安华金和数据库安全医疗行业解决方案.docx

《安华金和数据库安全医疗行业解决方案.docx》由会员分享，可在线阅读，更多相关《安华金和数据库安全医疗行业解决方案.docx（6页珍藏版）》请在咨信网上搜索。

安华金和数据库安全医疗行业 解决方案 一. 客户需求与挑战 2010卫生部颁发的《卫生部关于进一步深化治理医药购销领域商业贿赂工作的通知》中明确指出，“要对医院各个部门通过计算机网络查询医院信息的权限实行分级管理，对医院信息系统中有关药品、高值耗材使用等信息实行专人负责、加密管理，严格统方权限和审批程序，未经批准不得统方，严禁为商业目的统方。” 在高额利益的驱使下，当前黑客窃取“统方”数据的问题已不容忽视。总结黑客的手段无外乎以下三种：1）利用HIS等医疗系统的Web漏洞入侵数据库；2）利用数据库漏洞直接入侵数据库；3）入侵数据库服务器主机直接窃取数据库文件、备份文件等。 当前部分省市医院采用审计软件“防统方”，却面临3大致命缺陷： 1）事后分析，无法主动阻止内部人员非法统方行为的发生； 2）难以准确地定位统方发生的具体操作人员，因此无法辨别非法统方和正常统方，不能起到震慑的作用； 3）无法阻止来自于外部黑客的攻击和存储层的数据泄密。 二. 解决方案概述及要点描述 安华金和医疗行业数据库安全方案的基本思路为通过对HIS、电子病历等医疗系统的用户表中密码信息和处方表中的剂量信息进行数据库加密存储，并对这些信息提供应用结合的数据库访问权限增强体系，屏蔽DBA人员、开发及维护人员对统方数据的查看权利，使通过医疗系统的统方操作变得可控、可追踪，使黑客攻破Oracle权限体系或盗取数据文件后仍然无法获取统方数据，从而实现对数据库统方的全方位防护能力。 图1 防统方解决方案拓扑图 该方案针对四种典型人群的统方途径，提供技术防御手段： （1） His系统使用者“统方”防御 统方途径： 利用His系统的“统方”功能直接“统方”。由于有合法统方的需求存在，因此在现有的His软件中，无法完全屏蔽该功能；His使用者利用该功能进行非法统方。 利用His系统的统计功能间接“统方”。通过某些His系统的统计信息如药品价格可以推导出药品名称，则通过“单价”+“总价”+“医生”也可以推导出统方信息。 防御手段： 字段组访问控制： 直接统方的防御：对同时出现“药品”+“剂量”+“医生”的查询进行授权控制 间接统方的防御：对同时出现“单价”+“总价”+“医生”的查询进行授权控制 （2） 开发及维护人员“统方”防御 统方途径： 利用His系统中的用户名、密码，使用数据库访问工具，直接访问数据库中的统方数据进行统方； 利用His系统维护人员的身份，获取存储在数据库中的His用户名和密码，模仿合法用户登录His系统进行统方。 防御手段： 将His系统访问数据库的用户名和密码与His系统绑定，使用户无法绕开His系统访问数据库。 对His系统中的用户名和密码加密，结合随即盐扰乱策略，增加对这些信息的保护。 （3） 黑客“统方”防御 统方途径： 利用数据库的漏洞，对数据库进行漏洞攻击，使普通用户具备超级用户权限，访问数据库中的统方数据。 对数据库文件进行底层直接访问，由于文件中存储的是明文，通过DUL和MyDUL工具直接导出统方数据。 防御手段： 对数据库建立独立于数据库管理系统的权控体系，使黑客的权限提升漏洞无效。 对数据存储文件中的数据进行加密，使导出数据为密文。 （4） DBA人员“统方”防御 统方途径： 利用超级用户权限，直接察看统方数据。 利用超级用户权限，获取存储在数据库中的His用户名和密码，模仿合法用户登录His系统进行统方。 防御手段： 建立对统方数据的三权分立体系，使超级用户在未受权限下无法察看统方数据。 对His系统用户名和密码进行加密，使超级用户在未受权限下无法察看His系统登录信息。 安华金和“防统方”解决方案立足于主动“防统方”理念，具备统方数据存储加密、His“统方”访问模式限定、His数据库用户应用绑定、DBA统方数据访问控制功能，具备真正意义上的主动“防统方”功能。 三. 方案客户价值呈现 l 建立主动防御为主和事后追踪为辅的综合“防统方”解决方案； l 使DBA、开发人员、维护人员、黑客彻底远离统方问题的中心—“统方数据”； l 帮助医院有效管理医疗系统的“统方”权限，彻底解决借助信息系统非法“统方”的难题。 l 具备统方数据存储加密、His“统方”访问模式限定、His数据库用户应用绑定、DBA统方数据访问控制功能 四. 方案优势 l 变事后追查为主动防御 l 从根源解决“防统方”难题 l 变相互制约为权责分明 l 应用改造接近零代价。 l 满足来自卫生监管部门的合规性安全检查要求； l 协助安全事件取证以及事后追溯； 0万U豆体验卡 卡号：50D890668267e3349e33 密码：686d03401eefba96faba 奖品名称：500万U豆体验卡 卡号：50De7a00c543af387fc0 密码：b26488ce65abc1787202 奖品名称：500万U豆体验卡 卡号：50Dbac638 85c802fd52e 密码：3d1c344384327b85efff 奖品名称：500万U豆体验卡 卡号：50Dd97f0765bdf6998a3 密码：48db1c14e42a2b321fac 奖品名称：500万U豆体50D61 215eb41ae3cc919 密码：25bffae5346e7b7d2548 奖品名称：100万U豆体验卡 卡号：10D1cab621456ab278ab 密码：709f65f32865af2559c2 奖品名称：100万U豆体验卡 卡号：10D8f1d6a4b953f3474e 密码：6e2e4017cce30dc7e055 奖品名称：100万U豆体验卡 卡号：10Dd1fc6d6dd529b6892 密码：a5dbdd8338f91d2c0701 奖品名称：100万U豆体验卡 卡号：10D08377b71d4374262b 密码：1d7a7c21ebd99b798a54 - 6 - © 2016 安华金和