安华金和防统方解决方案

医院医疗信息系统主动防“统方”解决方案1安华金和医疗系统主动“防统方”解决方案1.方案综述安华金和“防统方”解决方案立足于主动“防统方”理念，具备“统方数据”存储加密、His“统方”访问模式限定、His数据库用户应用绑定、DBA“统方数据”访问控制功能，具备真正意义上的主动“防统方”功能。建立统方数据保护区统方数据访问追踪通过安华金和“防统方”系统，能够有效地防止His系统使用者“统方”、His系统维护人员“统方”、黑客“统方”和DBA“统方”。安华金和“防统方”的核心价值在于：(1)从根源解决“防统方”难题(2)变事后追查为主动防御(3)变相互制约为权责分明(4)应用改造接近零代价。医院医疗信息系统主动防“统方”解决方案22.医院面临的“防统方”困境2.1.医疗信息系统“统方”四大途径目前，卫生行业信息系统均采用专网互联，并采用了防火墙、杀毒软件等基本的安全防护软件，但仍然存在众多安全威胁和监管漏洞，导致非法“统方”行为的发生。2.1.1.医疗系统使用者非法“统方”医院的HIS等医疗系统，集中了处方统计分析业务、处方查询（药剂科），以及挂号、病历、诊疗信息管理等核心业务模块，后台涉及到医生、药品、剂量、单价、应收金额等直接或间接能够“统方”的信息，这些功能和数据如果缺少严格的控制，将给非法“统方”提供极为便利的条件：（1）利用处方统计分析业务功能，在HIS中进行直接“统方”一些医院的药剂科本身就兼具正常“统方”的职责，在一定的时间药剂科科长需要对医生、药品和剂量信息进行统计，以防止医生用药比例过高导致医生停诊。但目前HIS系统对该权限控制不严格，导致任何人员、任何时间、任何机器均能滥用“统方”功能。医院医疗信息系统主动防“统方”解决方案3（2）利用处方查询业务功能，在HIS中进行间接“统方”对于药剂科的处方查询、处方打印操作，本身就需要具备查看处方中的药品、医生名称、药品数量等关键信息的权限。合法的业务操作是基于处方编号进行精确查询，仅能返回特定处方的信息。但这时如果应用系统的开发控制不严，被人为篡改查询语句或植入按时间范围、按医生及药品名称进行批量查询的报表，则能够迅速地获取批量处方信息，并在此基础上间接地完成“统方”。2.1.2.开发人员、维护人员非法“统方”医疗信息系统的开发和维护人员掌握着系统访问数据库的用户名和口令，这些人员经常需要在医院内部进行日常工作，完全可以使用该数据库用户直接登录数据库，构造“统方”SQL语句进行非法“统方”。2.1.3.DBA人员非法“统方”信息科人员掌握着SYS、SYSTEM等超级用户，这些用户具备了访问所有数据的权限；从而使毫无业务需要的DBA人员能够访问所有处方数据，具备“统方”的最佳途径；另外，DBA人员也可以直接查询数据库中的用户密码表，使用具备“统方”权限的应用用户登录到HIS系统直接进行非法“统方”。2.1.4.黑客入侵医疗系统非法“统方”在高额利益的驱使下，当前黑客窃取“统方”数据的问题已不容忽视。总结黑客的手段无外乎以下三种：1）利用HIS等医疗系统的Web漏洞入侵数据库；2）利用数据库漏洞直接入侵数据库；3）入侵数据库服务器主机直接窃取数据库文件、备份文件等。2.2.政策“防统方”缺乏技术手段支撑2010年6月21日颁发的《卫生部关于进一步深化治理医药购销领域商业贿赂工作的通知》中明确指出，“要对医院各个部门通过计算机网络查询医院信息的权限实行分级管理，对医院信息系统中有关药品、高值耗材使用等信息实行专人负责、加密管理，严格统方权限医院医疗信息系统主动防“统方”解决方案4和审批程序，未经批准不得统方，严禁为商业目的统方。”福建省卫生厅近日发出《关于加强医院信息系统管理的通知》，凡是有可能涉及对药品、医用耗材用量按医生进行查询统计的模块或软件应予以卸除，并且要对信息系统中的药品相关信息查询功能模块进行清理，删除一般科室功能模块中药品信息查询统计程序。不得授权其他科室和个人查询医生用药情况。