2012年医疗行业目前已被曝光的有2件事:第一件:当属上海新生儿数据被盗取的大丑闻!-具体大家可以在百度搜索新生儿数据盗取之类的关键词来获取更加详细的信息。第二件:“黑” 进医院内网盗数据 医科毕业生被抓(这个医科毕业生的IT水平跟专业的黑客比差的远,但同时也反映了医院的IT安全管理水平之低下,毫不夸张的说,一个稍微被调教过的初中生都可以干成这件事)。
今天是2012年9月26号,眼看就要国庆长假了,最近又走访了几个医疗行业的合作伙伴,高兴的是:医院的信息安全需求逐渐起来了,有点小起色。但难过的是:他们的路还有好长好长一段要走。真是:路漫漫其修远兮,吾将上下而求索!想必大多数人都跟我一样,现在看到这样的信息泄露的新闻都已经麻木了吧,反正人也被抓了,事情就了了。可是作为一名从事了将近10年的信息安全的工作人员,自然有一些思考特别想分享给大家,分享给合作伙伴、分享给这个社会,想让这个社会更加和谐,更加美好,让医院更加的安全,安心。
分析点:为什么会频繁发生这样的盗取(新生儿/医药销售记录)的信息事件?(中华人民共和国卫生部明令禁止:不允许任何人进行统方),我们稍微分析一下,不外乎以下3个方面:
(1)有公司需要这样的精准的数据,因为他们就是一个“金矿”。不知道读者能想明白吗?我不想引诱更多的人去犯罪,现在医院的IT就是一个烂窟窿,漏洞一大堆,数据随便取,毫不夸张的说:社会工程学+简单的数据监听技术+一点点耐心+简单的数据库知识,就可以很轻松取走国内9成9以上的医院的敏感数据,只是干这样的事情,太违背道德了,但依然有人敢为。归根结底:谁需要这些数据?这里是行业黑幕和行业潜规则,仿佛深圳妇幼保健医院4万名孕妇的资料泄露事件刚刚发生一样,我们可以若无其事吗?那么多人被判了,被换了,被X了,但是造成的后果,谁去承担?最终还是苦了这些被泄露信息的人,试问:你每天多接仅仅1个30秒的毫无意义的骚扰电话,如果是我,这个世界立马就黑暗了!我恨死这些无德的人和奸商!
(2)盗取这个数据很简单,随手执行几个命令,然后保存一下,发个电子邮件或者用移动硬盘COPY一下,QQ传送出去,银子就到手了!如果计算投入和产出的话,比贩毒的利润还要高上百倍,我给大家计算一下:连接数据库2秒钟(输入用户名和密码而已)、执行一条查询命令2秒钟、导出查询结果为xls文件1秒、发送出去2秒。前后就5秒,Money就赚到手了!而且不是几百块,随便卖一次,也能有个上万元的收入吧!5秒=1万块,暴利否?绝对的暴利,所以就有很多无知的人/无畏的人敢铤而走险!
(3)管理单位或者数据拥有单位不重视这些数据,没有建立有效的防范手段,视数据的存在为儿戏。如果建立了合理的防范措施,就不会轻易发生这样的事情了,现在把人抓起来有什么用?再我看来,屁用没有,因为数据已泄露,危害已造成,千千万万的家庭/孕妇已经受到祸害,至于那些可爱的宝宝是否已经遭受到了其他宝宝没有遭受的事情,现在还难以判断,要等他们长大以后,可见危害深远!对社会造成的严重影响不是可以用金钱来衡量的。光去靠教育人们不去干这样的事情是没有任何意义的,试问:不知道到我死去的那一天,是否再不会发生运营商泄露客户的手机号码这样的事情?是否再不会发生银行泄露客户信用卡资料这样的事情?这有可能吗?真心的盼星星盼月亮,有这么一天!
关键点:这个问题怎么解决,如何防范发生类似盗取新生儿信息的事件呢?也许有人会谈一大堆:加强管理制度、加强机房管理、加强人员管理、加强视频监控管理、加强访问管理、加强xxx管理。。。。。我说同志:可以暂停一下吗?说了一大堆,没有一个到点子上!
如果有这么一个方式去实现:
(1)与数据库类型无关
(2)不采用加密技术
(3)不需要管控USB设备
(4)未经授权,就不能以任何方式导出查询数据到任何地方
(5)经过授权,导出的查询数据只允许存储在安全的位置,不可以被带走和非法非授权的访问
(6)不能截屏、不能录屏
(7)用手机拍照的话会有包含当前计算机IP、时间、用户名的水印显示。
我想这才是符合要求,能解决问题的思路,真心的寻找这样的方案,其实远在天边近在眼前,请浏览一下腾讯、百度、土豆网、新浪的视频
具体地址:http://my.tv.sohu.com/u/vw/32119537 或者直接百度搜索:数据库信息防泄露视频
夜已深,还有什么人,跟我一样,孜孜不倦的码字呢?真心的祝福大家:国庆节、中秋节平安、快乐!
游侠备注:
医疗行业的数据安全的确是个问题,目前押宝再次的厂家也很多,包括游侠公司也在做此类产品,主要是数据库审计、综合日志审计、运维审计类。有需要的也可以和游侠联系。55984512@qq.com
标签: 数据库信息泄露, 数据库安全, 数据库审计, 数据泄漏防护, 数据防护, 联软