行業需求與挑戰

2010衛生部頒發的《衛生部關于進一步深化治理醫藥購銷領域商業賄賂工作的通知》中明確指出，“要對醫院各個部門通過計算機網絡查詢醫院信息 的權限實行分級管理，對醫院信息系統中有關藥品、高值耗材使用等信息實行專人負責、加密管理，嚴格統方權限和審批程序，未經批準不得統方，嚴禁為商業目的 統方。”

在高額利益的驅使下，當前黑客竊取“統方”數據的問題已不容忽視?？偨Y黑客的手段無外乎以下三種：1）利用HIS等醫療系統的Web漏洞入侵數據庫；2）利用數據庫漏洞直接入侵數據庫；3）入侵數據庫服務器主機直接竊取數據庫文件、備份文件等。

當前部分省市醫院采用審計軟件“防統方”，卻面臨3大致命缺陷：

1. 事后分析，無法主動阻止內部人員非法統方行為的發生；
2. 難以準確地定位統方發生的具體操作人員，因此無法辨別非法統方和正常統方，不能起到震懾的作用；
3. 無法阻止來自于外部黑客的攻擊和存儲層的數據泄密。

方案概述

該方案的基本思路為通過對HIS、電子病歷等醫療系統的用戶表中密碼信息和處方表中的劑量信息進行透明加密存儲，并對這些信息提供應用結合的數據庫 訪問權限增強體系，屏蔽DBA人員、開發及維護人員對統方數據的查看權利，使通過醫療系統的統方操作變得可控、可追蹤，使黑客攻破Oracle權限體系或 盜取數據文件后仍然無法獲取統方數據，從而實現對數據庫統方的全方位防護能力。

圖1 防統方解決方案拓撲圖

該方案針對四種典型人群的統方途徑，提供技術防御手段：

（1） His系統使用者“統方”防御

統方途徑：

利用His系統的“統方”功能直接“統方”。由于有合法統方的需求存在，因此在現有的His軟件中，無法完全屏蔽該功能；His使用者利用該功能進行非法統方。

利用His系統的統計功能間接“統方”。通過某些His系統的統計信息如藥品價格可以推導出藥品名稱，則通過“單價”+“總價”+“醫生”也可以推導出統方信息。

防御手段：

字段組訪問控制：

直接統方的防御：對同時出現“藥品”+“劑量”+“醫生”的查詢進行授權控制

間接統方的防御：對同時出現“單價”+“總價”+“醫生”的查詢進行授權控制

（2） 開發及維護人員“統方”防御

統方途徑：

利用His系統中的用戶名、密碼，使用數據庫訪問工具，直接訪問數據庫中的統方數據進行統方；

利用His系統維護人員的身份，獲取存儲在數據庫中的His用戶名和密碼，模仿合法用戶登錄His系統進行統方。

防御手段：

將His系統訪問數據庫的用戶名和密碼與His系統綁定，使用戶無法繞開His系統訪問數據庫。

對His系統中的用戶名和密碼加密，結合隨即鹽擾亂策略，增加對這些信息的保護。

（3） 黑客“統方”防御

統方途徑：

利用數據庫的漏洞，對數據庫進行漏洞攻擊，使普通用戶具備超級用戶權限，訪問數據庫中的統方數據。

對數據庫文件進行底層直接訪問，由于文件中存儲的是明文，通過DUL和MyDUL工具直接導出統方數據。

防御手段：

對數據庫建立獨立于數據庫管理系統的權控體系，使黑客的權限提升漏洞無效。

對數據存儲文件中的數據進行加密，使導出數據為密文。

（4） DBA人員“統方”防御

統方途徑：

利用超級用戶權限，直接察看統方數據。

利用超級用戶權限，獲取存儲在數據庫中的His用戶名和密碼，模仿合法用戶登錄His系統進行統方。

防御手段：

建立對統方數據的三權分立體系，使超級用戶在未受權限下無法察看統方數據。

對His系統用戶名和密碼進行加密，使超級用戶在未受權限下無法察看His系統登錄信息。

安華金和“防統方”解決方案立足于主動“防統方”理念，具備統方數據存儲加密、His“統方”訪問模式限定、His數據庫用戶應用綁定、DBA統方數據訪問控制功能，具備真正意義上的主動“防統方”功能。

方案價值

• 建立主動防御為主和事后追蹤為輔的綜合“防統方”解決方案；
• 使DBA、開發人員、維護人員、黑客徹底遠離統方問題的中心—“統方數據”；
• 幫助醫院有效管理醫療系統的“統方”權限，徹底解決借助信息系統非法“統方”的難題。
• 具備統方數據存儲加密、His“統方”訪問模式限定、His數據庫用戶應用綁定、DBA統方數據訪問控制功能

方案優勢

• 變事后追查為主動防御
• 從根源解決“防統方”難題
• 變相互制約為權責分明
• 應用改造接近零代價。
• 滿足來自衛生監管部門的合規性安全檢查要求；
• 協助安全事件取證以及事后追溯；