防统方

统方"是建来自立医药回扣黑链的重要一环，是国家和媒体关注的重要社会焦点问题。

而防统方即是防止统方行为发生，根据医疗行业及其应用系统的特点，以操作行为的正常规律和规则为依据，对相关计算机系统进行的操作行为产生的动态或静态痕迹进行监测分析，发现和防范内部人员借助信息技术实施的违规和犯罪。对信息系统运行有影响的各种角色的行为过程进行实那认编蒸眼秋左联时监测，及时发现异360百科常和可疑事件，避免内部报核弦翻犯百人员的威胁而发生严重的后果。

医疗行业防统方可以通过数据库安全技术来防护，如:数据库审计和数据库防火墙。

• 中文名称 防统方
• 用途 建立医药回扣黑链的重要一环

简介

　　"统方"是建立医药回扣黑链的重要一环，是国家和媒体关注的重要社会焦点问题。

　　数据库由于存储着大量的用药和医疗设备采购信息，历来是医药代表进行"统方"的有效途径;当前，已经发生来自多起医药代表与医院信息科人员勾结，实现"统方"的案件:

　　2005-2008年海宁某医院信息科信息管理员王力，通过医生用药数据库中的药品及医疗设备的采购资料、医生用药量等信息资料，向药品经销商沈某、方某等人出售"统方"信检输凯扩息，共获得14万元来刚就点有心除延鱼太袁。

　　2008-2010年1月杭州某医院计算机网络中心副主任金某与职员林某，向药品销售商李某等人出售"统方"信似再七杀景谁换息，共获得13万玉考在防需足然友元。

防"统方"需求更布分析

　　在医院HIS系统中，至少存在以下数据库钟杀大序雷晶苦啊安全漏洞，能导致360百科非法"统方"行为发生:

应用系统引起的统方数据泄密

　　当前医院的HIS吧石度额委系统是一个统一的应用平台，集中了处方统计分析业务、处方查询(药剂科)，以及挂号、病历、诊疗信息管理等核心业务模块，这些模块共用同一个数据库用户。这种方案存在三个问题:

　　(1写祖)绕开应用系统直接访问数据库中的统方数据:该数据微读发叶市轮氧广护值库用户由于未采用有效的保护措施，可以通过该用户直接访问数据库，从而造成数据库内统方信息的泄密;

　　(2)利用处方查询业务中的合法数据库用户身份，在应用中进行间接"统方"

　　愿加对于药剂科的处方查询、处方打印操作，本身就需要具备查看处方中的药品、医生名称、药品数量等关键信息的权限。合法的业务操作是基于处方编号进行精确查询，仅能返回特定处方表客觉哪入多雨等明领的信息。但如果应用系统的开发酸欢算眼牛呀宪沉生压控制不严，被人为篡改查询语句或植入按时间范围、按医生及药品名称进行批量查询的报表，则能够迅速地获取批量处方信息，间接地完成"统方"。

　　(3)无法进行 :由于不同模块公用同一数据库用户访问数据，无法有效的限定数据库用户的访问能力，特别是正概把掉怕处方统计分析业务和处方查询的区别管理。

数据库维护人员的泄密风险

　　DBA及系统维娘全部又护人员的权限过高，可以访问所零修夫封有处方数据。

　　SYS等超级用户、DBA用户，密行织采鲁铁以及维护人员的数据库用户，具备几示饭依策探断叫伤了访问所有数据的权限;从而量雷建使毫无业务需要的DBA及维护人员能够访问所有处方数据，具备"统方"的最佳途径。

明文存储引起的泄密风险

　　由于数据库中的数据是以明文的形式存储在数据库中，从网络中的文件处理层将数据库文件拷贝走，可以获得所有统方信息，完成"统方"。

　　存储设备丢失、数据文件被窃取都会引起的批量处方信息泄露。

防统方解决方案介绍

　　基于防统方解决方案从事先防范--事中审批--及时通知--事后审计四个方面构建，来满足医院和卫生部门对防统方的安全要求，防统方解决方案已经在来自华东地区多家大型医院成功实施，并赢得了卫生局和医院领导的赞誉。

　　防统方解决方案体系包含如下360百科:

