如何有效阻止医疗行业最头疼的非法统方

一、非法统方的途径

本文所说的统方行为是指不正当商业目的非法统方行为，这种统方行为主要有内部统方和外部统方两种途径：

1. 内部统方行为

随着近些年医院信息化水平的不断提高，医院绝大部分业务都通过信息系统来处理，这就使内部统方的途径也变得多样化，药房、科室、信息中心任何一个能进入信息系统的终端都可能成为统方的途径。

2. 外部统方行为

目前医院的信息系统还不能实现完全的自主研发与维护，所以会有一定的外包服务人员、软件开发人员、系统维护人员可以直接接触医院的信息系统，能够查询医院的核心数据。另一方面随着近些年网络攻击技术的发展，外部黑客攻击也正逐渐成为非法获取统方行为的一种手段。

二、基于数据库审计实现的防统方

防统方系统经过了近些年的发展和完善，已经形成了以数据库审计为核心技术的防统方手段。通过旁路部署数据审计系统，镜像方式抓取用户访问数据库的信息进行解析，达到对用户非法统方行为的监控与审计，同时有些医院借助一些外部设备，例如网络防火墙能够实现阻断的功能。

以数据库审计为核心技术的防统方系统，其价值和有效性已经在实践中得到证明：

1. 通过对系统的初始化操作，能够比较全面的记录数据库访问行为，识别越权操作等违规行为，并通过审计记录完成追踪溯源。

2. 通过详细的策略配置，一些数据库审计系统能够将审计结果翻译成通俗易懂的符合医院的业务化语言，当非法统方发生时，纪检部门也能了解到具体的统方行为，从而更好的行使监察职能。

3. 通过部署基于数据库审计的防统方系统，有效的对医院内部人员起到了震慑作用，制止了一部分非法统方行为；同时也通过防统方系统提供的审计记录处理了一些进行非法统方的人员。

以数据库审计为核心技术的防统方系统，在取得了一定成绩的同时，也有其自身的缺陷：

1. 一些数据库审计系统基于正则表达式的语句解析技术，在策略维护上比较复杂，需要专业的人员才能够完成，并存在一定的误报和漏报情况；且无法有效定位进行非法统方行为的账户信息，致使在多个工作人员共用一台电脑的情况下，为事后追责造成一定的困难。

2. 以数据库审计为核心技术的防统方技术，在非法统行为的实时阻断上存在较大缺陷，即便目前有些医疗机构能够能够通过数据库审计系统的报警功能，并在网络防火墙和交换机的配合下阻断发现的有非法统方行为的终端的网络连接，但这实际上是在统方行为已经发生后的阻断行为，存在滞后性。

以数据库审计为核心技术的防统方技术，面对日益严重的黑客利用HIS等医疗系统的WEB漏洞，数据库漏洞入侵后获取非法统方行为也略显乏术。

近日有媒体报道的一个非法统方案例中，由于多家医院使用了同一个信息系统，其中一家医院的信息科工作人员发现了系统漏洞后，入侵了其他医院的信息系统进行非法统方。

此外，还有一些是替医院维护系统的外聘技术人员，他们利用维护系统之机，用自编的程序或植入后门等形式进行非法统方。

三、数据库防火墙实时阻断统方行为

基于数据库防火墙的防统方系统在语句解析、实时阻断和防止黑客攻击上有着其自身不可比拟的优势：

1. 数据库防火墙是基于精确的SQL语句解析技术的产品，医疗机构的HIS等系统有着固定的业务模型执行批量的SQl语句，数据库防火墙能够通过学习系统的访问行为判断非法统方行为风险语句，并且结合自身的敏感数据发现功能进一步制定全面灵活的防统方策略；还可以通过应用关联设计功能，将应用账号、客户端IP、SQL语句等进行绑定，实现对应用用户进行访问行为控制。

2. 数据库防火墙通过对SQL语句的精确解析，能够及时发现SQL语句中的非法统方行为，例如在一些没有权限的账户操作中发现药品名称、求和操作（sum）、分组操作（group）等语句就视为非法统方操作，对这个操作请求在抵达数据库前直接进行阻断，从而实现真正的统方行为阻断。

3. 数据库防火墙自身拥有的后门发现技术、虚拟补丁技术、高危访问控制技术、SQL注入禁止技术、返回行超标禁止技术、SQL黑名单技术等，能够有效的防止黑客利用Web应用漏洞，进行SQL注入，或以Web应用服务器为跳板，利用数据库自身漏洞进行攻击和侵入的非法统方行为。

作为高效而直接的防统方工具，数据库防火墙已被越来越多的医疗机构所关注，并且已经应用到一些医疗机构的防统方工作中。但要实现真正的防统方行为过滤，数据库防火墙必需串联部署，才能形成真正的非法统方行为阻断。这就要求数据库防火墙在面对医疗机构数据库访问时段比较集中这一特性，在高压力场景下既要发挥实时阻断非法统方行为的功能，同时又不能影响正常的应用访问，造成业务中断。

作为国内最为成熟的数据库防火墙产品——安华金和数据库防火墙采用硬件网卡ByPass，保障业务快速恢复；采用双机HA网络，保障业务连续性，从而实现串联部署下的高可用性，并且已经成功应用于多个医疗机构的防统方项目中，以串联部署的方式，保证医疗机构业务系统在安全状态下正常、高效的运行，为用户提供了安全、无感的实时阻断非法防统方。