行業(yè)需求與挑戰(zhàn)

2010衛(wèi)生部頒發(fā)的《衛(wèi)生部關(guān)于進(jìn)一步深化治理醫(yī)藥購銷領(lǐng)域商業(yè)賄賂工作的通知》中明確指出，“要對醫(yī)院各個(gè)部門通過計(jì)算機(jī)網(wǎng)絡(luò)查詢醫(yī)院信息 的權(quán)限實(shí)行分級管理，對醫(yī)院信息系統(tǒng)中有關(guān)藥品、高值耗材使用等信息實(shí)行專人負(fù)責(zé)、加密管理，嚴(yán)格統(tǒng)方權(quán)限和審批程序，未經(jīng)批準(zhǔn)不得統(tǒng)方，嚴(yán)禁為商業(yè)目的 統(tǒng)方。”

在高額利益的驅(qū)使下，當(dāng)前黑客竊取“統(tǒng)方”數(shù)據(jù)的問題已不容忽視?？偨Y(jié)黑客的手段無外乎以下三種：1）利用HIS等醫(yī)療系統(tǒng)的Web漏洞入侵?jǐn)?shù)據(jù)庫；2）利用數(shù)據(jù)庫漏洞直接入侵?jǐn)?shù)據(jù)庫；3）入侵?jǐn)?shù)據(jù)庫服務(wù)器主機(jī)直接竊取數(shù)據(jù)庫文件、備份文件等。

當(dāng)前部分省市醫(yī)院采用審計(jì)軟件“防統(tǒng)方”，卻面臨3大致命缺陷：

1. 事后分析，無法主動阻止內(nèi)部人員非法統(tǒng)方行為的發(fā)生；
2. 難以準(zhǔn)確地定位統(tǒng)方發(fā)生的具體操作人員，因此無法辨別非法統(tǒng)方和正常統(tǒng)方，不能起到震懾的作用；
3. 無法阻止來自于外部黑客的攻擊和存儲層的數(shù)據(jù)泄密。

方案概述

該方案的基本思路為通過對HIS、電子病歷等醫(yī)療系統(tǒng)的用戶表中密碼信息和處方表中的劑量信息進(jìn)行透明加密存儲，并對這些信息提供應(yīng)用結(jié)合的數(shù)據(jù)庫 訪問權(quán)限增強(qiáng)體系，屏蔽DBA人員、開發(fā)及維護(hù)人員對統(tǒng)方數(shù)據(jù)的查看權(quán)利，使通過醫(yī)療系統(tǒng)的統(tǒng)方操作變得可控、可追蹤，使黑客攻破Oracle權(quán)限體系或 盜取數(shù)據(jù)文件后仍然無法獲取統(tǒng)方數(shù)據(jù)，從而實(shí)現(xiàn)對數(shù)據(jù)庫統(tǒng)方的全方位防護(hù)能力。

圖1 防統(tǒng)方解決方案拓?fù)鋱D

該方案針對四種典型人群的統(tǒng)方途徑，提供技術(shù)防御手段：

（1） His系統(tǒng)使用者“統(tǒng)方”防御

統(tǒng)方途徑：

利用His系統(tǒng)的“統(tǒng)方”功能直接“統(tǒng)方”。由于有合法統(tǒng)方的需求存在，因此在現(xiàn)有的His軟件中，無法完全屏蔽該功能；His使用者利用該功能進(jìn)行非法統(tǒng)方。

利用His系統(tǒng)的統(tǒng)計(jì)功能間接“統(tǒng)方”。通過某些His系統(tǒng)的統(tǒng)計(jì)信息如藥品價(jià)格可以推導(dǎo)出藥品名稱，則通過“單價(jià)”+“總價(jià)”+“醫(yī)生”也可以推導(dǎo)出統(tǒng)方信息。

防御手段：

字段組訪問控制：

直接統(tǒng)方的防御：對同時(shí)出現(xiàn)“藥品”+“劑量”+“醫(yī)生”的查詢進(jìn)行授權(quán)控制

間接統(tǒng)方的防御：對同時(shí)出現(xiàn)“單價(jià)”+“總價(jià)”+“醫(yī)生”的查詢進(jìn)行授權(quán)控制

（2） 開發(fā)及維護(hù)人員“統(tǒng)方”防御

統(tǒng)方途徑：

利用His系統(tǒng)中的用戶名、密碼，使用數(shù)據(jù)庫訪問工具，直接訪問數(shù)據(jù)庫中的統(tǒng)方數(shù)據(jù)進(jìn)行統(tǒng)方；