　　以事先防范构筑"统方"防御体系

　　禁止当前频繁发生的商业统方以及任意非法统方行为。

　　以事中授权和审批保障"统此挥剧却组风写一项方"安全

　　禁止非法统方，确保合法统方经过USB授权可以识别统方和操作人一一关联宜预政料井练。

　　事中及时通知可疑"统方"行为

　　针对统方数据的操作，不论统方是合法或非法，均在第一时间通过多种渠道发布通知，发现可疑"统占审生报从频提方"行为。

　　全面的事后审计

　　以事后审计追踪非知织秋肉吸调常基法"统方"事件，不论统过位示假策减慢供轴方是合法或非法，所有操作均记录在审计信息内，详尽的海量审计信息为惩戒提供了精细的证据。

　　覆盖商业"统方"多条通路

　　获取统方的道路层出不穷，针对当前市场上流行的手段和通路进行有如房范效控制。

2.1事先防范

　　基于"事先防范"的非法统方策略性管理是商业防统方的基础，在"事先防范"的策略性管理中，安全管理事先防范主要实现以下目标:

　　把"统方"基础数据纳我依底创罪刚月含财入保护体系

　　"统方"基础数据主要包括处方搞表、药品数据表、患者信息表、临床诊疗过程相关数据获李百较球执息表,它不仅是统方基础数据，也是整个HIS系统的核心数据。创造性的引入施众鱼延项杀心了"统方"基础数据拥有者这一概写经触末念，把"统方"数据拥有者赋给HIS业务系统。在该"统方"数据保护体系下，除了HIS业务系统外，其他人员将无法访问统方数据，从而为防统方安全管理打下坚实基础。

　　DBA职责分离DBA血造班后判是数据库管理员，不是"统改示交独传立浓六白室厂方"数据管理员，所以DBA真叶既不应该访问统方数据。但是数据库DBA却拥有超级权限。创造性的把DBA管理从"统方"数据中分离出来，使DBA不再先脱兵天具有访问和管理"统方"数据的权限，从而实现DBA职责客分离，保护"统方"数据。

　　限制特权用户访问统方

　　除了DBA之依怕规毛化外，数据库中包含其他特权质肉秋提搞向用户，这些用户都具有访问"统方"的权限，采用类似DBA职责分离的方式，使"统方"数据从这些用户中分离出来，实现"统方"数据保护。

　　限制Schema访问统方

　　数据库内Schema是"统方"数据的拥有者，天然具有随时统方的权限，通过转移"统方"数据的拥有者为His业务系统，使Schema不再具有"统方"的先天访问能力，实现"统方"数据保护。

　　限制流动人员访问统方

　　流动人员具有流动性和不受医院约束等特征，导致流动人员管理更具有难度。通过USB Key或临时授权等方式，实现开发商和合作伙伴等流动人员的管理，限制流动人员对"统方"的访问。

　　限制工具型应用访问统方

　　在防统方实践中，相当多的商业统方都是通过工具型应用获得，对工具型应用严格管理，使工具型应用不具备访问"统方"数据的能力，从而实现"统方"数据保护。

　　严格遵循统方授权和审批管理

　　对于合法的"统方"，为了不至于统方数据从合法统方渠道泄露，需要严格遵循卫生部要求的统方授权和审批，建立合法统方授权机制，实现统方的实时审批和监控。通过USB Key授权的方式来实现授权和审批，甚至可以实现在USB Key使用过程实现类似于银行柜台的双重授权机制，从而使统方数据泄露的可能性降到最低。

　　统方白名单和统方特征化使Trust可以精确的识别His系统中包含的统方操作，在识别到统方操作之后进行授权和审批验证，只有通过了授权和验证才可以获得统方。

2.2事前阻断

　　安全管理通过"事先防范"机制，建立了商业统方的策略性管理之后，一旦发现不满足预定义策略的任何统方行为，将被实时阻断，统方窃取行为将被拒绝。

　　事前阻断是防统方管理体系的核心，只有在统方窃取阶段事前阻断，防统方才真正生效。

2.3事中审批

　　安全管理通过事先策略性管理，对于可识别的统方操作，引入严格授权和审批流程，只有通过USB-KEY

　　验证之后才可以访问统方操作。事中授权和审批是实现防统方管理的重要步骤，不论是非法统方和合法统方，统一纳入统方管理，使统方安全进一步得到保障。

2.4及时通知

　　针对可疑统方行为可以在第一时间通知管理者，使管理者可以快速掌握现场。

　　任何被成功阻断的统方行为，认定为可疑的统方行为，都需要在第一时间得到通知，通知以短信、邮件、闪烁、网页等多种方式加以提醒和警示;认定为合法统方的操作行为也会在网页得到明显提示，让管理者在第一时间掌握谁(who)于什么时刻(when)在哪里(where)用什么应用(app)进行的统方行为。

