医疗行业数据库安全解决方案

行业需求与挑战

2010卫生部颁发的《卫生部关于进一步深化治理医药购销领域商业贿赂工作的通知》中明确指出,“要对医院各个部门通过计算机网络查询医院信息 的权限实行分级管理,对医院信息系统中有关药品、高值耗材使用等信息实行专人负责、加密管理,严格统方权限和审批程序,未经批准不得统方,严禁为商业目的 统方。”

在高额利益的驱使下,当前黑客窃取“统方”数据的问题已不容忽视。总结黑客的手段无外乎以下三种:1)利用HIS等医疗系统的Web漏洞入侵数据库;2)利用数据库漏洞直接入侵数据库;3)入侵数据库服务器主机直接窃取数据库文件、备份文件等。

当前部分省市医院采用审计软件“防统方”,却面临3大致命缺陷:

  1. 事后分析,无法主动阻止内部人员非法统方行为的发生;
  2. 难以准确地定位统方发生的具体操作人员,因此无法辨别非法统方和正常统方,不能起到震慑的作用;
  3. 无法阻止来自于外部黑客的攻击和存储层的数据泄密。

方案概述

该方案的基本思路为通过对HIS、电子病历等医疗系统的用户表中密码信息和处方表中的剂量信息进行透明加密存储,并对这些信息提供应用结合的数据库 访问权限增强体系,屏蔽DBA人员、开发及维护人员对统方数据的查看权利,使通过医疗系统的统方操作变得可控、可追踪,使黑客攻破Oracle权限体系或 盗取数据文件后仍然无法获取统方数据,从而实现对数据库统方的全方位防护能力。


图1 防统方解决方案拓扑图

该方案针对四种典型人群的统方途径,提供技术防御手段:

(1) His系统使用者“统方”防御

统方途径:

利用His系统的“统方”功能直接“统方”。由于有合法统方的需求存在,因此在现有的His软件中,无法完全屏蔽该功能;His使用者利用该功能进行非法统方。

利用His系统的统计功能间接“统方”。通过某些His系统的统计信息如药品价格可以推导出药品名称,则通过“单价”+“总价”+“医生”也可以推导出统方信息。

防御手段:

字段组访问控制:

直接统方的防御:对同时出现“药品”+“剂量”+“医生”的查询进行授权控制

间接统方的防御:对同时出现“单价”+“总价”+“医生”的查询进行授权控制

(2) 开发及维护人员“统方”防御

统方途径:

利用His系统中的用户名、密码,使用数据库访问工具,直接访问数据库中的统方数据进行统方;

利用His系统维护人员的身份,获取存储在数据库中的His用户名和密码,模仿合法用户登录His系统进行统方。

防御手段:

将His系统访问数据库的用户名和密码与His系统绑定,使用户无法绕开His系统访问数据库。

对His系统中的用户名和密码加密,结合随即盐扰乱策略,增加对这些信息的保护。

(3) 黑客“统方”防御

统方途径:

利用数据库的漏洞,对数据库进行漏洞攻击,使普通用户具备超级用户权限,访问数据库中的统方数据。

对数据库文件进行底层直接访问,由于文件中存储的是明文,通过DUL和MyDUL工具直接导出统方数据。

防御手段:

对数据库建立独立于数据库管理系统的权控体系,使黑客的权限提升漏洞无效。

对数据存储文件中的数据进行加密,使导出数据为密文。

(4) DBA人员“统方”防御

统方途径:

利用超级用户权限,直接察看统方数据。

利用超级用户权限,获取存储在数据库中的His用户名和密码,模仿合法用户登录His系统进行统方。

防御手段:

建立对统方数据的三权分立体系,使超级用户在未受权限下无法察看统方数据。

对His系统用户名和密码进行加密,使超级用户在未受权限下无法察看His系统登录信息。

安华金和“防统方”解决方案立足于主动“防统方”理念,具备统方数据存储加密、His“统方”访问模式限定、His数据库用户应用绑定、DBA统方数据访问控制功能,具备真正意义上的主动“防统方”功能。

方案价值

  • 建立主动防御为主和事后追踪为辅的综合“防统方”解决方案;
  • 使DBA、开发人员、维护人员、黑客彻底远离统方问题的中心—“统方数据”;
  • 帮助医院有效管理医疗系统的“统方”权限,彻底解决借助信息系统非法“统方”的难题。
  • 具备统方数据存储加密、His“统方”访问模式限定、His数据库用户应用绑定、DBA统方数据访问控制功能

方案优势

  • 变事后追查为主动防御
  • 从根源解决“防统方”难题
  • 变相互制约为权责分明
  • 应用改造接近零代价。
  • 满足来自卫生监管部门的合规性安全检查要求;
  • 协助安全事件取证以及事后追溯;