防统方解决方案介绍

1、防统方解决方案介绍防统方解决方案从事先防范一一事中审批一一及时通知一一事后审计四个方 面构建，来满足医院和卫生部门对防统方的安全要求。防统方解决方案体系包含如下：小 以事先防范构筑“统方”防御体系禁止当前频繁发生的商业统方以及任意非法统方行为。小 以事中授权和审批保障“统方”安全禁止非法统方，确保合法统方经过 USBg权可以识别统方和操作人一一关 联。事中及时通知可疑“统方”行为针对统方数据的操作，不论统方是合法或非法，均在第一时间通过多种渠道发布通知，发现可疑“统方”行为。小全面的事后审计以事后审计追踪非法“统方”事件，不论统方是合法或非法，所有操作均记录在审计信息内，详尽的海量审计信息为惩

2、戒提供了精细的证据。空 覆盖商业“统方”多条通路获取统方的道路层出不穷，针对当前市场上流行的手段和通路进行有效控 制。及时通知第一时间通 澄理可现行为防统方管理解决方案具有以下主要功能：事先防范基于“事先防范”的非法统方策略性管理是商业防统方的基础，在“事先防范” 的策略性管理中，安全管理事先防范主要实现以下目标：把“统方”基“统方”基础数据主要包括处方表、药品数据表、患者信息础数据纳入保 表、临床诊疗过程相关数据表，它不仅是统方基础数据，也 护体系是整个HIS系统的核心数据。创造性的引入了 “统方”基础数据拥有者这一概念，把“统方”数据拥有者赋给 HIS业务 系统。在该“统方”数据保护体系下

3、，除了 HIS业务系统外， 其他人员将无法访问统方数据，从而为防统方安全管理打下 坚实基础。DBA只责分离DBA数据库管理员，不是“统方”数据管理员，所以 DBA不应该访问统方数据。但是数据库 DBA拥有超级权限。创 造性的把DBAT理从“统方”数据中分离出来，使 DBA不再 先天具有访问和管理“统方”数据的权限，从而实现 DBA只 责分离，保护“统方”数据。限制特权用户除了 DBAi外，数据库中包含其他特权用户，这些用户都具访问统方有访问“统方”的权限，采用类似 DBA职责分离的方式，使“统方”数据从这些用户中分离出来，实现“统方”数据保 护。限制Schema访数据库内Schema是“统方”

4、数据的拥有者，天然具有随时问统方统方的权限，通过转移“统方”数据的拥有者为 His业务系统，使Schema再具有“统方”的先天访问能力，实现“统 方”数据保护。限制流动人员流动人员具有流动性和不受医院约束等特征，导致流动人员访问统方管理更具有难度。通过USBKey或临时授权等方式，实现开发商和合作伙伴等流动人员的管理，限制流动人员对“统方” 的访问。限制工具型应在防统方实践中，相当多的商业统方都是通过工具型应用获用访问统方得，对工具型应用严格管理，使工具型应用不具备访问“统方”数据的能力，从而实现“统方”数据保护。严格遵循统方对于合法的“统方”，为了不至于统方数据从合法统方渠道授权和审批管理泄

5、露，需要严格遵循卫生部要求的统方授权和审批，建立合法统方授权机制，实现统方的实时审批和监控。通过USBKey 授权的方式来实现授权和审批，甚至可以实现在 USBKey使 用过程实现类似于银行柜台的双重授权机制，从而使统方数 据泄露的可能性降到最低。统方白名单和统方特征化使Trust可以精确的识别His系统 中包含的统方操作，在识别到统方操作之后进行授权和审批 验证，只有通过了授权和验证才可以获得统方。事前阻断安全管理通过“事先防范”机制，建立了商业统方的策略性管理之后，一旦发 现不满足预定义策略的任何统方行为，将被实时阻断，统方窃取行为将被拒绝。事前阻断是防统方管理体系的核心， 只有在统方窃取

6、阶段事前阻断，防统方才 真正生效。事中审批安全管理通过事先策略性管理，对于可识别的统方操作，引入严格授权和审批 流程，只有通过 USB-KEY佥证之后才可以访问统方操作。事中授权和审批是实现 防统方管理的重要步骤，不论是非法统方和合法统方，统一纳入统方管理，使统 方安全进一步得到保障。及时通知针对可疑统方行为可以在第一时间通知管理者，使管理者可以快速掌握现场。任何被成功阻断的统方行为，认定为可疑的统方行为，都需要在第一时间得到通知，通知以短信、邮件、闪烁、网页等多种方式加以提醒和警示；认定为合法 统方的操作行为也会在网页得到明显提示，让管理者在第一时间掌握谁（who）于什么时刻（when）在哪

