“統方”行為是醫療行業的黑暗交易中最重要的一環,通過對醫生處方數據進行統計,供醫藥營銷人員對醫生發放藥品“回扣”。由于醫生用藥量數據存儲在核心數據庫系統中,那么“防統方”的著手點自然應當從數據庫的安全防護角度出發,首先我們對于醫療信息系統進行了分析,對于內網中的核心信息系統,敏感數據的泄露風險點聚焦在內部及第三方外包人員:
內部數據庫備份管理人員、網管人員或服務器管理員:
可將數據庫存儲文件或備份文件拷貝,異地恢復還原后,直接獲得所有數據;
信息中心數據庫管理員DBA:
有權限直接訪問數據庫,隨時導出所有敏感數據,目前沒有任何安全措施限制管理員訪問敏感信息,一旦發生泄密事件,DBA無法免除責任;
開發商實施人員/開發人員:
可通過掌握的數據庫賬戶口令,繞開業務應用系統,直接訪問醫療核心信息系統數據庫;
測試人員:
訪問測試庫,同樣可以看到所有真實的敏感數據;
內網中其他業務處室人員:
現有醫療系統仍然有c/s架構的客戶端直接連數據庫,同時數據庫服務器沒有安全手段,確保只接受來自于應用服務器等固定IP地址的數據訪問,在知道數據庫賬戶后,通過其他計算機的數據庫客戶端訪問數據庫導致數據泄密。
分析對HIS系統的后臺數據庫系統進行實時的安全防護,能夠有效避免“統方”行為的發生。我們將在后文中介紹相應的數據庫安全防護思路。
產品咨詢:4000 258 365 
