[請益] 展望系統的資安管理

看板MIS作者anawak (...)時間8年前 (2015/12/05 23:09)推噓3(3推 0噓 18→)

留言21則, 5人參與討論串1/1

大家好，小弟在IT邦幫忙寫了一篇，各位前輩大大可否幫忙看一下 http://ithelp.ithome.com.tw/question/10178931 最近接觸到展望的系統。展望是一家軟體公司，做了很多跟醫療有關的系統。我的客戶用的是哪一套我還不確定。我還是先簡稱為展望系統。我從資安管理的角度來看，覺得它很奇怪。 ◎免安裝。 ◎找一台家用的Windows電腦，把展望的資料夾放到D槽，做為伺服器端。 ◎一般用戶把伺服器的D槽掛載成自己的Z槽，然後執行展望資料夾裡面的執行檔就可以使用系統。 ◎分享的資料夾權限必須完全開放。這樣用戶端才可以對展望系統做存取的動作 ◎展望系統會透過中華電信提供的VPN專線取得健保相關資料。問題1：病毒感染某醫師的電腦如果中毒，感染到Z槽之後，會馬上感染到所有醫師的電腦。展望是說，應該要把展望系統所使用的網路跟一般上網的網路切開來。也就是說，可以使用展望系統的電腦，就不能上網。但使用者不想這樣，所以採用混合的模式。然後… 整間診所都中毒了。而且中毒的來源也不一定會是網路。比如說某醫師的外接硬碟有毒。感染到Z 槽之後隨即感染到所有醫師的電腦。問題2：資料夾保護比如說，如果家裡多人共同一台電腦的時候，男生可能會把A片藏在某個地方。所以，任何一個診所員工，不管是醫師還是櫃檯小姐，都可以在Z槽開資料夾放自己的檔案。例如音樂檔、影集、A片。(員工可任意存放自己私人檔案) 而且任何檔案都可以刪除。比如員工心情不爽想搞怪，故意把某隻檔案刪除。大家都不能用。這時就只能使用備份檔來還原。也許被刪的檔案不一定會使用到，三天或一個禮拜之後才發現。這時候難道要去還原一個禮拜之前的檔案嗎？這段時間所建立的資料…？？(員工可任意刪除系統檔案) 問題3：資料庫外洩它的資料庫是用DBF。我對DBF不瞭解，但是 google 了一下，有人說可以用 excel 開 DBF，我就用 Office 2007 去開，不過 Excel 好像在開CSV檔，問我分隔符號要用什麼，所以沒辦法進行下一步。但是用 LibreOffice 開就很順利。其實還是有卡一下，第一次開有亂碼，因為我選 UTF8，第二次選擇 Big5 就看到全部資料了。這樣應該不算破解吧 XD 我只是單純的用免費的 LibreOffice 去開啟展望的 DBF 檔。這樣就看到全部資料了…。(任何員工都可以看到任何資料) 我發現它不是用固定的分隔符號去區分欄位資料。第一列是欄位定義，第二列以後是資料。比如說 A1 這個欄位的值是 DDRG,C,6，我猜，DDRG是欄位名稱，C代表文字，6是長度。另一個欄位叫 DDA,N,6,0，N是數字，6是長度，0代表沒有小數。DCSR,N,5,3 => 長度是5，小數3位，例如 0.001 。這樣用 Excel 開不起來吧… 但是 LibreOffice 可以辨識，好神奇。我也看到網路上的資料，展望做醫療系統還算有名。某篇文章就在問，展望、耀聖、醫聖，哪一個系統比較好？有人回說，展望貴。通常產品比較貴的話，表示它的品質比別人好。可是我對展望的運作機制疑問好多……。醫療系統都這樣嗎？ -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 111.251.54.223 ※ 文章網址: https://www.ptt.cc/bbs/MIS/M.1449328145.A.954.html

→

threeus

12/05 23:41, , 1^F

12/05 23:41, 1^F

→

threeus

12/05 23:44, , 2^F

12/05 23:44, 2^F

→

threeus

12/05 23:44, , 3^F

12/05 23:44, 3^F