利用His系統(tǒng)維護(hù)人員的身份，獲取存儲在數(shù)據(jù)庫中的His用戶名和密碼，模仿合法用戶登錄His系統(tǒng)進(jìn)行統(tǒng)方。

防御手段：

將His系統(tǒng)訪問數(shù)據(jù)庫的用戶名和密碼與His系統(tǒng)綁定，使用戶無法繞開His系統(tǒng)訪問數(shù)據(jù)庫。

對His系統(tǒng)中的用戶名和密碼加密，結(jié)合隨即鹽擾亂策略，增加對這些信息的保護(hù)。

（3） 黑客“統(tǒng)方”防御

統(tǒng)方途徑：

利用數(shù)據(jù)庫的漏洞，對數(shù)據(jù)庫進(jìn)行漏洞攻擊，使普通用戶具備超級用戶權(quán)限，訪問數(shù)據(jù)庫中的統(tǒng)方數(shù)據(jù)。

對數(shù)據(jù)庫文件進(jìn)行底層直接訪問，由于文件中存儲的是明文，通過DUL和MyDUL工具直接導(dǎo)出統(tǒng)方數(shù)據(jù)。

防御手段：

對數(shù)據(jù)庫建立獨(dú)立于數(shù)據(jù)庫管理系統(tǒng)的權(quán)控體系，使黑客的權(quán)限提升漏洞無效。

對數(shù)據(jù)存儲文件中的數(shù)據(jù)進(jìn)行加密，使導(dǎo)出數(shù)據(jù)為密文。

（4） DBA人員“統(tǒng)方”防御

統(tǒng)方途徑：

利用超級用戶權(quán)限，直接察看統(tǒng)方數(shù)據(jù)。

利用超級用戶權(quán)限，獲取存儲在數(shù)據(jù)庫中的His用戶名和密碼，模仿合法用戶登錄His系統(tǒng)進(jìn)行統(tǒng)方。

防御手段：

建立對統(tǒng)方數(shù)據(jù)的三權(quán)分立體系，使超級用戶在未受權(quán)限下無法察看統(tǒng)方數(shù)據(jù)。

對His系統(tǒng)用戶名和密碼進(jìn)行加密，使超級用戶在未受權(quán)限下無法察看His系統(tǒng)登錄信息。

安華金和“防統(tǒng)方”解決方案立足于主動“防統(tǒng)方”理念，具備統(tǒng)方數(shù)據(jù)存儲加密、His“統(tǒng)方”訪問模式限定、His數(shù)據(jù)庫用戶應(yīng)用綁定、DBA統(tǒng)方數(shù)據(jù)訪問控制功能，具備真正意義上的主動“防統(tǒng)方”功能。

方案價(jià)值

• 建立主動防御為主和事后追蹤為輔的綜合“防統(tǒng)方”解決方案；
• 使DBA、開發(fā)人員、維護(hù)人員、黑客徹底遠(yuǎn)離統(tǒng)方問題的中心—“統(tǒng)方數(shù)據(jù)”；
• 幫助醫(yī)院有效管理醫(yī)療系統(tǒng)的“統(tǒng)方”權(quán)限，徹底解決借助信息系統(tǒng)非法“統(tǒng)方”的難題。
• 具備統(tǒng)方數(shù)據(jù)存儲加密、His“統(tǒng)方”訪問模式限定、His數(shù)據(jù)庫用戶應(yīng)用綁定、DBA統(tǒng)方數(shù)據(jù)訪問控制功能

方案優(yōu)勢

• 變事后追查為主動防御
• 從根源解決“防統(tǒng)方”難題
• 變相互制約為權(quán)責(zé)分明
• 應(yīng)用改造接近零代價(jià)。
• 滿足來自衛(wèi)生監(jiān)管部門的合規(guī)性安全檢查要求；
• 協(xié)助安全事件取證以及事后追溯；