交警“非法消违章”和医院“商业统方”的技术控制
2013-01-11 20:50
302 查看
前一周、上一周,CCTV曾经集中披露过一些地方的交警执法部门和第三方人员串通低价收费“消违章”的事情,今晚焦点访谈又播出了医院里面的非法统方(统计处方信息,药厂给医生回扣)事件。这些,本质上都是对数据的安全保障不够引起的。如果要结合等级保护来说,就是应用安全部分中的:身份鉴别、访问控制、安全审计几大部分设计不足、控制不够。
![](http://www.youxia.org/wp-content/uploads/2013/01/his.jpg)
简单分析:
1、交警非法消违章
储存违章信息的数据库,没有对消违章者的身份进行有效验证,同时对非授权访问控制手段不足,对消违章的行为无有效审计,或审计手段可绕过。
2、医院非法统方
HIS系统或数据库的身份验证存在问题,导致权限绕过进行统方,对数据库中的部分内容没有进行访问控制,对数据库的操作无安全审计。
解决手段:
二者的解决方式基本类似:
1、在业务系统中进行身份鉴别,如通过USB-KEY的PIN码,或集成数字证书
2、进行细粒度的访问控制,禁止无关人员访问、修改数据库核心内容,同时包括业务系统、主机、数据库
3、所有核心操作进行安全审计
下面给出思福迪(LogBase)在此类问题的解决方案
![](http://www.youxia.org/wp-content/uploads/2013/01/logbase-security.gif)
1、在服务器区交换机上配置端口镜像,将流量复制到思福迪业务数据库审计系统,可以实现C/S、B/S模式的业务系统对数据库的操作审计,可以设定规则,对违章记录表、处方和药物出库表进行监控,及时发现非正常行为。支持常见的Oracle、MS SQL、MySQL、Oracle、Informix、DB/2数据库类型。
2、在服务器区交换机上部署思福迪运维安全管理系统,对管理员对Windows、Linux、Unix系统的服务器、各类常见数据库、业务系统的访问、配置、变更进行有效审计,同时可以设置黑名单,如禁止格式化硬盘、禁止操作某些数据表、禁止更改某些配置等,防止管理员“监守自盗”的情况发生(事实证明监守自盗的事情非常多)
3、在核心交换机上配置端口镜像,将流量复制到思福迪日志管理综合审计系统,实现网络审计、日志审计,可以对客户端对服务器区以http、ftp、telnet等方式的访问行为进行有效审计,同时可以实现数据库审计、运维安全管理的审计信息集中管理。此外提供对网络内所有路由器、交换机、防火墙、入侵检测、Windows和Linux服务器等的日志集中审计、管理,可以对异常事件报警。如Windows的磁盘存储空间不足、MySQL或MS SQL启动失败等,可在第一时间通知管理员。
可以看到,通过部署业务数据库审计系统、运维安全管理系统,可以对普通业务使用者、网络核心管理者实现有效的身份鉴别、身份认证、行为审计,同时通过部署日志管理综合审计系统,可以实现IT系统的运维安全事件集中、智能化管理,有效防止泄密等事件的发生。
作者:张百川(网路游侠)www.youxia.org 转载请注明来源!谢谢
联系QQ:55984512、电子信箱:zbc98@163.com
![](http://www.youxia.org/wp-content/uploads/2013/01/his.jpg)
简单分析:
1、交警非法消违章
储存违章信息的数据库,没有对消违章者的身份进行有效验证,同时对非授权访问控制手段不足,对消违章的行为无有效审计,或审计手段可绕过。
2、医院非法统方
HIS系统或数据库的身份验证存在问题,导致权限绕过进行统方,对数据库中的部分内容没有进行访问控制,对数据库的操作无安全审计。
解决手段:
二者的解决方式基本类似:
1、在业务系统中进行身份鉴别,如通过USB-KEY的PIN码,或集成数字证书
2、进行细粒度的访问控制,禁止无关人员访问、修改数据库核心内容,同时包括业务系统、主机、数据库
3、所有核心操作进行安全审计
下面给出思福迪(LogBase)在此类问题的解决方案
![](http://www.youxia.org/wp-content/uploads/2013/01/logbase-security.gif)
1、在服务器区交换机上配置端口镜像,将流量复制到思福迪业务数据库审计系统,可以实现C/S、B/S模式的业务系统对数据库的操作审计,可以设定规则,对违章记录表、处方和药物出库表进行监控,及时发现非正常行为。支持常见的Oracle、MS SQL、MySQL、Oracle、Informix、DB/2数据库类型。
2、在服务器区交换机上部署思福迪运维安全管理系统,对管理员对Windows、Linux、Unix系统的服务器、各类常见数据库、业务系统的访问、配置、变更进行有效审计,同时可以设置黑名单,如禁止格式化硬盘、禁止操作某些数据表、禁止更改某些配置等,防止管理员“监守自盗”的情况发生(事实证明监守自盗的事情非常多)
3、在核心交换机上配置端口镜像,将流量复制到思福迪日志管理综合审计系统,实现网络审计、日志审计,可以对客户端对服务器区以http、ftp、telnet等方式的访问行为进行有效审计,同时可以实现数据库审计、运维安全管理的审计信息集中管理。此外提供对网络内所有路由器、交换机、防火墙、入侵检测、Windows和Linux服务器等的日志集中审计、管理,可以对异常事件报警。如Windows的磁盘存储空间不足、MySQL或MS SQL启动失败等,可在第一时间通知管理员。
可以看到,通过部署业务数据库审计系统、运维安全管理系统,可以对普通业务使用者、网络核心管理者实现有效的身份鉴别、身份认证、行为审计,同时通过部署日志管理综合审计系统,可以实现IT系统的运维安全事件集中、智能化管理,有效防止泄密等事件的发生。
作者:张百川(网路游侠)www.youxia.org 转载请注明来源!谢谢
联系QQ:55984512、电子信箱:zbc98@163.com
相关文章推荐
- 游侠原创:说说交警“消违章”和医院“统方”的技术控制
- iOS智能家居、智能展厅控制应用的技术要点总结
- ThroughoutCMS技术共享系列(3):三维的权限抽象模型-PK访问控制设计的软件实现
- 网络层访问权限控制技术-ACL详解 (2)
- 《信息安全技术》实验四 木马及远程控制技术
- 使用HTML5技术控制电脑或手机上的摄像头
- html5新功能3—使用HTML5技术控制电脑或手机上的摄像头
- 走在技术和商业之间的平衡木上(感想英雄会)
- 20155306 20155315 《信息安全技术》实验四、木马及远程控制技术
- Hadoop技术在商业智能BI中的应用
- 在JavaScript中使用DOM技术动态控制表格 .
- 大数据时代的五大商业分析技术趋势
- 利用钩子技术控制进程创建(附源代码)
- 射频识别技术漫谈(14)——Mifare S50与S70的存取控制
- 夺命雷公狗---Smarty NO:25 缓存控制技术2(完结)
- 3D音频处理技术的商业机会
- 沈坤商业思维1:驾驭顾客思维,控制购物行为
- COBIT信息及相关技术控制目标认证
- 给技术人上的管理课:控制和计划
- WCF技术剖析之二十三:服务实例(Service Instance)生命周期如何控制[下篇]