2005-2008年海寧某醫(yī)院信息科信息管理員王某��,通過(guò)醫(yī)生用藥數(shù)據(jù)庫(kù)中的藥品及醫(yī)療設(shè)備的采購(gòu)資料�����、醫(yī)生用藥量等信息資料�,向藥品經(jīng)銷商沈某���、方某等人出售“統(tǒng)方”信息��,非法獲利14萬(wàn)元����。
2008-2010年1月��,杭州某醫(yī)院計(jì)算機(jī)網(wǎng)絡(luò)中心副主任金某與職員林某�����,向藥品銷售商李某等人出售“統(tǒng)方”信息,非法獲利13萬(wàn)元�����。
當(dāng)前�����,非法“統(tǒng)方”作為醫(yī)藥回扣黑鏈的重要一環(huán)���,受到國(guó)家����、社會(huì)和媒體的廣泛關(guān)注��。數(shù)據(jù)庫(kù)因存儲(chǔ)著大量的用藥和醫(yī)療設(shè)備采購(gòu)信息�,歷來(lái)是進(jìn)行非法“統(tǒng)方”的主要途徑和目標(biāo)。近年來(lái)�����,諸如醫(yī)藥代表與醫(yī)院信息部門人員勾結(jié)�����、非法“統(tǒng)方”的案件頻發(fā),如何防范由此產(chǎn)生的數(shù)據(jù)安全風(fēng)險(xiǎn)���,已成為醫(yī)療行業(yè)信息化建設(shè)的重點(diǎn)工作之一。
非法“統(tǒng)方”場(chǎng)景分析
1�����、醫(yī)療系統(tǒng)使用者非法“統(tǒng)方”
HIS等醫(yī)療系統(tǒng)���,集中了處方統(tǒng)計(jì)分析業(yè)務(wù)�����、處方查詢(藥劑科)�,及掛號(hào)���、病歷���、診療信息管理等核心業(yè)務(wù)模塊,后臺(tái)涉及醫(yī)生�、藥品、劑量�����、單價(jià)、應(yīng)收金額等直接或間接可“統(tǒng)方”信息�����,如果未對(duì)此類功能和數(shù)據(jù)進(jìn)行嚴(yán)格控制�����,將為非法“統(tǒng)方”提供可乘之機(jī):
(1)利用處方統(tǒng)計(jì)分析業(yè)務(wù)功能����,在HIS中直接“統(tǒng)方”
一些醫(yī)院的藥劑科本身就兼具正常“統(tǒng)方”的職責(zé)�,在一定時(shí)間藥劑科科長(zhǎng)需要對(duì)醫(yī)生、藥品和劑量信息進(jìn)行統(tǒng)計(jì)����,以防止醫(yī)生用藥比例過(guò)高導(dǎo)致醫(yī)生停診。但目前HIS系統(tǒng)對(duì)該權(quán)限的控制并不嚴(yán)格��,使得任何人員�、任何時(shí)間、任何機(jī)器均可能濫用“統(tǒng)方”功能�����。
(2)利用處方查詢業(yè)務(wù)功能,在HIS中間接“統(tǒng)方”
藥劑科進(jìn)行處方查詢���、處方打印操作,本身就需要具備查看處方中藥品�����、醫(yī)生名稱����、藥品數(shù)量等關(guān)鍵信息的權(quán)限。合法業(yè)務(wù)操作是基于處方編號(hào)進(jìn)行精確查詢���,僅能返回特定處方的信息����;但如果應(yīng)用系統(tǒng)的開(kāi)發(fā)控制不嚴(yán)����,被人為篡改查詢語(yǔ)句或植入按時(shí)間范圍、按醫(yī)生及藥品名稱進(jìn)行批量查詢的報(bào)表��,則能夠迅速地獲取批量處方信息,并在此基礎(chǔ)上間接完成“統(tǒng)方”����。
2、開(kāi)發(fā)人員��、維護(hù)人員非法“統(tǒng)方”
醫(yī)療信息系統(tǒng)的開(kāi)發(fā)和維護(hù)人員掌握著系統(tǒng)訪問(wèn)數(shù)據(jù)庫(kù)的用戶名和口令��,他們經(jīng)常需要在醫(yī)院內(nèi)部開(kāi)展日常工作����,完全可以借此直接登錄數(shù)據(jù)庫(kù),構(gòu)造統(tǒng)方SQL進(jìn)行非法“統(tǒng)方”����;同樣,信息科人員掌握著SYS��、SYSTEM等超級(jí)用戶����,具備訪問(wèn)所有數(shù)據(jù)的權(quán)限。因此��,毫無(wú)業(yè)務(wù)需要的DBA人員也能夠訪問(wèn)所有處方數(shù)據(jù)�����,具備“統(tǒng)方”的最佳途徑;此外�����,DBA人員也可直接查詢數(shù)據(jù)庫(kù)中的用戶密碼表���,使用具備統(tǒng)方權(quán)限的應(yīng)用用戶登錄到HIS系統(tǒng)直接進(jìn)行非法“統(tǒng)方”�����。
