一、非法統(tǒng)方的途徑

 

本文所說的統(tǒng)方行為是指不正當(dāng)商業(yè)目的非法統(tǒng)方行為，這種統(tǒng)方行為主要有內(nèi)部統(tǒng)方和外部統(tǒng)方兩種途徑：

 

1. 內(nèi)部統(tǒng)方行為

 

隨著近些年醫(yī)院信息化水平的不斷提高，醫(yī)院絕大部分業(yè)務(wù)都通過信息系統(tǒng)來處理，這就使內(nèi)部統(tǒng)方的途徑也變得多樣化，藥房、科室、信息中心任何一個能進入信息系統(tǒng)的終端都可能成為統(tǒng)方的途徑。

 

2. 外部統(tǒng)方行為

 

目前醫(yī)院的信息系統(tǒng)還不能實現(xiàn)完全的自主研發(fā)與維護，所以會有一定的外包服務(wù)人員、軟件開發(fā)人員、系統(tǒng)維護人員可以直接接觸醫(yī)院的信息系統(tǒng)，能夠查詢醫(yī)院的核心數(shù)據(jù)。另一方面隨著近些年網(wǎng)絡(luò)攻擊技術(shù)的發(fā)展，外部黑客攻擊也正逐漸成為非法獲取統(tǒng)方行為的一種手段。

 

二、基于數(shù)據(jù)庫審計實現(xiàn)的防統(tǒng)方

 

防統(tǒng)方系統(tǒng)經(jīng)過了近些年的發(fā)展和完善，已經(jīng)形成了以數(shù)據(jù)庫審計為核心技術(shù)的防統(tǒng)方手段。通過旁路部署數(shù)據(jù)審計系統(tǒng)，鏡像方式抓取用戶訪問數(shù)據(jù)庫的信息進行解析，達到對用戶非法統(tǒng)方行為的監(jiān)控與審計，同時有些醫(yī)院借助一些外部設(shè)備，例如網(wǎng)絡(luò)防火墻能夠?qū)崿F(xiàn)阻斷的功能。

 

以數(shù)據(jù)庫審計為核心技術(shù)的防統(tǒng)方系統(tǒng)，其價值和有效性已經(jīng)在實踐中得到證明：

 

1. 通過對系統(tǒng)的初始化操作，能夠比較全面的記錄數(shù)據(jù)庫訪問行為，識別越權(quán)操作等違規(guī)行為，并通過審計記錄完成追蹤溯源。

 

2. 通過詳細(xì)的策略配置，一些數(shù)據(jù)庫審計系統(tǒng)能夠?qū)徲嫿Y(jié)果翻譯成通俗易懂的符合醫(yī)院的業(yè)務(wù)化語言，當(dāng)非法統(tǒng)方發(fā)生時，紀(jì)檢部門也能了解到具體的統(tǒng)方行為，從而更好的行使監(jiān)察職能。

 

3. 通過部署基于數(shù)據(jù)庫審計的防統(tǒng)方系統(tǒng)，有效的對醫(yī)院內(nèi)部人員起到了震懾作用，制止了一部分非法統(tǒng)方行為；同時也通過防統(tǒng)方系統(tǒng)提供的審計記錄處理了一些進行非法統(tǒng)方的人員。

 

以數(shù)據(jù)庫審計為核心技術(shù)的防統(tǒng)方系統(tǒng)，在取得了一定成績的同時，也有其自身的缺陷：

 

1.  一些數(shù)據(jù)庫審計系統(tǒng)基于正則表達式的語句解析技術(shù)，在策略維護上比較復(fù)雜，需要專業(yè)的人員才能夠完成，并存在一定的誤報和漏報情況；且無法有效定位進行非法統(tǒng)方行為的賬戶信息，致使在多個工作人員共用一臺電腦的情況下，為事后追責(zé)造成一定的困難。

 

2. 以數(shù)據(jù)庫審計為核心技術(shù)的防統(tǒng)方技術(shù)，在非法統(tǒng)行為的實時阻斷上存在較大缺陷，即便目前有些醫(yī)療機構(gòu)能夠能夠通過數(shù)據(jù)庫審計系統(tǒng)的報警功能，并在網(wǎng)絡(luò)防火墻和交換機的配合下阻斷發(fā)現(xiàn)的有非法統(tǒng)方行為的終端的網(wǎng)絡(luò)連接，但這實際上是在統(tǒng)方行為已經(jīng)發(fā)生后的阻斷行為，存在滯后性。

