行業(yè)需求與挑戰(zhàn)

2010衛(wèi)生部頒發(fā)的《衛(wèi)生部關(guān)于進(jìn)一步深化治理醫(yī)藥購(gòu)銷(xiāo)領(lǐng)域商業(yè)賄賂工作的通知》中明確指出，“要對(duì)醫(yī)院各個(gè)部門(mén)通過(guò)計(jì)算機(jī)網(wǎng)絡(luò)查詢醫(yī)院信息 的權(quán)限實(shí)行分級(jí)管理，對(duì)醫(yī)院信息系統(tǒng)中有關(guān)藥品、高值耗材使用等信息實(shí)行專(zhuān)人負(fù)責(zé)、加密管理，嚴(yán)格統(tǒng)方權(quán)限和審批程序，未經(jīng)批準(zhǔn)不得統(tǒng)方，嚴(yán)禁為商業(yè)目的 統(tǒng)方。”

在高額利益的驅(qū)使下，當(dāng)前黑客竊取“統(tǒng)方”數(shù)據(jù)的問(wèn)題已不容忽視?？偨Y(jié)黑客的手段無(wú)外乎以下三種：1）利用HIS等醫(yī)療系統(tǒng)的Web漏洞入侵?jǐn)?shù)據(jù)庫(kù)；2）利用數(shù)據(jù)庫(kù)漏洞直接入侵?jǐn)?shù)據(jù)庫(kù)；3）入侵?jǐn)?shù)據(jù)庫(kù)服務(wù)器主機(jī)直接竊取數(shù)據(jù)庫(kù)文件、備份文件等。

當(dāng)前部分省市醫(yī)院采用審計(jì)軟件“防統(tǒng)方”，卻面臨3大致命缺陷：

1. 事后分析，無(wú)法主動(dòng)阻止內(nèi)部人員非法統(tǒng)方行為的發(fā)生；
2. 難以準(zhǔn)確地定位統(tǒng)方發(fā)生的具體操作人員，因此無(wú)法辨別非法統(tǒng)方和正常統(tǒng)方，不能起到震懾的作用；
3. 無(wú)法阻止來(lái)自于外部黑客的攻擊和存儲(chǔ)層的數(shù)據(jù)泄密。

方案概述

該方案的基本思路為通過(guò)對(duì)HIS、電子病歷等醫(yī)療系統(tǒng)的用戶表中密碼信息和處方表中的劑量信息進(jìn)行透明加密存儲(chǔ)，并對(duì)這些信息提供應(yīng)用結(jié)合的數(shù)據(jù)庫(kù) 訪問(wèn)權(quán)限增強(qiáng)體系，屏蔽DBA人員、開(kāi)發(fā)及維護(hù)人員對(duì)統(tǒng)方數(shù)據(jù)的查看權(quán)利，使通過(guò)醫(yī)療系統(tǒng)的統(tǒng)方操作變得可控、可追蹤，使黑客攻破Oracle權(quán)限體系或 盜取數(shù)據(jù)文件后仍然無(wú)法獲取統(tǒng)方數(shù)據(jù)，從而實(shí)現(xiàn)對(duì)數(shù)據(jù)庫(kù)統(tǒng)方的全方位防護(hù)能力。

圖1 防統(tǒng)方解決方案拓?fù)鋱D

該方案針對(duì)四種典型人群的統(tǒng)方途徑，提供技術(shù)防御手段：

（1） His系統(tǒng)使用者“統(tǒng)方”防御

統(tǒng)方途徑：

利用His系統(tǒng)的“統(tǒng)方”功能直接“統(tǒng)方”。由于有合法統(tǒng)方的需求存在，因此在現(xiàn)有的His軟件中，無(wú)法完全屏蔽該功能；His使用者利用該功能進(jìn)行非法統(tǒng)方。

利用His系統(tǒng)的統(tǒng)計(jì)功能間接“統(tǒng)方”。通過(guò)某些His系統(tǒng)的統(tǒng)計(jì)信息如藥品價(jià)格可以推導(dǎo)出藥品名稱(chēng)，則通過(guò)“單價(jià)”+“總價(jià)”+“醫(yī)生”也可以推導(dǎo)出統(tǒng)方信息。

防御手段：

字段組訪問(wèn)控制：

直接統(tǒng)方的防御：對(duì)同時(shí)出現(xiàn)“藥品”+“劑量”+“醫(yī)生”的查詢進(jìn)行授權(quán)控制

間接統(tǒng)方的防御：對(duì)同時(shí)出現(xiàn)“單價(jià)”+“總價(jià)”+“醫(yī)生”的查詢進(jìn)行授權(quán)控制

