1. 需求分析(1.1. 防“统方”背景 1.2. 防“统方”需求分析 1.2.1. 应用系统引起的统方数据泄密 1.2.2. 数据库维护人员的泄密风险 1.2.3. 明文存储引起的泄密风险)

2. DBCoffer解决方案(2.1. 方案简介 2.2. 方案介绍 2.3. 方案的价值与优势)

医院 His 系统防“统方”数据库安全解决方案

1. 需求分析

1.1. 防“统方”背景

“统方”是建立医药回扣黑链的重要一环，是国家和媒体关注的重要社会焦点问题。

数据库由于存储着大量的用药和医疗设备采购信息，历来是医药代表进行“统方”的有效途径；当前，已经发生多起医药代表与医院信息科人员勾结，实现“统方”的案件：

2005-2008年海宁某医院信息科信息管理员王力，通过医生用药数据库中的药品及医疗设备的采购资料、医生用药量等信息资料，向药品经销商沈某、方某等人出售“统方”信息，共获得14万元。

2008-2010年1月杭州某医院计算机网络中心副主任金某与职员林某，向药品销售商李某等人出售“统方”信息，共获得13万元。

1.2. 防“统方”需求分析

在医院HIS系统中，至少存在以下数据库安全漏洞，能导致非法“统方”行为发生：

1.2.1. 应用系统引起的统方数据泄密

当前医院的HIS系统是一个统一的应用平台，集中了处方统计分析业务、处方查询（药剂科），以及挂号、病历、诊疗信息管理等核心业务模块，这些模块共用同一个数据库用户。这种方案存在三个问题：

（1）绕开应用系统直接访问数据库中的统方数据：该数据库用户由于未采用有效的保护措施，可以通过该用户直接访问数据库，从而造成数据库内统方信息的泄密；

（2）利用处方查询业务中的合法数据库用户身份，在应用中进行间接“统方”

对于药剂科的处方查询、处方打印操作，本身就需要具备查看处方中的药品、医生名称、药品数量等关键信息的权限。合法的业务操作是基于处方编号进行精确查询，仅能返回特定处方的信息。但如果应用系统的开发控制不严，被人为篡改查询语句或植入按时间范围、按医生及药品名称进行批量查询的报表，则能够迅速地获取批量处方信息，间接地完成“统方”。

（3）无法进行有效授权：由于不同模块公用同一数据库用户访问数据，无法有效的限定数据库用户的访问能力，特别是处方统计分析业务和处方查询的区别管理。

1.2.2. 数据库维护人员的泄密风险

DBA及系统维护人员的权限过高，可以访问所有处方数据。

SYS等超级用户、DBA用户，以及维护人员的数据库用户，具备了访问所有数据的权限；从而使毫无业务需要的DBA及维护人员能够访问所有处方数据，具备“统方”的最佳途径。

1.2.3. 明文存储引起的泄密风险

由于数据库中的数据是以明文的形式存储在数据库中，从网络中的文件处理层将数据库文件拷贝走，可以获得所有统方信息，完成“统方”。

存储设备丢失、数据文件被窃取都会引起的批量处方信息泄露。

2. DBCoffer解决方案

2.1. 方案简介

基于安华金和数据库保险箱系统（简称DBCoffer），实现了应用层、数据库维护层和存储层的全方位统方数据安全解决方案。

DBCoffer核心功能是存储加密、三权分立、基于密文数据的独立权限控制和安全审计。

DBCoffer的核心价值在于，对最常见的数据库泄密威胁，提供安全有效的防护手段：

1）防止明文存储引起的数据泄密

DBCoffer通过加密存储功能，从根本上保证数据安全，即使反向解析数据文件后，看到的加密字段数据仍是乱码。

2）防止高权限用户进行数据泄密

数据库中的DBA等高权限用户，可以访问所有数据。

DBCoffer通过独立于Oracle的安全权限，保证即使是DBA用户，若无密文访问权限，照样无法进行密文数据的访问操作。

3）防止利用合法用户的身份，进行违规数据访问

在实际的应用系统中，合法用户的口令很可能由于人为因素或管理不善，泄露给他人，他人则可以通过命令行或管理工具等直接访问密文数据，批量窃取数据。

DBCoffer具备真正应用安全能力，可以保证用户和业务系统绑定，无法绕开。

2.2. 方案介绍

以下是DBCoffer对于防“统方”问题的数据库安全解决方案：

该方案的基本思路为通过对处方信息中药品和医生数据的加密存储，并对这些信息提供应用结合的数据库访问权控体系，屏蔽超级用户对统方数据的查看权利，从而实现对数据库统方的全方位防护能力。具体如下：

(1) 应用系统中数据库用户分离

对于统计分析系统和药剂科的处方查询模块，后台分别使用不同的数据库用户进行数据访问管理，以实现有效的授权管理。

(2) 敏感数据加密存储

通过对处方数据中的药品和医生名称的加密，使文件存储层和备份文件中的相关数据均为密文。从而防止来自于直接窃取数据文件和备份文件引起的统方数据泄密。

(3) 统方敏感数据的权限设置

A. 统计分析系统的权限设定

开放药品和医生名称的密文访问权限，使其能够进行正常的统计分析业务。同时对于统计分析系统的数据库用户，实施基于IP地址访问的细粒度控制，将统计分析操作仅限定在指定的统计操作人员所在的机器上。

B. 处方查询模块的权限设定

开放药品和医生名称信息的密文访问权限，但仅开放处方信息精确查询，限制批量查询处方信息的操作。

通过DBCoffer的返回行数缺省设置，使处方查询操作仅仅能够返回有限的数据行(缺省10行)，满足基于处方编号进行精确查询需求的同时，有效限制通过对时间范围、按医生及药品名称进行批量查询的操作，即使进行批量查询操作，也不能一次性能看到过多行的信息，从而有效防止“间接”统方。

C. 其他DBA及数据管理维护人员的权限设定

均不开放药品、医生名称的密文访问权限，使其无法访问敏感处方数据。

(4) 对数据库用户进行应用绑定，防止应用中数据库口令的泄露造成的“统方”

对于统计分析系统和HIS系统的数据库用户，采用DBCoffer的应用绑定特性进行权限增强控制，确保即使口令被泄露，也无法通过这两个账户通过自定义程序、其他管理工具或命令行的方式进行批量处方信息窃取，进行统方操作。

2.3. 方案的价值与优势

(1) 从根源解决防“统方”难题

从数据库级别进行防控，从根源上彻底控制统方数据信息的泄露，为医疗信息化打好底层基础。

(2) 变事后追查为主动防御

现有的一些防“统方”技术，通过监控和记录数据库的访问行为，分析数据库访问的异常行为，找出可疑的“统方”行为，是一种事后追查方式，分析效果也难以预料。

DBCoffer通过加密技术和权限控制技术，将“统方”数据与无关工作人员进行隔离，有效防止非法“统方”行为的发生。

(3) 变相互制约为权责分明

DBCoffer通过独立于数据库自身权限体系之外的密文权限控制体系，使DSA(安全管理员)和DBA的权责更加分明，从而有效地将数据维护和业务需求进行分离，既能保证DBA完成日常数据库维护工作，又能使管理层或督察人员有效控制统方数据的访问。

(4) 应用改造零代价。

DBCoffer的实施，对于现有应用系统基本透明，无需改造，原有Oracle核心特性均可继续使用。同时DBCoffer集中控制的模式，能够快速、无缝地融合到现有医疗信息系统中。