3、黑客入侵醫(yī)療系統(tǒng)非法“統(tǒng)方”
在利益的驅(qū)使下����,黑客竊取“統(tǒng)方”數(shù)據(jù)的行為變得十分普遍,手段無(wú)外乎三種:利用HIS等醫(yī)療系統(tǒng)的Web漏洞入侵?jǐn)?shù)據(jù)庫(kù)����;利用數(shù)據(jù)庫(kù)漏洞直接入侵?jǐn)?shù)據(jù)庫(kù);入侵?jǐn)?shù)據(jù)庫(kù)服務(wù)器主機(jī)直接竊取數(shù)據(jù)庫(kù)文件�����、備份文件等。
防“統(tǒng)方”難點(diǎn)
目前��,醫(yī)療行業(yè)尚未形成完善的防“統(tǒng)方”解決方案��,而傳統(tǒng)的網(wǎng)絡(luò)安全產(chǎn)品在防“統(tǒng)方”過(guò)程中���,又常會(huì)遇到以下兩個(gè)技術(shù)壁壘:
1�����、無(wú)法防護(hù)
數(shù)據(jù)庫(kù)內(nèi)部操作不明�����,無(wú)法通過(guò)傳統(tǒng)的安全工具(如:網(wǎng)絡(luò)防火墻����、IPS等)來(lái)阻止內(nèi)部用戶的惡意操作���、濫用資源和泄露醫(yī)院機(jī)密信息等行為����。
2��、審計(jì)問(wèn)題
核心數(shù)據(jù)庫(kù)暴露在外部HIS系統(tǒng)訪問(wèn)和內(nèi)部運(yùn)維人員的日常操作環(huán)境中。外部惡意攻擊和運(yùn)維側(cè)的越權(quán)操作都會(huì)導(dǎo)致統(tǒng)方信息泄露���,而傳統(tǒng)審計(jì)產(chǎn)品無(wú)法有效追溯應(yīng)用系統(tǒng)賬戶��。
真正做到防“統(tǒng)方”
較為常見(jiàn)的應(yīng)對(duì)方法多是利用數(shù)據(jù)庫(kù)自身審計(jì)產(chǎn)生的日志進(jìn)行統(tǒng)方分析����,但這種方式對(duì)數(shù)據(jù)庫(kù)的性能影響較大�����,且分析工作繁瑣����、資源投入大��,審計(jì)信息也容易被篡改或泄露�����。如何真正做到防“統(tǒng)方”���?
傳統(tǒng)的防“統(tǒng)方”產(chǎn)品無(wú)法做到對(duì)非法“統(tǒng)方”行為的攔截���,另外由于統(tǒng)方路徑的多樣性�����,傳統(tǒng)的防“統(tǒng)方”產(chǎn)品無(wú)法監(jiān)控特殊的非法“統(tǒng)方”場(chǎng)景�����,比如“內(nèi)鬼”和黑客勾結(jié)���,黑客通過(guò)“合法身份”進(jìn)入數(shù)據(jù)庫(kù),拷走處方數(shù)據(jù)后再進(jìn)行“統(tǒng)方”�����。因此�����,防止非法“統(tǒng)方”行為的發(fā)生�,必須尋求新的解決方案:
首先,對(duì)于需要進(jìn)行合法“統(tǒng)方”工作的藥房管理人員/藥劑師的統(tǒng)方行為進(jìn)行敏感數(shù)據(jù)遮蔽�,如遮蔽醫(yī)生編號(hào)/姓名,使其無(wú)法查看或找到開(kāi)藥的具體醫(yī)生;
其次��,在運(yùn)維側(cè)對(duì)醫(yī)生姓名/編號(hào)�、藥品數(shù)量等字段進(jìn)行脫敏,對(duì)其他一切不需要進(jìn)行“統(tǒng)方”的醫(yī)護(hù)��、運(yùn)維���、開(kāi)發(fā)測(cè)試人員的“統(tǒng)方”行為進(jìn)行“攔截+告警”�;
最后��,對(duì)于黑客入侵到數(shù)據(jù)庫(kù)實(shí)施的“統(tǒng)方”行為���,對(duì)其入侵行為進(jìn)行“攔截+告警”��,并對(duì)藥品編號(hào)���、數(shù)量等進(jìn)行加密�����,即使黑客通過(guò)層層攔截到達(dá)數(shù)據(jù)庫(kù)內(nèi)部�����,或跟“內(nèi)鬼”勾結(jié)以“合法身份”接入數(shù)據(jù)庫(kù),也無(wú)法進(jìn)行“統(tǒng)方”操作��,更無(wú)法通過(guò)對(duì)處方數(shù)據(jù)“拖庫(kù)”的方式進(jìn)行“統(tǒng)方”����。
產(chǎn)品咨詢:4000 258 365 
