“統(tǒng)方”行為是醫(yī)療行業(yè)的黑暗交易中最重要的一環(huán)��,通過對醫(yī)生處方數(shù)據(jù)進行統(tǒng)計�����,供醫(yī)藥營銷人員對醫(yī)生發(fā)放藥品“回扣”�。由于醫(yī)生用藥量數(shù)據(jù)存儲在核心數(shù)據(jù)庫系統(tǒng)中,那么“防統(tǒng)方”的著手點自然應(yīng)當從數(shù)據(jù)庫的安全防護角度出發(fā)�����,首先我們對于醫(yī)療信息系統(tǒng)進行了分析�����,對于內(nèi)網(wǎng)中的核心信息系統(tǒng)���,敏感數(shù)據(jù)的泄露風(fēng)險點聚焦在內(nèi)部及第三方外包人員:
內(nèi)部數(shù)據(jù)庫備份管理人員、網(wǎng)管人員或服務(wù)器管理員:
可將數(shù)據(jù)庫存儲文件或備份文件拷貝�����,異地恢復(fù)還原后�����,直接獲得所有數(shù)據(jù);
信息中心數(shù)據(jù)庫管理員DBA:
有權(quán)限直接訪問數(shù)據(jù)庫��,隨時導(dǎo)出所有敏感數(shù)據(jù)��,目前沒有任何安全措施限制管理員訪問敏感信息���,一旦發(fā)生泄密事件��,DBA無法免除責(zé)任�����;
開發(fā)商實施人員/開發(fā)人員:
可通過掌握的數(shù)據(jù)庫賬戶口令�,繞開業(yè)務(wù)應(yīng)用系統(tǒng)���,直接訪問醫(yī)療核心信息系統(tǒng)數(shù)據(jù)庫�����;
測試人員:
訪問測試庫��,同樣可以看到所有真實的敏感數(shù)據(jù)���;
內(nèi)網(wǎng)中其他業(yè)務(wù)處室人員:
現(xiàn)有醫(yī)療系統(tǒng)仍然有c/s架構(gòu)的客戶端直接連數(shù)據(jù)庫�����,同時數(shù)據(jù)庫服務(wù)器沒有安全手段����,確保只接受來自于應(yīng)用服務(wù)器等固定IP地址的數(shù)據(jù)訪問����,在知道數(shù)據(jù)庫賬戶后,通過其他計算機的數(shù)據(jù)庫客戶端訪問數(shù)據(jù)庫導(dǎo)致數(shù)據(jù)泄密��。
分析對HIS系統(tǒng)的后臺數(shù)據(jù)庫系統(tǒng)進行實時的安全防護���,能夠有效避免“統(tǒng)方”行為的發(fā)生�����。我們將在后文中介紹相應(yīng)的數(shù)據(jù)庫安全防護思路。
產(chǎn)品咨詢:4000 258 365 