但在以上国家政策和地方政策颁布下，由于缺乏具体的技术手段作支撑，现实中的“统方”事件仍然不断发生：2005-2008年海宁某医院信息科信息管理员王力，通过医生用药数据库中的药品及医疗设备的采购资料、医生用药量等信息资料，向药品经销商沈某、方某等人出售“统方”信息，共获得14万元。2008-2010年1月杭州某医院计算机网络中心副主任金某与职员林某，向药品销售商李某等人出售“统方”信息，共获得13万元。2011年9月，黑客多次潜入福州多家三甲医院，接入内网窃取医院的用药信息，然后高价卖出，累计获利上百万元。……2.3.单纯审计手段无法防止非法“统方”当前部分省市医院采用审计软件“防统方”，却面临3大致命缺陷：1）事后分析，无法主动阻止内部人员非法“统方”行为的发生；2）难以准确地定位“统方”发生的具体操作人员，因此无法辨别非法“统方”和正常“统方”，不能起到震慑的作用；3）无法阻止来自于外部黑客的攻击和存储层的数据泄密。医院医疗信息系统主动防“统方”解决方案53.安华金和“防统方”解决方案3.1.方案简介安华金和“防统方”解决方案基于安华金和数据库保险箱系统实现，以“统方”数据为中心，建立“统方数据保护区”，监控和限制对“统方”数据的操作行为，建立主动防御为主和事后追踪为辅的综合“防统方”解决方案。(1)关键数据加密、并实现三权分立对医疗系统用户表的口令字段加密，对“统方”三要素（医生、药品、剂量）中的剂量相关信息加密，DBA对加密数据不再拥有授权权限和审计权限，在没有密文访问授权的前提下，DBA也不能访问加密数据，同时DBA的密文访问尝试也会被审计下来。有效控制和审计DBA的非法“统方”行为，同时防止黑客利用漏洞窃取处方信息的行为。(2)将密文访问权限与医疗系统绑定HIS等医疗系统需要对其使用的数据库用户开放密文的访问权限，以开展正常的业务操作。开发、维护人员完全可以凭此数据库用户绕过医疗系统直接登录数据库，进行非法“统方”，因此本方案将该用户的密文访问权限与指定的医疗系统绑定，防止该应用漏洞。(3)启用字段组权限控制部分HIS等医疗系统有正常的“统方”需要，同时也是商业目的“统方”的一大主要途径。本方案要采用字段组权限控制对医疗系统“统方”进行有效的控制，具体将“医生”、“药品”、“剂量”设置成字段组，正常“统方”时需要向安全管理员申请该字段组的访问权限，否则同时出现这三列的查询将被禁止，从而杜绝通过医疗系统任意统计处方和泄漏处方信息的行为。(4)开启处方数据的访问审计对加密的处方数据开启访问审计，便于追查和监控DBA和开发、维护人员的“统方”操作行为，起到有效的震慑作用。医院医疗信息系统主动防“统方”解决方案63.2.方案介绍数据中心网络医院内部网用户密码、剂量信息加密存储备份磁带加密存储Oracle服务器DBA维护客户端HIS系统LIS系统DBCoffer安全管理终端处方信息查询模块统方功能模块DBCoffer安全服务器„该方案的基本思路为通过对HIS、电子病历等医疗系统的用户表中密码信息和处方表中的剂量信息进行透明加密存储，并对这些信息提供应用结合的数据库访问权限增强体系，屏蔽DBA人员、开发及维护人员对“统方”数据的查看权利，使通过医疗系统的“统方”操作变得可控、可追踪，使黑客攻破Oracle权限体系或盗取数据文件后仍然无法获取“统方”数据，从而实现对数据库“统方”的全方位防护能力。该方案针对四种典型人群的“统方”途径，提供技术防御手段：（1）His系统使用者“统方”“统方”途径：利用His系统的“统方”功能直接“统方”。由于有合法“统方”的需求存在，因此在现有的His软件中，无法完全屏蔽该功能；His使用者利用该功能进行非法“统方”。利用His系统的统计功能间接“统方”。通过某些His系统的统计信息如药品价格可以推导出药品名称，则通过“单价”+“总价”+“医生”也可以推导出“统方”信医院医疗信息系统主动防“统方”解决方案7息。