天融信打造醫院信息系統數據安全防護方案
責編:admin |2014-07-25 09:33:301、安全隱患的背景
當前醫院各類信息系統數據庫存在大量的安全威脅和監管漏洞,主要有三類信息安全問題:
患者隱私信息批量泄密風險
從患者入院登記到治療、安排手術,需要經過很多程序,病人的手機號碼等信息,只要是有內網賬號的醫務人員都可以查詢到。醫院系統中存儲大量患者隱私信息,這些信息對整個醫療產業鏈如醫藥公司、健診中心、廣告、中介、保險等行業具有重要的價值,新興的信息倒賣公司已經將批量患者信息作為重要的商品,通過雇傭黑客入侵醫院系統,或收買醫院業務人員、信息中心人員、第三方維護和開發人員對批量患者數據進行竊取。
藥品“統方”信息被非法查詢風險
過去的幾年中,“統方”事件頻頻發生,有關醫藥代表與醫生、信息科人員勾結,非法獲取醫療統方數據的報道層出不窮。
非法“統方”勢頭一直不減的原因是無有效的技術手段幫助醫院防止“統方”,存在著無法有效區分正常統方和非法統方的行為差異,不具備主動預防信息科人員、其他業務科室、系統維護人員等各內部人群通過數據庫、應用系統等主動獲得處方數據的各種統方行為。
醫療財務數據被非法篡改風險
以住院費用查詢系統為例,住院病人費用明細清單包括床位費用、醫生診療費用、藥品費用、檢查費用等重要信息,這些醫療財務數據出現異動的原因,有可能是人為輸入有誤,但主要原因是被非法篡改。
維護人員、程序開發人員、信息中心業務人員擁有數據庫的高級別權限,正常的數據維護工作和敏感數據的非法篡改,從權限上無法分離;同時,醫療信息系統往往是院方內部人員、廠商程序開發人員和實施人員共同維護數據。一旦發生了違規的數據篡改行為,也無法有效界定到底是哪方人員造成的安全事故。
2、安全風險與需求分析
2.1、風險分析
在醫院信息系統中,數據庫訪問有如下渠道存在數據泄露和篡改風險:
1. 內網:敏感信息泄密風險
信息中心數據庫管理員:
有權限直接訪問數據庫,隨時導出所有敏感數據,目前沒有任何安全措施限制管理員訪問敏感信息,一旦發生泄密事件,無法免除責任;
開發商實施人員:
可通過掌握的數據庫賬戶口令,繞開業務應用系統,直接訪問醫療核心信息系統數據庫;
內網中其他業務處室人員:
現有醫療系統仍然有c/s架構的客戶端直接連數據庫,同時數據庫服務器沒有安全手段,確保只接受來自于應用服務器等固定IP地址的數據訪問,在知道數據庫賬戶后,通過其他計算機的數據庫客戶端訪問數據庫導致數據泄密。
2.內網:敏感數據篡改風險
數據庫DBA:可隨時任意訪問數據庫,直接修改敏感信息;
實施維護人員/開發人員:
可通過掌握的數據庫賬戶口令,繞過應用程序,通過其他數據庫客戶端工具直接訪問醫療數據庫,修改敏感信息;
3.外網:患者敏感信息批量泄漏
外部黑客攻擊:以外網應用系統作為跳板,利用數據庫的漏洞,直接進行sq注入或權限提升等操作,批量獲得數據庫的敏感信息;
DBA、實施維護、開發人員、測試人員:
與內網中的情況類似,都有機會直接接觸數據庫,獲得批量敏感信息等內容。
2.2、需求分析
從使用人群上分析,信息中心、其他業務處室、廠商開發運維人員能接觸到數據庫敏感信息的人員有數十人,其他醫療窗口及管理人員間接接觸數據庫敏感信息的人員有幾百人,他們有不同的應用或數據庫訪問權限,存在越權查詢敏感信息,批量查詢和導出信息等風險情況
從數據庫訪問行為控制分析,防高危操作,防SQL注入,對批量數據查詢的實時告警,同時對數據庫的惡意訪問將記入審計日志,進行事后分析。具體的技術分析如下:
防止外部黑客攻擊
威脅:黑客利用Web應用漏洞,進行SQL注入;或以Web應用服務器為跳板,利用數據庫自身漏洞攻擊和侵入。
防止內部高危操作
威脅:系統維護人員、外包人員、開發人員等,擁有直接訪問數據庫的權限,有意無意的高危操作對數據造成破壞。
防止敏感數據泄漏
威脅:黑客、開發人員可以通過應用批量下載敏感數據,內部維護人員遠程或本地批量導出敏感數據。
審計追蹤非法行為
威脅:業務人員在利益誘惑下,通過業務系統提供的功能完成對敏感信息的訪問,進行信息的售賣和數據篡改。
從數據庫自身安全加固的技術層面分析,在核心信息系統中至少存在以下重要數據庫安全威脅,能夠直接導致敏感信息泄密的發生:
系統維護人員導出或篡改數據
第三方人員直接接觸敏感數據
因此,醫院信息系統的數據庫信息安全核心需求就是要重點解決以上三大數據[注]庫安全威脅。此外衛生部對醫療行業“防統方”有政策要求:2010年6月21日頒發的《衛生部關于進一步深化治理醫藥購銷領域商業賄賂工作的通知》中明確指出,“未經批準不得統方,嚴禁為商業目的統方”。