7、里（where）用什么应用（app）进行的统方行为。及时通知信息量是经过过滤的，数量少而精，若通知信息太多，会造成管理者 对统方管理的麻痹性，所以告警信息可以进行个性化订阅，从而掌控收到的信息 数据严重程度和信息量。事后审计事后审计不同于事中通知，事后审计需要提供非常详尽的审计信息，便于可 疑统方分析的回溯管理。海量审计信息主要有两个重要作用：第一、审计信息分析以发现访问规律以及一些目前未发现的可疑点管理。第二、提供事后追究的证据。尤其是提供证据保存这一功能，要求审计信息必须具有其原始不可修改和删 除的基本特征。拦截商业（非法）统方之通路“商业”统方是医疗回扣腐败利益链的核心所在，存在着巨大的

8、商业利益。正 是因为巨大商业利益的存在，利益相关人员会采用各种手段去获得统方数据。一 且存在着某个窃取统方的途径，该途径将会迅速传播，从而击破统方防御。基于 此考虑，统方防御必须是全方位的，至少不能给不法者提供简单的、低成本的、 快速的窃取途径。“商业统方”的基本途径主要分两大类：（一）来自于非HIS业务系统软件的统方威胁（二）来自于合法HIS业务系统软件的统方威胁来自于非HIS业务系统软件的统方威胁高权限用户越权访问代码注入式访问代理式访问盗用业务系统用户 （Schema以后/）密码访问通过exph expdh等生 成的备份文件非业务系统物件的统方威胁威胁通过6KD卜cKpdb等 合法数据备

9、份程序 访问高权限用户越权访问高权限用户越权访问使统方数据泄露的主要威胁之一。在数据库中，至少会拥有一个DBA除了 DB0外还存在着很多光天有能力 访问统方数据的数据库的用户。这些用户广泛的被IT管理人员，开发商以及合作伙伴所拥有，特别是相当多的高权限用户可能还 存在着共享使用问题，比如system等用户。从业务性质来说，任 何高权限用户都是为了管埋数据库，而/、是管埋数据，其本身并 无访问统力数据的要求。盗用Schema软件系统开发和运行存在着一个广为人知的事实，就是SchemaUser以及其他User,也就是业务系统访问数据库的用户密码无法保密。同时这共学用户密码个开放的用户又是统方数据和

10、代码的缺省拥有者，使其成为统方 数据泄露的最大威胁所在。特别是 Schema User被盗用之后，其 可以部署各种统方代理来完成统方数据的获取。通过几乎任何业务系统都存在 exp和expdb应用，这是任何业务系统exp,expdb 等合灾难保障的一部分。Exp和expdp具有状取处方表等表哥全部数据法数据备份程序访问的能力，也使其成为统方数据获取的一个可能来源。通过备份文件离线保存，可以在数据库外获得统方数据。虽然备份文exp,expdb 生成件一般保留在数据库服务器之上，相当比较安全。也需要f的的备份文件访问方式加以保护。代理式访问代理式访问相当比较隐蔽，部署一段代码在数据库或者主机之上。

11、通过该代码运行来获取统方数据。需要注意的是代理式访问并不第5页需要访问者具有直接访问统方数据能力，而是通过代理者的权限来状得统方数据。从数据库角度而言，代理访问都是通过any权限进行的。代码注入式访 问代码注入式访问和代理式访问类似，但其过程更加隐秘，通过使 自己代码运行在业务系统的外衣之下进行。比如注入视图，注入 触发器，注入其他业务系统代码来完成获取统方数据。利用Oracle安全漏洞访问Oracle安全漏洞是获取统方数据的一条途径，只有通过持续的进 行Oracle补丁解决。但绝大部分 Oracle女全漏洞为提升权限， 从而在完成权限管理的基础之上可以很好的解决Oracle安全漏洞所带来的统

12、方威胁问题。生阻止假冒应用进行“统方”在拦截非法“统方”的各条通路后，业务系统就出现通过假冒 HIS应用进行统 方的事故。由于医院HIS系统时典型的C/S架构，HIS系统又频繁更新，导致 应用系统容易被假冒。防统方EUM APP VERIFY!供终端应用认证，利用 MD限验技术，可阻止假冒 应用程序登陆HIS系统。HIS数据库具有统方权限统方是医疗卫生机构为完成特定医疗分析所需要的功能之人员的泄露 一，并不能完全从业务系统进行屏蔽。如何不让合法的统方 用作非法的商业统方是统方管理的主要挑战之一。通过事中 授权和审批是解决合法同法非法化的有效手段，也符合卫生 部关于统方管理的需求。盗用统方权限

