2005-2008年海宁某医院信息科信息管理员王某，通过医生用药数据库中的药品及医疗设备的采购资料、医生用药量等信息资料，向药品经销商沈某、方某等人出售“统方”信息，非法获利14万元。

2008-2010年1月，杭州某医院计算机网络中心副主任金某与职员林某，向药品销售商李某等人出售“统方”信息，非法获利13万元。

当前，非法“统方”作为医药回扣黑链的重要一环，受到国家、社会和媒体的广泛关注。数据库因存储着大量的用药和医疗设备采购信息，历来是进行非法“统方”的主要途径和目标。近年来，诸如医药代表与医院信息部门人员勾结、非法“统方”的案件频发，如何防范由此产生的数据安全风险，已成为医疗行业信息化建设的重点工作之一。

非法“统方”场景分析

1、医疗系统使用者非法“统方”

HIS等医疗系统，集中了处方统计分析业务、处方查询（药剂科），及挂号、病历、诊疗信息管理等核心业务模块，后台涉及医生、药品、剂量、单价、应收金额等直接或间接可“统方”信息，如果未对此类功能和数据进行严格控制，将为非法“统方”提供可乘之机： 

（1）利用处方统计分析业务功能，在HIS中直接“统方”

一些医院的药剂科本身就兼具正常“统方”的职责，在一定时间药剂科科长需要对医生、药品和剂量信息进行统计，以防止医生用药比例过高导致医生停诊。但目前HIS系统对该权限的控制并不严格，使得任何人员、任何时间、任何机器均可能滥用“统方”功能。

（2）利用处方查询业务功能，在HIS中间接“统方”

药剂科进行处方查询、处方打印操作，本身就需要具备查看处方中药品、医生名称、药品数量等关键信息的权限。合法业务操作是基于处方编号进行精确查询，仅能返回特定处方的信息；但如果应用系统的开发控制不严，被人为篡改查询语句或植入按时间范围、按医生及药品名称进行批量查询的报表，则能够迅速地获取批量处方信息，并在此基础上间接完成“统方”。

2、开发人员、维护人员非法“统方”

医疗信息系统的开发和维护人员掌握着系统访问数据库的用户名和口令，他们经常需要在医院内部开展日常工作，完全可以借此直接登录数据库，构造统方SQL进行非法“统方”；同样，信息科人员掌握着SYS、SYSTEM等超级用户，具备访问所有数据的权限。因此，毫无业务需要的DBA人员也能够访问所有处方数据，具备“统方”的最佳途径；此外，DBA人员也可直接查询数据库中的用户密码表，使用具备统方权限的应用用户登录到HIS系统直接进行非法“统方”。

3、黑客入侵医疗系统非法“统方”

在利益的驱使下，黑客窃取“统方”数据的行为变得十分普遍，手段无外乎三种：利用HIS等医疗系统的Web漏洞入侵数据库；利用数据库漏洞直接入侵数据库；入侵数据库服务器主机直接窃取数据库文件、备份文件等。

防“统方”难点

目前，医疗行业尚未形成完善的防“统方”解决方案，而传统的网络安全产品在防“统方”过程中，又常会遇到以下两个技术壁垒： 

1、无法防护

数据库内部操作不明，无法通过传统的安全工具(如：网络防火墙、IPS等)来阻止内部用户的恶意操作、滥用资源和泄露医院机密信息等行为。 

2、审计问题

核心数据库暴露在外部HIS系统访问和内部运维人员的日常操作环境中。外部恶意攻击和运维侧的越权操作都会导致统方信息泄露，而传统审计产品无法有效追溯应用系统账户。

真正做到防“统方”

较为常见的应对方法多是利用数据库自身审计产生的日志进行统方分析，但这种方式对数据库的性能影响较大，且分析工作繁琐、资源投入大，审计信息也容易被篡改或泄露。如何真正做到防“统方”？

传统的防“统方”产品无法做到对非法“统方”行为的拦截，另外由于统方路径的多样性，传统的防“统方”产品无法监控特殊的非法“统方”场景，比如“内鬼”和黑客勾结，黑客通过“合法身份”进入数据库，拷走处方数据后再进行“统方”。因此，防止非法“统方”行为的发生，必须寻求新的解决方案：

首先，对于需要进行合法“统方”工作的药房管理人员/药剂师的统方行为进行敏感数据遮蔽，如遮蔽医生编号/姓名，使其无法查看或找到开药的具体医生；

其次，在运维侧对医生姓名/编号、药品数量等字段进行脱敏，对其他一切不需要进行“统方”的医护、运维、开发测试人员的“统方”行为进行“拦截+告警”；

最后，对于黑客入侵到数据库实施的“统方”行为，对其入侵行为进行“拦截+告警”，并对药品编号、数量等进行加密，即使黑客通过层层拦截到达数据库内部，或跟“内鬼”勾结以“合法身份”接入数据库，也无法进行“统方”操作，更无法通过对处方数据“拖库”的方式进行“统方”。