1、安全隱患的背景
當前醫院各類信息系統數據庫存在大量的安全威脅和監管漏洞,主要有三類信息安全問題:
患者隱私信息批量泄密風險
從患者入院登記到治療、安排手術,需要經過很多程序,病人的手機號碼等信息,只要是有內網賬號的醫務人員都可以查詢到。醫院系統中存儲大量患者隱私信息,這些信息對整個醫療產業鏈如醫藥公司、健診中心、廣告、中介、保險等行業具有重要的價值,新興的信息倒賣公司已經將批量患者信息作為重要的商品,通過雇傭黑客入侵醫院系統,或收買醫院業務人員、信息中心人員、第三方維護和開發人員對批量患者數據進行竊取。
藥品“統方”信息被非法查詢風險
過去的幾年中,“統方”事件頻頻發生,有關醫藥代表與醫生、信息科人員勾結,非法獲取醫療統方數據的報道層出不窮。
非法“統方”勢頭一直不減的原因是無有效的技術手段幫助醫院防止“統方”,存在著無法有效區分正常統方和非法統方的行為差異,不具備主動預防信息科人員、其他業務科室、系統維護人員等各內部人群通過數據庫、應用系統等主動獲得處方數據的各種統方行為。
醫療財務數據被非法篡改風險
以住院費用查詢系統為例,住院病人費用明細清單包括床位費用、醫生診療費用、藥品費用、檢查費用等重要信息,這些醫療財務數據出現異動的原因,有可能是人為輸入有誤,但主要原因是被非法篡改。
維護人員、程序開發人員、信息中心業務人員擁有數據庫的高級別權限,正常的數據維護工作和敏感數據的非法篡改,從權限上無法分離;同時,醫療信息系統往往是院方內部人員、廠商程序開發人員和實施人員共同維護數據。一旦發生了違規的數據篡改行為,也無法有效界定到底是哪方人員造成的安全事故。
2、安全風險與需求分析
2.1、風險分析
在醫院信息系統中,數據庫訪問有如下渠道存在數據泄露和篡改風險:
1. 內網:敏感信息泄密風險
信息中心數據庫管理員:
有權限直接訪問數據庫,隨時導出所有敏感數據,目前沒有任何安全措施限制管理員訪問敏感信息,一旦發生泄密事件,無法免除責任;
開發商實施人員:
可通過掌握的數據庫賬戶口令,繞開業務應用系統,直接訪問醫療核心信息系統數據庫;
內網中其他業務處室人員:
現有醫療系統仍然有c/s架構的客戶端直接連數據庫,同時數據庫服務器沒有安全手段,確保只接受來自于應用服務器等固定IP地址的數據訪問,在知道數據庫賬戶后,通過其他計算機的數據庫客戶端訪問數據庫導致數據泄密。
2.內網:敏感數據篡改風險
數據庫DBA:可隨時任意訪問數據庫,直接修改敏感信息;
實施維護人員/開發人員:
可通過掌握的數據庫賬戶口令,繞過應用程序,通過其他數據庫客戶端工具直接訪問醫療數據庫,修改敏感信息;
3.外網:患者敏感信息批量泄漏
外部黑客攻擊:以外網應用系統作為跳板,利用數據庫的漏洞,直接進行sq注入或權限提升等操作,批量獲得數據庫的敏感信息;
DBA、實施維護、開發人員、測試人員:
與內網中的情況類似,都有機會直接接觸數據庫,獲得批量敏感信息等內容。
2.2、需求分析
從使用人群上分析,信息中心、其他業務處室、廠商開發運維人員能接觸到數據庫敏感信息的人員有數十人,其他醫療窗口及管理人員間接接觸數據庫敏感信息的人員有幾百人,他們有不同的應用或數據庫訪問權限,存在越權查詢敏感信息,批量查詢和導出信息等風險情況
從數據庫訪問行為控制分析,防高危操作,防SQL注入,對批量數據查詢的實時告警,同時對數據庫的惡意訪問將記入審計日志,進行事后分析。具體的技術分析如下:
防止外部黑客攻擊
威脅:黑客利用Web應用漏洞,進行SQL注入;或以Web應用服務器為跳板,利用數據庫自身漏洞攻擊和侵入。
防止內部高危操作
威脅:系統維護人員、外包人員、開發人員等,擁有直接訪問數據庫的權限,有意無意的高危操作對數據造成破壞。
防止敏感數據泄漏
威脅:黑客、開發人員可以通過應用批量下載敏感數據,內部維護人員遠程或本地批量導出敏感數據。
審計追蹤非法行為
威脅:業務人員在利益誘惑下,通過業務系統提供的功能完成對敏感信息的訪問,進行信息的售賣和數據篡改。
從數據庫自身安全加固的技術層面分析,在核心信息系統中至少存在以下重要數據庫安全威脅,能夠直接導致敏感信息泄密的發生:
系統維護人員導出或篡改數據
第三方人員直接接觸敏感數據
因此,醫院信息系統的數據庫信息安全核心需求就是要重點解決以上三大數據[注]庫安全威脅。此外衛生部對醫療行業“防統方”有政策要求:2010年6月21日頒發的《衛生部關于進一步深化治理醫藥購銷領域商業賄賂工作的通知》中明確指出,“未經批準不得統方,嚴禁為商業目的統方”。