　　及时通知信息量是经过过滤的，数量少而精，若通知信息太多，会造成管理者对统方管理的麻木性，所以告警可以进行个性化订阅，从而掌控收到的信息严重程度和数量。

2.5事后审计

　　事后审计不同于事中通知，事后审计需要提供非常详尽的审计信息，偏于可疑统方分析的回溯管理。海量审计信息主要两个重要作用:第一、审计信息分析以发现访问规律以及一些目前未发现的可疑点管理。第二、提供证据。尤其是提供证据保存要求审计信息必须具有其原始不可修改和删除的基本特征。

2.6 拦截商业(非法)统方之通路

　　"商业"统方是医疗回扣腐败利益链的核心所在，存在着巨大的商业利益。正是因为巨大商业利益的存在，利益相关人员会采用各种手段去获得统方数据。一旦存在着某个获取统方的方式，该方式将会迅速传播，从而击破统方防御。基于此考虑，统方防御必须是全方位的，至少不能给不法者提供低成本的获取方式存在。"商业统方"的基本通路主要有两大类:

　　来自于非HIS业务系统软件的统方威胁

　　高权限用户越权访问高权限用户越权访问使统方数据泄露的主要威胁之一。在数据库中，至少会拥有一个DBA，除了DBA之外还存在着很多先天有能力访问统方数据的数据库的用户。这些用户广泛的被IT管理人员，开发商以及合作伙伴所拥有，特别是相当多的高权限用户可能还存在着共享使用问题，比如system等用户。从业务性质来说，任何高权限用户都是为了管理数据库，而不是管理数据，其本身并无访问统方数据的要求。

非HIS业务系统软件的统方威胁

　　盗用Schema User以及其他共享用户密码

　　软件系统开发和运行存在着一个广为人知的事实，就是Schema User，也就是业务系统访问数据库的用户密码无法保密。同时这个开放的用户又是统方数据和代码的缺省拥有者，使其成为统方数据泄露的最大威胁所在。特别是Schema User被盗用之后，其可以部署各种统方代理来完成统方数据的获取。

　　通过exp,expdb等合法数据备份程序访问几乎任何业务系统都存在exp和expdb应用，这是任何业务系统灾难保障的一部分。Exp和expdp具有获取处方表等表哥全部数据的能力，也使其成为统方数据获取的一个可能来源。

　　通过exp,expdb生成的备份文件访问备份文件离线保存，可以在数据库外获得统方数据。虽然备份文件一般保留在数据库服务器之上，相当比较安全。也需要一定的方式加以保护。

　　代理式访问

　　代理式访问相当比较隐蔽，部署一段代码在数据库或者主机之上。通过该代码运行来获取统方数据。需要注意的是代理式访问并不需要访问者具有直接访问统方数据能力，而是通过代理者的权限来获得统方数据。从数据库角度而言，代理访问都是通过any权限进行的。

　　代码注入式访问

　　代码注入式访问和代理式访问类似，但其过程更加隐秘，通过使自己代码运行在业务系统的外衣之下进行。比如注入视图，注入触发器，注入其他业务系统代码来完成获取统方数据。

　　利用Oracle安全漏洞访问

　　Oracle安全漏洞是获取统方数据的一条途径，只有通过持续的进行Oracle补丁解决。但绝大部分Oracle安全漏洞为提升权限，从而在完成权限管理的基础之上可以很好的解决Oracle安全漏洞所带来的统方威胁问题。

　　来自于合法HIS业务系统软件统方威胁

　　在很好的解决非业务系统访问统方途径之后，业务系统访问统方途径导致的商业统方可能会成为未来主要的统方泄露途径。

来自于合法HIS业务系统软件的统方威胁

　　具有统方权限人员的泄露

　　统方是医疗卫生机构为完成特定医疗分析所需要的功能之一，并不能完全从业务系统进行屏蔽。如何不让合法的统方用作非法的商业统方是统方管理的主要挑战之一。通过事中授权和审批是解决合法同法非法化的有效手段，也符合卫生部关于统方管理的需求。

　　盗用统方权限人员密码一旦统方权限人员的密码被盗用，统方数据自然就泄露了。我们在安全实践中可以知道，希望相关人员设置复杂密码并且经常变更很难实现。我们需要解决的是在密码被盗用之后如何防止统方数据泄露。

　　假冒合法业务系统在C/S体系结构，业务系统相对比较容易被假冒。如何防止假冒的业务系统也是统方安全管理的主要内容。

　　业务系统漏洞导致的统方查询只要是软件系统，就必然存在着漏洞。事实上业务系统存在的最大问题还在于注入的漏洞或者后门。