 

以數(shù)據(jù)庫審計為核心技術(shù)的防統(tǒng)方技術(shù)，面對日益嚴(yán)重的黑客利用HIS等醫(yī)療系統(tǒng)的WEB漏洞，數(shù)據(jù)庫漏洞入侵后獲取非法統(tǒng)方行為也略顯乏術(shù)。

 

近日有媒體報道的一個非法統(tǒng)方案例中，由于多家醫(yī)院使用了同一個信息系統(tǒng)，其中一家醫(yī)院的信息科工作人員發(fā)現(xiàn)了系統(tǒng)漏洞后，入侵了其他醫(yī)院的信息系統(tǒng)進行非法統(tǒng)方。

 

此外，還有一些是替醫(yī)院維護系統(tǒng)的外聘技術(shù)人員，他們利用維護系統(tǒng)之機，用自編的程序或植入后門等形式進行非法統(tǒng)方。

 

三、數(shù)據(jù)庫防火墻實時阻斷統(tǒng)方行為

 

基于數(shù)據(jù)庫防火墻的防統(tǒng)方系統(tǒng)在語句解析、實時阻斷和防止黑客攻擊上有著其自身不可比擬的優(yōu)勢：

 

1. 數(shù)據(jù)庫防火墻是基于精確的SQL語句解析技術(shù)的產(chǎn)品，醫(yī)療機構(gòu)的HIS等系統(tǒng)有著固定的業(yè)務(wù)模型執(zhí)行批量的SQl語句，數(shù)據(jù)庫防火墻能夠通過學(xué)習(xí)系統(tǒng)的訪問行為判斷非法統(tǒng)方行為風(fēng)險語句，并且結(jié)合自身的敏感數(shù)據(jù)發(fā)現(xiàn)功能進一步制定全面靈活的防統(tǒng)方策略；還可以通過應(yīng)用關(guān)聯(lián)設(shè)計功能，將應(yīng)用賬號、客戶端IP、SQL語句等進行綁定，實現(xiàn)對應(yīng)用用戶進行訪問行為控制。

 

2. 數(shù)據(jù)庫防火墻通過對SQL語句的精確解析，能夠及時發(fā)現(xiàn)SQL語句中的非法統(tǒng)方行為，例如在一些沒有權(quán)限的賬戶操作中發(fā)現(xiàn)藥品名稱、求和操作（sum）、分組操作（group）等語句就視為非法統(tǒng)方操作，對這個操作請求在抵達數(shù)據(jù)庫前直接進行阻斷，從而實現(xiàn)真正的統(tǒng)方行為阻斷。

 

3. 數(shù)據(jù)庫防火墻自身擁有的后門發(fā)現(xiàn)技術(shù)、虛擬補丁技術(shù)、高危訪問控制技術(shù)、SQL注入禁止技術(shù)、返回行超標(biāo)禁止技術(shù)、SQL黑名單技術(shù)等，能夠有效的防止黑客利用Web應(yīng)用漏洞，進行SQL注入，或以Web應(yīng)用服務(wù)器為跳板，利用數(shù)據(jù)庫自身漏洞進行攻擊和侵入的非法統(tǒng)方行為。

 

作為高效而直接的防統(tǒng)方工具，數(shù)據(jù)庫防火墻已被越來越多的醫(yī)療機構(gòu)所關(guān)注，并且已經(jīng)應(yīng)用到一些醫(yī)療機構(gòu)的防統(tǒng)方工作中。但要實現(xiàn)真正的防統(tǒng)方行為過濾，數(shù)據(jù)庫防火墻必需串聯(lián)部署，才能形成真正的非法統(tǒng)方行為阻斷。這就要求數(shù)據(jù)庫防火墻在面對醫(yī)療機構(gòu)數(shù)據(jù)庫訪問時段比較集中這一特性，在高壓力場景下既要發(fā)揮實時阻斷非法統(tǒng)方行為的功能，同時又不能影響正常的應(yīng)用訪問，造成業(yè)務(wù)中斷。