印操作���,本身就需要具備查看處方中藥品��、醫(yī)生名稱�����、藥品數(shù)量等關(guān)鍵信息的權(quán)限。合法業(yè)務(wù)操作是基于處方編號(hào)進(jìn)行精確查詢�����,僅能返回特定處方的信息;但如果應(yīng)用系統(tǒng)的開發(fā)控制不嚴(yán)�����,被人為篡改查詢語(yǔ)句或植入按時(shí)間范圍�����、按醫(yī)生及藥品名稱進(jìn)行批量查詢的報(bào)表����,則能夠迅速地獲取批量處方信息,并在此基礎(chǔ)上間接完成“統(tǒng)方”����。
2、開發(fā)人員���、維護(hù)人員非法“統(tǒng)方”
醫(yī)療信息系統(tǒng)的開發(fā)和維護(hù)人員掌握著系統(tǒng)訪問(wèn)數(shù)據(jù)庫(kù)的用戶名和口令�����,他們經(jīng)常需要在醫(yī)院內(nèi)部開展日常工作����,完全可以借此直接登錄數(shù)據(jù)庫(kù),構(gòu)造統(tǒng)方SQL進(jìn)行非法“統(tǒng)方”�;同樣,信息科人員掌握著SYS�、SYSTEM等超級(jí)用戶,具備訪問(wèn)所有數(shù)據(jù)的權(quán)限����。因此,毫無(wú)業(yè)務(wù)需要的DBA人員也能夠訪問(wèn)所有處方數(shù)據(jù)���,具備“統(tǒng)方”的最佳途徑�����;此外���,DBA人員也可直接查詢數(shù)據(jù)庫(kù)中的用戶密碼表,使用具備統(tǒng)方權(quán)限的應(yīng)用用戶登錄到HIS系統(tǒng)直接進(jìn)行非法“統(tǒng)方”����。
3、黑客入侵醫(yī)療系統(tǒng)非法“統(tǒng)方”
在利益的驅(qū)使下���,黑客竊取“統(tǒng)方”數(shù)據(jù)的行為變得十分普遍�,手段無(wú)外乎三種:利用HIS等醫(yī)療系統(tǒng)的Web漏洞入侵?jǐn)?shù)據(jù)庫(kù)�;利用數(shù)據(jù)庫(kù)漏洞直接入侵?jǐn)?shù)據(jù)庫(kù);入侵?jǐn)?shù)據(jù)庫(kù)服務(wù)器主機(jī)直接竊取數(shù)據(jù)庫(kù)文件�����、備份文件等�。
防“統(tǒng)方”難點(diǎn)
目前,醫(yī)療行業(yè)尚未形成完善的防“統(tǒng)方”解決方案����,而傳統(tǒng)的網(wǎng)絡(luò)安全產(chǎn)品在防“統(tǒng)方”過(guò)程中,又常會(huì)遇到以下兩個(gè)技術(shù)壁壘:
1�����、無(wú)法防護(hù)
數(shù)據(jù)庫(kù)內(nèi)部操作不明�����,無(wú)法通過(guò)傳統(tǒng)的安全工具(如:網(wǎng)絡(luò)防火墻���、IPS等)來(lái)阻止內(nèi)部用戶的惡意操作��、濫用資源和泄露醫(yī)院機(jī)密信息等行為��。
2����、審計(jì)問(wèn)題
核心數(shù)據(jù)庫(kù)暴露在外部HIS系統(tǒng)訪問(wèn)和內(nèi)部運(yùn)維人員的日常操作環(huán)境中。外部惡意攻擊和運(yùn)維側(cè)的越權(quán)操作都會(huì)導(dǎo)致統(tǒng)方信息泄露�����,而傳統(tǒng)審計(jì)產(chǎn)品無(wú)法有效追溯應(yīng)用系統(tǒng)賬戶����。
真正做到防“統(tǒng)方”
較為常見的應(yīng)對(duì)方法多是利用數(shù)據(jù)庫(kù)自身審計(jì)產(chǎn)生的日志進(jìn)行統(tǒng)方分析,但這種方式對(duì)數(shù)據(jù)庫(kù)的性能影響較大��,且分析工作繁瑣�����、資源投入大����,審計(jì)信息也容易被篡改或泄露。如何真正做到防“統(tǒng)方”�?
傳統(tǒng)的防“統(tǒng)方”產(chǎn)品無(wú)法做到對(duì)非法“統(tǒng)方”行為的攔截,另外由于統(tǒng)方路徑的多樣性,傳統(tǒng)的防“統(tǒng)方”產(chǎn)品無(wú)法監(jiān)控特殊的非法“統(tǒng)方”場(chǎng)景����,比如“內(nèi)鬼”和黑客勾結(jié)����,黑客通過(guò)“合法身份”進(jìn)入數(shù)據(jù)庫(kù),拷走處方數(shù)據(jù)后再進(jìn)行“統(tǒng)方”����。因此,防止非法“統(tǒng)方”行為的發(fā)生�����,必須尋求新的解決方案:
首先���,對(duì)于需要進(jìn)行合法“統(tǒng)方”工作的藥房管理人員/藥劑師的統(tǒng)方行為進(jìn)行敏感數(shù)據(jù)遮蔽�,如遮蔽醫(yī)生編號(hào)/姓名���,使其無(wú)法查看或找到開藥的具體醫(yī)生�;
其次�����,在運(yùn)維側(cè)對(duì)醫(yī)生姓名/編號(hào)、藥品數(shù)量等字段進(jìn)行脫敏����,對(duì)其他一切不需要進(jìn)行“統(tǒng)方”的醫(yī)護(hù)、運(yùn)維��、開發(fā)測(cè)試人員的“統(tǒng)方”行為進(jìn)行“攔截+告警”�����;
最后�,對(duì)于黑客入侵到數(shù)據(jù)庫(kù)實(shí)施的“統(tǒng)方”行為,對(duì)其入侵行為進(jìn)行“攔截+告警”���,并對(duì)藥品編號(hào)����、數(shù)量等進(jìn)行加密�����,即使黑客通過(guò)層層攔截到達(dá)數(shù)據(jù)庫(kù)內(nèi)部����,或跟“內(nèi)鬼”勾結(jié)以“合法身份”接入數(shù)據(jù)庫(kù)�����,也無(wú)法進(jìn)行“統(tǒng)方”操作���,更無(wú)法通過(guò)對(duì)處方數(shù)據(jù)“拖庫(kù)”的方式進(jìn)行“統(tǒng)方”��。
產(chǎn)品咨詢:4000 258 365 
