一、 方案背景

随着我国信息化建设的飞速发展，医疗卫生信息化发展也步入了一个加速发展的时期。从早期的单机单用户应用阶段，到部门级和全院级管理信息系统应用；从以财务、药品和管理为中心，开始向以病人信息为中心的临床业务支持和电子病历应用；从局限在医院内部应用，发展到区域医疗信息化应用尝试。多业务融合构建起医疗信息的复杂应用和数字化流程，随着HIS、RIS 、LIS、CIS、PACS、CPR等系统的应用，为医疗卫生行业的高效、快捷、便民提供了信息化基础，杜绝“三长一短”现象，有效解决了群众“看病难”问题。

信息的高度集中使数据的安全性越来越被重视，作为关乎民生的重要行业，一旦数据泄露，必将对社会产生不良影响，成为舆论和媒体关注的热点问题。在巨大商业利益的驱使下，医疗行业的数据库要面临来自内部威胁和外部威胁的双重包夹，特别是以商业为目的的非法“统方”行为，不仅给医院的公众形象和权威信任带来严重影响，甚至泄露个人信息损害患者的个人利益， 为医患关系又增加了不和谐的色彩。

二、 需求分析

在国内目前的网络条件下，各个医院服务器和网站服务器等网络设备，一般都采取机房集中式托管的模式。实际应用中，往往数十台至几百台服务器的机房，却只能配备1、2名网管人员，显然，这是无法满足机房大量服务器的管理需求的。

因此，在设备的日常管理和维护方面，大家要么直接远程登录操作管理，要么派人员去机房对所需设备外接显示器进行操作。

现有的网络安全产品大都集中在网络层面的安全管理上。比如：内外网隔离、网络通信加密、防止底层的网络攻击等等。而没有考虑到实际的日常工作中遇到的应用层面或者系统管理层面的问题。经过我们的实际调查，用户在应用层面以及系统管理层面主要关心以下问题：

1. 如何防止医院临床及药品信息等核心数据的信息泄密

2. 如何监管和审核针对核心资产的操作

以上两个问题无法通过现有的网络层面的安全产品加以解决，因为从我们后续的分析可以看到，这两个问题实际上与应用系统的数据以及管理制度有关，单纯靠底层的网络安全产品无法解决上述问题。

经过大量的实际调研，对医疗行业的信息系统来讲，通常都会有以下几种泄密途径：

外来的系统运维人员：

外来的系统运维人员需要在现场或远程对后台的服务器、数据库、网络设备进行维护。企业内部的系统管理员将不得不把相关的用户名、口令、设备端口等敏感信息告知这些外部厂家的运维技术人员。按照规定，现场维护人员应该把自己的所有操作都记录下来，并且有企业内部的人员在旁边进行监管。但是在实际工作中，这几乎是不可能的。当此次运维工作完成后，按照规定，系统管理员应该更改操作用户的密码，避免密码泄露到外部。但是实际情况却可能是：系统管理员往往忘记了更改密码。所以，经常出现的一种安全漏洞就是外来运维人员几乎不用系统管理员陪同就可以随意登录网络中的所有系统，如入无人之境。

内部的IT运维人员：

熟话说：家贼难防。信息泄密的主要途径往往是内部的系统管理人员。出于各种利益诱惑，并且自己不仅懂技术，更加懂得内部的业务数据。这使得内部IT运维人员窃取敏感信息的事件更加难以发觉。同时，由于缺乏审计结果，即使有怀疑对象，也没有足够的证据。大多数信息系统没有采用CA证书，仅仅依靠普通的用户名、口令进行身份认证。如前面描述的情况，用户名、口令经常被多人掌握。因此，即使知道了某个用户登录系统后进行了违规操作，也无法定位到某个自然人。这种模糊的身份识别也为个别内部IT运维人员提供了抵赖的借口。

应用程序开发人员：

在中小企事业单位中，应用系统不断地在开发、维护当中。并且为了工作方便，开发人员都是直接在生产数据库系统上进行应用的维护。包括：创建新的表、修改原有的数据定义等等。开发人员对应用系统的架构了如指掌，他们不需要额外的技术工具或者偷偷摸摸地进入核心的数据库系统就可以借着维护数据的名义获取医院临床及药品等敏感信息。

熟悉应用数据的内部非IT人员：

这些人员并不熟悉各种IT技术，但是他们非常精通业务系统。知道从哪些正常的渠道获取数据，然后对这些数据进行加工，最终得到想要的敏感数据。这类人通常仅仅使用EXCEL等办公软件工具对从应用系统中正常得到的各种数据进行统计、分析。由于这些操作大多是在个人电脑上完成的，因此也更加难以监控和审核。也很难进行取证。

外部的职业“黑客”：

一般来讲，由于大多数企事业单位的内部网络和外部互联网之间都部署了防火墙，有的甚至是物理上断绝的。所以一般不会出现从互联网上发起的攻击。多数是这些“黑客”直接在企事业单位内部找到一个物理接入点进行攻击。由于现有的大多数数据库网络通信都是明文的，如果对内部网络疏于管理，“黑客”极有可能在用户现场得到后台系统的用户名、口令等重要信息。从而可能造成到医院临床及药品信息等系统敏感信息的泄露。

实际经验和理论分析都表明，这些各种各样的具体的安全泄密途径都可以归纳为以下原因：

1. 企业的内部核心系统的各种用户名和口令管理松散。

2. 出现安全事件后，无法快速、准确地定位事件的源头，更谈不上及时阻止。

3. 没有任何操作记录可以进行事后审计审核。因此，也不知道该如何修补系统的安全漏洞。

4. 因为缺乏一一对应的身份认证，即使找到了安全事件的源头，也无法定位到自然人。

三、 帕拉迪解决方案

根据以上现象，为了确保医院临床及药品统方等核心信息的安全，杭州帕拉迪网络科技有限公司自主研发了“帕拉迪统一安全管理与综合审计系统”，系统主要包含认证、账号、授权、审核四大核心功能，使用该系统能够轻易达成如下目的：

1. 对每位系统操作人员进行一对一账号密码验证，通过登录账号可查具体操作人；

2. 使用单点登录模式，即：每位系统操作人员只需使用他自己的用户名、口令登录，然后就可以直接使用其权限内的各种后台系统，无需再次输入各后台系统的用户名、口令。这就******程度地限制了后台系统的各种用户名、口令被散发出去；

3. 为每位管理员分别设置使用权限，管理员只能在被允许的范围内对设备进行管理，避免人为原因带来的错误操作；

4. 对每位操作人员的在线情况、操作情况、设备运行情况进行跟踪、记录，任何设备变动都处于可控状态。

系统功能图示如下：

四、 方案特点

1.同 时提供两套能够独立应用并且功能完备的统一操作运维平台；

2. 同时提供密码集中管理和密码分散管理两种应用模式；

3. 极强的网络环境适应性，实现绿色部署；

4. 独创的数据库运维操作审计平台，覆盖主流商业数据库企业应用和运维操作；

5. 极强的高可用性和扩展性；

6. 同时提供统一字符终端管理平台、统一图形终端管理平台、统一带外运维平台、统一WEB运维平台、统一数据库运维平台、统一企业应用运维平台；

7. 支持多种认证方式，本地认证、AD域认证、Radius认证、数字证书等；

8. 支持对高危操作命令的阻断和告警，有效控制运维操作带来的风险；

9. 设置用户的系统登录策略，包括限制登录IP、登录时间段、端口、账号等策略，以确保可信用户可访问其拥有权限的后台资源，实现对运维行为的控制。

五、 部署拓扑