13、人员密码一旦统方权限人员的密码被盗用，统方数据自然就泄露了。 我们在安全实践中可以知道，希望相关人员设置复杂密码并 且经常变更很难实现。我们需要解决的是在密码被盗用之后 如何防止统力数据泄露。假冒合法业务 系统在C/S体系结构，业务系统相对比较容易被假冒。如何防止 假冒的业务系统也是统方安全管理的主要内容。业务系统漏洞 导致的统方查 询只要是软件系统，就必然存在着漏洞。事实上业务系统存在 的最大问题还在于注入的漏洞或者后门。医院防统方管理系统架构医院防统方硬件需要配置一台安全管理服务器，可以独立于生产系统之外，建 议配置单独服务器最佳。安全管理服务器需要安装管理库，管理库的主要用途是 存放安全

14、配置信息和审计日志。为提供日常的 WEBe全管理,需要在安全管理服务 器上安装Tomcat中间件，日常的安全管理和日志审计，可以通过 WEEW览器（如 IE , Firefox 等）进行访问。防统方系统架构图如下:Internet统方管理控制台短信通知:WEBZ用用尸应用用户CAPA痴方服务器 !（1）安全配置管理 ：（2）审计日志管理 ；（3）报告、搜索等U盾管理关键数据访问人员统方访问控制B/S架构下终端身份管理终端管理&防假冒数据库服务器区应用服务群业务办公区模块解释说明防统方Management Server （安全管理控制台）：防统方系统管理服务器控制台，以Wetf式提供集中管理能力

15、，整个防统方系 统只需要一个管理服务器，并需要足够存储空间以存储审计数据。主要功能：1）实现WebS集中化管理，多个业务系统实现统一管理；2）实现防统方系统日常管理；3）实现审计记录的查询；4）实现统方访问的自动监视；5）前台管理员用户分配和权限设置；注：建议配置独立服务器，存储空间以存放的审计数据量为标准。CAM （资产访问控制）：CAM先防范和事中审批控制模块，保护统方数据和统方授权审批。针对合法 应用的统方数据访问非统方行为将不受控制，但是对统方行为做出控制；对于 非法应用，访问统方数据将被拦截；对于使用逻辑备份工具EXP EXPD年访问统方数据进行防控，限制只能某些特定的地址才能使用该

16、工具；对于 DBA大权限用户，使用非法应用访问统方数据进行拦截；对于统方数据的自身SCHEMA使用非法应用访问统方数据进行拦截。主要功能：主要实现防统方数据的分类和管理，根据业务特征形成数据集合；配置合法应用和非法应用，存入规则库；配置特定应用上的合法终端和非法终端，存入规则库；针对不同的应用，配置有针对性的规则（比如：拦截、监视、审计） ，存 入规则库；针对非法应用，访问统方数据时，将全部被拦截阻断；针对合法应用，访问统方数据时，将全部受到监视和审计，非统方行为可 以正常进行，统方行为受到规则控制；针对DBAS邓g、SCHEMA权限的数据库用户，使用非法应用访问统方数据 时直接拦截；针对逻辑

17、备份工具 EXR EXPD将，备份统方数据时配置单独的规则，限制特定终端才能使用该工具；保护统方数据所在的 SCHEM用户，使用非法应用访问统方数据时直接拦 截。CAA （资产访问审计）：CAA后审计控制模块，实现按需审计、搜索和告警。审计功能提供了用户登录的IP地址、登录时间、登录主机名称、登录 ORACLE勺用户名称、登录应用、 访问统方表格的时间、访问统方表格的具体语法、语句行为结果等信息。特别是 针对统方提供了业务化的语言来组织审计输出，使其容易被相关审计人员解读。主要功能：为防统方系统提供有针对性的登录审计和访问审计功能；提供了用户登录的IP地址、登录时间、登录主机名称、登录 ORACL的用 户名称、登录应用、访问统方表格的时间、访问统方表格的具体语法、语 旬行为结果等信息；防止防统方系统被旁路，避免丢失审计数据；审计信息按自定义级别进行分类，便于日常审计；统方数据访问审计的SQL语句“翻译”，便于审计人员解读。统方数据访问审计的SQL语句执行，便于审计人员分析SQL吉果；根据审计需要，提供自定义搜索功能；EUM USB-KEY【医护人员U盾管理】：EUM中审批控制卞g块子模块。EUMR现企业用户管理，实现身份信息和员工 信息的匹配，实现基于员工信息的访问控制和审计。EUMS供USBKEY独的授权, 实现合法应用或开发类应用的验证。主要功能：基于终端认证