（2） 開(kāi)發(fā)及維護(hù)人員“統(tǒng)方”防御

統(tǒng)方途徑：

利用His系統(tǒng)中的用戶名、密碼，使用數(shù)據(jù)庫(kù)訪問(wèn)工具，直接訪問(wèn)數(shù)據(jù)庫(kù)中的統(tǒng)方數(shù)據(jù)進(jìn)行統(tǒng)方；

利用His系統(tǒng)維護(hù)人員的身份，獲取存儲(chǔ)在數(shù)據(jù)庫(kù)中的His用戶名和密碼，模仿合法用戶登錄His系統(tǒng)進(jìn)行統(tǒng)方。

防御手段：

將His系統(tǒng)訪問(wèn)數(shù)據(jù)庫(kù)的用戶名和密碼與His系統(tǒng)綁定，使用戶無(wú)法繞開(kāi)His系統(tǒng)訪問(wèn)數(shù)據(jù)庫(kù)。

對(duì)His系統(tǒng)中的用戶名和密碼加密，結(jié)合隨即鹽擾亂策略，增加對(duì)這些信息的保護(hù)。

（3） 黑客“統(tǒng)方”防御

統(tǒng)方途徑：

利用數(shù)據(jù)庫(kù)的漏洞，對(duì)數(shù)據(jù)庫(kù)進(jìn)行漏洞攻擊，使普通用戶具備超級(jí)用戶權(quán)限，訪問(wèn)數(shù)據(jù)庫(kù)中的統(tǒng)方數(shù)據(jù)。

對(duì)數(shù)據(jù)庫(kù)文件進(jìn)行底層直接訪問(wèn)，由于文件中存儲(chǔ)的是明文，通過(guò)DUL和MyDUL工具直接導(dǎo)出統(tǒng)方數(shù)據(jù)。

防御手段：

對(duì)數(shù)據(jù)庫(kù)建立獨(dú)立于數(shù)據(jù)庫(kù)管理系統(tǒng)的權(quán)控體系，使黑客的權(quán)限提升漏洞無(wú)效。

對(duì)數(shù)據(jù)存儲(chǔ)文件中的數(shù)據(jù)進(jìn)行加密，使導(dǎo)出數(shù)據(jù)為密文。

（4） DBA人員“統(tǒng)方”防御

統(tǒng)方途徑：

利用超級(jí)用戶權(quán)限，直接察看統(tǒng)方數(shù)據(jù)。

利用超級(jí)用戶權(quán)限，獲取存儲(chǔ)在數(shù)據(jù)庫(kù)中的His用戶名和密碼，模仿合法用戶登錄His系統(tǒng)進(jìn)行統(tǒng)方。

防御手段：

建立對(duì)統(tǒng)方數(shù)據(jù)的三權(quán)分立體系，使超級(jí)用戶在未受權(quán)限下無(wú)法察看統(tǒng)方數(shù)據(jù)。

對(duì)His系統(tǒng)用戶名和密碼進(jìn)行加密，使超級(jí)用戶在未受權(quán)限下無(wú)法察看His系統(tǒng)登錄信息。

安華金和“防統(tǒng)方”解決方案立足于主動(dòng)“防統(tǒng)方”理念，具備統(tǒng)方數(shù)據(jù)存儲(chǔ)加密、His“統(tǒng)方”訪問(wèn)模式限定、His數(shù)據(jù)庫(kù)用戶應(yīng)用綁定、DBA統(tǒng)方數(shù)據(jù)訪問(wèn)控制功能，具備真正意義上的主動(dòng)“防統(tǒng)方”功能。

方案價(jià)值

• 建立主動(dòng)防御為主和事后追蹤為輔的綜合“防統(tǒng)方”解決方案；
• 使DBA、開(kāi)發(fā)人員、維護(hù)人員、黑客徹底遠(yuǎn)離統(tǒng)方問(wèn)題的中心—“統(tǒng)方數(shù)據(jù)”；
• 幫助醫(yī)院有效管理醫(yī)療系統(tǒng)的“統(tǒng)方”權(quán)限，徹底解決借助信息系統(tǒng)非法“統(tǒng)方”的難題。
• 具備統(tǒng)方數(shù)據(jù)存儲(chǔ)加密、His“統(tǒng)方”訪問(wèn)模式限定、His數(shù)據(jù)庫(kù)用戶應(yīng)用綁定、DBA統(tǒng)方數(shù)據(jù)訪問(wèn)控制功能

方案優(yōu)勢(shì)

• 變事后追查為主動(dòng)防御
• 從根源解決“防統(tǒng)方”難題
• 變相互制約為權(quán)責(zé)分明
• 應(yīng)用改造接近零代價(jià)。
• 滿足來(lái)自衛(wèi)生監(jiān)管部門(mén)的合規(guī)性安全檢查要求；
• 協(xié)助安全事件取證以及事后追溯；