1、安全隱患的背景

當前醫院各類信息系統數據庫存在大量的安全威脅和監管漏洞，主要有三類信息安全問題：

·患者隱私信息批量泄密風險

從患者入院登記到治療、安排手術，需要經過很多程序，病人的手機號碼等信息，只要是有內網賬號的醫務人員都可以查詢到。醫院系統中存儲大量患者隱私信息，這些信息對整個醫療產業鏈如醫藥公司、健診中心、廣告、中介、保險等行業具有重要的價值，新興的信息倒賣公司已經將批量患者信息作為重要的商品，通過雇傭黑客入侵醫院系統，或收買醫院業務人員、信息中心人員、第三方維護和開發人員對批量患者數據進行竊取。

·藥品“統方”信息被非法查詢風險

過去的幾年中，“統方”事件頻頻發生，有關醫藥代表與醫生、信息科人員勾結，非法獲取醫療統方數據的報道層出不窮。

非法“統方”勢頭一直不減的原因是無有效的技術手段幫助醫院防止“統方”，存在著無法有效區分正常統方和非法統方的行為差異，不具備主動預防信息科人員、其他業務科室、系統維護人員等各內部人群通過數據庫、應用系統等主動獲得處方數據的各種統方行為。

·醫療財務數據被非法篡改風險

以住院費用查詢系統為例，住院病人費用明細清單包括床位費用、醫生診療費用、藥品費用、檢查費用等重要信息，這些醫療財務數據出現異動的原因，有可能是人為輸入有誤，但主要原因是被非法篡改。

維護人員、程序開發人員、信息中心業務人員擁有數據庫的高級別權限，正常的數據維護工作和敏感數據的非法篡改，從權限上無法分離;同時，醫療信息系統往往是院方內部人員、廠商程序開發人員和實施人員共同維護數據。一旦發生了違規的數據篡改行為，也無法有效界定到底是哪方人員造成的安全事故。

2、安全風險與需求分析

2.1、風險分析

在醫院信息系統中，數據庫訪問有如下渠道存在數據泄露和篡改風險：

1.內網：敏感信息泄密風險

·信息中心數據庫管理員：

有權限直接訪問數據庫，隨時導出所有敏感數據，目前沒有任何安全措施限制管理員訪問敏感信息，一旦發生泄密事件，無法免除責任;

·開發商實施人員：

可通過掌握的數據庫賬戶口令，繞開業務應用系統，直接訪問醫療核心信息系統數據庫;

·內網中其他業務處室人員：

現有醫療系統仍然有c/s架構的客戶端直接連數據庫，同時數據庫服務器沒有安全手段，確保只接受來自于應用服務器等固定IP地址的數據訪問，在知道數據庫賬戶后，通過其他計算機的數據庫客戶端訪問數據庫導致數據泄密。

2.內網：敏感數據篡改風險

·數據庫DBA：可隨時任意訪問數據庫，直接修改敏感信息;

·實施維護人員/開發人員：

可通過掌握的數據庫賬戶口令，繞過應用程序，通過其他數據庫客戶端工具直接訪問醫療數據庫，修改敏感信息;

3.外網：患者敏感信息批量泄漏

·外部黑客攻擊：以外網應用系統作為跳板，利用數據庫的漏洞，直接進行sql注入或權限提升等操作，批量獲得數據庫的敏感信息;

·DBA、實施維護、開發人員、測試人員：

與內網中的情況類似，都有機會直接接觸數據庫，獲得批量敏感信息等內容。

2.2、需求分析

從使用人群上分析，信息中心、其他業務處室、廠商開發運維人員能接觸到數據庫敏感信息的人員有數十人，其他醫療窗口及管理人員間接接觸數據庫敏感信息的人員有幾百人，他們有不同的應用或數據庫訪問權限，存在越權查詢敏感信息，批量查詢和導出信息等風險情況

從數據庫訪問行為控制分析，防高危操作，防SQL注入，對批量數據查詢的實時告警，同時對數據庫的惡意訪問將記入審計日志，進行事后分析。具體的技術分析如下：

防止外部黑客攻擊

威脅：黑客利用Web應用漏洞，進行SQL注入;或以Web應用服務器為跳板，利用數據庫自身漏洞攻擊和侵入。

防止內部高危操作

威脅：系統維護人員、外包人員、開發人員等，擁有直接訪問數據庫的權限，有意無意的高危操作對數據造成破壞。

防止敏感數據泄漏

威脅：黑客、開發人員可以通過應用批量下載敏感數據，內部維護人員遠程或本地批量導出敏感數據。

審計追蹤非法行為

威脅：業務人員在利益誘惑下，通過業務系統提供的功能完成對敏感信息的訪問，進行信息的售賣和數據篡改。

從數據庫自身安全加固的技術層面分析，在核心信息系統中至少存在以下重要數據庫安全威脅，能夠直接導致敏感信息泄密的發生：

系統維護人員導出或篡改數據

第三方人員直接接觸敏感數據

因此，醫院信息系統的數據庫信息安全核心需求就是要重點解決以上三大數據庫安全威脅。此外衛生部對醫療行業“防統方”有政策要求：2010年6月21日頒發的《衛生部關于進一步深化治理醫藥購銷領域商業賄賂工作的通知》中明確指出，“未經批準不得統方，嚴禁為商業目的統方”。

3、安全解決之道

3.1、解決方案

天融信公司憑借長期積累的信息安全經驗提出，醫院信息系統數據安全防護解決思路需分為兩部分，一是從技術手段上解決數據篡改和泄密的安全隱患，二是從管理手段上解決數據庫管理員權限過大，無法進行安全管理的問題。

技術措施包括：

·數據庫防火墻

◆虛擬補丁：通過數據庫防火墻的虛擬補丁包，形成外圍防護層，防止以外網應用系統為跳板，入侵者利用數據庫的權限提升等漏洞，批量數據下載。

◆防SQL注入：通過規則處理、黑白名單機制，防止違規的SQL注入操作發生，避免數據數被盜。

·天融信數據庫審計系統(防統方專用版)

◆系統針對醫療系統進行深度協議與數據分析，通過旁路方式抓取所有醫生使用的醫療終端和HIS服務器之間的通信數據，使用特定的腳本處理業務數據，得出其操作行為，并針對危險操作通過郵件、短信等方式告警并記錄其行為，同時也可以配置響應處理策略，將損失降到最低。

◆符合國家等級保護等政策法規、標準、規定的要求，是提高醫院進行防統方建設不可或缺的產品。

管理措施包括：

對所有數據庫定期進行安全巡檢;

通過三權分立改變現有安全管理機制，對數據庫運維有效地進行管控;

通過數據庫詳細審計，對數據庫惡意操作進行有效追蹤。

3.2、系統部署圖

綜合分析醫院信息系統中的數據庫安全威脅，以“保護敏感信息泄密、防止數據異動”為最終目標，以“最小的代價換取盡量大的安全提升”的原則，定義出該系統的核心敏感數據，并進行有效的安全訪問控制和事后審計。

　　3.3、特色說明

1) 防護思路的先進性

傳統的安全解決方案，注重于網絡安全防護、應用安全防護、認證安全防護，但忽略了數據庫安全防護。

2) 數據安全防護的全面性

A、防護時機的全面性

B、防護對象的全面性

C、防護泄密渠道的全面性

3) 防護技術的領先性

天融信公司提供專業數據庫安全防護產品——數據庫防火墻和數據庫審計系統(防統方版);數據庫安全產品不同于傳統的網絡安全產品，能夠實現對數據庫的整體安全加固。