1. 需求分析
1.1. 防“统方”背景
“统方”是建立医药回扣黑链的重要一环,是国家和媒体关注的重要社会焦点问题。
数据库由于存储着大量的用药和医疗设备采购信息,历来是医药代表进行“统方”的有效途径;当前,已经发生多起医药代表与医院信息科人员勾结,实现“统方”的案件:
2005-2008年海宁某医院信息科信息管理员王力,通过医生用药数据库中的药品及医疗设备的采购资料、医生用药量等信息资料,向药品经销商沈某、方某等人出售“统方”信息,共获得14万元。
2008-2010年1月杭州某医院计算机网络中心副主任金某与职员林某,向药品销售商李某等人出售“统方”信息,共获得13万元。
1.2. 防“统方”需求分析
在医院HIS系统中,至少存在以下数据库安全漏洞,能导致非法“统方”行为发生:
1.2.1. 应用系统引起的统方数据泄密
当前医院的HIS系统是一个统一的应用平台,集中了处方统计分析业务、处方查询(药剂科),以及挂号、病历、诊疗信息管理等核心业务模块,这些模块共用同一个数据库用户。这种方案存在三个问题:
(1)绕开应用系统直接访问数据库中的统方数据:该数据库用户由于未采用有效的保护措施,可以通过该用户直接访问数据库&