防御手段：字段组访问控制：直接“统方”的防御：对同时出现“药品”+“剂量”+“医生”的查询进行授权控制间接“统方”的防御：对同时出现“单价”+“总价”+“医生”的查询进行授权控制（2）开发及维护人员“统方”“统方”途径：利用His系统中的用户名、密码，使用数据库访问工具，直接访问数据库中的“统方”数据进行“统方”；利用His系统维护人员的身份，获取存储在数据库中的His用户名和密码，模仿合法用户登录His系统进行“统方”。防御手段：将His系统访问数据库的用户名和密码与His系统绑定，使用户无法绕开His系统访问数据库。对His系统中的用户名和密码加密，结合随即盐扰乱策略，增加对这些信息的保护。（3）黑客“统方”“统方”途径：利用数据库的漏洞，对数据库进行漏洞攻击，使普通用户具备超级用户权限，访问数据库中的“统方”数据。对数据库文件进行底层直接访问，由于文件中存储的是明文，通过DUL和MyDUL工具直接导出“统方”数据。防御手段：医院医疗信息系统主动防“统方”解决方案8对数据库建立独立于数据库管理系统的权控体系，使黑客的权限提升漏洞无效。对数据存储文件中的数据进行加密，使导出数据为密文。（4）DBA“统方”“统方”途径：利用超级用户权限，直接察看“统方”数据。利用超级用户权限，获取存储在数据库中的His用户名和密码，模仿合法用户登录His系统进行“统方”。防御手段：建立对“统方”数据的三权分立体系，使超级用户在未受权限下无法察看“统方”数据。对His系统用户名和密码进行加密，使超级用户在未受权限下无法察看His系统登录信息。3.3.方案的价值与优势通过建立主动防御为主和事后追踪为辅的综合“防统方”解决方案，使DBA、开发人员、维护人员、黑客彻底远离“统方”问题的中心—“统方数据”，帮助医院有效管理医疗系统的“统方”权限，彻底解决借助信息系统非法“统方”的难题。(1)从根源解决“防统方”难题从数据库级别进行防控，从根源上彻底控制“统方”数据信息的泄露，为医疗信息化打好底层基础。(2)变事后追查为主动防御现有的一些“防统方”技术，通过监控和记录数据库的访问行为，分析数据库访问的异常行为，找出可疑的“统方”行为，是一种事后追查方式，分析效果也难以预料。DBCoffer通过加密技术和独立权限控制技术，将“统方”数据与无关工作人员进行隔离，有效防止非法“统方”行为的发生。医院医疗信息系统主动防“统方”解决方案9(3)变相互制约为权责分明现有的一些管理解决方案，更多地是相互制约的角度出发，增加对DBA工作的人员监督；但使工作的成本增加，工作的效率降低，工作职责的混乱。DBCoffer通过三权分立特性，使DSA(安全管理员)和DBA的权责更加分明，从而有效地将数据维护和业务需求进行分离，既能保证DBA完成日常数据库维护工作，又能使管理层或督察人员有效控制“统方数据”的访问。(4)应用改造接近零代价。DBCoffer的实施，对于现有医疗系统透明，无需改造，原有Oracle核心特性均可继续使用。同时DBCoffer集中控制的模式，能够更快地、无缝地融合到现有医疗信息系统中。4.DBCoffer产品简介4.1.产品特点透明数据加密DBCoffer支持国际先进的密码算法，以及我国的密码管理机构认定的加密算法。对数据库的指定列进行加密，保证敏感数据在存储层为密文存储，防止数据库数据以明文形式暴露，以实现存储层的安全加固。透明的数据加密有两层含义，一是对应用系统透明，即用户或开发商不需要对应用系统进行任何改动；二是对有密文访问权限合法用户看到的是明文数据，该过程对用户完全透明。增强访问控制DBCoffer增设数据安全管理员（DataSecurityAdministrator，DSA）。DBA和DSA完全独立，共同实现对敏感字段的强存取控制，实现真正的责权一致。DBA实现对普通字段的一般性访问权限控制，DSA实现对敏感字段的密文访问权限控制和加解密处理。该功能是对Oracle访问控制能力的加固，防止了特权用户对敏感数据的非法访问。敏感数据审计医院医疗信息系统