下载后可任意编辑安华金和数据库安全医疗行业解决方案一. 客户需求与挑战2024 卫生部颁发的《卫生部关于进一步深化治理医药购销领域商业贿赂工作的通知》中明确指出,“要对医院各个部门通过计算机网络查询医院信息的权限实行分级管理,对医院信息系统中有关药品、高值耗材使用等信息实行专人负责、加密管理,严格统方权限和审批程序,未经批准不得统方,严禁为商业目的统方。”在高额利益的驱使下,当前黑客窃取“统方”数据的问题已不容忽视。总结黑客的手段无外乎以下三种:1)利用 HIS 等医疗系统的 Web 漏洞入侵数据库;2)利用数据库漏洞直接入侵数据库;3)入侵数据库服务器主机直接窃取数据库文件、备份文件等。当前部分省市医院采纳审计软件“防统方”,却面临 3 大致命缺陷:1)事后分析,无法主动阻止内部人员非法统方行为的发生;2)难以准确地定位统方发生的具体操作人员,因此无法辨别非法统方和正常统方,不能起到震慑的作用;3)无法阻止来自于外部黑客的攻击和存储层的数据泄密。二. 解决方案概述及要点描述安华金和医疗行业数据库安全方案的基本思路为通过对 HIS、电子病历等医疗系统的用户表中密码信息和处方表中的剂量信息进行数据库加密存储,并对这些信息提供应用结合的© 2024 安华金和www.dbsec.cn- 1 -下载后可任意编辑数据库访问权限增强体系,屏蔽 DBA 人员、开发及维护人员对统方数据的查看权利,使通过医疗系统的统方操作变得可控、可追踪,使黑客攻破 Oracle 权限体系或盗取数据文件后仍然无法猎取统方数据,从而实现对数据库统方的全方位防护能力。图1 防统方解决方案拓扑图该方案针对四种典型人群的统方途径,提供技术防备手段:(1) His 系统使用者“统方”防备统方途径:利用 His 系统的“统方”功能直接“统方”。由于有合法统方的需求存在,因此在现有的 His 软件中,无法完全屏蔽该功能;His 使用者利用该功能进行非法统方。利用 His 系统的统计功能间接“统方”。通过某些 His 系统的统计信息如药品价格可以推导出药品名称,则通过“单价”+“总价”+“医生”也可以推导出统方信息。防备手段:© 2024 安华金和www.dbsec.cn- 2 -下载后可任意编辑字段组访问控制:直接统方的防备:对同时出现“药品”+“剂量”+“医生”的查询进行授权控制间接统方的防备:对同时出现“单价”+“总价”+“医生”的查询进行授权控制(2) 开发及维护人员“统方”防备统方途径:利用 His...
