[請益] 展望系統的資安管理

看板MIS (IT資訊人員)作者 (...)時間9年前 (2015/12/05 23:09), 編輯推噓3(3018)
留言21則, 5人參與, 最新討論串1/1
大家好,小弟在IT邦幫忙寫了一篇, 各位前輩大大可否幫忙看一下 http://ithelp.ithome.com.tw/question/10178931 最近接觸到展望的系統。展望是一家軟體公司,做了很多跟醫療有關的系統。 我的客戶用的是哪一套我還不確定。我還是先簡稱為展望系統。我從資安管理 的角度來看,覺得它很奇怪。 ◎免安裝。 ◎找一台家用的Windows電腦,把展望的資料夾放到D槽,做為伺服器端。 ◎一般用戶把伺服器的D槽掛載成自己的Z槽,然後執行展望資料夾裡面的執行 檔就可以使用系統。 ◎分享的資料夾權限必須完全開放。這樣用戶端才可以對展望系統做存取的動 作 ◎展望系統會透過中華電信提供的VPN專線取得健保相關資料。 問題1:病毒感染 某醫師的電腦如果中毒,感染到Z槽之後,會馬上感染到所有醫師的電腦。展 望是說,應該要把展望系統所使用的網路跟一般上網的網路切開來。也就是說 ,可以使用展望系統的電腦,就不能上網。但使用者不想這樣,所以採用混合 的模式。然後… 整間診所都中毒了。 而且中毒的來源也不一定會是網路。比如說某醫師的外接硬碟有毒。感染到Z 槽之後隨即感染到所有醫師的電腦。 問題2:資料夾保護 比如說,如果家裡多人共同一台電腦的時候,男生可能會把A片藏在某個地方 。所以,任何一個診所員工,不管是醫師還是櫃檯小姐,都可以在Z槽開資料 夾放自己的檔案。例如音樂檔、影集、A片。(員工可任意存放自己私人檔案) 而且任何檔案都可以刪除。比如員工心情不爽想搞怪,故意把某隻檔案刪除。 大家都不能用。這時就只能使用備份檔來還原。也許被刪的檔案不一定會使用 到,三天或一個禮拜之後才發現。這時候難道要去還原一個禮拜之前的檔案嗎 ?這段時間所建立的資料…??(員工可任意刪除系統檔案) 問題3:資料庫外洩 它的資料庫是用DBF。我對DBF不瞭解,但是 google 了一下,有人說可以用 excel 開 DBF,我就用 Office 2007 去開,不過 Excel 好像在開CSV檔,問 我分隔符號要用什麼,所以沒辦法進行下一步。但是用 LibreOffice 開就很 順利。其實還是有卡一下,第一次開有亂碼,因為我選 UTF8,第二次選擇 Big5 就看到全部資料了。這樣應該不算破解吧 XD 我只是單純的用免費的 LibreOffice 去開啟展望的 DBF 檔。這樣就看到全部資料了…。(任何員工 都可以看到任何資料) 我發現它不是用固定的分隔符號去區分欄位資料。第一列是欄位定義,第二列 以後是資料。比如說 A1 這個欄位的值是 DDRG,C,6,我猜,DDRG是欄位名稱 ,C代表文字,6是長度。另一個欄位叫 DDA,N,6,0,N是數字,6是長度,0代 表沒有小數。DCSR,N,5,3 => 長度是5,小數3位,例如 0.001 。這樣用 Excel 開不起來吧… 但是 LibreOffice 可以辨識,好神奇。 我也看到網路上的資料,展望做醫療系統還算有名。某篇文章就在問,展望、 耀聖、醫聖,哪一個系統比較好?有人回說,展望貴。通常產品比較貴的話, 表示它的品質比別人好。可是我對展望的運作機制疑問好多……。 醫療系統都這樣嗎? -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 111.251.54.223 ※ 文章網址: https://www.ptt.cc/bbs/MIS/M.1449328145.A.954.html

12/05 23:41, , 1F
dbf 的系統都這樣,從 dos 就這樣了
12/05 23:41, 1F

12/05 23:44, , 2F
通常欄定義不會寫明,要對文件,這是怕人開了看
12/05 23:44, 2F

12/05 23:44, , 3F
不過有的資料很好猜,比方手機
12/05 23:44, 3F

12/05 23:45, , 4F
資料夾權限可以設定不允許刪除
12/05 23:45, 4F

12/05 23:46, , 5F
但防不了打開,全選,清空的惡意報復
12/05 23:46, 5F

12/05 23:49, , 6F
有防毒,加上醫師不會亂開風險檔案,這還好
12/05 23:49, 6F

12/05 23:52, , 7F
這類系統,我記得都是開機直接 run fullscreen
12/05 23:52, 7F

12/05 23:53, , 8F
使用者,其實沒辦法做其他事情,所有 key 都被軟體吃住
12/05 23:53, 8F

12/06 21:54, , 9F
你要有個概念 這幾家公司的系統最少都RUN了10年以上
12/06 21:54, 9F

12/06 21:55, , 10F
貴在穩定 其他「再談」
12/06 21:55, 10F

12/07 09:32, , 11F
把SERVER弄成Linux? 配合ACL寫入設定?
12/07 09:32, 11F

12/07 09:33, , 12F
再配合crontab做備份這樣(我們的某個財務系統就這樣做)
12/07 09:33, 12F

12/07 09:34, , 13F
至於中毒..醫師桌上的電腦就系統專用吧,要上網,再
12/07 09:34, 13F

12/07 09:34, , 14F
一人配一台NB給他!把系統跟USER的網路切開這樣
12/07 09:34, 14F

12/07 15:21, , 15F
那幾間單機醫療系統都是foxpro的古老系統 dbf又沒加密
12/07 15:21, 15F

12/07 15:22, , 16F
診所用的都這樣 別懷疑了
12/07 15:22, 16F

12/07 16:49, , 17F
我前公司也是這樣子,但這系統會發生在連鎖營業的問題
12/07 16:49, 17F

12/07 16:51, , 18F
反正對他們來說只是藥單跟預約還有醫囑,最大的重點是健
12/07 16:51, 18F

12/07 16:52, , 19F
保如何連結,只有少數的中型醫院才會有資料庫的概念
12/07 16:52, 19F

12/07 16:53, , 20F
大型醫學中心就不用說了,一定會建置中央資料庫
12/07 16:53, 20F

12/07 16:54, , 21F
這東西就是便宜啊...小診所都買得起,主要是為了健保而已
12/07 16:54, 21F
文章代碼(AID): #1MOluHbK (MIS)
文章代碼(AID): #1MOluHbK (MIS)